Trend Micro - Securing Your Journey to the Cloud

one site fits all
Paradigmenwechsel: Sicherheitsprognosen für 2018 – Trend Micro


Paradigmenwechsel


Skills und Ressourcen — dies sind die beiden Elemente, die das Rüstzeug eines Angreifers ausmachen. Doch kann niemand Sicherheitsbarrieren überwinden oder eine Attacke starten, ohne vorher Schwachpunkte in einem System auszumachen. Massive Malware-Angriffe, über Mail gestartete Diebstähle, gehackte Geräte und unterbrochene Geschäftsprozesse — all dies erfordert als Ausgangspunkt für einen Angriff eine Schwachstelle im Netzwerk, sei es aufgrund von Technik oder Menschen.

Fakt ist auch, dass die Vernetzung zunimmt und Interaktionen über nicht richtig abgesicherte Netzwerke sich häufen. Darüber hinaus werden die Bedrohungen noch durch schlecht implementierte Technologie begünstigt. Daher wird Schutz, wo und wann immer es seiner bedarf, zum Rückgrat der Sicherheit in einer sich ständig ändernden Bedrohungslandschaft.

Digitale Erpressung wird 2018 das Kernelement der meisten cyberkriminellen Geschäftsmodelle darstellen und wird auch Inspiration zu weiteren finanziell lohnenden Szenarien sein. Schwachstellen in IoT-Geräten vergrößern die Angriffsfläche, denn sie werden immer weiter ins Gefüge von smarten Umgebungen eingepasst. Business E-Mail Compromise (BEC)- Betrugsszenarien werden mehr Organisationen dazu verführen können, ihr Geld herauszurücken. Auch Fake News und Cyberpropaganda bleiben im nächsten Jahr erhalten, und die Hintermänner nutzen dafür traditionelle cyberkriminelle Techniken. Machine Learning- und Blockchain-Verfahren treten mit großen Versprechungen aber auch Stolperfallen an. Unternehmen müssen sich zeitgerecht mit den Herausforderungen der Regularien der Datenschutzgrundverordnung (DSGVO) auseinandersetzen. Eine weitere Bedrohung für Organisationen entsteht durch Hintertüren in den internen Prozessen, die für Produktions-sabotage missbraucht werden können.

All diese Bedrohungen finden Eingang in die Gefahrenlandschaft 2018. Sie werden einen weiteren Beweis dafür liefern, dass die Tage der herkömmlichen Sicherheitslösungen vorbei sind und es einer neuen Sichtweise auf Security bedarf.

Trend Micro hat die derzeitigen und aufkommenden Bedrohungen analysiert, und auch die Sicherheitsansätze, die auf die neue Bedrohungslandschaft zugeschnitten sind.

DAS RANSOMWARE-GESCHÄFTS-MODELL WIRD AUCH 2018 HAUPT-STANDBEIN DER CYBERKRIMINELLEN SEIN, WÄHREND ANDERE FORMEN DER DIGITALEN EPRESSUNG ZUNEHMEN.

Für 2017 hatten wir vorhergesagt, dass Cyberkriminelle Ransomware mithilfe weiterer Angriffsmethoden diversifizieren werden. Dies hat sich leider bewahrheitet. Das zeigen auch Vorfälle wie die sich schnell verbreitenden Netzwerkattacken von WannyCry und Petya bzw. Not-Petya, die weit gestreuten Spam-Durchgänge von Locky und FakeGlobe oder die Watering Hole-Angriffe von Bad Rabbit auf osteuropäische Länder.

Wir gehen nicht davon aus, dass Ransomware bald verschwinden wird. Im Gegenteil, wir müssen damit rechnen, dass die Angriffe mit Erpressersoftware 2018 in weitere Runden gehen, auch wenn andere Arten der digitalen Erpressung mehr werden. Cyberkriminelle sind dazu übergegangen, wichtige Daten als Waffe einzusetzen, um die Opfer zum Bezahlen zu zwingen. Angesichts der bestehenden Angebote für Ransomware-as-a-Service (RaaS) in Untergrundforen, mit Bitcoin als sichere Inkassomethode für das Lösegeld, wird dieses Geschäftsmodell für Cyberkirminelle immer attraktiver.

