IT-Security-Fails & -Prognosen
So werden Sie 2018 gehackt
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Denn für Unternehmen, die die IT-SicherheitIT-Sicherheit in Zeiten der totalen Vernetzung immer noch stiefmütterlich behandeln, wird die Luft langsam dünn. Schließlich werden kriminelle Hacker immer gewiefter, während die Zugangsschranken zum digitalen Untergrund immer weiter sinken. Alles zu Security auf CIO.de
Foto: ra2studio - shutterstock.com
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem Lagebericht zur Cybersicherheit in Deutschland 2017 zu einem beunruhigenden Fazit: "Im Berichtszeitraum Juli 2016 bis Juni 2017 ist die Gefährdungslage weiterhin auf hohem Niveau angespannt. Die bekannten Einfallstore für Cyber-Angriffe bleiben unverändert kritisch bestehen."
Das waren die größten Hacks 2017
Das untermauern zum Beispiel die fünf aufsehenerregendsten IT-Sicherheitsvorfälle des beinahe abgelaufenen Jahres 2017:
- 5. HBO
Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br /> - 4. NSA
Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br /> - 3. Uber
Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br /> - 2. Equifax
Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br /> - 1. WannaCry & Petya
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />
Diese Bedrohungen werden 2018 akut
Wenn Sie jetzt denken: "Geht doch eigentlich kaum noch schlimmer" - doch. Fragen Sie zum Beispiel die Experten vom Information Security Forum (ISF). Dabei handelt es sich um eine global agierende, unabhängige Security-Institution, die sich mit Cybersecurity, Risiko Management und den Auswirkungen von Hacks und Datenlecks befasst.
Steve Durbin, Managing Director des ISF, stellt für das kommende Jahr enorme Reputationsschäden für einige der größten Unternehmen der Welt in Aussicht: "Das Jahr 2018 wird von einer weiter fortschreitenden Professionalisierung krimineller Hacker geprägt sein. Ganz konkret werden wir eine weitere Personalisierung der Angriffsmethoden erleben - dabei werden gezielt menschliche, beziehungsweise persönliche Schwachstellen in den Fokus genommen werden. Auch die gezielte Eliminierung bereits vorhandener Sicherheitsmaßnahmen dürfte hoch im Kurs stehen. Der Einsatz ist 2018 höher denn je."
Und weil die Zahl der Datenlecks steigen wird, geht das ISF auch davon aus, dass die Zahl der kompromittierten Datensätze weiter ansteigt. Das dürfte viele Unternehmen in allen Branchen teuer zu stehen kommen. Basierend auf diesen Annahmen haben die Security-Experten des Information Security Forum fünf wesentliche IT-Sicherheits-Trends für das Jahr 2018 identifiziert. Das sind die Top-5-Bedrohungen für Unternehmen im neuen Jahr:
- Crime-as-a-Service (CaaS)
Nachdem das Information Security Forum in diesem Bereich bereits 2017 einen signifikanten Anstieg verzeichnen konnte, rechnen die Experten für 2018 mit einem neuerlichen CaaS-Boom. Das wird vor allem daran liegen, dass man insbesondere in der organisierten Kriminalität die Cybercrime-Vorteile zu schätzen weiß. <br><br /> Im Vergleich zu 2017 rechnet Steve Durbin - Managing Director des ISF - allerdings damit, dass der CaaS-Trend viele neue „Cybercrime-Aspiranten“ ohne tiefgehendes technisches Wissen anziehen wird, die dann mit gekauften Tools Hackerangriffe bewerkstelligen, zu denen sie sonst niemals in der Lage gewesen wären. Gleichzeitig steigt aber auch das Professionalisierungslevel unter fähigen Black-Hat-Hackern – insbesondere beim Thema Social Engineering, wie Durbin sagt: „Die Linie zwischen Enterprise und Privatperson verwischt immer mehr – das Individuum wird immer mehr zur Firma.“ <br><br /> - Internet of Things (IoT)
