Eine sich verändernde IT-Sicherheitslandschaft und neue gesetzliche Rahmenbedingungen stellen Unternehmen vor große Herausforderungen.
Nachdem 2016 als das Jahr der Online-Erpressung in die Geschichte eingehen wird, wird sich Ransomware im kommenden Jahr in mehrere Richtungen weiterentwickeln. Zu den neuen Varianten zählt »Business E-Mail Compromise«, das es auf geschäftliche E-Mails wichtiger Unternehmensmitarbeiter abgesehen hat und sich bereits als neuer Favorit des digitalen Untergrunds erweist, sowie »Business Process Compromise«, also das Kapern oder Verändern ganzer Geschäftsprozesse. Auch »harmlose« smarte Geräte, die in massiven DDoS-Angriffen eine Rolle spielen werden, befinden sich unter den Zielen der Cyberkriminellen. Diese werden zusätzlich zum »Internet der Dinge« (IoT) auch das »Industrielle Internet der Dinge« (IIoT) ins Visier nehmen. Und schließlich wirft die für Mitte 2018 anstehende EU-Datenschutz-Grundverordnung ihre nun deutlicher werdenden Schatten voraus. Eine vollständige Übersicht der Themen, die das Jahr 2017 aus Security-Sicht beherrschen werden, findet sich in den Sicherheitsvorhersagen des japanischen IT-Sicherheitsanbieters Trend Micro.
- Erpresser-Software: Angriffsmethoden und -ziele werden vielfältiger
Wie vorhergesagt hat sich 2016 zum Jahr der Cybererpressung entwickelt. Das lag an mehreren Faktoren: Die Angriffe vereinen unterschiedliche Verteilungsmethoden und nicht zu knackende Verschlüsselung mit massiven Drohkulissen. »Ransomware-as-a-Service« – ein Geschäftsmodell, bei dem Betreiber ihre Infrastruktur an Cyberkriminelle vermieten – brachte auch technisch nicht Versierte ins Geschäft. Und schließlich konnten Hacker nach der Veröffentlichung von Ransomware-Code ihre eigenen Versionen erstellen. Dies alles führte dazu, dass zwischen Januar und September ein 851-prozentiger Anstieg an Ransomware-Familien zu verzeichnen war. Nachdem der Höhepunkt 2016 überschritten wurde, folgt nun eine Periode der Stabilisierung: Für das kommende Jahr rechnen Trend Micros Forscher mit einem 25-prozentigen Zuwachs, also 15 neuen Familien pro Monat.
Bei mobilen Endgeräten wird es dieselbe Entwicklung geben wie bei Desktops, weil die Zahl der mobilen Nutzer hoch genug ist, um als Angriffsziel profitabel zu sein. Daneben werden auch Geldautomaten, Point-of-Sale-Systeme oder andere Computing-Terminals betroffen sein – anders ist die Situation bei smarten Geräten: Derzeit lohnt es sich noch nicht, sie in Geiselhaft zu nehmen. Es ist beispielsweise günstiger, eine gehackte smarte Glühbirne zu ersetzen als Lösegeld zu zahlen. Und auch wenn sich die Drohung lohnen könnte, die Kontrolle über die Bremsen eines fahrenden Autos zu übernehmen, ist der Aufwand dafür zu hoch.
Größeren Schaden werden Cyberkriminelle mit Erpresser-Software in Industrieumgebungen und Angriffen gegen das industrielle Internet der Dinge (IIoT) anrichten. Denn mit der Drohung, eine Produktionsstraße außer Betrieb zu setzen oder die Parameter einer Anlage wie die Temperatur zu manipulieren, lässt sich mehr Lösegeld erpressen.
-
- IoT-Geräte und DDoS-Angriffe, IIoT-Systeme und gezielte Angriffe
2016 sorgte auch der »Mirai-DDoS-Angriff«, der mithilfe Tausender ungesicherter Webcams große Websites vom Netz trennte, für Aufsehen. Er war gleichsam der Vorbote von mehr Cyberangriffen auf das Internet der Dinge und dessen zentrale Infrastruktur. Vernetzte Geräte werden dabei – ähnlich den Schläfern in einem Thriller – durch Cyberkriminelle aktiviert werden. Beispielsweise werden einzelne vernetzte Fahrzeuge für sehr gezielte Angriffe genutzt werden, offene Router für massive DDoS-Attacken. IoT-Botnetze können theoretisch DDoS-Angriffe vervielfältigen und größeren Schaden anrichten.
