Aktuelle Cyber-Gefahren und Trends 2017

Die Zeiten, in denen sich Unternehmen vor allem vor Script-Kiddies und Hobby-Hackern schützen mussten, sind lange vorbei. Heute sind die Cyber-Kriminellen immer häufiger selbst wie ein straff geführtes Unternehmen organisiert, in dem sich verschiedene Personen und Abteilungen um bestimmte Bereiche kümmern. Wie in einem echten Unternehmen sind ihre Ziele dabei vor allem finanzieller Natur. Alles was Geld und Erfolg verspricht, wird auch durchgeführt und immer weiter verbessert.

Feind Nummer Eins: Ransomware

Eine besondere "Erfolgs-Story" der vergangenen Jahre ist die Ransomware. Die ersten Erpresser-Trojaner richteten sich noch vor allem an Privatanwender, die vergleichsweise leicht hereinzulegen sind. Heute stehen dagegen Unternehmen im Fokus der Erpresser. Erst schleusen sie ihre Malware ein, verschlüsseln und löschen wertvolle geschäftliche Daten und verlangen anschließend ein "Lösegeld". Die von ihnen verwendeten Techniken werden dabei immer ausgefeilter. Während sich frühe Ransomware teilweise noch relativ einfach überlisten lies, so dass etwa Entschlüsselungs-Tools bereitgestellt werden konnten, ist dies heute kaum noch möglich. Die Opfer haben dann - sofern es kein funktionierendes Backup gibt - nur noch die Wahl, entweder zu zahlen und damit die Kriminalität weiter zu fördern oder ihre verlorenen Daten abzuschreiben.

Die Bedrohung durch Ransomware ist eines der wichtigsten Themen, das praktisch alle befragten Branchenexperten nennen. So weist etwa Holger Suhl, General Manager DACH bei Kaspersky Lab, darauf hin, dass sich Ransomware-Attacken auf Unternehmen im Jahr 2016 um das Dreifache erhöht haben. "Im Oktober des vergangenen Jahres fand weltweit alle 40 Sekunden ein Cyber-Erpressungsangriff auf ein Unternehmen statt", nennt Suhl ein besonders schockierendes Beispiel. Er warnt zudem davor, dass es 2017 zunehmend schwieriger werden wird, Aussagen darüber zu treffen, wer hinter einer Cyber-Attacke steht. Die Gründe dafür seien nicht nur maßgeschneiderte Angriffe, sondern auch "Attacken unter falscher Flagge und Infizierungen, die nur von kurzer Dauer sind".

Raphael Labaca Castro, Security Researcher bei Eset Deutschland, stimmt Suhl zu. "Ransomware ist ganz klar unser Favorit. Das kriminelle Geschäft um Verschlüsselungstrojaner wie Locky, TorrentLocker, Jigsaw, TeslaCrypt und Crysis hat sich 2016 als sehr lukrativ erwiesen." Aber der Kampf ist seiner Ansicht nach noch nicht verloren. Immerhin habe man für TeslaCrypt und Crysis Entschlüsselungs-Tools entwickeln können, "um die Nutzer aus der Geiselhaft zu erlösen". Ins selbe Horn stößt Helmut Nohr, Channel Sales Director bei Sophos Deutschland: "Ransomware wird ein Übel bleiben und tendenziell zunehmen." Man müsse allerdings berücksichtigen, dass "die allermeisten Unternehmen nicht von den Hypes gefährdet sind, sondern durch Alltags-Hacks wie zum Beispiel Passwortklau oder Phishing-Mails". Nohr empfiehlt, dass "wir uns wieder mehr auf die grundsätzlichen IT-Sicherheitsregeln konzentrieren". Dazu sei eine stringente IT-Security-Strategie die wichtigste Voraussetzung.

Die wichtigsten Verbreitungswege für Ransomware sind laut Sven Janssen, Regional Director Central Europe bei SonicWall Deutschland, Spam-Mails, Drive-by-Infektionen und Schwachstellen in Web-Servern. Das Thema gewinne weitere Brisanz, weil viele Verbindungen ins Internet zunehmend verschlüsselt seien. "Die Abwehrmaßnahmen haben keinen Zugriff auf die verschlüsselte Verbindung und greifen deswegen erst, wenn die Schadsoftware schon im Unternehmen ist", so Janssen. Dann sei es aber meist zu spät. "Ransomware greift ein Unternehmen von Innen an", warnt der Sicherheitsexperte.

Mit ganz neuen Dimensionen bei der Bedrohung durch Ransomware in diesem Jahr rechnet Michael Haas, Area Sales Director Central Europe bei WatchGuard Technologies: "Künftig werden sich entsprechende Schadprogramme - ähnlich wie Netzwerkwürmer - über Endlos-Duplikate automatisch weiter verbreiten und ganze Netzwerke infiltrieren." Die perfekte Brutstätte für kriminelle Machenschaften seien öffentliche IaaS-Angebote. "Dem Thema Clod Computing kommt eine besondere Bedeutung zu", so Haas.

