Sie haben keine Lust auf schlechte Nachrichten? Dann lesen Sie zuerst das letzte Kapitel dieses Beitrags, in dem es um Cryptojacking geht. Hier könnte es 2020 zu einer Besserung kommen, in allen anderen Bereichen nehmen die Bedrohungen eher zu.
Malware-Infektionen
Dmitry Galov, Security Researcher bei Kaspersky, rechnet 2020 mit höheren Risiken durch Endgeräte, die nicht in Firmen, sondern in privatem Mitarbeiterbesitz sind. Immer mehr Betriebe erlaubten ihren Beschäftigten, privates Equipment zu nutzen, um Kosten zu senken, Remote-Arbeiten zu erleichtern und die Zufriedenheit der Mitarbeiter zu erhöhen.
Angreifer gingen nun dazu über, diese privaten Geräte zu hacken, um sich so Zugang zu Unternehmensnetzen zu verschaffen. "Die privaten Geräte sind grundsätzlich schlechter geschützt als die Corporate Devices", mahnt Galov. Er empfiehlt den Unternehmen, in Awareness-Trainings zu investieren und ihre Richtlinien zur Nutzung privater Geräte für die Arbeit zu überprüfen und gegebenenfalls zu verschärfen. Auch das Rechte-Management sei zu optimieren, und Mitarbeiter sollten von ihren Arbeitgebern mit Software für die Endpoint-Sicherheit ausgestattet werden, ohne dafür die Kosten tragen zu müssen.
Phishing-Evolution
2019 enthielten laut dem "2019 Data Breach Investigations Report" von Verizon ein Drittel aller Breaches eine Phishing-Komponente. Richtet sich der Blick nur auf den Aspekt Cyberspionage, wächst dieser Anteil sogar auf 78 Prozent. Dank immer besserer Tools und Templates kommen die Angreifer weit häufiger zum Erfolg als früher. Laut Akamai gibt es inzwischen sogar ein "kommerzielles Phishing-as-a-Service-Angebot" von einem Phishing-Kit-Entwickler, der dafür einen Shop betreibt und im Social Web wirbt. Die Preise beginnen bei 99 Dollar und steigen dann je nach Service.
"Die niedrigen Preise und die empfohlenen Angriffsziele in diesem Angebot sind für Kriminelle attraktiv und schaffen eine niedrige Schwelle für den Eintritt in den Phishing-Markt", sagen die Autoren des Berichts. Im Schaufenster stehen beispielsweise Angriffe auf Marken wie Google, Microsoft, Apple, Lyft, Target und Walmart.
Was wird 2020 passieren? Die Kit-Entwickler werden noch raffiniertere Angebote herausbringen, so dass es für ihre Kunden erneut einfacher wird, Phishing-Kampagnen zu starten. Wie die Studie IDG Security Priorities berichtet, wollen 44 Prozent der Unternehmen im nächsten Jahr verstärkt in Awareness-Programme und Trainings investieren. Im Gegenzug dürften die Angreifer die Qualität ihrer Kampagnen optimieren, indem sie typische Anzeichen für einen Phishing-Angriff besser tarnen als bisher.
Unternehmen sollten mit einem verstärkten Aufkommen kompromittierter Geschäfts-E-Mails rechnen, die Angreifer über Fake-Konten oder über gehackte interne und externe Geschäftskonten aussenden. Deshalb empfehlen Experten Anti-Phishing-Trainings nach dem neuesten Stand - und das kontinuierlich. Es sollte zudem Richtlinien geben, nach denen Mitarbeiter wissen, wie sich verhalten müssen, wenn in E-Mails Anfragen bezüglich Geld oder Zahlungsanweisungen auftauchen - egal von welchem Absender. Sie sollten immer eine telefonische Bestätigung verlangen.
Ransomware 4.0
Angriffe mit Ransomware verursachen weiter Wirbel und können teuer, manchmal sogar existenzgefährdend für Unternehmen werden. Rund 40 Prozent der kleinen und mittleren Betriebe haben nach Angaben der Kaspersky-Studie "IT Security Economics in 2019" einen Ransomware-Vorfall erlebt. Bei großen Konzernen betrug der Schaden im Durchschnitt 1,46 Millionen Dollar.