Leider ist auch zu erwarten, dass Anbieter darauf nicht zeitgerecht reagieren werden. Nochmals das Beispiel Mirai: Hier wurden zwar Webcams vom Anbieter zurückgerufen, aber keine Code-Reviews für nicht betroffene oder noch kontrollierbare Geräte veranlasst.
Sobald das Internet der Dinge in Fertigungs- und anderen Industrieumgebungen sowie der Energiebranche stärker Einzug hält, werden Angreifer die Effizienz ihrer »BlackEnergy«-ähnlichen Angriffe erhöhen. In Verbindung mit dem starken Anstieg der Systemschwachstellen in SCADA-Systemen (SCADA = Supervisory Control and Data Acquisition) wird der Wechsel zum industriellen Internet der Dinge (IIoT) nicht vorhersehbare Gefahren und Risiken für Unternehmen und Verbraucher mit sich bringen. Jede dritte von TippingPoint 2016 entdeckte Schwachstelle betraf SCADA-Systeme.
- Business E-Mail Compromise: Umfang des gezielten Betrugs wird steigen
Das Ziel von »Business E-Mail Compromise« (auch »Chefmasche« genannt) ist es, ein E-Mail-Konto zu hacken oder einen Mitarbeiter so auszutricksen, dass dieser Geld auf das Konto eines Cyberkriminellen überweist. Im Visier haben die Cyberkriminellen Finanzabteilungen weltweit, wobei mehrere Aspekte die Angriffe so »attraktiv« machen. Da ist zum einen die unkomplizierte Handhabung: An den Angriffen gibt es nichts Außergewöhnliches – außer vielleicht der Tatsache, dass der jeweils beste Weg ausgekundschaftet werden muss, um eine für das Opfer glaubhafte E-Mail zu erstellen, was sich häufig aber mithilfe einer ausgeklügelten Suchabfrage bewerkstelligen lässt. Sie sind zum anderen kostengünstig, weil es keiner komplizierten Infrastruktur bedarf. Der durchschnittliche Verdienst bei einem erfolgreichen BEC-Angriff beträgt 140.000 US-Dollar, der geschätzte Gesamtschaden in den vergangenen zwei Jahren belief sich auf drei Milliarden US-Dollar. Zum Vergleich: Der durchschnittliche Verdienst bei Ransomware-Angriffen beträgt 722 US-Dollar (derzeit 1 Bitcoin) und kann bis auf 30.000 US-Dollar steigen, wenn ein Unternehmensnetzwerk betroffen ist.
Der schnelle Profit wird die Beliebtheit dieser Erpressungsmethode weiter steigern. Zumal sie sehr schwer zu entdecken ist – weil ja eben kein Schadcode enthalten ist – und weil die Mühlen der grenzübergreifenden Gerichtsbarkeit langsam mahlen: Bis beispielsweise ein Nigerianer, der seit 2014 mehrere Unternehmen betrogen hatte, festgenommen wurde, dauerte es über zwei Jahre.
- Business Process Compromise: Vor allem Finanzsektor betroffen
Der Angriff auf das Konto der Bangladesh Bank bei der U.S. Federal Reserve Bank of New York verursachte einen Verlust von über 80 Millionen US-Dollar. Anders als bei »Business E-Mail Compromise«, wo die Gefahr in menschlichem Fehlverhalten liegt, beruhte dieser Raub auf einem tiefgehenden Verständnis der Kriminellen dafür, wie große Finanztransaktionen ablaufen.
Trend Micro nennt diese Angriffskategorie »Business Process Compromise«, kurz BPC. Sie wird vor allem Finanzabteilungen betreffen, aber nicht ausschließlich. Zu den ebenfalls möglichen Szenarien gehört das Hacken von Auftrags- oder Bezahlsystemen. Cyberkriminelle können sich auch in ein Lieferzentrum hacken und wertvolle Güter an andere Adressen umleiten. Einen vergleichbaren Fall gab es bereits: 2013 wurde das Liefercontainer-System des Antwerpener Hafens gehackt. Und warum der Aufwand? Ein Vergleich der »Verdienstmöglichkeiten« zeigt die Gründe: Ransomware-Angriffe auf Unternehmensnetzwerke 20.000 US-Dollar, BEC 140.000 US-Dollar und BPC 81 Millionen US-Dollar.
- Sicherheitslücken: Adobe und Apple überholen Microsoft
2016 wird Adobe zum ersten Mal Microsoft bei der Anzahl aufgedeckter Sicherheitslücken überholt haben. Zu den von der Zero-Day-Initiative veröffentlichten Lücken 2016 betrafen 135 Adobe- und 76 Microsoft-Lösungen. Für Apple war es das Jahr mit den meisten Sicherheitslücken, bis November wurden deren 50 offengelegt – im vergangenen Jahr waren es 25.