Reife der Ransomware als Katalysator für digitale Erpressungskampagnen

Die Entwicklung der cyberkriminellen Taktiken der letzten Jahre zeigt, dass Cyberkriminelle nicht mehr wie früher versuchen, ihre Opfer dazu zu bringen, ihre Logindaten preiszugeben, sondern direkt auf das Geld zielen. Die frühen Online- Bedrohungen nutzten meist Infostealer und Schadsoftware, die Banktransaktionen kaperte, um private Informationen zu stehlen. Als nächstes kam eine Generation von Bedrohungen, die sich als Anti-Malware-Lösung (FAKEAV) tarnte und Nutzer überlistete, die Software herunterzuladen und dafür zu bezahlen, dass sie wieder auf ihre Computer zugreifen konnten. Ransomware ahmte dieses Verhalten von FAKEAV nach und übernahm die Bühne.

Der derzeitige Erfolg der Ransomware-Kampagnen wird Cyberkriminelle davon überzeugen zu versuchen, ihr Augenmerk auf Opfer zu richten, mit denen hohe Profite zu machen sind. Die Angreifer werden auch weiterhin auf Phishing-Kampagnen setzen, wobei Mails mit Ransomware Payload en masse verbreitet werden, um eine möglichst hohe Anzahl an Opfern zu erreichen. Sie werden auch mehr Geld haben wollen, indem sie eine einzelne Organisation anvisieren, möglicherweise in einer Industrial Internet of Things (IIoT)-Umgebung, wobei der Angriff den Geschäftsbetrieb unterbricht und die Produktion beschädigt. So geschehen bei den massiven Kampagnen von WannaCry und Petya, und es wird nicht mehr lang dauern, bis dies zum Plan eines Angriffs gehören wird.

Erpessung wird nochmals zunehmen, wenn die DSGVO in Kraft tritt. Cyberkriminelle könnten private Daten anvisieren, die unter die Grundschutzverordnung fallen, und dann die Unternehmen vor die Wahl stellen, Lösegeld zu zahlen oder die Strafe, die bis zu 4% des Jahresumsatzes betragen kann. Die Höhe des Lösegelds werden die Cyberkriminellen wohl entsprechend den öffentlich zugänglichen Finanzdaten des jeweiligen Unternehmens festlegen. Dies wird zu einer Steigerung der Zahl der Einbruchsversuche und Lösegeldforderungen führen. Darüber hinaus gehen wir davon aus, dass die DSGVO für Social Engineering- Taktiken missbraucht wird, so wie früher Copyright-Verletzungen und Polizeiwarnungen.

Nutzer und Unternehmen können sich gegen diese Versuche digitaler Erpressung schützen, indem sie effiziente Web- und Mail-Gateway-Lösungen als erste Verteidigungslinie einsetzen. Lösungen mit High- Fidelity Machine Learning, Verhaltensmonitoring und Schwachstellen-Shielding können Bedrohungen daran hindern, zum Ziel vorzudringen. Diese Fähigkeiten erweisen sich als besonders nützlich bei Ransomware- Varianten, die auf die Verbreitung ohne Dateien setzen, wo keine bösartige Payload oder Binaries vorhanden sind, die eine traditonelle Lösung erkennen könnte.

CYBERKRIMINELLE WERDEN NEUE MÖGLICHKEITEN SUCHEN, UM IoT-GERÄTE FÜR IHREN PROFIT ZU MISSBRAUCHEN.

Die massiven Mirai- und Persirai-Distributed-Denial-of-Service (DDoS)-Angriffe, die IoT-Geräte wie digitale Videorekorder (DVR), IP Kameras und Router kaperten, führten zu Diskussionen darüber, wie angreifbar und disruptiv diese mit dem Internet verbundenen Geräte sein können. Kürzlich war auch eine Steigerung beim Einsatz des IoT-Botnets Reaper festzustellen. Das auf Mirai-Code beruhende Botnet dient der Kompromittierung eines Geräte-Webs, welches sogar aus Geräten unterschiedlicher Hersteller besteht.

Wir gehen davon aus, dass Cyberkriminelle nicht nur DDoS-Angriffe auf IoT-Geräte durchführen, sondern sie auch für die Erstellung von Proxies interessant finden, um beispielsweise ihren Standort und den Webverkehr zu verschleiern – wissend, dass Polizeibehörden üblicherweise IP-Adressen und Logs für ihre Ermittlungen und forensischen Analysen nach einer Infektion nutzen. Ein großes Netzwerk anonymisierter Geräte (Default- Zugangsdaten und ohne Logs) könnte Cyberkriminellen als Startpunkt dienen, der immer wieder ihre Aktivitäten in einem kompromittierten Netzwerk erleichtert.

