Die nächste Stufe

8 Sicherheitsvorhersagen für 2017

Menschen, die sich den Bedrohungen des Jahres 2017 gegenüber sehen, werden sagen, dass sie sowohl bekanntes als auch unerforschtes Terrain sind. Denn immerhin sind unsere Vorhersagen für 2016 eingetroffen, haben aber nur versierteren Angreifern Tür und Tor geöffnet, eine noch breitere Angriffsfläche zu erkunden. 2016 stiegen Online-Erpressungen deutlich an, Fehler bei smarten Geräten verursachten tatsächlich Schaden, der Bedarf an Datenschutzbeauftragten wurde immer dringender, und Datenlecks wurden so allgegenwärtig wie nie zuvor.

Im Jahr 2017 entstehen neue Herausforderungen. Ransomware entwickelt sich auf mehreren Ebenen weiter – umfassender, denn mehr Varianten werden erstellt; tiefer, denn gut geplante, zielgerichtete Angriffe starten; und breiter, denn Bedrohungen betreffen neben Desktops auch mobile und smarte Geräte. Einfache, aber effektive Angriffe, bei denen geschäftliche E-Mails kompromittiert werden (Business Email Compromise, BEC), werden die nächsten Favoriten von Cyberkriminellen. Zudem werden wir auch mehr schlagkräftige Attacken sehen, bei denen Geschäftsprozesse beeinträchtigt werden (Business Process Compromise, BPC) – wie der Raubüberfall auf die Bangladesh Bank im Wert von 81 Mio. US-Dollar. Mehr Adobe- und Apple-Schwachstellen werden entdeckt und ausgenutzt. Selbst harmlose smarte Geräte werden eine Rolle bei massiven DDoS-Angriffen (Distributed Denial of Service) spielen, und industrielle Geräte des Internets der Dinge (IIoT) werden zur Zielscheibe der Drahtzieher hinter Bedrohungen. Die Umsetzung der Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) kommt näher, und während Unternehmen sich abmühen, interne Prozesse so zu ändern, dass sie konform sind, werden die Verwaltungskosten für betroffene Firmen rapide steigen, selbst wenn sie sich mit Drahtziehern weltweit auseinandersetzen, die aus verschiedenen Motiven darauf aus sind, in die Unternehmensnetzwerke einzudringen. Dies ist die nächste Stufe digitaler Bedrohungen, die auch Lösungen der nächsten Stufe erfordern.

Trend Micro ist jetzt seit mehr als zwei Jahrzehnten im Sicherheitsgeschäft. Unsere Echtzeitüberwachung von Bedrohungen sowie die Ergebnisse unseres FTR-Teams (Forward-Looking Threat Research) haben uns ermöglicht, die unterschiedlichen Faktoren zu verstehen, die bestimmen, wie sich die Bedrohungslandschaft verändert und wohin sie sich bewegt. Lesen Sie weiter, und Sie erfahren, was uns 2017 und darüber hinaus erwartet.

1
Das Wachstum von Ransomware stagniert 2017, doch die Angriffsmethoden und Ziele werden breiter.
Bei der Anzahl neuer Ransomware-Familien sagen wir für 2017 einen Anstieg von 25 % voraus.

Wir haben korrekt vorausgesagt, dass 2016 das „Jahr der Online-Erpressung“ werden würde. Die Angriffskette von Ransomware – eine große Anzahl von Methoden zur Bereitstellung, unknackbare Verschlüsselung und das Spiel mit der Angst – hat diesen alten Favoriten zu einem unfehlbaren Goldesel für Cyberkriminelle gemacht. Ransomware als Dienstleistung, eine Einrichtung, bei der ein Ransomware-Betreiber seine Infrastruktur an Cyberkriminelle vermietet, hat selbst Personen ohne technische Erfahrung ins Spiel gebracht. Zudem wurde 2016 Ransomware-Code öffentlich geteilt. So konnten Hacker ihre eigenen Versionen der Bedrohungen erstellen. Dadurch gab es eine schwankende 400 %-ige Spitze der Anzahl von Ransomware-Familien von Januar bis September.