Diese Entwicklungen haben damit zu tun, dass Microsofts PC-Verkäufe in den vergangenen Jahren zugunsten von Smartphones und Tablets zurückgegangen sind – dass aber die Verbesserungen Microsofts in puncto Sicherheit die Cyberkriminellen auch dazu getrieben haben, nach Alternativen zu suchen. Dass beispielsweise Apple das »iPhone 4S« nicht mehr unterstützt, wird zu weiteren Exploits führen. Generell wird die Aufdeckung von Sicherheitslücken unweigerlich zur Entwicklung von Exploits führen, die wiederum in Exploit-Kits integriert werden. Deren Nutzung ging in diesem Jahr zwar zurück, nachdem der Entwickler des »Angler Exploit Kit« verhaftet wurde, doch wie schon mit »BlackHole« und »Nuclear« stehen andere in solchen Fällen bereit.
- Cyberpropaganda: Auswirkungen bis hin zur Bundestagswahl 2017
2016 hat nahezu die Hälfte der Erdbevölkerung (46,1 Prozent) Zugang zum Internet, sei es über traditionelle Computer, Smartphones oder Internet-Cafés. Dadurch können immer mehr Menschen schnell und einfach auf Informationen zugreifen, unabhängig von Quelle und Glaubwürdigkeit – und Interessierte die öffentliche Meinung beeinflussen. Die fehlende Überprüfung, ob Informationen glaubwürdig sind, hat zusammen mit übereifrigen Nutzern, die andere vom eigenen Glauben überzeugen wollen, zur weiten Verbreitung gefälschter Inhalte beigetragen. Was es noch schwieriger macht, zwischen Fakt und Fälschung zu unterscheiden.
Welche Macht soziale Medien und Online-Informationsquellen haben, wenn es um politische Entscheidungen geht, haben 2016 einige Beispiele veranschaulicht: Wie WikiLeaks für Propaganda eingesetzt wird, zeigte sich bei den US-Präsidentschaftswahlen, als belastendes Material eine Woche vor der Wahl durchsickerte. Beim stetigen Monitoring des cyberkriminellen Untergrunds stießen Trend Micros Sicherheitsforscher auf sogenannte Script-Kiddies, die mit ihren Einnahmen durch gefälschte wahlbezogene Nachrichten warben. Sie behaupteten, etwa 20 US-Dollar im Monat verdient zu haben, indem sie Internet-Verkehr zu vorgefertigten Inhalten über die Präsidentschaftskandidaten umleiteten. Dedizierte »Cyber-Agenten« werden sogar dafür bezahlt, Propagandamaterial in sozialen Medien zu posten.
Es bleibt abzuwarten, wie die kommenden Wahlen in Deutschland und Frankreich sowie die EU-feindlichen Strömungen in Großbritannien von elektronischen Medien beeinflusst werden – dass dies passieren wird, steht außer Frage.
- EU-Datenschutz-Grundverordnung: Mehr Aufwand, mehr Kosten
Ab dem 25. Mai 2018 kommt die bereits in Kraft gesetzte EU-Datenschutz-Grundverordnung zur unmittelbaren Anwendung, dann werden Unternehmen bei fehlender Compliance Strafen von bis zu vier Prozent ihres Umsatzes zahlen müssen. Nicht allein die EU-Mitgliedsstaaten sind betroffen, sondern Organisationen weltweit, die persönliche Daten von EU-Bürgern sammeln, verarbeiten und speichern. Die damit einhergehenden Änderungen in Richtlinien und Geschäftsprozessen werden zu erheblichen administrativen Zusatzkosten führen.
So wird unter anderem ein »Data Protection Officer« Pflicht, d.h. eine neue Rechnungsposition (für Einstellung, Schulung und Stelle eines entsprechend geschulten Mitarbeiters) wird in den Unternehmensausgaben auftauchen. Noch ist es ein weiter Weg bis dahin, bis Ende dieses Jahres werden weniger als die Hälfte der Unternehmen einen DPO eingestellt haben.
Zudem müssen Nutzer über ihre neuen Rechte informiert werden – und Unternehmen sicherstellen, dass die Nutzer ihre Rechte auch wahrnehmen können. Die dem individuellen Grundrecht auf informationelle Selbstbestimmung entspringende Einsicht, dass EU-Bürger ihre persönlichen Daten selbst besitzen und somit gesammelte Daten bestenfalls nur »ausgeliehen« sind, wird die gesamten datenbezogenen Arbeitsabläufe beeinflussen.