Wir werden auch eine Zunahme von IoT-Schwachstellen erleben, weil die meisten Hersteller Geräte auf den Markt bringen, bei deren Design Sicherheit nicht oder nur gering beachtet wurde (Secure by Design). Dieses Risiko wird dadurch noch erhöht, dass das Patchen von IoT-Geräten nicht so einfach wie das Patchen von PCs ist. Es reicht ein einziges unsicheres Gerät, das keinen Fix oder Update auf die neueste Version erhalten hat, um zum Eintrittspunkt zum zentralen Netzwerk zu werden. Der KRACK-Angriff führte vor, dass sogar eine drahtlose Verbindung an sich die Sicherheitsprobleme vergrößern kann. Diese Schwachstelle betrifft die meisten, wenn nicht alle Geräte, die sich mit dem WPA2-Protokoll verbinden, und das wiederum wirft die Frage nach der Sicherheit der 5G-Technologie auf, welche die mit dem Internet verbundenen Umgebungen überschwemmen wird.

Geräte, die zum Ziel von Unterbrechungen und Cyberkriminalität werden

Angesichts von Hunderttausenden Drohnen allein im US-Luftraum wird deren Überwachung zur Herausforderung. Wir erwarten, dass Berichte über Unfälle und Kollisionen im Zusammenhang mit Drohnen lediglich der Anfang sind. Es wurden bereits Hacker entdeckt, die auf Computer zugriffen, wichtige Informationen abgriffen und Lieferungen kaperten. Auch können weit verbreitete Geräte zu Hause wie etwa drahtlose Lautsprecher und Sprachassistenten Hackern die Möglichkeit bieten, die Adresse festzustellen und einzubrechen.

Auch wird es Fälle von Biohacking geben, etwa über Wearables und medizinische Geräte. Die Tracker von biometrischer Aktivität, wie Herzfrequenz-Monitore und Fitnessbänder, können angezapft werden, um Informationen über die Anwender zu erhalten. Sogar bei Herzschrittmachern wurden Schwachstellen entdeckt, die von möglicherweise fatalen Angriffen ausgenutzt werden können.

Anwender und Regulierungsbehörden sollten jetzt erkennen, dass nicht alle IoT-Geräte eingebaute Sicherheit haben, geschweige denn gehärtete Sicherheit. Die Geräte sind für Kompromittierung anfällig, es sei denn Hersteller führen regelmäßige Risk Assessments und Sicherheitsaudits durch. Nutzer sind ebenfalls dafür verantwortlich, ihre Geräte sicher aufzusetzen. Das kann bei einfachen Dingen wie dem Ändern des Default- Passworts und dem regelmäßigen Aufspielen von Firmware Updates beginnen.

WELTWEITE VERLUSTE DURCH BUSINESS EMAIL COMPROMISE-BETRUG WERDEN 2018 9 MRD $ ÜBERSCHREITEN.

Dem Federal Bureau of Investigation (FBI) zufolge wurde BEC-Betrug in mehr als hundert Ländern gemeldet und der Anstieg der Anzahl der Fälle mit bekannten Verlusten betrug zwischen Januar 2015 und Dezember 2016 2.370%. Das ist nicht weiter verwunderlich, ist doch BEC für Cyberkriminelle das, was Einbruchdiebstahl für „Offline“-Kriminelle ist. Es geht schnell, erfordert wenig Auskundschaften und bringt hohe Gewinne, abhängig vom Ziel – wie sich auch an den 5 Mrd.$ gezeigt hat.

Wir prognostizieren für 2018 ein Vielfaches an BEC-Vorfällen, die weltweit zu Verlusten von mehr als 9 Mrd.$ * führen werden. Diese Spitze in den vorhergesagten gemeldeten Verlusten kommt zum Teil durch mehr Awareness rund um das Thema BEC und die dafür genutzten Taktiken zustande. Dies wird zu einer besseren Identifizierung führen und dem häufigeren Reporting des Betrugs. Wir werden auch im nächsten Jahr BEC-Betrug erleben, der Führungskräfte von Firmen einbezieht, und diese dazu zu bringen versucht, Geld zu überweisen. Es gab bereits einen Anstieg bei BEC-Angriffen mit dem Versuch CEO-Betrug anzustiften. Auch ist die Tatsache interessant, dass BEC-Betrüger statt Keylogger einzusetzen, eher Phishing-PDFs und -Sites nutzen. Dies ist billiger als Keylogger mit Verschlüsselungs-Services. Über Phishing können sie Konten kompromittieren, und das bei niedrigeren Kosten.