Anzahl der Ransomware-Familien pro Jahr
Vorhersage 2017
Abbildung 1: Anzahl der Ransomware-Familien pro Jahr mit Vorhersage 2017

Bei der Anzahl neuer Ransomware-Familien sagen wir für 2017 einen Anstieg von 25 % vor, was durchschnittlich 15 entdeckten neuen Familien pro Monat entspricht. Der Zenit wurde zwar 2016 überschritten, doch eine Zeit der Stabilisierung bringt konkurrierende Cyberkriminelle dazu, breitgefächerter zu handeln und mehr potenzielle Opfer, Plattformen und größere Ziele ins Visier zu nehmen.

Wir sagen auch voraus, dass Ransomware eine immer häufigere Komponente von Datenverlusten wird. Cyberkriminelle stehlen als Erstes vertrauliche Daten, die sie in Untergrundmärkten verkaufen, und installieren dann Ransomware, mit denen sie Rechenzentren als Geiseln nehmen und so doppelt Profit schlagen.

Mobile Ransomware folgt wahrscheinlich dem gleichen Pfad wie Desktop-Ransomware, denn die mobile Nutzerbasis ist jetzt ein nützliches, unerforschtes Ziel. Nicht-Desktop-Computerterminals, etwa PoS-Systeme (Point-of-Sale) oder Geldautomaten können auch Opfer erpresserischer Angriffe werden.

Momentan liegt wenig Wert darin, smarte Geräte als Geiseln zu nehmen, denn die Mühe, sie anzugreifen, überwiegt den möglichen Profit. Beispielsweise ist es leichter und günstiger, eine gehackte smarte Glühlampe zu ersetzen, anstatt das Lösegeld zu zahlen. Andererseits könnten Angreifer, die damit drohen, die Kontrolle über die Bremsen eines Autos zu übernehmen, während es auf der Autobahn unterwegs ist, Profit machen. Ein solcher Angriff ist jedoch mit hohem Aufwand verbunden, wodurch diese Art der Erpressung uninteressant ist.

Jetzt sind sich Unternehmen deutlicher bewusst, dass ein Ransomware-Angriff eine realistische Gefahr und eine teure Geschäftsunterbrechung ist. Ransomware (gegen industrielle Umgebungen) und IIoT-Angriffe verursachen höheren Schaden, denn Drahtzieher können mehr Geld erhalten, beispielsweise, um eine Produktionslinie wieder online gehen zu lassen oder die Temperatur einer Anlage wieder in den grünen Bereich zu versetzen.

Noch immer gibt es keine Wunderwaffe, die potenzielle Ziele 100 % der Zeit vor Ransomware schützen kann. Daher ist es am besten, die Bedrohung an der Quelle, via Web- oder E-Mail-Gatewaylösungen zu blockieren. Machine-Learning-Technologie ist gleichermaßen eine starke Ergänzung für mehrschichtige Sicherheit, die selbst einzigartige und neu erstellte Ransomware erkennen kann.

2
IoT-Geräte werden eine größere Rolle bei DDoS-Angriffen spielen; IIoT-Systeme bei zielgerichteten Angriffen.
Wir sagen vorher, dass Cyberkriminelle Malware ähnlich wie Mirai für DDoS-Angriffe nutzen werden.

Tausende Webcams, an deren Absicherung die Nutzer keinen Gedanken verschwendet hatten, wurden zur Ausgangsbasis für den Mirai-DDoS-Angriff, der wichtige Websites vom Netz nahm. Vernetzte Geräte, wie Schläferagenten, sind harmlos, bis sie von Cyberkriminellen aktiviert werden. Wir sagen voraus, dass 2017 mehr Cyberangriffe über das Internet der Dinge (IoT) und seine zugehörige Infrastruktur erfolgen werden; ob die Drahtzieher nun offene Router für massive DDoS-Angriffe nutzen oder ein einziges vernetztes Auto zur Ausführung eines hochgradig zielgerichteten Angriffs.

Wir sagen vorher, dass Cyberkriminelle Malware ähnlich wie Mirai für DDoS-Angriffe nutzen werden. Von 2017 an werden Service-, Nachrichten-, Unternehmens- und Politik-Websites systematisch von massivem HTTP-Datenverkehr in die Knie gezwungen, entweder gegen Geld als Form der Erpressung oder als Druckmittel für spezielle Forderungen.

