Illustration: Geralt Absmeier

2019 war ein weiteres arbeitsreiches Jahr für Hacker. Sie haben erfolgreich Großstädte, Behörden, Unternehmen, Krankenhäuser und Schulen auf der ganzen Welt angegriffen. Allein in den letzten Wochen erwog die Stadt Johannesburg, Afrika, ob sie 30.000 Dollar (vier Bitcoin) an Hacker zahlen solle oder nicht. Am Ende zahlte die Stadt nicht. Trotz der Drohung der Hacker, private Daten der Bürger zu veröffentlichen.

Werfen wir einen Blick zurück auf einige andere Sicherheitsvorfälle in diesem Jahr:

Im Januar wurde ein Angriff entdeckt bei dem zwei verschiedene Arten von Malware (Vidar und Grandcrab) in Verbindung mit einem Trojaner verwendet wurden um Daten abzuziehen. Ein Szenario in dem es fast immer gelingt, mit den gestohlenen Daten Geld zu machen.

Im März infizierte ein neuer Ransomware-Stamm, LockerGoga, einen der weltweit größten Aluminiumproduzenten, Norsk Hydro. Die Auswirkungen waren schwerwiegend. Die Automatisierung musste effektiv tagelang abgeschaltet werden, und der Konzern war gezwungen auf manuellen Betrieb umzustellen. Das Unternehmen musste Hunderte neuer Computer anschaffen und in Rekordzeit neu aufsetzen. Im April verlautbarte das Unternehmen, dass die Kosten für die durch den Angriff verursachten Schäden bei mindestens 52 Millionen US-Dollar liegen würden.

Im Mai wurde die Stadt Baltimore von Hackern angegriffen. Tausende von städtischen Rechnern waren eingefroren, und es stand eine Lösegeldforderung in Höhe von 76.000 US-Dollar zahlbar in Bitcoins im Raum. Die Stadt zahlte nicht. Der Angriff kostete die Kommune dennoch 18 Millionen US-Dollar. Viele kritische Systeme waren betroffen, die E-Mail-Dienste der Mitarbeiter waren unterbrochen, Wasserabrechnungen blockiert und sogar Immobilientransaktionen ausgesetzt. Zudem entschloss sich die Stadt Anfang Oktober eine Cyberversicherung für 20 Millionen US-Dollar abzuschließen.

Im Sommer litt der Bundesstaat Texas gleich unter einer Welle von Ransomware-Angriffen. Betroffen waren 23 lokale Behörden. Auch hier weigerte sich der Staat zu bezahlen, aber am Ende fielen dennoch Kosten in Höhe von mindestens 12 Millionen US-Dollar an.

Anfang Oktober wurde bekannt, dass zahlreiche Krankenhäuser im Bundesstaat Arkansas von einem massiven Angriff betroffen waren. Der Angriff verschlüsselte Dateien und beschränkte den Zugriff auf Computersysteme im Regional Medical Center von DCH Health Systems, im Northport Medical Center und im Fayette Medical Center. Das medizinische Personal konnte nur noch manuell arbeiten und musste während der Reparatur des IT-Systems auf Papierfassungen statt auf digitale Aufzeichnungen zurückgreifen.

Als Reaktion auf diesen und weitere Vorfälle hat das US-Verteidigungsministerium kürzlich einen mit Spannung erwarteten neuen Entwurf von Cybersicherheitsstandards veröffentlicht, der die Regeln verschärft, an die sich staatliche Vertragspartner zur Abwehr von Hacks halten müssen. Laut FedScoop wird das Verteidigungsministerium voraussichtlich im Januar seinen endgültigen Rahmen für Cybersicherheitsstandards veröffentlichen.

Was uns 2020 erwartet, wird sich zeigen. In der Zwischenzeit haben wir einige der klugen Köpfe bei GlobalSign gebeten, ihre Prognosen mit uns zu teilen.

#Prediction2020: Mehr private PKIs

Während Unternehmen und geschlossene Interessengemeinschaften bei der starken Authentifizierung von Benutzern und Geräten verstärkt auf PKI setzen, ist mit einer Zunahme privat gehosteter PKIs zu rechnen. Browser und öffentliche Root Stores werden weiterhin als öffentliche Vertrauensgrundlage für externe E-Commerce-Websites (SSL/TLS) dienen, ebenso wie für ausführbare Dateien, die mit externen Anwendungen verknüpft sind (Code Signing) und sichere E-Mails (S/MIME), bei denen Identitäten durch gängige E-Mail-Clients, Browser und Betriebssysteme validiert werden. Es wird jedoch einen zunehmenden Bedarf an »private Trust« geben, um traditionelle wie neuartige Anwendungsbereiche zu unterstützen:

Benutzerauthentifizierung für Remote-Zugriff
Geräte-Authentifizierung (IoT, Mobile, Computer)
DevOps – sowohl SSL als auch Code Signing
Digitale Signaturen bei Konsortien, Branchen und Regierungen

Der Trend zu »Cloud Everything« wird dazu führen, dass Cloud-CA-Anbieter private PKIs hosten, um die nötige Kompetenz, die Flexibilität der Zertifikate, niedrige Einstiegskosten und die entsprechende Leistung für Organisationen und private Communities zu gewährleisten.