Zwar sind die Tools für Endpoint-Sicherheit besser geworden, doch haben das auch die Ransomware-Entwickler verstanden, heißt es im "Sophos Labs 2020 Threat Report". Sie könnten ihre Cyberlocking-Software besser verschleiern und ihre Eigenschaften verändern, um Hürden zu überwinden. Oft sieht Ransomware heute so aus, als stamme sie aus einer vertrauenswürdigen Quelle.
Mark Loman, Director of Engineering für Next-Generation-Tech bei Sophos, warnt: "Die Anzahl automatisierter Angriffe, die menschlichen Einfallsreichtum mit den Vorteilen von Automatisierungstools kombinieren, wächst." Angreifer müssten heute nur noch einen kleinen Teil einer Datei verschlüsseln oder das Betriebssystems im Diagnosemodus hochfahren, um die Tools auszutricksen und ans Ziel zu gelangen.
"Ransomware richtet sich zunehmend gegen Infrastrukturen, Organisationen und sogar gegen Smart-City-Konzepte", ergänzt Galov von Kaspersky. 2019 habe es erstmals Angriffe auf Network Attached Storage (NAS) gegeben, das bislang als vor solchen Bedrohungen geschützt galt.
Galov empfiehlt, vom Netzwerk isolierte, getestete Backups vorzuhalten und die Mitarbeiter gut zu schulen. Unternehmen bräuchten nicht nur strenge Sicherheitsrichtlinien, sondern auch Cybersicherheitstrainings für die Beschäftigten. Loman fügt hinzu: "Es ist wichtig, über robuste Sicherheitskontrollen zu verfügen, die Endpunkte zu überwachen und im Zweifel schnell reagieren zu können. Außerdem sollten Software-Updates installiert werden, sobald sie herausgegeben werden."
Sicherheitsrisiken durch Zulieferer
Große Unternehmen, aber auch Mittelständler hätten in jüngster Zeit Sicherheitsvorfälle erlebt, die von externen Produkt- oder Servicelieferanten ausgingen, heißt es bei Kaspersky. Die meisten Unternehmen gewähren ihren Lieferanten einen einfachen oder sogar einen privilegierten Zugang zu ihren Netzen. Wie ein Marktforschungsergebnis von One Identity zeigt, sind sich nur 22 Prozent völlig sicher, dass die Third Parties nicht unautorisiert Informationen abgreifen. 18 Prozent berichten sogar von einem Sicherheitsvorfall, der auf Partner zurückzuführen gewesen sei.
Die Kaspersky-Studie zeigt, dass heute sowohl kleine und mittlere Unternehmen (KMUs) als auch Konzerne von Drittanbietern verlangen, Sicherheitsvereinbarungen zu unterzeichnen: Drei von vier KMUs und 79 Prozent der Großunternehmen nutzen diese Möglichkeit. So erhalten sie sich die Chance auf Schadenersatz, wenn dem Partner ein Verstoß nachgewiesen werden kann. Firmen, die eine solche Policy vereinbart haben, erhielten zu 71 Prozent eine Vergütung, wenn etwas vorgefallen war. Dagegen liegt die Erfolgsquote jener Betriebe ohne eine solche Vereinbarung nur bei 22 Prozent.
2020 beschleunigt sich der Trend, wonach sich Unternehmen digital mit ihren Lieferanten und Partnern verbinden. Damit steigt das Risiko, aber auch das Bewusstsein dafür. Dennoch bleibt es gefährlich, denn auch die Angreifer nutzen derartige Szenarien immer raffinierter aus.
"Vor kurzem haben wir entdeckt, dass neue Gruppen wie BARIUM oder APT41 ausgeklügelte Supply-Chain-Angriffe gegen Software- und Hardwarehersteller ausgeführt haben, um sich Zugang zu sicheren Infrastrukturen in aller Welt zu verschaffen", berichtet Galov.
Zwei besonders anspruchsvolle Angriffe dieser Art waren 2017 und 2019 aufgedeckt worden, sie richteten sich gegen CCleaner und ShadowPad. Weitere Attacken betrafen mehrere Glücksspielunternehmen. Da in solchen Fällen die Akteure oft Hintertürchen hinterlassen, behalten sie die Möglichkeit, zurückzukehren und noch mehr Schaden anzurichten.
