Troy Gill, Manager of Security Research bei AppRiver, hat sich ausführlich mit dem Thema Cyber-Bedrohungen beschäftigt und die Top 10 der für 2016 zu erwartenden Bedrohungen zusammengestellt. Darunter befinden sich alte Bekannte wie Malware, die sich weiter spezialisieren wird, sowie Kriege, die zunehmend mit anderen Mitteln geführt werden. Aber auch das Internet der Dinge, Wearables, mobile Zahlungssysteme und das Tor-Netzwerk werden zu Einfallstoren für Datenschutzverletzungen aller Art.
Dabei werden die Angriffe Gill zufolge nicht nur ausgefeilter, sie lassen sich auch immer schwerer aufdecken. Security-Experte Gill hat deshalb noch einige Tipps zusammengestellt, wie man sich im Vorfeld besser schützen kann.
Malware
Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyber-Kriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen.
Zudem entwickeln findige Angreifer neuartige Varianten von Ransomware. Sie reagieren äußerst schnell und beweglich, beispielsweise wenn es darum geht Zero-Day-Schwachstellen zeitnah auszunutzen. Unglücklicherweise gibt es keinen einfachen Weg, um sich gegen Ransomware zu schützen. Allerdings ist es laut Gilt auch kein guter Rat, die geforderten Zahlungen zu leisten. Aus zwei Gründen: Zum einen belohnt es die Angreifer und zeigt dass die Methode tatsächlich funktioniert. Zum anderen gibt es keinerlei Garantie, dass ein Opfer tatsächlich den Schlüssel erhält und wieder auf die gesperrten Daten zugreifen kann. Vorbeugen ist hier besser als heilen, auch wenn es derzeit keine hundertprozentig sichere Abwehrmöglichkeit gibt.
Unternehmen können aber mit folgenden Ratschlägen ihre Angriffsfläche signifikant verringern:
Halten Sie Betriebssysteme und Software immer auf dem letzten Stand
Verzichten Sie nicht auf IT-Sicherheitsmaßnahmen und installieren Sie Firewalls, IDS, Spam-, Viren und Webfilter
Um Attacken frühzeitig als solche zu identifizieren, setzen Sie auf regelmäßige Schulungen und Awareness-Trainings
Etablieren Sie eine umfassende Backup-Strategie, so dass Sie im Fall des Falles die verschlüsselten Dateien wiederherstellen können
Datenschutzverletzungen
Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyber-Kriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen.
Dazu haben einerseits die bekannt gewordenen Datenschutzverletzungen beigetragen, aber auch die Freigiebigkeit, mit der viele ihre Daten auch weiterhin in den sozialen Medien preisgeben. Das Zusammenspiel von Daten aus diesen beiden Quellen wird ein ganz entscheidender Bestandteil für die zu erwartenden hochspezialisierten Angriffe sein. Angriffe, deren Ziel es unter anderem sein wird, die Chipkarten-Technologie zu umgehen.
Der Cyber-Krieg
Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. Diese Taktik der "boots at home" wird erwartungsgemäß einer der ersten Schritte innerhalb der Kriegsführung sein. Sei es um zusätzliche Erkenntnisse zu gewinnen oder sei es um vorab Infrastrukturen und Kommunikationssysteme außer Gefecht zu setzen.
IOT, Wearables & TOR
Internet of Things (IoT)
Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist. So ist es nicht besonders überraschend, dass wir mit der weiteren Verbreitung von iOS zunehmend gegen dieses Betriebssystem gerichtete Angriffe beobachten. Ein Beweis dafür, dass kein System wirklich immun ist.
Existiert eine Schwachstelle in welchem populären Betriebssystem auch immer, wissen Hacker davon, und es ist nur eine Frage der Zeit bis die entsprechende Lücke ausgenutzt wird. Es ist höchst problematisch, dass die meisten Benutzer Sicherheits-Updates und Patches nicht sofort installieren und dadurch ihre Systeme gefährden.
Die beste Empfehlung ist, sicherzustellen, dass alle Benutzer die aktuellste Version des Betriebssystems eingespielt haben, inklusive der letzten Firmware- und Software-Updates. In vielen Fällen werden Sicherheitsschwachstellen gefunden und Patches zügig veröffentlicht. Sie zeitnah zu installieren, kann also den Unterschied ausmachen, ob man einem Angriff zum Opfer fällt oder nicht. Schulungen wie man sich sicher im Internet bewegt und wie man verdächtige Links als solche identifizieren kann tragen ebenfalls dazu bei die Angriffsfläche zu verringern.
BYOD
Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter.
Gleichzeitig sollten die Mitarbeiter noch so viele Freiheiten haben, dass sie wirklich von BYOD in ihrem Arbeitsalltag profitieren. Diese Balance zu finden ist oftmals nicht ganz einfach, stellt aber sicher, dass Unternehmen ausreichend geschützt sind und Mitarbeiter gleichzeitig optimale Arbeitsbedingungen vorfinden. Es ist leichter gesagt als getan, solche Policies umzusetzen, trotzdem ist es alternativlos.
Wearables
Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen.
Trotzdem fragen sich immer mehr Menschen in einer Welt der Datenschutzverletzungen wo eigentlich alle diese Daten letztendlich gespeichert sind und wozu genau sie benutzt werden (sollen). Zumindest kann man mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass ein Großteil dieser Daten sich in sehr individuellen und zielgerichteten Marketing-Kampagnen wiederfindet.