Lila Kee, GlobalSign General Manager, Amerikas

#Prediction2020: Die Bedrohung durch Quantencomputing ist (noch) keine echte Gefahr. Ignorieren Sie bis auf Weiteres den Hype.

Unternehmen wie Google sprechen zunehmend über Quantencomputing. Die Realität sieht so aus: Obwohl Quanten Einfluss auf unsere Branche haben, wird das sicherlich nicht 2020 sein, noch im kommenden Jahrzehnt. Es sind noch viele Fragen offen, wie etwa, welcher Algorithmus sich am besten für die Quantenresistenz eignet. Darauf hat bisher niemand eine zufriedenstellende Antwort. Bevor hier kein Branchenkonsens gefunden ist, wird es auch keine Quantenlösungen geben.

Das bedeutet allerdings nicht, dass wir nicht über Quantencomputing nachdenken und welchen Stellenwert es zu einem späteren Zeitpunkt haben könnte. In der Zwischenzeit konzentrieren wir uns jedoch auf Krypto-Agilität. Sie stellt mit größerer Wahrscheinlichkeit ein reales Problem für die Sicherheitsbranche dar.

Lancen LaChance, Vice President, IoT Solutions

#Prediction2020: Ein globaler Smart Device Hack steht unmittelbar bevor

Weltweit gibt es fast 30 Milliarden aktive IoT-Geräte. Das sind 127 neue Geräte, die pro Sekunde online gehen. Für 2025 sind 75 Milliarden aktiver IoT-Geräte prognostiziert. Die Frage ist nicht, ob sie gehackt werden, sondern wann. Diesen Versuchungen werden die Dark Lords des Dark Web nicht widerstehen.

Dazu noch ein paar potenziell beängstigende Zahlen. 2019 meldete Amazon 100 Millionen verkaufte Alexa Smart Devices. Ähnliche Zahlen liefert Google Home. Noch nicht beängstigend genug? Dazu einige Fakten: Es hat 13 Jahre gedauert bis die Zahl der verkauften Fernseher allein in den USA die 50-Millionen-Marke geknackt hat, während diese Marke bei intelligenten Lautsprechern innerhalb von nur zwei Jahren erreicht war. Es dauerte vier Jahre, bis 50 Millionen Menschen Internetzugang hatten, und zwei Jahre, bis Facebook diese Zahl an Mitgliedern aufweisen konnte.

Die Zahlen zeigen es: Die Welt entwickelt sich in deutlich schnelleren Zyklen weiter. Smart Devices und Social Media sind eng miteinander verflochten, so dass Nutzer, private Haushalte, das Gesundheitswesen, die Finanzbranche, die Fertigungsindustrie und andere Branchen gleichermaßen gefährdet, angreifbar und die Zeit reif für einen weltweiten Hack ist. Man kann sich wünschen, es wäre anders, aber die Dynamik ist zu groß um sie zu ignorieren. Hersteller, Unternehmen und Verbraucher versuchen gegenzusteuern. Aber das passiert nicht schnell und nicht entschieden genug.

Viele dieser Unternehmen leiden selbst unter Budgetkürzungen und Personalmangel im Bereich Cybersicherheit. Unternehmen wie GlobalSign haben begonnen, direkt persönlich mit Kunden zusammenzuarbeiten, um nicht nur einen PKI-Plan, sondern zusätzlich IoT-Pläne zu entwickeln, um die Defizite zu beheben. Dazu gehört auch ein IoT-Entwicklerportal, das die Zusammenarbeit zwischen Entwicklern/DevOps und Krypto-Experten fördert und Entwicklungen vorantreibt, um die nächste Generation sicherer Smart Devices, Cobots (Kollaborative Roboter) und dergleichen auf den Markt zu bringen.

Ted Hebert, Vice President, Marketing

#Prediction2020: Das IoT verbucht Erfolge, mangelnde Sicherheit ist aber nach wie vor problematisch.

Das IoT ist durchaus erfolgreich, aber viele Implementierungen verzögern sich aufgrund mangelnder Sicherheit. 2020 werden Cloud Service Provider ihr Augenmerk verstärkt selbst auf diesen Bereich lenken oder mit Sicherheitsanbietern zusammenarbeiten, um ihren Kunden eine sichere Gerätebereitstellung und -verwaltung sowie ein grundsätzlich sicheres IoT-Ökosystem anzubieten.