Unternehmen sollten wissen, wer Zugriff auf ihre Netzwerke hat und sicherstellen, dass diese Parteien nur die Berechtigungen besitzen, die sie wirklich benötigen. Es sollten für den Zugriff Dritter außerdem Richtlinien für die Kommunikation und die Durchsetzung von Regeln vorhanden sein. Am besten, die Firmen haben individuelle Sicherheitsrichtlinien für alle Drittanbieter vereinbart, in denen Erwartungen, Verantwortlichkeiten und Verhaltensregeln bei einem Vorfall festgeschrieben sind.
"Die beste Möglichkeit, sich vor solchen Angriffen zu schützen, besteht darin sicherzustellen, dass auch die Partner hohe Cybersicherheits-Standards einhalten", sagt Galov. "Wenn Drittanbieter Zugang zu interner Infrastruktur oder Daten erhalten, sollten vor einer solchen Integration Richtlinien für Cybersicherheit festgelegt werden."
5G treibt DDoS-Attacken
Angriffe, bei denen Server oder sonstige Komponenten im Netzwerk aus vielen Quellen adressiert, gezielt überlastet und schließlich außer Gefecht gesetzt werden (DDoS = Distributed Denial of Service), nehmen zu. 42 Prozent der großen Unternehmen und 38 Prozent der KMUs waren 2019 betroffen, heißt es im Kaspersky-Bericht. Dabei lernen die Angreifer schnell dazu, Abwehrmaßnahmen auszutricksen, und werden immer effektiver.
Im September berichtete Akamai beispielsweise über einen neuen DDoS-Vektor: Mit dem Multicast-Discovery-Protokoll "Web Services Dynamic Discovery" (WSD) lokalisieren und kompromittieren Angreifer falsch konfigurierte, mit dem Internet verbundene Geräte im großen Maßstab, um das Ausmaß ihrer DDoS-Angriffe auszudehnen.
2020 dürften DDoS-Angriffe dank der Ausbreitung des 5G-Mobilfunkstandards und der Vielzahl der IoT-Geräte ein Thema bleiben. Laut Galov werden kritische Infrastrukturen wie Wasserversorgung, Stromnetze, militärische Einrichtungen und Finanzinstitute durch verschiedenste Digitalisierungseinflüsse angreifbarer. "Das erfordert neue Sicherheitsstandards, außerdem bringt die höhere Geschwindigkeit von Netzverbindungen neue Herausforderungen mit sich, wenn es gilt, DDoS-Angriffe zu verhindern."
Unternehmen sollten alle mit dem Internet verbundenen Geräte auf Fehlkonfigurationen und nicht gepatchte Schwachstellen hin überprüfen. Das hilft allerdings nicht gegen Risiken, die von privaten Endgeräten ausgehen. Webcams oder Videoüberwachungssysteme sind oft in Botnetze eingebunden, von denen DDoS-Angriffe ausgehen. Die Besitzer wissen nichts davon.
Anwendungsschwachstellen
Veracode stellt in seiner Studie "State of Software Security Vol. 10" fest, dass 83 Prozent von 85.000 getesteten Anwendungen mindestens eine Sicherheitslücke enthalten. Insgesamt wurden zehn Millionen Fehler gefunden, was verdeutlicht, wie hoch die Fehlerdichte in vielen Anwendungen tatsächlich ist. Dies bietet Angreifern jede Menge Möglichkeiten für das Ausnutzen von Zero-Day-Schwachstellen und sonstigen Fehlern.
Die Studienautoren sehen aber auch positive Signale. Besonders große Schwachstellen werden heute schneller gefunden und gefixt als früher. Als Plus wird auch gesehen, dass inzwischen viele Unternehmen einen DevSecOps-Ansatz mit häufigem Scannen und Testen von Software verfolgen und so die Zeit bis zur Fehlerbehebung stark verkürzen konnten.
Trotz der Bemühungen der Sicherheits- und Entwicklungsteams werden sich aber auch 2020 Schwachstellen in die Software einschleichen. "Die meisten Softwareprodukte sind heute sehr unsicher. Das wird sich auch 2020 fortsetzen, vor allem bei Anwendungen, die Code aus Open-Source-Bibliotheken verwenden", warnt Chris Wysopal, Mitbegründer und CTO von Veracode.
"Wir haben 2019 einige positive Signale im Bereich der Anwendungssicherheit gesehen. Unternehmen konzentrieren sich zunehmend darauf, Sicherheitsschwachstellen nicht nur zu finden, sondern auch gleich zu beheben und solche Fehler zu priorisieren, die für sie am gefährlichsten sind", sagt Wysopal. "Unsere Daten deuten darauf hin, dass das Auffinden und Beheben von Schwachstellen genauso zu einem Teil des Softwareentwicklungs-Prozesses wird wie die Verbesserung der Funktionalität."