Leider sagen wir auch voraus, dass die Hersteller nicht rechtzeitig reagieren werden, um diese Angriffe zu verhindern. Beim Mirai-Angriff gab es tatsächlich Webcam-Rückrufe durch den Hersteller, doch er löste keine Überprüfungen ähnlicher Codes auf nicht betroffenen, aber dennoch kontrollierbaren vernetzten Geräten aus. Daher wird es immer eine potente Angriffsfläche geben, die Drahtziehern von Bedrohungen bereitsteht.


Abbildung 2: Das Mirai-Botnet brauchte keinen DNS-Server (Domain Name System), um ein Ziel vom Netz zu nehmen, sperrte aber jede Menge Benutzer von Websites aus. Theoretisch können IoT-Botnets DDoS-Angriffe verstärken und mehr Schaden verursachen.

Da IoT auch industrielle Umgebunden wie die Fertigung und Energieerzeugung effizienter macht, setzen Drahtzieher von Bedrohungen auf die Effizienz von BlackEnergy-Angriffen zur Förderung ihrer eigenen Zwecke. Gemeinsam mit dem beträchtlichen Anstieg der Schwachstellen bei SCADA-Systemen (Supervisory Control and Data Acquisition; 30 % der Gesamtzahl Schwachstellen, die 2016 von TippingPoint gefunden wurden), führt der Umstieg auf IIoT 2017 zu unvorhergesehenen Gefahren und Risiken für Unternehmen und betroffene Kunden.

Hersteller, die smarte Geräte und Ausrüstung vertreiben, können diesen Gefahren proaktiv begegnen, indem sie Entwicklungszyklen umsetzen, die sich auf die Sicherheit konzentrieren. Dennoch müssen IoT- und IIoT-Nutzer solche Angriffsszenarien simulieren, um Schwachstellen zu bestimmen und abzusichern. Die Technologie zur Netzwerkverteidigung einer Industrieanlage muss beispielsweise über Network Intrusion Prevention-Systeme (IPS) schädliche Netzwerkpakete erkennen und löschen können.

3
Die Einfachheit von Angriffen zur Kompromittierung geschäftlicher E-Mails wird 2017 einen Anstieg von zielgerichteten Scams fördern.
Wir sagen voraus, dass BEC, genauer gesagt Geschäftsführer-Betrug, durch diese Einfachheit ein attraktiveres Angriffsmodell für Cyberkriminelle darstellen wird.

BEC zielt auf Finanzabteilungen weltweit. Dabei geht es um das Hacken eines E-Mail-Kontos oder darum, einen Mitarbeiter dazu zu bringen, Geld auf das Konto eines Cyberkriminellen zu überweisen. An diesem Angriff ist nichts Besonderes, außer vielleicht der Aufklärung, die nötig ist, um Einblick darin zu erhalten, wie sich eine glaubwürdige E-Mail am besten erstellen lässt – doch selbst dazu ist oft nur eine gut formulierte Anfrage an eine Suchmaschine nötig.

Wir sagen voraus, dass BEC, genauer gesagt Geschäftsführer-Betrug, durch diese Einfachheit ein attraktiveres Angriffsmodell für Cyberkriminelle darstellen wird. Der Scam ist leicht und kostengünstig, denn in Sachen Infrastruktur wird nicht viel benötigt. Doch der durchschnittliche Gewinn aus einem erfolgreichen BEC-Angriff liegt bei 140.000 US-Dollar – dem Preis eines kleinen Hauses. Der geschätzte Gesamtverlust durch BEC in 2 Jahren beläuft sich auf 3 Milliarden US-Dollar. Zum Vergleich: Der durchschnittliche Gewinn bei einem Ransomware-Angriff beträgt 722 US-Dollar (momentan 1 Bitcoin), was bis zu 30.000 US-Dollar erreichen kann, wenn ein Unternehmensnetzwerk betroffen ist.

Die relativ schnelle Auszahlung fördert diesen prognostizierten Anstieg außerdem. Laut unserer BEC-Forschung bei Predator Pain-Fällen konnten Angreifer 75 Millionen US-Dollar in nur sechs Monaten (PDF/engl.) verdienen. Die langsamen Mühlen der Justiz bei grenzübergreifenden Verbrechen steigern währenddessen die Attraktivität der Bedrohung. Zum Beispiel dauerte es mehr als zwei Jahre, bevor ein nigerianischer Staatsbürger für Scams mehrerer Unternehmen seit 2014 verhaftet wurde.