Für BEC, als effizientes Mittel, um Geld zu scheffeln, spricht auch, dass es so einfach ist, die Hierarchie einer Zielorganisation herauszufinden (teilweise öffentlich vorhanden in sozialen Medien und Unternehmens-Websites) aber auch die Kürze von Mails. Es gibt noch eine weitere finanziell motivierte Unternehmensbedrohung, von der wir erwarten, dass Cyberkriminelle sie weiter aufgreifen: Business Process Compromise (BPC). Hier kundschaften die Cyberkriminellen die internen Prozesse einer Organisation aus, vor allem in der Finanzabteilung. Ziel ist es, interne Prozesse zu verändern (möglicherweise über unternehmensweite Lieferketten-Schwachstellen) und das Herz des Prozesses zu treffen. Doch erfordert diese Art von Angriff eine längerfristige Planung und mehr Arbeit. Deshalb wird BPC 2018 weniger Schlagzeilen produzieren.

BEC kann verhindert werden, wenn Mitarbeiter entsprechend geschult werden, denn die Angriffe gehen über Social Engineering. Deshalb sollten Unternehmen strenge Protokolle für interne Prozesse aufsetzen, vor allem wenn es um jegliche Art von Transaktion geht. Unternehmen jeder Größe sollten mehrfache Überprüfungen aufsetzen, wobei ein zweiter Kommunikationskanal, wie Telefon, dem Gegencheck dienen kann. Web- und Gateway-Lösungen, die eine genaue Erkennung von Taktiken des Social Engineerings und von gefälschtem Verhalten liefern, können ebenfalls vor BEC schützen.

*Die Summe von 9 Mrd. $ beruht auf der Berechnung des monatlichen Durchschnitts der berichteten Verluste zwischen Juni und Dezember 2016 und deren Multiplikation mit 12. Dabei wird davon ausgegangen, dass der Anstieg der berichteten BEC-Vorfälle und Opfer gleichmäßig ist.

CYBERPROPAGANDAKAMPAGNEN WERDEN ÜBER BEWÄHRTE TECHNIKEN AUS FRÜHEREN SPAM-KAMPAGNEN VERFEINERT.

Das Fake News-Dreieck besteht aus der Motivation, auf der die Propaganda aufgebaut ist, sozialen Netzwerken als Plattform für die Nachricht und den für die Verbreitung der Nachricht benötigten Tools und Services. Wir erwarten für 2018 die Verbreitung von Cyberpropaganda über bekannte Techniken: diejenigen, die früher für die Verbreitung von Spam über Mail und Web genutzt wurden.

Do-it-yourself (DIY) Kits in Form von Software etwa können automatisiert das Spamming über soziale Medien übernehmen. Sogar Black Hat Search Engine Optimization (SEO) ist auf Social Media Optimization (SMO) angepasst worden, mit einer Nutzerbasis von Hundertausenden, die Traffic auf verschiedenen Plattformen erzeugen können. Fragwürdige Inhalte können frei verbreitet und gar reale Proteste auslösen – von Spear- Phishing Mails, die an Außenministerien geschickt werden bis zu der unverfrorenen Nutzung von Dokumenten, die Autoritäten diskreditieren.

Fingierte Informationen können Unternehmen darüber hinaus in einem schlechten Licht erscheinen lassen und sogar deren Ruf und Geschäftserfolg schädigen. Forscher analysieren sogar Audio- und Videomanipulationstools, die dies alles realistisch echt aussehen lassen, um die Grenze zwischen echt und gefälscht weiter zu verwischen. Manipulierte politische Kampagnen werden auch künftig Schmierentaktiken einsetzen, um die öffentliche Wahrnehmung zu verändern. Für diese Zwecke halten die Untergrundmarktplätze viele Tools und Services bereit.

Die Wahlen in Schweden werden wohl kaum von solchen Versuchen der Einflussnahme auf das Wahlergebnis verschont bleiben. Ebenso wird das Interesse an den US-Zwischenwahlen 2018 ungebrochen sein, weil soziale Medien dazu missbraucht werden können, um kontroverse Nachrichten zu verbreiten, wie es bereits vorgeblich bei den letzten US-Präsidentschaftswahlen über die „Troll-Farm“ hinter einem Twitter-Konto eines Infuencer geschehen ist.