Unternehmen sollten ihre Anwendungen in hoher Frequenz scannen und testen, außerdem sollten sie ihre Arbeiten priorisieren und den besonders kritischen Fehlern Vorrang bei der Behebung geben. Wysopal fordert die Unternehmen auch auf, Schwachstellen umgehend zu beseitigen und keinen Berg von Problemen entstehen zu lassen, da damit die Angreifbarkeit ständig zunimmt.
Vorfälle bei Cloud Services und Hosted Infrastructure
Laut Kaspersky hatten 2019 immerhin 43 Prozent der Unternehmen Sicherheitsvorfälle, die Cloud Services von Drittanbietern betrafen. Vor allem für KMUs waren diese Vorfälle vergleichsweise teuer, da diese Betriebe oft besonders abhängig von gehosteten Diensten sind. Der durchschnittliche Vorfall, der die gehostete Infrastruktur von KMUs betraf, kostete 162.000 US-Dollar.
2019 wurden deutlich mehr Betrugsfälle bei Online-Zahlungen gezählt. Vor allem die kriminelle Gruppe Magecart war besonders fleißig: Sie verwendet Code, der die Vorteile von Fehlkonfigurationen in der Cloud nutzt, um Online-Einkäufe zu manipulieren. Oft merken die Kunden lange nichts, bis ihnen dann irgendwann die hohen Kosten auffallen.
Bei Cloud Services besteht die Gefahr, dass aufgrund von Konfigurationsfehlern Daten im Internet zugänglich gemacht werden. Angreifer scannen regelmäßig das Internet, um solche Daten zu erfassen. Glücklicherweise haben Cloud-Plattform-Anbieter wie Amazon und Google im Jahr 2019 Tools und Services eingeführt, die Unternehmen bei der optimalen Konfiguration ihrer Cloud-Systeme unterstützen und darauf aufmerksam machen, wenn Daten ungeschützt sind.
Im Jahr 2020 steht zu befürchten, dass der Erfolg von Verbrecherkartellen wie Magecart Nachahmer finden wird. Unternehmen werden wohl oder übel mehr für die Cloud-Sicherheit ausgeben müssen. Laut der IDG-Studie "Security Priorities" setzen nur 27 Prozent der Unternehmen Lösungen für den Cloud-Datenschutz ein, aber 49 Prozent sind in der Evaluations- oder Testphase.
Unternehmen sollten im neuen Jahr Quellcode-Reviews ihrer E-Commerce-Skripte vornehmen und dafür sorgen, dass veränderte Skripte nicht ohne ihre Zustimmung geladen werden können. Außerdem sollten sie sicherstellen, dass die Cloud-Provider der Wahl ihren Code regelmäßig prüfen, um Betrug zu verhindern. Wichtig sind zudem kontinuierlich getaktete Prüfroutinen, um Konfigurationsfehler zu verhindern, in deren Folge Daten im Internet unbemerkt für Dritte zugänglich werden könnten.
IoT-Sicherheitslücken
Das Internet of Things (IoT) ist 2019 zu einem großen IT-Sicherheitsfaktor geworden, auch weil es schwer fassbar und in seiner Entwicklung kaum vorhersagbar ist. Die Marktforscher von Statista erwarten, dass es 2020 zwischen 6,6 und 30 Milliarden Geräte mit Internet-Anschluss geben wird - die enorme Bandbreite zeigt, wie unscharf und schwer vorhersagbar diese Entwicklung ist.
Die Bedrohung, die das IoT darstellt, ist offensichtlich. Die Studie "Marsh Microsoft 2019 Global Risk Perception" ergab, dass zwei Drittel der Befragten IoT als Cyberrisiko ansehen und 23 Prozent sogar ein "extrem hohes" Risiko fürchten.
"IoT-Geräte sind einfache Ziele für Angreifer, weil sie oft nicht gepatcht und falsch konfiguriert sind. Sie sind nicht verwaltet, weil sie keine Endpoint-Sicherheitsagenten unterstützen", stellt Phil Neray fest, Vice President für Industrial Cybersecurity bei CyberX. IoT-Geräte ließen sich einfach kompromittieren und könnten Eindringlingen helfen, in einem Unternehmensnetzwerk Fuß zu fassen, destruktive Ransomware-Angriffe auszuführen, sensibles geistiges Eigentum zu stehlen und Rechenressourcen für DDoS-Kampagnen und Cryptojacking zu kapern.
