Cyber-Risiken 2020 – Die Gefahr wächst

/Blog
Erstellt von Andreas Rieder, Chief Consulting Officer

Die Bedrohung durch Cyberattacken steigt von Jahr zu Jahr – das wird sich auch 2020 nicht ändern. Welche Bedrohungen im laufenden Jahr auftreten, lässt sich natürlich nicht exakt prognostizieren. Wichtig ist jedoch, die Trends zu kennen. Die hochvernetzte Welt von heute bietet Kriminellen immer neue Angriffsmöglichkeiten, nicht nur über Technologie, sondern auch auf Mitarbeiterebene. Dabei kann jedes Unternehmen und jede IT-Landschaft Angriffsziel sein. Ein Unternehmen, das die Hauptentwicklungen kennt, sich und die Mitarbeiter sensibilisiert und mit Experten zusammenarbeitet, kann vielfältige Schutzmechanismen nützen und damit jeglicher Bedrohung gelassener entgegensehen. Wir haben für Sie die wichtigsten Erkenntnisse und Trends für 2020 zusammengefasst.

Ransomware wird zielgerichteter

Cyber-Angriffe, mittels derer vom Angegriffenen gezielt Lösegeld erpresst wird, nehmen im Trend eher zu. Sie basieren im Wesentlichen darauf, dass kriminelle Angreifer Festplatten, Teilbereiche von Platten und Dateien verschlüsseln und der für die Entschlüsselung notwendige Schlüssel nur nach Zahlung von Lösegeld ausgehändigt wird. Man vermutet zwar, dass aktuell eher weniger Unternehmen im Angriffsfokus stehen, dafür jedoch verstärkt grössere Unternehmen, Infrastrukturen, Regierungsorganisationen und Smart Cities. Sie sind anfällig: Selbst kürzeste oder kurze Ausfallzeiten verursachen extreme Kosten. Generell sind nur solche Unternehmen in der Lage, die mitunter horrenden Summen, die erpresst werden, zu bezahlen.

Die verwendete Ransomware wird ausgefeilter und variabler, d. h. sie verbirgt ihren Zweck wesentlich erfolgreicher als bisher üblich. Die Angreifer werden angesichts der zu erzielenden Erträge nicht nachlassen: Man schätzt, dass Grossunternehmen pro erfolgreichem Angriff im Schnitt ca. 1,5 Millionen Dollar Schaden hatten. Der Erkennung und Vermeidung von Ransom-Angriffen muss daher höchster Stellenwert eingeräumt werden.

Wesentliches Augenmerk verdienen in diesem Zusammenhang der Datenschutz und die Backup-Lösungen: Sie müssen regelmässig überprüft und getestet werden. Denn auch Backup-Systeme werden angegriffen und kompromittiert. Schliesslich gilt: Wenn Backups versagen, dann bleibt den Unternehmen nicht viel mehr übrig, als die Lösegeldforderungen zu erfüllen und darauf zu hoffen, dass verschlüsselte Daten und Systeme wieder zugänglich werden.

Angriffsziel Mensch – Phishing und Social Engineering als Gefahr

Angriffe werden sich in hohem Mass gegen Menschen richten, d. h. Angreifer versuchen über ausgeklügelte Mechanismen, die menschliche Hilfsbereitschaft, die hierarchischen Strukturen von Unternehmen und ganz allgemein menschliche Schwächen auszunützen. Sie suchen verschiedenste Wege, in ein Unternehmen einzudringen und vertrauliche Informationen zu erhalten. Potenzielle Angreifer haben mittlerweile einen umfangreichen Markt für „Phishing-Services“ zur Verfügung, die Tools werden besser, die Preise fallen und mobile User rücken verstärkt in den Angriffsfokus. Zwar haben Sicherheitsanbieter längst darauf reagiert und ihre Software wesentlich verfeinert, aber die Angreifer kombinieren die technischen und die menschlichen Komponenten sehr geschickt.