Jedesmal, wenn eine Fake News veröffentlicht und nochmals gepostet wird, gewöhnt sich der Leser, der denselben Inhalt mehrmals sieht, daran und hält ihn schließlich für wahr. Es wird schwierig, Fake News von wahren zu unterscheiden, denn die Hintermänner nutzen alte, verlässliche Techniken, die sich bewährt haben.

Fake News und Cyberpropaganda werden weiter gehen, denn bislang gibt es keine verlässliche Möglichkeit, manipulierte Inhalte zu erkennen oder zu blocken. Soziale Mediendienste, vor allem Google und Facebook, haben schon versprochen, gegen falsche Nachrichten vorzugehen, doch bislang ist die Wirkung überschaubar. Daher bleibt die letztendliche Prüfung dem Nutzer selbst überlassen. Doch so lang Nutzer nicht gelernt haben, eine falsche Nachicht zu erkennen, bleiben die Inhalte online und werden von Lesern naiv konsumiert.

BEDROHUNGSAKTEURE WERDEN AUF MACHINE LEARNING- UND BLOCKCHAIN-TECHNOLOGIEN SETZEN, UM IHRE VERSCHLEIERUNGSTAKTIKEN ZU ERWEITERN.

Wissen, was unbekannt ist. Dies ist eines der Kernversprechen von Machine Learning, der Prozess, durch den Computer trainiert doch nicht vorsätzlich programmiert werden. Für eine relativ neue Technologie erweist sich die Technik als vielversprechend. Bereits jetzt ist klar, dass Machine Learning nicht das A und O der Datenanalyse und Insight ist. Die Technologie erlaubt es Computern, anhand großer Datenmengen zu lernen. Das aber bedeutet, dass Machine Learning nur so gut und genau sein kann, wie der Kontext, den die Technik zur Verfügung hat.

In der Zukunft wird Machine Learning zur Schlüsselkomponente von Sicherheitslösungen werden. Während die Technik hohes Potenzial für genauere und gezieltere Entscheidungen mitbringt, stellt sich die wichtige Frage, ob Machine Learning von Malware überlistet werden kann.

Wir fanden heraus, dass die CERBER Ransomware einen Loader verwendet, den bestimmte Machine Learning- Lösungen nicht erkennen, weil die Schadsoftware so verpackt ist, dass sie nicht bösartig aussieht. Dies ist vor allem für Software problematisch, die auf Machine Learning vor der Ausführung (pre-execution) setzt, also auf Analyse ohne Ausführung oder Emulierung. Im Fall etwa der UIWIX Ransomware (eine WannaCry-Nachahmung) gab es keine Datei, die Pre-Execution Technik hätte erkennen und blocken können.

Machine Learning mag ein mächtiges Tool sein, doch ist es nicht narrensicher. Angesichts der Tatsache, dass Forscher bereits dessen Möglichkeiten im Monitoring von Verkehr und bei der Identifizierung möglicher Zero- Day Exploits erkunden, ist es nicht so weit hergeholt anzunehmen, dass Cyberkriminelle dieselben Fähigkeiten nutzen, um selbst die Zero-Days schneller zu finden. Auch ist es möglich, Machine Learning Engines zu täuschen, wie die Manipulation von Verkehrszeichen gezeigt hat, die dann von selbstfahrenden Autos anders interpretiert wurden. Auch haben Forscher schon die Schwachpunkte des ML-Modells vorgeführt, die die Gegner für ihre Zwecke nutzen können.

Obwohl maschinelles Lernen definitiv zur Verbesserung des Schutzes beiträgt, sind wir der Meinung, dass die Technologie die Sicherheitsmechanismen nicht vollsätndig ersetzen sollte. Sie sollte als zusätzliche Sicherheitsebene in eine tiefgreifende Verteidigungsstrategie eingefügt werden und nicht als Allheilmittel betrachtet werden. Eine mehrschichtige Verteidigung mit End-to-End-Schutz, vom Gateway bis zum Endpunkt, ist in der Lage, sowohl bekannte als auch unbekannte Bedrohungen abzuwehren.