Abbildung 3: Vergleich der durchschnittlichen Gewinne bei Unternehmen für Ransomware- und BEC-Angriffe

BEC ist besonders schwer zu erkennen, denn diese E-Mails enthalten keine schädlichen Anlagen oder ausführbare Dateien. Doch Unternehmen sollten diese Bedrohungen mit Web- und E-Mail-Gatewaylösungen an der Quelle blockieren können. Diese Sicherheitstechnologien können anormalen Datenverkehr und schädliche Verhaltensweisen von Dateien oder Komponenten erkennen, doch die Verteidigung gegen BEC-Scams bleibt schwierig, falls die Opfer weiterhin bereitwillig Geld an Cyberkriminelle überweisen. Unternehmen müssen strikte Richtlinien für normale und besondere Transaktionen umsetzen, die Ebenen zur Prüfung sowie Schwellenwerte für große Summen enthalten, bei denen mehr Validierung erforderlich ist, bevor die Überweisung ausgeführt wird.

4
Die Kompromittierung von Geschäftsprozessen (BEC) wird bei Cyberkriminellen beliebter, die es auf den Finanzsektor abzielen.
Wir sagen voraus, dass BEC nicht mehr nur die Finanzabteilung betreffen wird, obwohl Geldüberweisungen die typischste Variante bleiben.

Der Raubüberfall auf die Bangladesh Bank verursachte Verluste in Höhe von bis zu 81 Millionen US-Dollar. Im Gegensatz zu BEC, der sich auf Fehler im menschlichen Verhalten stützt, basierte dieser Angriff auf einem viel tiefgreifenderen Verständnis, wie große Einrichtungen Finanztransaktionen verarbeiteten. Wir nennen diese Angriffskategorie „BPC“.

Wir sagen voraus, dass BEC nicht mehr nur die Finanzabteilung betreffen wird, obwohl Geldüberweisungen die typischste Variante bleiben. Mögliche Szenarien sind unter anderem ein Hackerangriff auf ein Bestellsystem, sodass Cyberkriminelle anstatt der tatsächlichen Lieferanten bezahlt werden. Ein Hackerangriff auf ein Auszahlungssystem kann gleichermaßen zu nicht autorisierten Geldüberweisungen führen. Cyberkriminelle können sich in ein Versandzentrum hacken und Wertsendungen an eine andere Anschrift umleiten. Das geschah bereits einmalig im Jahr 2013, als das Güter-Containersystem des Seehafens von Antwerpen gehackt wurde, um Drogen zu schmuggeln.

Cyberkriminellen, die BPC-Angriffe durchführen, geht es weiterhin nur ums Geld und nicht um politische Motive oder das Erlangen von Einblicken, doch die Methoden und Strategien für diese und zielgerichtete Angriffs sind ähnlich. Wenn wir den Gewinn von Ransomware-Angriffen in Unternehmensnetzwerken (30.000 US-Dollar, die größte Beute, die 2016 bislang gemeldet wurde) mit dem durchschnittlichen Gewinn von BEC-Angriffen (140.000 US-Dollar) und dem potenziellen Gewinn bei BPC-Angriffen (81 Millionen US-Dollar) vergleichen, ist leicht zu erkennen, warum Cyberkriminelle oder selbst andere Drahtzieher von Bedrohungen, wie Schurkenstaaten, die mehr Kapital brauchen, mehr als bereit sein werden, diesen Weg einzuschlagen.


Abbildung 4: BEC- und BPC-Angriffe im Vergleich

Unternehmen haben nur begrenzt Einblick in die Risiken, die mit einem Angriff auf Geschäftsprozesse verknüpft sind. Bei der Sicherheit konzentriert man sich normalerweise darauf, dass Geräte nicht gehackt werden. Cyberkriminelle werden vollen Nutzen aus dieser verzögerten Wahrnehmung ziehen. Sicherheitstechnologien wie die Anwendungskontrolle können den Zugriff auf kritische Terminals versperren, während der Endpunktschutz schädliche Nebentätigkeiten bemerken können muss. Starke Richtlinien und Praktiken gegen Social Engineering müssen ebenfalls Teil der Unternehmenskultur sein.

