Die Gefahr wächst
Das droht Ihnen 2020
Vorfälle bei Cloud Services und Hosted Infrastructure
Laut Kaspersky hatten 2019 immerhin 43 Prozent der Unternehmen Sicherheitsvorfälle, die Cloud Services von Drittanbietern betrafen. Vor allem für KMUs waren diese Vorfälle vergleichsweise teuer, da diese Betriebe oft besonders abhängig von gehosteten Diensten sind. Der durchschnittliche Vorfall, der die gehostete Infrastruktur von KMUs betraf, kostete 162.000 US-Dollar.
2019 wurden deutlich mehr Betrugsfälle bei Online-Zahlungen gezählt. Vor allem die kriminelle Gruppe Magecart war besonders fleißig: Sie verwendet Code, der die Vorteile von Fehlkonfigurationen in der Cloud nutzt, um Online-Einkäufe zu manipulieren. Oft merken die Kunden lange nichts, bis ihnen dann irgendwann die hohen Kosten auffallen.
Bei Cloud Services besteht die Gefahr, dass aufgrund von Konfigurationsfehlern Daten im Internet zugänglich gemacht werden. Angreifer scannen regelmäßig das Internet, um solche Daten zu erfassen. Glücklicherweise haben Cloud-Plattform-Anbieter wie Amazon und Google im Jahr 2019 Tools und Services eingeführt, die Unternehmen bei der optimalen Konfiguration ihrer Cloud-Systeme unterstützen und darauf aufmerksam machen, wenn Daten ungeschützt sind.
Im Jahr 2020 steht zu befürchten, dass der Erfolg von Verbrecherkartellen wie Magecart Nachahmer finden wird. Unternehmen werden wohl oder übel mehr für die Cloud-Sicherheit ausgeben müssen. Laut der IDG-Studie "Security Priorities" setzen nur 27 Prozent der Unternehmen Lösungen für den Cloud-Datenschutz ein, aber 49 Prozent sind in der Evaluations- oder Testphase.
Unternehmen sollten im neuen Jahr Quellcode-Reviews ihrer E-Commerce-Skripte vornehmen und dafür sorgen, dass veränderte Skripte nicht ohne ihre Zustimmung geladen werden können. Außerdem sollten sie sicherstellen, dass die Cloud-Provider der Wahl ihren Code regelmäßig prüfen, um Betrug zu verhindern. Wichtig sind zudem kontinuierlich getaktete Prüfroutinen, um Konfigurationsfehler zu verhindern, in deren Folge Daten im Internet unbemerkt für Dritte zugänglich werden könnten.
IoT-Sicherheitslücken
Das Internet of ThingsInternet of Things (IoT) ist 2019 zu einem großen IT-Sicherheitsfaktor geworden, auch weil es schwer fassbar und in seiner Entwicklung kaum vorhersagbar ist. Die Marktforscher von Statista erwarten, dass es 2020 zwischen 6,6 und 30 Milliarden Geräte mit Internet-Anschluss geben wird - die enorme Bandbreite zeigt, wie unscharf und schwer vorhersagbar diese Entwicklung ist. Alles zu Internet of Things auf CIO.de
Die Bedrohung, die das IoT darstellt, ist offensichtlich. Die Studie "Marsh Microsoft 2019 Global Risk Perception" ergab, dass zwei Drittel der Befragten IoT als Cyberrisiko ansehen und 23 Prozent sogar ein "extrem hohes" Risiko fürchten.
"IoT-Geräte sind einfache Ziele für Angreifer, weil sie oft nicht gepatcht und falsch konfiguriert sind. Sie sind nicht verwaltet, weil sie keine Endpoint-Sicherheitsagenten unterstützen", stellt Phil Neray fest, Vice President für Industrial Cybersecurity bei CyberX. IoT-Geräte ließen sich einfach kompromittieren und könnten Eindringlingen helfen, in einem Unternehmensnetzwerk Fuß zu fassen, destruktive Ransomware-Angriffe auszuführen, sensibles geistiges Eigentum zu stehlen und Rechenressourcen für DDoS-Kampagnen und Cryptojacking zu kapern.