Das Internet der Dinge bleibt auch 2018 Security-Sorgenkind. Der Grund: Immer mehr Unternehmen setzen IoT-Devices ein – der „Security by Design“-Grundsatz hat sich hingegen immer noch nicht im großen Stil durchgesetzt. Auch die durch die rasant wachsenden IoT-Ökosysteme verwässerte Transparenz wird vom ISF angeprangert. <br><br /> Kommt es zu Datenlecks, ist es sehr wahrscheinlich, dass die betroffenen Unternehmen nicht nur den Zorn der Kunden, sondern auch die harte Hand der Regulatoren zu spüren bekommen. Worst-Case-Szenario: IoT-Devices in industriellen Kontrollsystemen (oder anderen kritischen Infrastrukturen) werden kompromittiert und führen zu Gefahr für Leib und Leben. <br><br /> „Aus Sicht der Hersteller ist es wichtig, Verhaltensmuster und Wünsche der Kunden zu verstehen,“ so Durbin. „Aber das hat dazu geführt, dass mehr Angriffsvektoren als je zuvor vorhanden sind. Die Devices müssen so abgesichert werden, dass sie unter Kontrolle sind – und nicht uns unter Kontrolle haben.“ <br><br /> - Supply Chain
Seit Jahren prangert das ISF die Schwachstellen in der Supply Chain an. Denn hier werden, wie die Experten wissen, oft vertrauliche Daten mit Zulieferern geteilt. Sobald das der Fall ist, verliert das betreffende Unternehmen seine direkte Kontrolle. <br><br /> „Egal, in welcher Branche Sie tätig sind“, macht Durbin klar, „jedes Unternehmen hat eine Lieferkette. Die Herausforderung besteht darin, zu wissen, wo sich die Daten befinden – und zwar zu jedem Zeitpunkt im Lifeycycle. Und natürlich darin, die Integrität der Informationen, die geteilt werden sollen, zu bewahren.“ Unternehmen sollten deshalb nach Meinung der ISF-Experten auf das schwächste Glied in ihrer Lieferkette fokussieren und Risikomanagement-Elemente in bestehende Prozesse einbauen. <br><br /> - Regulierung
Regulationen steigern die Komplexität. Das ist auch im Fall der EU-Datenschutzgrundverordnung (DSGVO/GDPR) nicht anders. <br><br /> „Ich habe in den letzten Monaten kein Gespräch geführt, bei der GDPR nicht Thema war“, meint Durbin. „Dabei geht es nicht nur um Compliance: Sie müssen in der Lage sein, persönliche Daten zu managen und zu schützen und das auch beweisen können – und zwar zu jeder Zeit. Und nicht nur gegenüber den Regulatoren, sondern auch gegenüber den Kunden.“ <br><br /> - Unerfüllte Erwartungen
Diskrepanzen zwischen den Erwartungen des Vorstands und dem, was IT-Sicherheits-Abteilungen tatsächlich leisten können, wird laut den ISF-Experten 2018 eine Bedrohung darstellen. <br><br /> Durbin erklärt, warum: „Der CISO – so die Denke – hat schon alles unter Kontrolle. In vielen Fällen weiß der Vorstand einfach nicht, welche Fragen er dem CISO stellen sollte. Auf der anderen Seite versteht auch so manch ein CISO nicht unbedingt, wie er mit dem Vorstand – oder dem Business – kommunizieren muss.“ <br><br /> Die Folgen eines Sicherheitslecks oder erfolgreichen Angriffs bekommt aber nicht nur das Unternehmen als Ganzes zu spüren – auch die Reputation einzelner Manager – oder des ganzen Vorstands – können darunter leiden. Die Rolle des CISOs muss sich 2018 deshalb verändern, ist Durbin überzeugt: „Die Rolle des CISOs besteht heute vor allem darin, Dinge vorher zu sehen – nicht darin, für die Funktion der Firewall zu sorgen. Ein guter CISO muss Sales-Experte und Berater zugleich sein: Wenn er seine Ideen nicht verkaufen kann, werden Sie beim Vorstand auch keinen Anklang finden.“ <br><br />
Lesen Sie auf Seite 2, was die IT-Security-Branche für das Jahr 2018 erwartet.