5
Adobe und Apple werden Microsoft bei der Entdeckung von Plattform-Schwachstellen übertreffen.
Wir sagen voraus, dass neben Microsoft-Produkten auch mehr Software-Fehler bei Produkten von Adobe und Apple entdeckt werden.

Adobe übertraf Microsoft erstmals 2016 bei der Entdeckung von Plattform-Schwachstellen. Unter den im Rahmen der Zero-Day Initiative (ZDI) bis dato 2016 offengelegten Schwachstellen waren 135 Schwachstellen in Adobe-Produkten und 76 bei Microsoft-Produkten. 2016 war auch das bisherige Spitzenjahr für Apple® in Sachen Verwundbarkeit, denn bis November wurden 50 Schwachstellen offengelegt, im Vergleich zu 25 im Vorjahr.

Wir sagen voraus, dass neben Microsoft-Produkten auch mehr Software-Fehler bei Produkten von Adobe und Apple entdeckt werden. Außer der Tatsache, dass Microsoft-PC-Lieferungen in den letzten Jahren gesunken sind, denn immer mehr Nutzer entscheiden sich stattdessen für Smartphones und professionelle Tablets, machen es auch die Sicherheitstechnologien und Verbesserungen dabei Angreifern schwerer, mehr Schwachstellen in Microsoft-Systemen zu finden.


Abbildung 5: Microsoft-, Adobe- und Apple-Schwachstellen, offengelegt vom ZDI

Die Entdeckung von Adobe-Schwachstellen wird unweigerlich zur Entwicklung von Exploits führen, die sich dann in Exploit-Kits integrieren lassen. Exploit-Kits werden weiterhin Teil der Bedrohungslandschaft sein, doch Cyberkriminelle finden noch mehr Nutzanwendungen für sie als nur zur Übertragung von Ransomware. Die Nutzung von Exploit-Kits sank, nachdem der Ersteller des Exploit-Kits Angler verhaftet wurde, doch wie bei BlackHole und Nuclear übernehmen einfach andere Exploit-Kits.

Apple-Software wird wahrscheinlich ausgenutzt, denn mehr Nutzer kaufen Macs. Die Lieferungen von Macs in den USA stiegen, wodurch Apple einen größeren Marktanteil als im Vorjahr (engl.) erreichen konnte. Zusätzlich zu den Sicherheitsverbesserungen bei Microsoft fördert dieser Anstieg die Aufmerksamkeit von Cyberkriminellen auf Nicht-Microsoft-Alternativen noch weiter. Zudem unterstützt Apple das iPhone® 4S nicht mehr, weswegen wir mehr Exploits für Lücken sehen werden, die in unterstützten Versionen behoben wurden, um ähnliche Lücken zu finden, die in nicht unterstützten Versionen nicht mehr korrigiert werden.

Die Abschirmung von Schwachstellen ist der einzige Weg, sich proaktiv und zuverlässig gegen nicht gepatchte und Zero-Day-Schwachstellen zu schützen. Exploits sind eine vorhandene Realität für viele Unternehmen, besonders für diejenigen, die weiterhin nicht unterstützte, veraltete oder aufgegebene Software einsetzen. Daher wird die Rolle der Abschirmung von Schwachstellen besonders bei sehr beliebter und häufig eingesetzter Software wichtig, wie der von Apple und Adobe. Nutzer von Apple- und Adobe-Produkten sollten auch Endpunkte und mobile Geräte vor Malware schützen, die diese Schwachstellen ausnutzen.

6
Cyberpropaganda wird zum Standard.
Der Anstieg der Internetnutzung hat interessierten Parteien den Weg geöffnet, das Internet als kostenloses Werkzeug zur Beeinflussung der öffentlichen Meinung zu nutzen, um sie in die eine oder andere Richtung zu lenken.

2016 hat jetzt fast die Hälfte (engl.) der Weltbevölkerung (46,1 %) Zugang zum Internet, ob durch Smartphones, klassische Computer oder Internet-Cafés. Das bedeutet: Immer mehr Menschen haben jetzt schnellen und einfachen Zugang zu Informationen, ungeachtet ihrer Quelle oder Glaubwürdigkeit.