Im Global IoT/ICS Risk Report für 2020 listet CyberX die häufigsten Sicherheitslücken auf, die IoT-Geräte in den letzten zwölf Monaten anfällig werden ließen. In einigen Bereichen gibt es demnach deutliche Verbesserungen: So ließen sich weniger Geräte remote steuern (54 statt 84 Prozent im Vorjahr), auch die direkten Internetverbindungen gingen zurück. Auf der anderen Seite wurden veraltete Betriebssysteme in 71 Prozent der analysierten Standorte gefunden, im Jahr zuvor waren es noch 53 Prozent. Zwei von drei Unternehmen versäumten es, automatisiert Antiviren-Updates vorzunehmen - im Vorjahr waren es nur 43 Prozent.
Neray sieht für 2020 das Risiko, dass mit der Menge der IoT-Geräte auch die Zahl der offen zugänglichen Gadgets steigen wird. Das sähen auch die potenziellen, teilweise staatlich gelenkten Angreifer. Energieversorger, Produktionsunternehmen sowie die Branchen Chemie, Pharmazie sowie Öl und Gas seien besonders gefährdet. Man müsse teure Stillstände von Produktionsanlagen, Umweltskandale und Angriffe auf die menschliche Sicherheit befürchten.
Der CyberX-Experte identifiziert Systeme für das Gebäudemanagement als ein Hauptziel für Angreifer. "Solche Systeme werden in der Regel von Facility-Management-Teams mit geringer Sicherheitskompetenz eingesetzt. Geräte sind vielfach offen im Internet zugreifbar, von den unternehmensweiten Security Operations Centern (SOCs) werden sie nicht überwacht."
Unternehmen sollten eine starke Netzwerksegmentierung vornehmen und Vertragspartnern nur einen eingeschränkten und streng kontrollierten Zugang zu Industrienetzen gewähren (Passwort-Management-Software, zwei-Faktor-Authentifizierung). Ferner empfiehlt sich eine agentenlose Netzwerksicherheits-Überwachung, um IoT-Angriffe schnell erkennen und abwehren zu können - noch bevor die Gegner Anlagen manipulieren oder abschalten können.
Am Ende hängt die Verteidigung vor allem von organisatorischen Ansätzen ab, weniger von technischen. "Beim TRITON-Angriff auf die Sicherheitssysteme einer petrochemischen Anlage in Saudi-Arabien zum Beispiel war das zentrale Problem, dass sich niemand verantwortlich für die Sicherheit des industriellen Steuerungsnetzes fühlte", so Neray.
"Das führte dazu, dass es schwere Mängel bei der Sicherheitsüberwachung gab und niemand überprüfte, ob die Firewalls in den Netzwerken auch der outgesourcten Unternehmen richtig konfiguriert worden waren." Es sei wichtig, so Neray, dass CISOs die volle Verantwortung für die IoT- und die OT-Sicherheit übernähmen, beide ganzheitlich neben der IT-Sicherheit behandelten und in die SOC-Workflows und Sicherheits-Stacks integrierten.
Cryptojacking
Zum Abschluss noch ein paar gute Nachrichten: Die Zahl der Cryptomining-Angriffe soll 2020 zurückgehen. Gemeint sind Angriffe, bei denen fremde Rechner gekapert werden, um sie für das Schürfen von Online-Geld zu missbrauchen. Obwohl diese Attacken weder bei Konzernen noch bei KMUs besonders häufig auftauchten, erwiesen sie sich 2019 als kostspielig. Der durchschnittliche finanzielle Schaden betrug 1,62 Millionen US-Dollar.
Entsprechende Vorfälle entwickeln sich im Einklang mit den Kryptowährungen - und die haben 2019 an Bedeutung verloren. "Wir sehen keinen Grund zu der Annahme, dass sich dieser Trend 2020 drehen wird", sagt Kaspersky-Manager Galov. Unternehmen sollten dennoch auf eine Sicherheitslösung setzen, die Cryptomining-Bedrohungen erkennt und auch die Kryptowährungen im Auge behält. Gehen sie steil nach oben, dürfte das zu weiteren Angriffen führen, die den Diebstahl von Kryptowährungen zum Ziel haben. (hv)