Ich erwarte, dass die regulatorischen Rahmenbedingungen für die IoT-Fertigung und Bereitstellung weiterhin in erster Linie von der EU kommen werden, obwohl wir auch in den USA größere Anstrengungen sehen werden. IoT-Angriffe, kompromittierte Geräte und Hacks – das alles wird leider weitergehen. Hinzu kommt, dass die Sicherheitsstandards nicht eingehalten und wir nicht annähernd einen höheren Prozentsatz an sicheren Geräten erreichen werden. Warum? Originalgerätehersteller (OEMs) sind, meistenteils aus Angst vor Umsatzverlusten, nach wie vor nicht bereit, die damit verbundenen Kosten zu tragen oder auf die Verbraucher umzulegen.

Bessere Webanwendungen werden zu einer höheren Akzeptanz von DevOps-Tools führen

Da leistungsfähigere Webanwendungen zu einer komplexen Serviceinfrastruktur führen, werden DevOps-Tools und -Praktiken 2020 weitaus stärker akzeptiert werden als bisher. Dadurch entstehen neue Bedrohungsvektoren, und wir werden 2020 mehr hochkarätige Hacks, Sicherheitslücken und kompromittierte Geräte und Anwendungen sehen. Sicherheit wird für Unternehmen zunehmend zu einem grundlegenden Problem. Einige Firmen werden deshalb verstärkt in einen ganzheitlichen Sicherheitsansatz investieren, zu dem unter anderem die Verschlüsselung aller internen und externen Daten sowohl bei der Übertragung als auch im gespeicherten Zustand gehört. Datensicherheit, Compliance und Governance werden die großen Themen sein, und die Akzeptanz von Lösungen in diesem Bereich wird zunehmen.

Nisarg Desai, Director, IoT Solutions

#Prediction2020: Das Gesundheitswesen bleibt ein vorrangiges Ziel von Cyberangriffen.

IoT-vernetzte medizinische und medizintechnische Geräte sowie der hohe Wert von personenbezogenen Daten aus elektronischen Patientenakten (ePA) schaffen eine einzigartige und attraktive Angriffsfläche. Für Hacker absolut unwiderstehlich. Der Markt ist lukrativ und er wächst. Forscher und Prognostiker sind sich einig, dass das gesundheitsbezogene IoT weiterhin durch ein rasantes Wachstum gekennzeichnet sein wird.

Aber mehr Geräte führen potenziell zu mehr Angriffen. Laut der Health IT Security »sahen sich die Mehrheit der Gesundheitsorganisationen, IoT-Hersteller und anderer Organisationen, die IoT-Geräte einsetzen, in den letzten 12 Monaten mit einem Cyberangriff mit Schwerpunkt IoT konfrontiert.« Dazu gehören Unternehmen in Deutschland, Großbritannien, den USA, Japan und China.

Diese Angriffe und die damit verbundenen Folgekosten sorgen dafür, dass die Branche in höchster Alarmbereitschaft ist. Hersteller von Medizinprodukten und Gesundheitsversorgungsunternehmen (GVU) werden verstärkt nach Möglichkeiten suchen, die Angriffsfläche zu reduzieren. Abhilfe schaffen traditionelle PKI-basierte Identitätsplattformen, die einzigartige Geräteidentitäten zur Authentifizierung von Benutzern, Geräten, Netzwerken und Gateways bereitstellen. Erst durch den Aufbau eines Netzwerks aus Identität und Vertrauen haben Hersteller die Möglichkeit, eine sichere und vernetzte Kommunikation zu ermöglichen.

Diane Vautier, IoT Marketing Manager

#Prediction2020: Das internetweite Ende von TLS 1.0 und TLS 1.1 wird nicht so reibungslos verlaufen wie erhofft

Hoffentlich ist diese Prognose eher Alarmsignal als ein tatsächlich vorausschauender Blick in die Zukunft, aber im vergangenen Frühjahr kündigten einige der führenden Internetunternehmen – Google, Mozilla, Microsoft und Apple – in einer beispiellosen gemeinsamen Verlautbarung an, dass sie die Unterstützung für die inzwischen veralteten TLS-Protokollversionen 1.0 und 1.1 auslaufen lassen würden. Leider bleiben SSL-Nachrichten nicht allzu lange in den Schlagzeilen, und seitdem gab es keine großen Diskussionen zum Thema mehr.