Der Anstieg der Internetnutzung hat interessierten Parteien den Weg geöffnet, das Internet als kostenloses Werkzeug zur Beeinflussung der öffentlichen Meinung zu nutzen, um sie in die eine oder andere Richtung zu lenken. Das Ergebnis der letzten Wahlen in verschiedenen Ländern zeigt die Macht der sozialen Medien und diverser Online-Informationsquellen, wenn es um politische Entscheidungen geht.

Vor kurzem haben wir gesehen, dass Plattfomen wie WikiLeaks für Propaganda genutzt werden – und hochgradig kompromittierende Materialien wurden nur eine Woche vor den US-Wahlen über die Site geleakt. In unserer dauerhaften Überwachung des Cyberkriminellen-Untergrunds haben wir auch bemerkt, dass Script-Kiddies ihre Verdienste durch gefälschte, wahlbezogene Nachrichten anpreisen. Sie behaupten, zirka 20 US-Dollar pro Monat durch Leiten von Datenverkehr auf erfundene Schmähinhalte über Wahlkandidaten zu verdienen. Es gibt auch vorhandene Gruppen dedizierter Cyberagenten, die für das Posten von Propaganda-Materialien auf Social-Media-Websites wie Facebook und LinkedIn bezahlt werden. Sie ziehen Nutzen aus der elektronischen Inhaltsfilterung der Plattformen, um die Sichtbarkeit ihres Inhalts zu vervielfachen.

Der Mangel an Kontrolle der Genauigkeit der Informationen, gekoppelt mit eifrigen Teilern, die Menschen mit gegenteiliger Ansicht umstimmen oder einfach ihre eigene Meinung unterstützen wollen, hat zur Beliebtheit dieser gefälschten Inhalte und Memes geführt. All dies macht es gewöhnlichen, unerfahrenen Internetnutzern schwer, zwischen Fakten und Fehlinformationen zu unterscheiden.

Die direkten Auswirkungen davon, dass Facebook und Google keine Werbung mehr auf Websites mit gefälschten Nachrichten anzeigen, und dass Twitter seine Stummschaltungs-Funktion ausgebaut hat, damit Benutzer sich aus missbräuchlichen Angriffen oder Gesprächen ausklinken können.

Die kommenden Wahlen in Frankreich und Deutschland, mit ähnlichen Folgen wie beim Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU), auch bekannt als Brexit, werden durch das beeinflusst, was über elektronische Medien geteilt und getan wird. Wir werden wahrscheinlich mehr sensible Informationen sehen, die bei Cyberpropaganda-Aktivitäten genutzt werden und aus Spionage-Operationen wie PawnStorm stammen.

Personen, die die öffentliche Meinung durch diese Mittel strategisch lenken, können Ergebnisse erzielen, die in ihrem Sinne sind. 2017 sehen wir mehr Nutzung und Missbrauch von sozialen Medien.

7
Die Umsetzung und Einhaltung der Datenschutz-Grundverordnung lässt die Verwaltungskosten in Unternehmen ansteigen.
Wie sagen voraus, dass die GDPR Änderungen an Richtlinien und Geschäftsprozessen für betroffene Unternehmen erzwingen wird, durch die die Verwaltungskosten beträchtlich steigen.

Die GDPR – die Reaktion der EU auf den Fanfarenstoß nach Datenschutz – betrifft nicht nur EU-Mitgliedsstaaten, sondern sämtliche Personen und Organisationen, die personenbezogene Daten von EU-Bürgern erfassen, verarbeiten und speichern. Zur Zeit der Durchsetzung im Jahr 2018 können Unternehmen bei Nichteinhaltung mit Strafen in Höhe von bis zu 4 % des Jahresumsatzes belegt werden.

Wie sagen voraus, dass die GDPR Änderungen an Richtlinien und Geschäftsprozessen für betroffene Unternehmen erzwingen wird, durch die die Verwaltungskosten beträchtlich steigen. Die GDPR erfordert unter anderem die folgenden Änderungen:

  • Ein Datenschutzbeauftragter ist jetzt Pflicht. Wir haben vorausgesagt, dass weniger als die Hälfte der Unternehmen bis Ende 2016 Datenschutzbeauftragte bestellt haben. Diese Prognose scheint genau gewesen zu sein. Das bedeutet: Ein großer, brandneuer Posten für die Einstellung, Schulung und Unterstützung eines neuen leitenden Mitarbeiters wird unter den Ausgaben des Unternehmens erscheinen.
  • Benutzer müssen über ihre neu umrissenen Rechte informiert werden, und Unternehmen müssen sichergehen, dass Benutzer ihre Rechte wahrnehmen können. Dieser Paradigmen-Wechsel, dass EU-Bürger Eigentümer ihrer personenbezogenen Daten sind und erfasste Daten daher nur „geliehen“ sind, wird die gesamten datenbezogenen Arbeitsabläufe beeinflussen.
  • Nur ein Mindestmaß an Daten, die zur Nutzung eines Dienstes erforderlich sind, dürfen erfasst werden. Unternehmen müssen ihre Praktiken zur Datenerfassung überprüfen und ggf. anpassen.

Diese Änderungen werden Unternehmen zwingen, eine umfassende Prüfung der Datenverarbeitung zu veranlassen, um Compliance sicherzustellen oder zu erreichen und EU-Daten vom Daten aus dem Rest der Welt zu trennen. Besonders schwer wird dies für multinationale Firmen, die erwägen müssen, ganz neue Datenspeichersysteme nur für EU-Daten zu erstellen. Sie müssen auch die Datenschutz-Klauseln ihrer Cloudspeicher-Anbieter überprüfen. Zur Durchsetzung der Compliance mit der GDPR müssen Unternehmen in eine umfassende Datenschutzlösung investieren, die u. a. die Schulung von Mitarbeitern umfasst.

8
Drahtzieher von Bedrohungen werden neue, zielgerichtete Angriffstaktiken erfinden, die die aktuellen Lösungen gegen Eindringlinge umgehen.
Wir sagen voraus, dass diese Lernkurve den Einsatz weiterer Methoden zur Folge haben wird, die hauptsächlich dazu gedacht sind, die meisten modernen, in den letzten Jahren entwickelten Sicherheitstechnologien zu umgehen.

Zielgerichtete Angriffskampagnen wurden zuerst vor knapp einem Jahrzehnt dokumentiert. Drahtzieher von Bedrohungen haben jetzt mehr Erfahrung, doch Netzwerk-Infrastrukturen sind im Großen und Ganzen gleich geblieben. Während wir die Bewegungen von Angreifern und ihre Fähigkeit, Tools, Taktiken und Vorgehensweisen (TTP) beobachten, um auf verschiedene Unternehmen in unterschiedlichen Ländern abzielen zu können, sagen wir voraus, dass bei zukünftigen zielgerichteten Angriffen neue und unerwartete Techniken in Erscheinung treten werden.

Wir sagen voraus, dass diese Lernkurve den Einsatz weiterer Methoden zur Folge haben wird, die hauptsächlich dazu gedacht sind, die meisten modernen, in den letzten Jahren entwickelten Sicherheitstechnologien zu umgehen. Drahtzieher von Bedrohungen haben beispielsweise zuerst ausführbare Dateien genutzt, sind dann auf Dokumente umgestiegen und setzen jetzt mehr Skript- und Batchdateien ein. Sie werden vermehrt die Erkennung von Sandboxes ausbauen, um festzustellen, ob ein Netzwerk unbekannte Dateien in eine Sandbox-Ressource verschiebt, und sogar Sandboxes angreifen oder überfluten. Wir sagen auch voraus, dass Ausbrüche aus virtuellen Maschinen (VM) zu hochpreisigen Komponenten fortgeschrittener Exploit-Ketten werden. VM-Ausbruchsfehler haben diverse weitere Angriffsanwendungen in der Cloud, abgesehen von der Sandbox-Umgehung.

Diese technischen Verbesserungen auf der Angreiferfront stellen höhere Anforderungen an IT- oder Sicherheitsadministratoren. Sie müssen Sicherheitstechnologien finden, die ihnen einen Gesamtüberblick verschaffen und volle Kontrolle über ihr gesamtes Netzwerk und den Daten-Arbeitsablauf geben und dabei nicht nur Indikatoren für Kompromittierung (IoC) ausmachen, sondern auch Indikatoren für einen andauernden Angriff.