Unternehmen müssen gegensteuern, z. B. durch intensive Awareness-Kampagnen. Solche Mitarbeiterschulungen sind unumgänglich und gleichzeitig erfolgsträchtig. Wer aufgeklärt ist, wer sich auf exakte und gut durchdachte Unternehmensrichtlinien stützen kann, der wird „Phishing-Angebote“ weit eher durchschauen und ins Leere laufen lassen. Grundsätzlich ist Bewusstseinsbildung in den Unternehmen zum Social Engineering notwendig – Schulung und Information hat, zusammen mit technischen Mechanismen und Richtlinien, vergleichsweise hohe Wirkung.

Der Angriffsweg wird (ähnlich wie bei Ransomware) weiterhin überwiegend per E-Mail laufen. Zusätzlich verschaffen sich Angreifer über verschiedene Kanäle mit nur wenig Aufwand wichtige Erkenntnisse. Generell nützen sie verschiedene Angriffsplattformen, seien es SMS, Messaging-Dienste, Spiele-Plattformen und ganz allgemein Social Media. In diesem Umfeld greifen sie auf alle Möglichkeiten zurück, persönliche Daten, Zugangsdaten oder ähnliche Informationen für ihre Zwecke zu erhalten. Auch über Online-Kanäle kommen sie relativ einfach (z. B. über JavaScript) an Kreditkartendaten oder andere sensible Informationen. Zahlungsmechanismen von Online-Plattformen bilden häufig Angriffskanäle. Als zusätzliches Problem sehen Experten, dass durch solche Entwicklungen das Vertrauen in die sozialen Medien erheblich angegriffen wird.

Private Endgeräte, Zugang Dritter – das Einfallstor 

Da Unternehmensnetzwerke und -geräte in Zeiten zunehmend verteilter Arbeitsstrukturen (mobile Working, mobile Banking, Remote-Zugänge etc.) wesentlich besser geschützt sind als private, richten sich Angreifer nach dem schwächeren Glied in der Kette. Wenn die Nutzung privater Geräte für Unternehmenszwecke erlaubt ist, entsteht ein Angriffskanal. Daher sind entsprechende Schutzmassnahmen ebenso wichtig wie Trainings: Nur wenn User sich der Risiken bewusst sind, und dieses Bewusstsein immer wieder trainiert wird, greifen Sicherheitsmassnahmen, und die Vorteile der modernen Arbeitswelt kommen zum Tragen. Die Schutzmassnahmen (vom Rechtemanagement bis zur Ausstattung der Privatgeräte mit entsprechenden Schutzmechanismen) sind zu ergreifen und konsequent zu überwachen. 
Da auch die berechtigten Zugriffe Dritter, z. B. Lieferanten, Partner, Dienstleister, auf Unternehmensressourcen zunehmen, richtet sich der Fokus von Angreifern verstärkt auf sie. Daher gilt es, Sicherheitsvorkehrungen entsprechend des Unternehmensstandards von diesen Dritten auf Dauer einzufordern. 

Kritische Infrastrukturen

Es zeichnet sich ab, dass die Betreiber von kritischen Infrastrukturen (Energie, Gesundheit, Finanzwesen, Administrationen, öffentliche Versorger etc.) noch intensiver in den Fokus von Angreifern rücken. Diese bedienen sich dafür höchstentwickelter Angriffsmethoden (APT -  Advanced Persistent Threats). Betreiber von kritischen Infrastrukturen sollten extrem wachsam sein. Es wird erwartet, dass vermehrt versucht wird, die Souveränität von Ländern zu unterlaufen, Wahlprozesse zu manipulieren, und dass allgemeine politische Einflussnahme unter Zuhilfenahme krimineller IT-Mittel erreicht werden soll. Aufgrund der politischen Lage wird Unternehmen weltweit empfohlen, strengstens auf ihre IT-Sicherheit zu achten. 

Angriffe auf allen Kanälen, mit allen Werkzeugen – unter höchster Verschleierung

Da Angreifer vielfach dazu übergehen, öffentliche File Sharing und Hosting Dienste über eine sichere Verbindung (SSL) zu nutzen, um Malware, Phishing usw. zu verbreiten, wird die Erkennung immer schwieriger. Vermehrt werden die  Angreifer neue Techniken, die eigentlich die individuelle Privatsphäre schützen sollen, wie DOH (DNS über HTTPS) oder ESNI (Encrypted Server Name Identification) und die End-to-End-Technik nutzen, um ihre Aktivitäten zu verstecken. Folglich ist es für die Verteidiger problematisch, Angriffe zu erkennen und entsprechende Gegenmassnahmen zu finden und erfolgreich anzuwenden. Dementsprechend gilt es, sich darauf einzustellen und insbesondere sensible Daten mit verschiedenen Mitteln abzusichern. Die Angreifer nützen alle Quellen, auch Erkenntnisse, die von „freundlichen“ Angriffsteams im Sinne von Schwachstellenfindung generiert werden. 