Anfang 2019 unterstützte rund ein Viertel der Alexa Top 100.000 TLS 1.2 noch nicht. Aber es steckt mehr dahinter – Web- und Mobilanwendungen nutzen ebenfalls SSL/TLS. Man darf also davon ausgehen, dass mit dem eigentlichen Abkündigungsdatum Tausende von Websites sowie Apps auf Desktops und Handys nicht mehr funktionieren werden. Die Entscheidung, ältere Protokollversionen auslaufen zu lassen, ist gut und richtig. In der Branche scheint es jedoch dauerhaft einen Mangel an Diskussionen über bevorstehende Technologiewechsel zu geben. Ebenso mangelt es an ausreichendem Willen solche Übergänge reibungslos und benutzerfreundlich zu gestalten. Bleibt zu hoffen, dass es sich hier nicht um ein weiteres Beispiel für diese Haltung handelt.

Weitere Angriffe und RSA-Exploits werden aufgedeckt und vorgestellt

An dieser Stelle ist das einzig gute Argument, das für den RSA-Schlüsselaustausch mit SSL/TLS spricht, die Interoperabilität. Die Allgegenwart des RSA-Krypto-Systems erschwert Neuerungen. Rein aus Best Practice-Sicht betrachtet sollten wir alle einen elliptischen, kurvenbasierten Ansatz verwenden, das heißt ECDHE und ECDSA. Die neueste TLS-Version, TLS 1.3, hat uns die Entscheidung abgenommen, denn diese Version hat den RSA-Schlüsselaustausch insgesamt eliminiert. Das hat einen guten Grund. Das Krypto-System liegt in den letzten Zügen. Letztes Jahr wurden auf verschiedenen Sicherheitskonferenzen mehrere neue Angriffe gegen RSA vorgestellt. Die gesellen sich zu einer ohnehin schon ziemlich umfangreichen Liste früherer Exploits, die bereits adressiert wurden, die man aber mit ein bisschen Finesse weiterhin ausnutzen kann.

Darüber hinaus machen RSA-Schlüsselgrößen die Berechnung teuer. Und da die Schlüssel immer größer werden, steht die durch sie gewonnene zusätzliche Sicherheit in keinem Verhältnis zu den aufgewandten Ressourcen für das Verschlüsseln und Entschlüsseln.

Und kaum ein Krypto-System mag zudem mehr vom (möglichen) Quantencomputing der Zukunft bedroht sein als dieses. Wenn Sie eine Diskussion über Krypto-Agilität führen wollen, bewahren Sie das Quantenkryptographie-Zeug auf, bis Sie eine Alternative zu RSA einsetzen.

Patrick Nohe, Senior Product Marketing Manager

#Prediction2020: Mehr Hacks bei biometrischen Daten

Hacks, die sich unverschlüsselte Passwörter zunutze machen und bei denen personenbezogenen Daten abgezogen werden, sind für die Betroffenen verheerend. Trotzdem lassen sich solche Angriffe noch verhältnismäßig gut in den Griff bekommen.

In Zukunft werden wir mehr vom Diebstahl biometrischer Daten hören und von den Konsequenzen, die das für Unternehmen und einzelne Benutzer hat. Sind biometrische Daten ein Mal offengelegt, gibt es keinen Weg das rückgängig zu machen. Ein Passwort lässt sich ändern, der eigene Fingerabdruck nicht. Man kann seine E-Mail-Adresse ändern, die eigene Iris nicht. Unternehmen sollten den Zug nicht verpassen und mehr tun. Gerade, wenn es um derart wertvolle und sensible Informationen geht wie biometrische Daten. Das werden auch die Behörden so sehen. Wir werden mit enormen Bußgeldern zu rechnen haben, wenn irgendwo biometrische Daten offengelegt werden und mit den Horrorgeschichten derer, die von solchen Hacks betroffen sind. Es wird immer wichtiger, Daten mit einer Kombination aus zwei oder mehr Faktoren zu schützen: mit einem veränderbaren Passwort oder einer PIN zusätzlich zu den verwendeten unveränderlichen biometrischen Daten.

Lea Toms, Marketing Manager, EMEA

678 Artikel zu „Sicherheit 2020“

TRENDS SECURITY | NEWS | TRENDS 2020 | IT-SECURITY

Sicherheitsprognosen für das Jahr 2020

8. Dezember 2019

Mobile wird zum meist genutzten Angriffsvektor bei Phishing-Angriffen Phishing-Versuche, die sich gegen mobile Endgeräte richten und es auf die Zugangsdaten der Benutzer abgesehen haben, werden gegenüber traditionellen E-Mail-basierten Angriffen zunehmen. Traditionelle E-Mail-Sicherheitslösungen blockieren potenzielle Phishing-E-Mails und böswillig veränderte URLs. Eine Methode, die sich eignet, um Unternehmenskonten vor der Übernahme durch Angreifer zu schützen. Dieser Ansatz…