- Anti-Evasion-Lösungen: Neue Taktiken für gezielte Angriffe
Die ersten Kampagnen für gezielte Angriffe wurden vor zehn Jahren dokumentiert. Seitdem gehen Cyberkriminelle viel raffinierter vor, während die Netzwerkinfrastrukturen weitgehend gleich geblieben sind. Diese Lernkurve wird Methoden hervorbringen, die in erster Linie darauf ausgerichtet sind, die meisten modernen Sicherheitstechnologien der vergangenen Jahre zu umgehen.
Cyberkriminelle werden sich vermehrt um die Erkennung von Sandboxen kümmern, um zu sehen, ob unbekannte Dateien in eine Sandbox geschoben werden. Sie werden Sandboxen sogar angreifen und »überfluten«.
Umfassende IT-Sicherheitslösungen gefordert
Angesichts dieser neuen Bedrohungen und der sich verändernden Rechtslage sollten Unternehmen ihre IT-Sicherheitsinfrastruktur kritisch überdenken. Die Vielfalt und technische Raffinesse der Angriffe erfordern einen mehrstufigen, tiefgehenden Schutz auf allen Ebenen – Web, E-Mail-Gateway, Netzwerk, Server und Endpunkt. Da es kein Wundermittel gibt, das gegen alle Angriffe hilft, rät Trend Micro zu einer Kombination aus bewährten Sicherheitstechnologien wie Black- und Whitelisting sowie fortschrittlichen Technologien wie Verhaltenserkennung und maschinellem Lernen.
Auch die ausgefeilteste Technologie kann jedoch die »Schwachstelle Mensch« nicht zu 100 Prozent ausgleichen. Deshalb sollten technische Lösungen stets durch entsprechende Schulungen der Mitarbeiter zur Schaffung eines größeren Bewusstseins für das Thema IT-Sicherheit und zur Erkennung von gezielten Angriffen, beispielsweise mithilfe von Social Engineering, ergänzt werden.
Trend Micro bietet hier mit XGen Endpoint Security einen umfassenden Lösungsansatz, der dem Anwender eine generationsübergreifende Kombination aus Technologien für die Bedrohungsabwehr zur Verfügung stellt, darunter auch modernste Funktionen zum maschinellen Lernen. Zudem profitiert XGen Endpoint Security von den globalen Bedrohungsdaten des SMART Protection Network. Dabei ist die Lösung auf maximalen Schutz bei minimaler Leistungsbeeinträchtigung ausgerichtet. Auch unabhängige Analysten sehen darin den richtigen Ansatz [2].
Im Frühjahr dieses Jahres hatte das Analystenhaus Gartner Trend Micro bereits im »Leaders-Segment« des »Magic Quadrant for Endpoint Protection Platforms« (EPP) positioniert. Die Einstufung des EPP-Angebots erfolgte auf Basis der Kriterien »ability to execute« und »completeness of vision«. Das Unternehmen wird von Gartner bereits seit 2002 als Marktführer bei Sicherheitslösungen für Unternehmen genannt. In diesem Jahr erzielte es im Quadranten der Marktführer von allen Anbietern den höchsten Wert hinsichtlich »completeness of vision« [3].
Die »Zero Day Initiative« (ZDI) des japanischen IT-Sicherheitsanbieters wurde zusätzlich vor Kurzem von den Analysten von Frost&Sullivan als führende Einrichtung zur Entdeckung von Software-Sicherheitslücken genannt. So entdeckte die ZDI fast die Hälfte (49,1 Prozent) aller weltweit aufgedeckten Schwachstellen in Software-Produkten [4].
[1] Vgl. »BUSINESS E-MAIL COMPROMISE: THE 3.1 BILLION DOLLAR SCAM« vom 14.06.2016 – https://www.ic3.gov/media/2016/160614.aspx
[2] Forrester »The Forrester Wave: Endpoint Security Suites, Q4 2016« von Chris Sherman, 19. Oktober 2016.
[3] Gartner »Magic Quadrant for Endpoint Protection Platforms« von Peter Firstbrook, Eric Quellet, 1. Februar 2016.
[4] Frost&Sullivan »Analysis of the Global Public Vulnerability Research Market, 2015«, Toni Massimi u.a., Oktober 2016.
IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten
Sicherheit 2017: IoT-getriebene DDoS-Angriffe und SCADA-Vorfälle werden 2017 für Schlagzeilen sorgen
Kognitive Sicherheit erfährt zunehmende Akzeptanz in Unternehmen
Die Sicherheit von virtuellen Umgebungen ist oft besorgniserregend