Die digitale Erpressung durch gezielte Ransomware-Angriffe bezeichnet auch Christoph Stoica, Regional General Manager bei Micro Focus, als zunehmende Bedrohung für Unternehmen und sogar die ganze Gesellschaft. Weil die Forderungen der Erpresser nicht auf herkömmliche Währungen, sondern auf Bitcoins setzen, sei das Entdeckungsrisiko für die Täter sehr gering. Stoica machen aber auch die gigantischen Diebstähle von Datenbanken mit Kundeninformationen große Sorgen: "Unberechtigter Zugriff resultierend aus Identitätsdiebstählen ist - neben der Verbreitung von Schadcode - nach wie vor die häufigste Ursache für sicherheitsrelevante Vorfälle in Unternehmen", so der Manager.

Gezielte Datendiebstähle werden auch nach Ansicht von Jörn Kraus, Senior System Engineer bei Westcon Security, in besorgniserregender Weise zunehmen. "Diesen Attacken, bei denen der Angreifer ein ganz bestimmtes Unternehmen ins Visier nimmt, um ganz bestimmte Daten zu stehlen, ist unglaublich schwer beizukommen." Für 2017 rechnet Kraus zudem mit einer rasanten Zunahme an DDoS-Attacken auf Unternehmen. Durch zielgerichtete, hoch volumige Attacken, bei denen einzelne Dienste wie DNS lahm gelegt werden, seien häufig auch andere Unternehmen indirekt betroffen. Gezielte Attacken sieht auch Thorsten Kurpjuhn, Market Development Manager Europe bei Zyxel, auf dem Vormarsch. Dies bedeute, dass nicht mehr wahllos IT-Systeme angegriffen werden, um "einfach nur Schaden zu verursachen". Kurpjuhn: "Firmen werden direkt angegangen."

Ransomware als Dienstleistung

Auf einen weiteren Trend weist Sascha Plathen hin. Der Director Channel Sales bei Intel Security warnt vor Ransomware-as-a-Service. Damit erhöht sich seiner Meinung nach die Angriffsfläche, wenn auch ungeschulte Angreifer einen leicht zu bedienenden Dienst mieten und dann versuchen können, eigene Opfer zu finden. Plathen ist überzeugt, dass Ransomware-as-a-Service und individualisierte Ransomware die Sicherheitsbranche vor allem in der ersten Hälfte des Jahres beschäftigen werden. Der Vertriebsexperte weist darauf hin, dass die IT-Sicherheit in Unternehmen oft nicht ausreichend ausgerüstet ist: "Es werden veraltete Standards verwendet und Ransomware kann einfach in die Systeme eindringen und großen Schaden anrichten."

Auf die Beweggründe der Cyber-Kriminellen geht Mike Rakowski, Head of Business Unit Technology bei ALSO Deutschland, ein: "Die Motivation der Angriffe ist heute fast ausschließlich auf wirtschaftliche Interessen zurückzuführen." Darüber hinaus gehe es aber auch darum, Daten zu erlangen und Unternehmen zu blockieren. "Cyber-Crime ist ein Markt mit rapider Entwicklung", so Rakowski. Ihm stimmt Torsten Harengel, Operations Director Security bei Cisco Deutschland, zu, der Ransomware als "profitables Geschäftsmodell" bezeichnet. "Schon jetzt ist es die erfolgreichste Malware aller Zeiten", so der langjährige Cisco-Mitarbeiter.

Für dieses Jahr rechnet Harengel damit, dass die Cyber-Kriminellen versuchen werden, "insbesondere die Verbreitung der Schadsoftware zu optimieren". Wie auch bereits Sascha Plathen kritisiert Harengel ebenfalls "Software, die nicht auf dem neuesten Stand gehalten wird". Zurückzuführen sei dies oft auf einen Mangel an Personal im Bereich Cyber-Security und dem damit fehlenden Know-how in Unternehmen.

Sorgen bereiten auch Amir Alsbih, Chief Operating Officer bei KeyIdentity, die vielen Systeme in Unternehmen, die nicht auf dem aktuellen Stand sind. "Das Zeitfenster von der Veröffentlichung von Sicherheits-Patches bis zum Einspielen auf den Systemen kann einem Generalschlüssel gleichkommen." Viele Grundprozesse wie Patch-, Change- und Release-Management seien "suboptimal". Außerdem existiere in vielen Unternehmen kein Perimeter mehr, den man mit Mauern schützen könne. Das gefährde die Sicherheit enorm.

