IT-Sicherheit 2019: Welche Gefahren lauern auf Unternehmen?
Die zunehmend hybriden IT-Landschaften und IoT-Umgebungen sorgen für neue Bedrohungen und Angriffsflächen, die Unternehmen entsprechend umfassend absichern müssen.
Böswillige staatliche Akteure, kriminelle Organisationen oder Einzelpersonen: sie alle professionalisieren sich weiterhin und entwickeln immer ausgefeiltere Cyberangriffe. Die Gefahrenlage im Cyberraum wird sich daher auch im Jahr 2019 nicht entspannen. Vor allem sollten sich Unternehmen 2019 auf staatlich und durch Wettbewerber gesteuerte Cyberattacken vorbereiten. Daher gilt es, hybride IT-Landschaften und IoT-Geräte umfassend zu sichern. Mit welchen Herausforderungen müssen Unternehmen 2019 rechnen?
Hybride IT-Landschaften erschweren IT-Sicherheit
Bis zum Jahr 2020 werden drei Viertel aller Unternehmen und Organisationen auf Multi-Cloud- oder Hybrid-Cloud-Modelle setzen, so die Prognosen des Analystenhauses Gartners. Und laut Fujitsu gehen 64 Prozent der befragten Unternehmen davon aus, dass Multi-Cloud-Architekturen innerhalb der nächsten 24 Monate ein essenzieller Bestandteil ihrer Cloud-Umgebung werden. Diese Entwicklung erschwert jedoch zunehmend die IT-Sicherheit. Weil Netzwerke und Infrastrukturen komplexer werden, erweitert sich auch die potenzielle Angriffsfläche. Schwachstellen werden somit wahrscheinlicher. Sicherheitsteams fehlt es dann vor allem an einer einheitlichen Sicht auf IT-Systeme, um Anomalien oder Angriffe zu identifizieren.
So haben vor allem DDoS-Angriffe (Distributed Denial-of-Service) auf Infrastrukturen deutlich zugenommen. Das ergab die WISR-Umfrage unter Sicherheitsexperten. Schon 2017 hat mehr als jedes zweite (61 Prozent) der befragten Unternehmen Angriffe auf die Netzwerkinfrastruktur verzeichnet. Um die erforderliche Sichtbarkeit in der IT-Umgebung herzustellen, sollten Unternehmen Synergien zwischen ihren IT-Security-Experten und dem Netzwerkteam schaffen. Beide Bereiche beschäftigen sich mit und überwachen traditionell Unternehmensnetzwerke, -dienste und -anwendungen. Eine konsequente Zusammenarbeit beider Bereiche kann Anomalien schneller aufdecken und somit Maßnahmen früher einleiten.
Staatlich unterstützte Angriffe nehmen weiterhin zu
Darüber hinaus ist zu beobachten, dass zunehmend mehr Nationen offensive Cyberprogramme durchführen und die Anzahl der Bedrohungsakteure für Unternehmen und Organisationen stetig wächst. Neben der bekannten nationalstaatlich geförderten Cyberkriminalität durch Länder wie China und Russland sind Cyberangriffe zunehmend auch dem Iran, Nordkorea und Vietnam zuzuschreiben.
Auch 2019 werden staatliche Angriffe eine hohe Gefahr für Unternehmen darstellen. So setzt die iranische APT-Gruppe Oilrig vor allem Angriffe auf die Supply Chain von Unternehmen und Organisationen sowie Social-Engineering-Methoden ein, um Ziele zu kompromittieren. APTs (Advanced Persistent Threats) sind komplexe, zielgerichtete und effektive Angriffe auf Basis verschiedener Angriffsvektoren. Die wohl bekannteste und staatlich unterstützte russische Gruppe Fancy Bear (APT28) greift vor allem geopolitisch relevante Ziele und kritische Infrastrukturen an – und betrieb bereits in mehreren Ländern Wahlmanipulation.
Akteure von Desinformationskampagnen nehmen Privatwirtschaft ins Visier
Wahlbeeinflussungen durch Desinformationskampagnen im Netz wurden spätestens 2016 mit der US-Wahl der breiten Öffentlichkeit bekannt. Und auch in diesem Jahr werden Akteure voraussichtlich zunehmend Cybertechniken einsetzen, um die öffentliche Meinung in ihrem Sinne zu manipulieren. Dies kann durch gehackte E-Mails ablaufen, um sie für Propagandazwecke zu nutzen oder durch den Einsatz von Bots in sozialen Netzwerken, um bewusst falsche Informationen zu streuen. Experten befürchten, dass vor allem die Europawahl 2019 im Fokus staatlicher Angreifer stehen wird.
Doch derartige Akteure von Desinformationskampfkampagnen werden sich künftig nicht allein auf die Politik beschränken. Auch die Privatwirtschaft wird ins Visier geraten, wie es der Sony-Hack schon 2014 gezeigt hat. Und neben staatlichen Akteuren kommen durchaus Wettbewerber in Frage, die konkurrierenden Unternehmen bewusst schaden wollen. Zum Einsatz können vor allem DDoS-Attacken und Botnetze kommen, die bereits für geringes Geld im Darknet oder Foren gekauft und auch von technisch weniger versierten Anwendern genutzt werden können.
