Unsere Zusammenstellung der größten Hacks des Jahres hat bereits ausführlich dargelegt, dass das Motto für Cyberkriminelle im Jahr 2017 nur lauten kann: "Höher, schneller, weiter". Da wieder einmal die prädiktivste Zeit des Jahres angebrochen ist, haben so gut wie alle IT-Security-Experten und -Anbieter der Welt zum kommenden Jahr und seinen IT-Security-Herausforderungen für Unternehmen orakelt. Dabei lässt sich zusammenfassen:
2016 kann man guten Gewissens als das "Ransomware-Jahr" bezeichnen, schließlich wurden die Angriffe massiv ausgeweitet. Das belegt unter anderem ein Blick in den aktuellen McAfee Threat Report: Demnach stieg die Bedrohung durch Ransomware im dritten Quartal 2016 um satte 18 Prozent. Dabei markierten bereits die Quartale zuvor neue Spitzenwerte für die Erpressungs-Malware. Neben Cyber-Erpressung stehen 2016 aber auch Darknet-Services, DDoS-Attacken über das Internet of Things (IoT) und staatlich gelenkte Hackerangriffe hoch im Kurs. Wir sagen Ihnen, welche Entwicklungen die IT-Sicherheit in Unternehmen 2017 maßgeblich beeinflussen werden.
Internet of Weaknesses
IoT-Devices werden von Hackern und Cyberkriminellen seit längerem zu "Bot-Zombies" umfunktioniert. Dabei sind Consumer-Gadgets inzwischen ebenso betroffen wie Smart Meter, medizinische Geräte oder Autos. Wegen ihrer limitierten Rechenleistung und Firmware-Restriktionen (oft ist weder ein Update noch ein Patch möglich) sind diese Gerätschaften bei cyberkriminellen Elementen beliebt. Besonders eindrucksvoll beweist das im Jahr 2016 die massive DDoS-Attacke auf den DNS-Provider Dyn. Wenig später wird auch das Netz der Deutschen Telekom lahmgelegt. In beiden Fällen soll die IoT-Malware "Mirai" zum Einsatz gekommen sein.
Für das Jahr 2017 lässt sich vorhersagen: Alles wird noch viel schlimmer. Insbesondere für diejenigen Organisationen und Unternehmen, die ihre Applikationen immer noch nicht auf Malware-Befall untersuchen. DDoS-Attacken und Trojaner sind dabei nur der Anfang: Dient ein IoT-Device als Einfallstor in ein Unternehmensnetzwerk, können auch APTs (Advanced Persistent Threats) folgen.
Laut Oliver Dehning vom Verband der Internetwirtschaft eco, sei zu befürchten, "dass die jüngste DDoS-Attacke auf Amazon, Twitter & Co. erst den Anfang einer ganzen Reihe von spektakulärer Angriffe aus dem Internet of Things im nächsten Jahr markiert." Bei Kaspersky Labs geht man ebenfalls davon aus, dass "die mit dem Mirai-Fall zusammenhängenden Botnetzangriffe nur der Anfang sind".
Dabei spielt ebenfalls eine Rolle, dass Arbeit und Privatleben immer weiter miteinander verschmelzen. Denn persönliche IoT-Devices von Mitarbeitern können so ins Unternehmensnetzwerk gelangen und erhöhen die Gefahr für Hackerangriffe. "Die größte Bedrohung für das Jahr 2017 ist das Botnetz, das aus nicht so intelligenten Dingen besteht", folgert Catalin Cosoi, Chief Security Strategist bei Bitdefender.
F-Secure-CTO Mika Stahlberg blickt dagegen etwas optimistischer in die Zukunft: "Ich glaube nicht, dass dieses Problem 2018 eskalieren wird. Noch ist etwas Zeit, damit die Cybersicherheitsbranche, Regulierungsbehörden und Gerätehersteller zueinander finden, um die intelligenten Umgebungen die wir gerade erschaffen, zu schützen."
Die lachenden Dritten könnten - übrigens nicht nur im nächsten Jahr - die Unternehmen sein, die das nötige Know-how besitzen, um ihre eigenen IT-Sicherheitslösungen zu coden. Getreu dem Motto: "Verlass Dich auf andere und Du bist verlassen."
Computerkriminalität-as-a-service
Hacktivisten-Noobs und Hobby-Hacker werden - getrieben durch Popkultur und stetig steigendes Mainstream-Medieninteresse - zunehmend dazu übergehen, "ernsthaft" ins Cybercrime-Geschäft einsteigen zu wollen. Echtes Hacker-Know-how wird künftig - auch für größere Angriffe - nicht mehr gebraucht. Denn egal, ob nun organisierte, kriminelle Banden oder Kleingauner - im Darknet kann sich heute Jeder mit entsprechenden Hacking-Werkzeugen eindecken.
Diese vorkonfigurierten Tools können für nervige, aber eher harmlose "Web Defacement"-Attacken, Port Scans oder Ähnliches verwendet werden. Darüber hinaus gibt es entsprechende Angebote aber auch für DDoS-und Ransomware-Angriffe, die so etwas wie die "Darknet-Trends 2017" der Computerkriminellen darstellen dürften. Wie wir - nicht erst seit diesem Jahr - wissen, kann das für Unternehmen nicht nur kostspielig werden, sondern auch ein gerüttelt Maß an Reputationsschaden mit sich bringen.