Blockchain ist eine weitere aufkommende Technologie, die das Zeug dazu hat, Geschäfte zu verändern, die aber auch bereits missbraucht wird. Blockchain hat im Zusammenhang mit digitalen Kryptowährungen eine Menge Wirbel ausgelöst und gilt als eine Form unfehlbarer Sicherheit. Der dezentralisierte Ledger soll innerhalb der nächsten fünf bis zehn Jahre weite Verbreitung erfahren. Bereits heute gibt es viele Initiativen auf der Basis von Blockchain, von Technologie- und Finanz-Startups über Großunternehmen bis zu ganzen Regierungen – alle mit dem Ziel Geschäftsmodelle zu revolutionieren.

Blockchain funktioniert über den Konsensus der Teilnehmer, sodass nicht autorisierte Änderungen oder vorsätzliche Manipulation schwierig ist. Je mehr Transaktionen stattfinden, desto komplexer und verwirrender wird die Kette. Diese Verschleierung kann aber auch als Chance für Cyberkriminelle gewertet werden, die nach Möglichkeiten suchen, ihre Angriffsvektoren zu verbessern. Es ist ihnen bereits gelungen im Ethereum DAO Hack, einen Verlust von mehr als 50 Mio. $ in digitaler Währung zu verursachen.

Wie bei den meisten vielversprechenden neuen Technologien, die als sicher galten, müssen auch Machine Learning und Blockchain aufmerksam beobachtet werden.

VIELE UNTERNEHMEN WERDEN BZGL. DER EUROPÄISCHEN DATENSCHUTZGRUNDVERORDNUNG ERST DANN AKTIV WERDEN, WENN ES DIE ERSTEN AUFSEHEN ERREGENDEN GERICHTLICHEN VERFAHREN GIBT.

Die EU wird die DSGVO definitiv im Mai 2018 in Kraft setzen, und sie wird weitreichende Auswirkungen auf das Handling der Daten in den Unternehmen, die Daten von europäischen Bürgern vorhalten, haben – auch wenn besagte Unternehmen außerhalb der EU sind. Unsere Forschung hat gezeigt, dass die Mehrheit der C-Level Führungskräfte (in 57 % der Unternehmen) die Verantwortung für die Compliance zur DSGVO nicht scheuen, wobei einige gar nicht wissen, was persönlich identifizierbare Informationen (PII) sind. Viele zeigen sich von den hohen Strafen unbeeindruckt.

Nachzügler werden wohl die Wucht der DSGVO zu spüren bekommen, sobald sie Strafen zahlen müssen. Die Hüter der Vertraulichkeit der Daten können die Geschäftstätigkeit empfindlich stören, wenn sie Unternehmen daran hindern, bestimmte Daten zu verarbeiten. Auch besteht die Gefahr von Gerichtsverfahren, die sowohl von Behörden als auch von Bürgern selbst angestrengt werden können.

Hätte der Dateneinbruch bei Equifax beispielsweise nach dem Inkrafttreten der DSGVO stattgefunden, so wäre bei der amerikanischen Wirtschaftsauskunftei eine saftige Strafe fällig gewesen, weil auch einige Bürger Großbritanniens betroffen waren.

Auch Uber hätte eine erhebliche Strafe erwartet, denn der internationale Online Taxidienst machte den Datendiebstahl erst ein Jahr nach dem Vorfall öffentlich. Fehlende Compliance bzgl. der Diebstahlsbenachrichtigung bestrafen die EUWächter mit bis 20 Mio.€ oder mit bis zu 4% des jährlichen Gesamtumsatzes, je nachdem welche Summe höher ist.

Sobald die DSGVO in Kraft ist, werden Unternehmen die Bedeutung eines dedizierten Data Protection Officer (DPO) erkennen, der über die Datenverarbeitung und das Monitoring wacht. DPOs werden vor allem in Unternehmen und Industrien gebraucht, die mit sensiblen Daten umgehen. Unternehmen werden ihre Datensicherheitsstrategie überarbeiten müssen, einschließlich einer Klassifizierung der Art ihrer Daten und der Unterscheidung zwischen EU-Daten und solchen aus den übrigen Regionen.