Malware-as-a-Service bleibt für Hacker lukrativ
Betreiber von illegalen Botnetzen und Stressoren setzen zunehmend auf SaaS-Modelle (Software as a Service), um ihre Leistung monatlich an Abonnementen zu verkaufen. Bereits für weniger als 50 US-Dollar lassen sich solche Malware-Dienste beziehen. Bezahlt werden diese per Kryptowährung, aber auch über legitime Zahlungsdienste wie PayPal. So tauchte bereits vor einem Jahr der Malware-Downloader Kardon Loader auf, der ab 50 US-Dollar in Untergrund- und Hacker-Foren als kostenpflichtiges Open-Beta-Produkt beworben wurde. Er ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Kardon Loader soll zudem Botstore-Funktionalitäten bieten, so dass Käufer eigene Botshops aufsetzen können.
Weil Malware damit immer einfacher zugänglich wird und an ein breiteres Spektrum internationaler Kunden gerichtet ist, bleiben Botnetze und Stressor-Dienste für Betreiber eine lohnenswerte Einnahmequelle. So können sie Malware- und Angriffstechniken ständig weiterentwickeln, so dass Angriffsvektoren immer ausgefeilter und effektiver werden.
Cyberkriminelle setzen weiterhin auf bekannte Betrugsmaschen
Vor dem Hintergrund großer Datendiebstähle wie zuletzt der Fall „Collection #1 bis #5“ bei dem über 2 Milliarden E-Mail-Adressen und Passwörter gestohlen wurden, bleibt das sogenannte Credential Stuffing auch 2019 ein brisantes Thema. Betrüger versuchen, gestohlene E-Mail- und Passwort-Kombinationen auf Login-Seiten von E-Commerce-Shops, Fluggesellschaften und sozialen Netzwerken einzugeben. Credential Stuffing ist somit ein Prozess, bei dem Botnetze viele betrügerische Anmeldeversuche initiieren. Dieser Prozess erfolgt automatisiert und lässt sich auch als SaaS beziehen.
Die Methode ist deshalb so erfolgreich, da Nutzer oft dieselben Passwörter beziehungsweise Login-Daten für ihre jeweiligen Webdienste einsetzen. Erst im Januar 2019 vermeldeten der Social-News-Aggregator Reddit und der Videodienst DailyMotion einen Credential-Stuffing-Angriff. Unternehmen sollten daher besonders sensibel mit vertraulichen Informationen und Zugängen sowie Login-Daten ihrer Mitarbeiter umgehen.
Botnetz-Angriffe durch IoT-Geräte bleiben weiterhin gefährlich
Auch 2019 werden IoT-Botnetze eine große Gefahr für Unternehmen darstellen. So rechnet das Analystenhaus IHS Markit bis zum Jahr 2030 mit mehr als 125 Milliarden im IoT vernetzten Geräten. Und aufgrund ihrer zunehmenden Verbreitung werden Akteure vor allem neue Arten von Exploits und Malware entwickelt, um IoT-Installationen in Unternehmen und KMUs zu befallen. Die Motive der IoT-Botnetzbetreiber reichen von Erpressung und Spionage über staatliche Einflussnahme bis hin zu beabsichtigter Wettbewerbsschädigung. Und bereits im letzten Jahr gab es einen dramatischen Anstieg der volumetrischen DDoS-Angriffe, die von IoT-Botnetzen ausgelöst wurden. Für dieses Jahr werden hingegen komplexere Angriffe erwartet.
„Cyberkriminelle werden in 2019 jedoch selektiver und ihre IoT-Botnetz-Angriffe auf bestimmte IoT-Installationen, -Anbieter und -Hersteller fokussieren.“
Guido Schaffner, Netscout Arbor
Vor allem der öffentlich zugängliche Schadcode von Mirai, auf denen heute noch viele IoT-Botnetze basieren, bleibt gefährlich. So wurde die ursprüngliche Mirai-Codebasis kontinuierlich um neue Funktionen erweitert, so dass zahlreiche weitere Varianten wie etwa OMG, JENX, Satori und IoTrojan existieren. Akteure gehen außerdem dazu über, bestehende Botnetze an Dritte weiterzuvermieten – ähnlich der Vermietung von Malware. Diese sind dann in der Lage, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren.
Cyberkriminelle werden in 2019 jedoch selektiver und ihre IoT-Botnetz-Angriffe auf bestimmte IoT-Installationen, -Anbieter und -Hersteller fokussieren. Unternehmen müssen sich also der Gefahrenlage bewusst sein und entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten – und sich etwa aus einer vor Ort installierten Komponente und einem Cloud-basierten Element zusammensetzen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