Cloud verlangt Investitionen

Da Clouddienste im Aufwind sind, konzentrieren sich Angreifer zunehmend darauf. Wenn Unternehmen über die Cloud wichtige Strategien, Entwicklungs-, Finanz- und Mitarbeiterdaten abbilden, lockt das Angreifer an. Sie stecken wesentlich mehr Aufwand und kriminelle Energie in diese Segmente, die Attacken werden intelligenter und gefährlicher. Zu bedenken ist, dass die Cloud-Anbieter keine Verantwortung für den Endpoint übernehmen; dies obliegt immer dem Unternehmen. Bei Cloud Services besteht häufig die Gefahr, dass aufgrund von Konfigurationsfehlern Daten im Internet zugänglich gemacht werden.

Automation und Transparenz werden unabdingbar.

Unternehmen stehen vor der grossen Herausforderung, dass sie jeden Winkel ihres Netzwerks überwachen und schützen zu müssen – vom Endpunkt bis zur Cloud. Dabei wird es immer wichtiger den vollen Überblick über die Infrastruktur und auch über die Applikationen zu haben. Unternehmen die auf passive Bedrohungserkennung zurückgreifen, kommen schnell an ihre Grenzen, denn sie müssen eine schier unendliche Zahl von Daten manuell in Zusammenhang bringen, analysieren und bewerten. Security-Lösungen, die auf Automatisierung beruhen sollten daher auf der Prioritätenliste 2020 ganz oben stehen.

IoT im Angriffsfokus

Insbesondere die unüberschaubare und rasend wachsende Landschaft von IoT-Anwendungen provoziert entsprechende Angriffe. Bestimmte Anwendungen, Geräte und Dienste werden gezielt genützt, um an menschliche Informationen und Kenntnisse zu industriellen Maschinen und Prozessen zu kommen. Hierbei sind auch Manipulationen von Prozessen in den Unternehmen denkbar. Den Angreifern kommt entgegen, dass IoT-Geräte vielfach nachlässig konfiguriert und nicht auf dem aktuellen Update-Stand sind. Daher sind IoT-Angriffe auf vielerlei Weise möglich. Kompromittierte IoT-Geräte bilden einen möglichen Zugang ins Unternehmensnetzwerk. 
Aktuelle Studien zeigen jedoch, dass in verschiedenen IoT-Bereichen (z. B. Remote-Steuerung, direkte Internetverbindungen) die Bedrohungen erfolgreich eingedämmt werden konnten; wobei dennoch viel zu tun bleibt. Nicht zu vergessen ist, dass die Zahl der offen zugänglichen Gadgets enorm steigen wird, was wiederum Angreifer auf den Plan ruft. Gleiches gilt für Systeme zur Gebäudesteuerung: Sie werden teilweise von Personen bedient, die kaum Kompetenz für Sicherheit haben. Wenn unternehmenseigene Security Operations Center (SOC) eben diese Geräte nicht überwachen, gilt es gegenzusteuern. Es empfiehlt sich, die IoT-Sicherheit als Aufgaben des SOC definieren – unerheblich, ob unternehmenseigen oder vom Dienstleister. In Verbindung mit der weiteren Verbreitung des IoT sind nach Expertenmeinung verstärkte DDoS-Angriffe zu erwarten.
IoT-Angriffe können durch Netzwerksegmentierung, streng kontrollierte Zugänge für Partner und ausgefeilte Netzwerküberwachung eingedämmt werden. Eine neue Generation von Sicherheitsmechanismen ist im Kommen. Beispielsweise arbeiten „nano security agents“ auf allen Geräten oder Betriebssystemen in allen Umgebungen und kontrollieren den gesamten Datenfluss zum und vom Gerät.
In diesem Umfeld spielen die technischen Vorkehrungen eine wichtige Rolle, jedoch hat die organisatorische Ebene ebenso hohe Bedeutung: Die Zuständigkeiten müssen eindeutig geklärt sein, so dass festgelegt ist, wer im Angriffsfall was zu tun hat. 