Zunehmende Bedrohung durch das IoT

Eine weitere Gefahr bringt Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender, ins Spiel: "Viele aktuelle Bedrohungen haben ihre Ursachen in der sich wandelnden IT. Virtualisierung, Vernetzung und das Internet der Dinge bestimmen die Entwicklung." Böckelmann sieht "fallende Grenzen zwischen persönlicher und beruflicher Nutzung, öffentlichem und unternehmenseigenem Netzwerk, Premises- und Cloud-Strukturen". Seine eindringliche Warnung lautet: "So finden Angreifer täglich neue Lücken, in die sie vorstoßen können."

Für 2017 rechnet Böckelmann mit einem "weiterhin exponentiellen Anstieg von Angriffen, egal ob das nun Advanced Persistent Threats, digitale Erpressungen oder DDoS-Angriffe auf Infrastrukturen sind". Die Sicherheitsmechanismen von Unternehmen würden dadurch stündlich auf die Probe gestellt.

"Das IoT wird 2017 verstärkt in den Fokus der Hacker geraten", ist auch Sven Janssen von SonicWall überzeugt. Fehlende Sicherheitsstandards machten es ihnen relativ einfach, Attacken erfolgreich durchzuführen. Besonders bei kritischen Infrastrukturen wie Energie, Wasser sowie Transport und Verkehr könne ein Angriff unvorhersehbare und vor allem weitreichende Folgen für Unternehmen und Verbraucher mit sich bringen. "In diesem Zusammenhang sind auch Szenarien denkbar, in denen ein Botnetz, das aus einer beliebigen Zahl von Smartphones weltweit besteht, Attacken auf Unternehmen oder andere Einrichtungen ausführt", so Janssen. Die Wahrscheinlichkeit sei deshalb so hoch, weil viele Smartphones nicht durch Sicherheits-Software geschützt seien.

Es liegt auf der Hand, das auch die Software in vielen IoT-Geräten aktualisiert werden sollte. Darin sieht Christoph Stoica von Micro Focus jedoch auch ein Problem: "Für das Einspielen solcher Updates muss das System auf das Internet zugreifen. Ein Angreifer könnte sich als Update-Server ausgeben und auf diesem Weg einen Trojaner installieren." Auch Wieland Alge, Vice President und General Manager EMEA bei Barracuda Networks, ist der Meinung, dass Hersteller und Anwender kaum in der Lage sind, IoT-Geräte sicher zu produzieren und einzusetzen. "Die Vernetzung durch das Internet der Dinge und Industrie 4.0 bietet Cyber-Kriminellen von Tag zu Tag größere Angriffsflächen", so Alge. Weil die Kosten für digitale Angriffe gesunken sind, geraten vermehrt Mittelständler und Kleinstunternehmen in den Fokus der Cyber-Kriminellen. "Die Robustheit von mittelständischen IT-Infrastrukturen wird 2017 harten Praxistests ausgesetzt", warnt der Barracuda-Manager.

Nichtsdestotrotz muss die Absicherung des Internet of Things und der rasant wachsenden Industrie 4.0 oberste Priorität bleiben, betont Jörn Kraus von Westcon Security. "Der groß angelegte Angriff auf Telekom-Router vor einigen Wochen war nur ein erster Vorgeschmack auf die Attacken, mit denen wir 2017 rechnen müssen."

Auch Raphael Labaca Castro von Eset Deutschland sieht Gefahren im IoT: "Der Trend zeichnet sich ab, alles zu hacken, was in irgendeiner Weise vernetzt und smart ist." Im vergangenen Jahr sei es Hackern bereits gelungen, größere Infrastrukturen lahmzulegen. Das beste Beispiel dafür sei der BlackEnergy-Trojaner, der 1,4 Millionen Menschen in der Ukraine vom Strom abgetrennt habe. Auch in Bayern sei ein Atomkraftwerk mit der Malware Win32/Ramnit und Win32/Conficker infiziert worden. Die betroffenen Systeme seien zwar nicht online gewesen, die Infektionen hätten sich aber leicht über USB-Sticks verbreiten können.

Alexander Noffz, Channel Manager EMEA Central bei Ping Identity, sieht dagegen das Ende einer auf Passwörter und Logins fokussierten IT-Sicherheit nahen. "Die Identität eines jeden Geräts, einer Person oder Applikation sollte der Dreh-und Angelpunkt für die konsolidierte Identifikation sein." Nur so könne verhindert werden, das unberechtigte Personen einen Zugriff auf Daten, Geräte oder Anwendungen erhalten.

Im zweiten Teil des Übersichtsartikels "Unternehmen im Fadenkreuz der Cyber-Kriminellen" geht es um die Frage, wie Security-Dienstleister ihren Kunden helfen können, die genannten Gefahren abzuwehren.