Andere Regionen werden ihre Datenverordnungen anpassen und ähnliche Frameworks aufsetzen mit einem weitreichenden Wirkungsgrad und härteren Strafen bei fehlender Compliance. Die US Food and Drug Administration (FDA) hat bereits einige europäische Arzneimittelaufsichtsbehörden ausgewählt, um die eigenen Inspektionen zu verbessern Australien ist dabei, die eigenen Gesetze zum Reporting von Datendiebstählen auf Basis des Privacy Amendment (Notifiable Data Breaches) Act 2017 zu verbessern, und auch Großbritanniens Data Protection Bill wird gerade überarbeitet, um den EU-Gesetzen nach dem Brexit zu entsprechen. Auch muss sich erweisen, wie bindend der EU-US Privacy Shield Deal ist, trotz der von der EU geäußerten Bedenken.

UNTERNEHMENSANWENDUNGEN UND PLATTFORMEN SIND DURCH MANIPULATION UND SCHWACHSTELLEN GEFÄHRDET.

Die Risiken in heutigen Umgebungen, in denen cyber-physikalische Systeme und Produktionsprozesse im Rahmen von Industrie 4.0 mehr und mehr softwaredefiniert und miteinander verbunden sind, können aus mehreren Bereichen stammen. Das Konzept eines digitalen Zwillings, einer virtuellen Replik oder die Simulation von reeller Produktion oder Prozessen ermöglicht es Unternehmen, Performanceprobleme zu lösen, die in realen physikalischen Assets entstehen können. Wir sind der Meinung, dass das Produktionsnetzwerk zwar den Betrieb verändern wird, aber auch durch bösartige Akteure infiltriert werden kann, mit dem Ziel das System zu manipulieren und Betriebsunterbrechungen zu verursachen. Durch Manipulation des digitalen Zwillings, können die Kriminellen die Produktionsprozesse legitim aussehen lassen, obwohl sie diese modifiziert hatten.

Darüber hinaus sind auch Produktionsdaten, die direkt oder indirekt über Manufacturing Execution Systems (MES) an SAP oder andere ERP-Systeme weitergegeben werden, ebenfalls in Gefahr, kompromittiert zu werden. Wird ein manipuliertes Daten-Item oder ein falscher Befehl an ein ERP-System gesendet, so werden Maschinen anfällig für Sabotage und führen fehlerhafte Entscheidungen durch. Etwa die Lieferung einer ungenauen Anzahl von Waren, nicht beabsichtigte Geldtransaktionen, oder sogar eine Überlastung des Systems ist möglich.

Nicht allein Unternehmenssysteme werden 2018 anvisiert werden. Wir gehen davon aus, dass es auch weiterhin Sicherheitsfehler in Adobe- und Microsoft-Plattformen gibt. Besonders interessant wird auch das erneute Interesse an Browser-basierten und Server-Side-Schwachstellen.

Jahrelang wurden die Sicherheitslücken in wohlbekannten Browser-Plugins wie Adobe Flash Player, Oracle Java und Microsoft Silverlight aufs Korn genommen. Unsere Prognose für 2018 ist, dass die Schwächen in JavaScript Engines die modernen Browser selbst bedrängen werden. Angefangen mit Google Chromes V8 Crashing- Problemen bis zu Microsoft Edge Chakra als Open Source JavaScript-basierten Browser-Schwachstellen werden sie alle 2018 wieder gehäuft auftauchen.

Angreifer werden sich auch wieder auf Server-Side-Schwachstellen konzentrieren, um bösartige Payloads abzulegen. Wir denken, dass die Server Message Block (SMB) und Samba Exploits, die bereits für Ransomware verwendet wurden, noch häufiger ausgenutzt werden. Vor allem SMB-Schwachstellen können ohne direkte Interaktion mit dem Nutzer missbraucht werden. Tatsächlich wurde die SMB-Sicherheitslücke im EternalBlue Exploit verwendet. Er beschädigte während der WannaCry und Petya Ransomware-Angriffe viele Netzwerke unter Windows. Auch das quelloffene Samba unter Linux ist ähnlich in der Lage, die Sicherheitslücken im SMBProtokoll auszunutzen.

Angriffe auf Produktionsprozesse mit SAP und ERP zeigen, dass Unternehmen die Sicherheit der damit verbundenen Anwendungen angehen müssen. Der Zugriff auf die Anwendungen muss verwaltet und überwacht werden, um nicht autorisierten Zugang zu verhindern.