TOR
Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art. Selbst Vereinigungen wie solche, die hinter Ransomware wie Cryptolocker stehen, haben begonnen ihre Erpressungen über TOR mit Krypto-Währungen wie BitCoin abzuwickeln. Das hilft sich gegenüber Behörden und Opfern gleichermaßen zu tarnen.
Intelligente Malware wird zudem versuchen, ihre Aktivität besser zu verschleiern, in dem sie weniger traditionelle Dienste nutzt, wie zum Beispiel TOR oder andere P2P-Netze. Initiativen wie jüngst von Facebook in Zusammenhang mit TOR werden möglicherweise weitere renommierte Unternehmen motivieren ähnliches zu tun. Unternehmen, die ihren Nutzer eine anonyme Zugriffsmöglichkeit bieten wollen. Auch um neue Nutzergruppen anzuziehen, die ansonsten eher zögerlich sind, solche Netze auszuprobieren. Man sollte sich dieser Möglichkeiten bewusst sein, bevor man sich entschließt TOR zu verwenden und die notwendigen Vorkehrungen treffen. Unternehmen können beispielsweise im Rahmen der Sicherheitsrichtlinien die Installation von TOR einschränken. Auch hier zahlt es sich aus aufmerksam zu sein und zu beobachten, was im Netzwerk vor sich geht.
Unbekannte Schwachstellen
Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert. Das gilt für Heartbleed in SSL-basiertem Datenverkehr ebenso wie für die äußerst langlebige Bash-Sicherheitslücke Shellshock. Solche Schwachstellen zu finden, wird eines der großen Ziele im Jahr 2016 bleiben. Und zwar für beide Seiten: Für Angreifer und für IT-Sicherheitsspezialisten.
Mobile Zahlungssysteme & Cloud-Speicher
Mobile Zahlungssysteme
Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig.
Nicht zuletzt aufgrund von Sicherheitsrisiken und Bedenken. Allerdings kann man davon ausgehen, dass diese Mängel in Kürze behoben sind und mobile Zahlungssysteme sich dann langsamer, aber dafür kontinuierlich innerhalb der kommenden Jahre im Handel etablieren werden. Leider sind dank der frühen und erfolgreichen Datenschutzverletzungen und Attacken (wie auf das CurrentC-Zahlungssystem, bei der E-Mail-Adressen gestohlen wurden) weitere zielgerichtete Angriffe auf mobile Zahlungssysteme und die zugrundeliegende Architektur zu erwarten.
(Private) Cloud-Speicher
Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.
Unternehmen sollten den Zugriff auf diese Ordner beschränken. Der Zugriff sollte nur denjenigen Mitarbeitern erlaubt sein, die ihn benötigen, um ihre Arbeit zu erledigen. Diese Maßnahme hilft Datenverluste zu minimieren, sowohl unbeabsichtigte wie beabsichtigte. Wählen Sie sorgfältig aus, von welchen Endgeräten aus Mitarbeiter auf die Cloud zugreifen dürfen, und welche Art der Verschlüsselung Sie einsetzen, um zu verhindern, dass Geräte sich mit potenziell unsicheren Netzwerken verbinden.
Praxis-Tipps zur Bekämpfung
Das sind zehn der wichtigsten Bedrohungsszenarien, die Gill für das neue Jahr erwartet. Ausgefeilte Attacken werden dabei weiter zunehmen und zunehmend schwieriger aufzudecken sein. Nach Erfahrungen des Sicherheitsexperten haben sich folgende Tipps in der Praxis bewährt, um die eigene IT zu schützen:
Schulen Sie die Nutzer im Blick auf Trends in der aktuellen digitalen Bedrohungslandschaft wie zum Beispiel Phishing-Kampagnen, Malware und böswillige Webseiten.
Verwenden Sie immer einen mehrstufigen Sicherheitsansatz. Das ist der beste Weg, um sein Unternehmen von allen Seiten so gut wie möglich zu schützen. Viren- und E-Mail-Filter sind ein guter Anfang, sie schützen aber nicht vor webbasierter Malware und umgekehrt.
Wenn Sie den Hackern einen Schritt voraus sein wollen, sichern Sie potenzielle Schwachstellen im Unternehmen so gut wie irgend möglich ab.
Spielen Sie sämtliche Firmware- und Software-Updates unmittelbar ein; oftmals enthalten Sie Patches für bekannte Sicherheitsschwachstellen und -lücken. Je länger Sie mit dem Einspielen warten, desto verwundbarer wird Ihr Netzwerk im Hinblick auf Malware.
Hat eine Hard- oder Software seitens des Herstellers ihr End of Life erreicht, wird in der Regel der Support eingestellt und es werden keine Sicherheits-Patches mehr ausgebracht. Dann wird es Zeit für ein Upgrade. Auch wenn das auf den ersten Blick hohe zusätzliche Kosten verursacht, bewahrt es Sie doch unter Umständen vor weit höheren Kosten im Falle einer Datenschutzverletzung. Von der verlorenen Arbeitsleistung, möglichen Rufschädigung und juristischen Kosten ganz zu schweigen.