Unbekannte Bedrohungen können entweder neue Varianten bekannter, existierender Bedrohungen sein, oder komplett unbekannte Bedrohungen, die erst noch entdeckt werden müssen. Sicherheitslösungen, die Machine Learning einsetzen, können zum Schutz gegen Ersteres genutzt werden, und mit Sandboxing lässt sich Letzteres in den Griff bekommen. Anstatt sich nur auf eine einzige Sicherheitsstrategie festzulegen, wird generationsübergreifende, mehrschichtige Technologie, die mit umfassender Erfahrung aus der Überwachung zielgerichteter Angriffe, Reaktion auf diese und der Einrichtung proaktiver Maßnahmen dagegen entwickelt wurde, extrem wichtig beim Kampf gegen diese Art Kampagnen.






Wie begegnen wir Angriffen offen?

Machine Learning ist keine neumodische Sicherheitstechnologie, kann aber ein wichtiges Element etwa beim Kampf gegen bekannte und unbekannte Ransomware-Bedrohungen und Exploit-Kit-Angriffe darstellen. Machine Learning wird durch ein mehrschichtiges System mit Eingaben von Menschen und Computern bereitgestellt, die mathematische Algorithmen durchlaufen. Dieses Modell wird dann auf den Netzwerkverkehr angesetzt, sodass ein Gerät schnelle und genaue Entscheidungen darüber treffen kann, ob der Netzwerkinhalt – Dateien und Verhaltensweisen – schädlich ist oder nicht.

Unternehmen müssen sich auch mit bewährtem Schutz gegen Technologien ausstatten, mit denen Drahtzieher von Bedrohungen ab 2017 einer Durchleuchtung entgehen wollen. Diese Herausforderung erfordert eine Kombination (anstatt einer einzelnen Wunderwaffe) aus verschiedenen Sicherheitstechnologien, die im gesamten Netzwerk verfügbar sein sollten, um eine vernetzte Bedrohungsabwehr zu ermöglichen. Technologien wie:

  • Erweiterte Antimalware (über Blacklisting hinaus)
  • Antispam und Antiphishing bei Web- und Messaging-Gateways
  • Web-Reputation
  • Einbruchs-Erkennungssysteme
  • Anwendungskontrolle (Whitelisting)
  • Inhaltsfilterung
  • Abschirmung von Schwachstellen
  • Mobile App-Reputation
  • Host- und netzwerkbasierte Intrusion Prevention
  • Hostbasierter Firewallschutz

Die meisten Bedrohungen von heute können durch ein Zusammenspiel der zuvor erwähnten Techniken erkannt werden, doch um Zero-Day und „unbekannte“ Bedrohungen rechtzeitig zu finden, müssen Unternehmen Verhaltens- und Integritätsüberwachung sowie Sandboxing einsetzen.

IoT birgt sowohl Risiken als auch praktischen Nutzen. Nutzer smarter Geräte sollten lernen, ihre Router abzusichern, bevor smarte Geräte über sie auf das Internet zugreifen dürfen. Sie sollten dann die Sicherheit beim Kauf eines neuen smarten Geräts mit in Betracht ziehen. Bietet es Authentifizierung und kann das Kennwort geändert werden? Lässt es sich aktualisieren? Kann es Netzwerkkommunikation verschlüsseln? Hat es offene Ports? Bietet der Hersteller Firmwareupdates?

Unternehmen, die Daten von EU-Bürgern erfassen, sollten einen Anstieg der Verwaltungskosten erwarten, wenn gravierende Prozessänderungen umgesetzt und Datenschutzbeauftragte angestellt werden müssen, um mit der GDPR konform zu sein. Eine gründliche Prüfung der Datenschutzstrategie eines Unternehmens hilft zudem, Audits zu bestehen.

Diese neuen Herausforderungen erfordern einen neuen Ansatz bei der Endpunktsicherheit, einen generationsübergreifenden Sicherheitsansatz, der bewährte Techniken zur Erkennung bekannter und unbekannter Bedrohungen mit fortgeschrittenen Schutztechniken wie der Anwendungskontrolle, der Verhinderung von Exploits und der Verhaltensanalyse, der Sandbox-Erkennung und hochperformantem Machine Learning kombiniert.

Die Schulung von Mitarbeitern bezüglich Social-Engineering-Angriffen und im Hinblick auf die neuesten Bedrohungen wie BEC vervollständigen die Sicherheitskultur, die zur Stärkung der Verteidigungslinien eines Unternehmens für das Jahr 2017 und darüber hinaus benötigt werden.

Bericht herunterladen (PDF)