Für Nutzer und Unternehmen ist es empfehlenswert, regelmäßig nach Software-Updates zu suchen und die Patches umgehend aufzuspielen. Wenn dies in manchen Fällen nicht möglich ist, so sollten Administratoren auf integriertes Schwachstellen-Shielding in den Systemen zurückgreifen, damit die Plattformen vor ungepatchten und Zero-Day-Lücken geschützt sind. Netzwerklösungen sollten zudem mit dem Internet verbundene Geräte vor möglichen Eindringlingen sichern, etwa mit virtuellem Patching und proaktivem Monitoring des Webverkehrs.



Sicherheit aufsetzen 2018

Angesichts der Vielfalt der Bedrohungen heute und auch in 2018 – von Schwachstellen und Ransomware bis Spam und gezielten Angriffen – lautet die beste Empfehlung an Unternehmen, alles zu tun, um das Risiko der Kompromittierung auf allen Ebenen zu minimieren.

Bessere Einsichten und eine mehrschichtige Verteidigung

Um heutige Bedrohungen zu bekämpfen und gegen künftige gefeit zu sein, sollten Unternehmen Sicherheitslösungen einsetzen, die Einsichten über alle Netzwerke hinweg ermöglichen und Erkennung und Schutz vor Schwachstellen und Angriffen in Echtzeit liefern. Jegliches Eindringen und/oder die Kompromittierung von Assets werden mit einer dynamischen Sicherheitsstrategie vermieden, die generationsübergreifende Techniken für jede entsprechende Bedrohung liefert. Zu diesen Sicherheitstechnologien gehören folgende:

  • Scanning in Echtzeit. Aktive und automatisierte Scans ermöglichen hoch effizientes Erkennen von Schadsoftware sowie eine verbesserte Performance.
  • Web- und Mail-Reputation. Malware-Erkennung und -Verhinderung über Webreputation, Anti-Spam- Techniken und Anwendungskontrolle schützen Nutzer vor Ransomware und Exploits.
  • Verhaltensanalyse. Fortgeschrittene Malware und Techniken, die traditionelle Verteidigungsmechanismen vermeiden, werden proaktiv erkannt und geblockt.
  • High-Fidelity Machine Learning. Menschlicher Input angereichert mit Daten der Bedrohungsintelligenz erlaubt schnelle Erkennung und genaue Verteidigung gegen bekannte und unbekannte Bedrohungen.
  • Endpoint-Sicherheit. Sicherheit, die Sandboxing, Breach Detection sowie Endpoint- Sensorenfähigkeiten einsetzt, erkennt verdächtige Aktivitäten und verhindert Angriffe sowie laterale Bewegungen innerhalb des Netzwerks.

Best Practices und nachhaltiger Schutz für Endanwender

In der heutigen vernetzten Welt ist es normal, verschiedene Geräte und Anwendungen für den Zugriff auf Informationen einzusetzen. Unabhängig vom Gerät, der Anwendung oder dem Netzwerk sind Nutzer in der Lage, die Lücken in der Sicherheit durch Konfigurationsänderungen zu schließen:

  • Ändern des Default Passworts. Es sollten eineindeutige und komplexe Passwörter für smarte Geräte, vor allem für Router, gewählt werden, um Hackern möglichst wenig Angriffsfläche zu bieten.
  • Geräte sicher aufsetzen. Die Default-Einstellungen der Geräte müssen geändert werden, um Vertraulichkeit zu gewährleisten. Verschlüsselung muss eingeführt werden, um nicht autorisiertes Monitoring sowie den Missbrauch von Daten zu verhindern.
  • Patches zeitnah anwenden. Updaten der Firmware auf die jeweils neueste Version (oder die Auto- Update Funktion aktivieren, falls vorhanden), um Sicherheitslücken möglich zeitnah zu schließen.
  • Anwenden von Social Engineering-Taktiken. Vorsicht bei eingehenden Mails und besuchten Sites, denn sie können für Spam, Phishing, Malware und gezielte Angriffe missbraucht werden.

Unternehmen und Nutzer schaffen für sich höhere Sicherheit, wenn die eingesetzten Schutzmechanismen den gesamten Lebenszyklus der Bedrohung abdecken und mehrere Sicherheitsschichten vorhanden sind. Eine zusammenhängende Verteidigung – vom Mail- und dem Web-Gateway bis zum Endpunkt – gewährleistet einen maximalen Schutz. Eine „Connected Threat Defense“ gewährleistet auch 2018 und darüber hinaus ein Maximum an Schutz vor den sich stetig ändernden Bedrohungen.