5G 

Ab 2020 werden Unternehmen verstärkt die Möglichkeiten des neuen Mobilfunkstandards 5G nutzen: Die Bandbreiten steigen extrem, und eine Fülle von Geräten und Sensoren werden zum Einsatz kommen. Zum Beispiel werden im Gesundheitssektor neue Applikationen riesige Datenmengen zum Gesundheitszustand von Menschen sammeln, im Verkehrssektor kommen Daten zum Mobilitätsverhalten dazu – bis hin zu allgemeinen Bereichen der Lebensführung („smart city“). Dies eröffnet wiederum verschiedene Angriffsszenarien – die wertvollen und sensiblen Daten müssen adäquat geschützt werden. 

Künstliche Intelligenz

Ein wesentlicher Trend ist, zur Abwehr von vielfältigen Angriffen verstärkt auf Mechanismen Künstlicher Intelligenz (KI) zurückzugreifen. Menschliche Ressourcen sind teuer und nur beschränkt verfügbar. Vielfach kann menschliches Handeln nicht sicherstellen, für die neuen, schnelllebigen Bedrohungen in Echtzeit unmittelbare Abwehrmechanismen zu generieren. Hier greift KI: Sie kann – insbesondere im Zusammenwirken mit erfahrenen Analysten – wesentliche Beiträge bringen, die Sicherheitstools in kürzester Zeit aktuell zu halten und damit die Cybersicherheit ständig zu verbessern. Neue Bedrohungen werden wesentlich schneller erkannt, und sie werden geblockt, bevor sie sich weiterverbreiten können. Zugleich hilft KI, entsprechende Verteidigungstools gegen neue Bedrohungen wesentlich schneller zu entwickeln. 
Es ist jedoch zu erwarten, dass auch die Kriminellen auf KI zurückgreifen. Dies fordert wiederum, in der Abwehr vermehrt auf KI-Mechanismen zu setzen. Andernfalls steigt der Aufwand für sinnvolle Verteidigung sehr stark. Damit ist KI auf jeden Fall als wesentlicher Faktor der Cybersicherheit zu sehen. 

Cryptomining

Allgemein sehen Experten, dass die Cryptojacking-Angriffe zurückgehen. Zum einen haben verschiedenste Anbieter Schutzmechanismen entwickelt, zum anderen machen sinkende Preise für Kryptowährungen die Angriffe weniger lukrativ. Dennoch: Schlecht geschützte Server bleiben weiterhin gefährdet! Auch wenn solche Angriffe im abgelaufenen Jahr nicht übermässig häufig waren, die Schadenssummen sind erheblich: Sie beliefen sich im Durchschnitt auf gut 1,6 Millionen Dollar pro Schaden. Die Empfehlung ist daher eindeutig: Das Risiko von Cryptomining verlangt entsprechende Sicherheitslösungen. 

Ausblick: Sicherheit basiert auf Expertenwissen

Höheres Bewusstsein für Sicherheit und fundierte Beratung von erfahrenen Experten macht energischeres, zielgerichtetes Handeln möglich. Es ist auf höchster Stufe jedes Unternehmens ein Umdenken gefordert: Der Normalfall ist, dass Unternehmen angegriffen werden, das nennt sich „Assume Breach Ansatz“. Das Ausbleiben eines Angriffes sollte als Sonderfall angeschaut werden. Es ist deshalb überlebenswichtig, dass die Geschäftsprozesse von Unternehmen so weiterentwickelt werden, um widerstandsfähig (resilient) gegenüber Cyberangriffen zu werden und auch im Schadensfall noch ein akzeptables Leistungserbringungsniveau zu erhalten. ISPIN kann Sie, dank ihrem eigenen Security Operation Center und ihrer Erfahrung als Cyber Security Dienstleister für verschiedenste Unternehmen und Branchen, zielgerichtet auf dem Weg begleiten, um Ihr Unternehmen in eine cyberresiliente Organisation umzuwandeln
 

ContactKontaktNewsletterGo to top