Im Global IoT/ICS Risk Report für 2020 listet CyberX die häufigsten Sicherheitslücken auf, die IoT-Geräte in den letzten zwölf Monaten anfällig werden ließen. In einigen Bereichen gibt es demnach deutliche Verbesserungen: So ließen sich weniger Geräte remote steuern (54 statt 84 Prozent im Vorjahr), auch die direkten Internetverbindungen gingen zurück. Auf der anderen Seite wurden veraltete Betriebssysteme in 71 Prozent der analysierten Standorte gefunden, im Jahr zuvor waren es noch 53 Prozent. Zwei von drei Unternehmen versäumten es, automatisiert Antiviren-Updates vorzunehmen - im Vorjahr waren es nur 43 Prozent.
Neray sieht für 2020 das Risiko, dass mit der Menge der IoT-Geräte auch die Zahl der offen zugänglichen Gadgets steigen wird. Das sähen auch die potenziellen, teilweise staatlich gelenkten Angreifer. Energieversorger, Produktionsunternehmen sowie die Branchen Chemie, Pharmazie sowie Öl und Gas seien besonders gefährdet. Man müsse teure Stillstände von Produktionsanlagen, Umweltskandale und Angriffe auf die menschliche Sicherheit befürchten.
Der CyberX-Experte identifiziert Systeme für das Gebäudemanagement als ein Hauptziel für Angreifer. "Solche Systeme werden in der Regel von Facility-Management-Teams mit geringer Sicherheitskompetenz eingesetzt. Geräte sind vielfach offen im Internet zugreifbar, von den unternehmensweiten Security Operations Centern (SOCs) werden sie nicht überwacht."
Unternehmen sollten eine starke Netzwerksegmentierung vornehmen und Vertragspartnern nur einen eingeschränkten und streng kontrollierten Zugang zu Industrienetzen gewähren (Passwort-Management-Software, zwei-Faktor-Authentifizierung). Ferner empfiehlt sich eine agentenlose Netzwerksicherheits-Überwachung, um IoT-Angriffe schnell erkennen und abwehren zu können - noch bevor die Gegner Anlagen manipulieren oder abschalten können.
Am Ende hängt die Verteidigung vor allem von organisatorischen Ansätzen ab, weniger von technischen. "Beim TRITON-Angriff auf die Sicherheitssysteme einer petrochemischen Anlage in Saudi-Arabien zum Beispiel war das zentrale Problem, dass sich niemand verantwortlich für die Sicherheit des industriellen Steuerungsnetzes fühlte", so Neray.
"Das führte dazu, dass es schwere Mängel bei der Sicherheitsüberwachung gab und niemand überprüfte, ob die Firewalls in den Netzwerken auch der outgesourcten Unternehmen richtig konfiguriert worden waren." Es sei wichtig, so Neray, dass CISOs die volle Verantwortung für die IoT- und die OT-Sicherheit übernähmen, beide ganzheitlich neben der IT-Sicherheit behandelten und in die SOC-Workflows und Sicherheits-Stacks integrierten.
Cryptojacking
Zum Abschluss noch ein paar gute Nachrichten: Die Zahl der Cryptomining-Angriffe soll 2020 zurückgehen. Gemeint sind Angriffe, bei denen fremde Rechner gekapert werden, um sie für das Schürfen von Online-Geld zu missbrauchen. Obwohl diese Attacken weder bei Konzernen noch bei KMUs besonders häufig auftauchten, erwiesen sie sich 2019 als kostspielig. Der durchschnittliche finanzielle Schaden betrug 1,62 Millionen US-Dollar.
Entsprechende Vorfälle entwickeln sich im Einklang mit den Kryptowährungen - und die haben 2019 an Bedeutung verloren. "Wir sehen keinen Grund zu der Annahme, dass sich dieser Trend 2020 drehen wird", sagt Kaspersky-Manager Galov. Unternehmen sollten dennoch auf eine Sicherheitslösung setzen, die Cryptomining-Bedrohungen erkennt und auch die Kryptowährungen im Auge behält. Gehen sie steil nach oben, dürfte das zu weiteren Angriffen führen, die den Diebstahl von Kryptowährungen zum Ziel haben. (hv)