Illustration: Absmeier, TheDigitalArtist
Botnets befallen abertausende Geräte des Internet of Things (IoT), Ransomware legt ganze Firmennetzwerke lahm, Trojaner machen auch vor Smartphones und Tablets nicht Halt und DDoS-Angriffe legen Netzwerke von Großkonzernen lahm. Sicher ist: Die Gefahren im Netz werden vielfältiger. Da müssen Unternehmen in Sachen Websicherheit auf dem neuesten Stand bleiben. Welche Gefahrenquelle derzeit besonders gravierend sind, verraten 10 Experten im Digital Guide von 1&1. Die wichtigsten Informationen fassen wir hier zusammen.
DDoS-Angriffe bleiben wichtigste Bedrohung für Webseitenbetreiber
Nach den derzeit relevantesten Gefahren gefragt, nennen die zehn Experten für IT-Sicherheit nahezu unisono DDoS-Angriffe an erster Stelle als besonders große Bedrohung für Website-Betreiber: »Für Seitenbetreiber sehe ich vor allem zwei große Risikobereiche: gehackte Seiten und lahmgelegte Infrastruktur infolge von DDoS-Attacken«, erklärt Andreas Wisler, CEO bei goSecurity. Dem stimmt mit Blick auf die vermehrt auftretenden DDoS-Angriffe des letzten Jahres auch Harald A. Summa zu, Hauptgeschäftsführer bei eco – Verband der Internetwirtschaft e. V. Er prognostiziert weiterhin: »DDoS-Angriffe treten aktuell vergleichsweise häufig auf und das wird wohl auch in Zukunft so bleiben.«
Die Masche wird inzwischen so häufig angewandt, dass große Webseiten täglich – und auf den Monat gerechnet – Tausende Angriffe abwehren müssen. So erklärt Dr. Jochen Haller, Head of Information Security bei 1&1 Internet SE, auf die Frage, wie oft die von ihm betreute Website monatlich angegriffen wird: »Wenn man alle Attacken inklusive DDoS-Angriffen mitzählt, sind es sicher viele Tausend pro Monat. Ohne einen sinnvollen, automatisiert arbeitenden ›Breitbandbasisschutz‹ wäre die Verfügbarkeit einer Website nicht zu gewährleisten.«
Internet of Things: Viele Geräte nur unzureichend gesichert
Eine Korrelation ergibt sich zwischen den vermehrt auftretenden DDoS-Angriffen und dem steigenden Verbreitungsgrad von Geräten des Internet of Things (IoT): Abgesehen von der zunehmenden Erfassung und Speicherung privater Daten können die schlecht gesicherten Geräte nur allzu leicht für Botnetze missbraucht werden. So wird die Gefahr, die derzeit vom IoT ausgeht, als hoch eingeschätzt: »Die Hersteller kümmern sich einfach viel zu selten um sicherheitsspezifische Fragen«, konstatiert Andreas Wisler, der dies am Beispiel des Persirai-Botnets veranschaulicht. Via Malware wurden Tausende befallene IP-Kameras für DDoS-Angriffe genutzt – den Besitzern der Geräte war dies oftmals gar nicht klar.
Als ähnlich spektakulär beschreibt Prof. Dr. Christoph Meinel, Institutsdirektor und Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik GmbH, die Angriffe des Mirai-Botnets, die ebenfalls von Hunderttausenden IoT-Geräten ausgingen: »Der Datenverkehr dieses Angriffes war sehr beeindruckend. Derartige DDoS-Angriffe abzuwehren bzw. sich dagegen zu schützen, ist nach wie vor alles andere als einfach«. Schuld ist laut Summa nicht das IoT an sich, sondern »schlecht konfigurierte Geräte«, die oftmals sogar gänzlich »ohne Sicherheitsfunktionen auf den Markt« kämen.
Schutz von Nutzerdaten muss 2018 noch wichtiger werden
Für Unternehmen wird 2018 der Schutz von Nutzerdaten ein noch wichtigeres Thema werden. Die Verschärfung der EU-Datenschutzrichtlinien, die mit der sogenannten Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt, nimmt Unternehmen noch strenger in die Pflicht, indem sie unter anderem eine umfassende Dokumentation vorschreibt. Dementsprechend sieht Dr. Florian Hauser, Hacker und Experte in einem großen deutschen IT-Sicherheitsunternehmen, Compliance – die Regeltreue – als »Ziel« für Unternehmen. Dafür müssten bewährte Security-Standards eingehalten werden. Hauser nennt hier das »Least-Privileges-Prinzip« sowie das »Need-to-know-Prinzip«. Verlust und »unachtsame Weitergabe« stellen laut Hauser eine »große Gefahr dar«. Wie verheerend die Auswirkungen sein können, hätten die Datenlecks von Yahoo und Adobe gezeigt, so Hauser.
Cybersicherheit ist endgültig auf den Vorstandsetagen angekommen
Cybersicherheit 2018 – Unternehmen müssen Datenintegrität besser verstehen
2018: Führungskräfte nur unter Zwang bereit, sich mit Cybersicherheit zu befassen
Cybersicherheit im Jahr 2018 für industrielle Steuerungssysteme und Produktionsumgebungen