Insbesondere die Zunahme von DDoS-Attacken über das IoT spiegle aber nicht nur einen grundlegenden Mangel an Sicherheit wider, sondern auch die Tatsache, "dass immer mehr Kleinkriminelle in das lukrative Geschäft des Datendiebstahls bei Unternehmen involviert sind", so Cosoi.
Beim Internetverband eco weiß man um einen weiteren Cybercrime-Trend der im Kommen ist: CEO-Fraud. Dabei geben sich Hacker oder Cyberkriminelle gegenüber Mitarbeitern als CEO (beispielsweise eines Partners) aus und versuchen auf diesem Weg, sich größere Geldbeträge - meist in Form einer Auslandsüberweisung - zu erschleichen. "Diese Angriffswelle rollt auf den deutschen Mittelstand zu", prognostiziert Oliver Dehning.
Sicher ist: Der Cyber-Untergrund wächst weiter unaufhaltsam. Registrierte Kaspersky Labs 2011 noch 70.000 Schädlinge pro Tag, liegt dieser Wert 2016 bei 323.000 Objekten pro Tag. Auch die Zerschlagung des Darknet-Marktplatzes "Silk Road" zeigt wenig Wirkung: Bei Kaspersky konnte man nach eigenen Angaben einen neuen Marktplatz ausfindig machen, über den mehr als 70.000 Zugangsdaten für gehackte Server angeboten werden. Es dürfte nur einer von Vielen sein.
DDoS-Attacken auf kritische Infrastrukturen
Nicht nur, was die Häufigkeit angeht - auch in Sachen Bandbreite ist 2016 ein eklatanter Zuwachs bei den DDoS-Attacken zu verzeichnen: Der Bereich zwischen 400 Gbps und 1 Tbps wird 2017 zur neuen Norm. Möglich wird das durch Millionen von IoT-Devices, von denen viele nicht einmal die einfachsten Sicherheitsvorkehrungen aufweisen. Solche massiven Angriffe erfordern spezielle Schutzmaßnahmen, die heutzutage weltweit nur einige wenige Organisationen vorweisen können. Im Jahr 2017 dürfte die vernichtende DDoS-Power in erster Linie gegen kritische Infrastrukturen zum Einsatz kommen. Möglich wäre auch eine gezielte Zerstörung der Internet-Infrastruktur ganzer Länder - quasi als "Support" für eine konventionelle Invasion.
Dass kritische IT-Infrastrukturen zunehmend in den Fokus von Cyberkriminellen und Hackern rücken, ist vor allem industriellen Kontrollsystemen zu "verdanken". Bei Bitdefender etwa geht man davon aus, dass sich die Bedrohungslage für SCADA-Systeme weiter verschärfen wird, "da die Provider in ihren Netzwerken weiterhin TCP/IP als Protokoll nutzen". Gleichzeitig führten immer geringere Preise bei intelligenten und angreifbaren Chips dazu, dass diese als Prozesscontroller und Sensoren eingesetzt würden. Die Experten von Kaspersky Labs haben hingegen ICS-Systeme ins Visier genommen und daraufhin weltweit knapp 190.000 Hosts entdeckt, die über das Internet erreichbar und somit angreifbar waren. Knapp 14 Prozent der entdeckten Systeme befinden sich übrigens in Deutschland.
Roland Messmer von LogRhytm betont in diesem Zusammenhang, dass neben der Energie-, Produktions- und Gesundheitsbranche insbesondere auch das Finanzwesen weiterhin im Visier der Hacker steht. Als Beispiele nennt er unter anderem die diesjährigen Attacken auf das SWIFT-System und die Tesco Bank.
Sicherheit in der Cloud
Die Finanzbranche wiederum hatte es in den letzten Jahren nicht besonders eilig, wenn es um die Migration in die Cloud ging. Die Fortschritte in Sachen Regularien, Compliance und nicht zuletzt Cloud Security werden nun dafür sorgen, dass mehr und mehr Finanz-Player die Vorteile der Wolke nicht mehr ignorieren können. Sie werden damit beginnen, Workloads und einige Services aus dem unternehmenseigenen Data Center testweise in die Cloud auszulagern. Durch diese Öffnung dürften schließlich auch Wearables, VR-Headsets und andere IoT-Devices im Unternehmensnetzwerk Einzug halten.
Um sich dabei jedoch gegen Ransomware und andere Hackerangriffe abzusichern, müssen Unternehmen ihren Security-Fokus vom Endpoint auf die User sowie alle Applikationen und Services verlagern. Cloud Security-as-a-service wird dabei an die Stelle der Kosten für den Erwerb und die Wartung einer Firewall treten. Für einige Unternehmen wird es jedoch wohl auch 2017 die beste Entscheidung sein, die Daten "auf dem Boden" vorzuhalten.
Auch bei Veracode geht man davon aus, dass sich im nächsten Jahr in Sachen Cloud Security einiges tun wird: Bis 2018 sollen sich statische Sicherheitstests zu einem Cloud-Service wandeln. In der Auslagerung der Sicherheitstests sehen die Sicherheitsexperten einen Gewinn - schließlich böten solche unabhängigen Tests in der Regel einen "hohen und verlässlichen Grad an Präzision".
Cyberspionage 2.0
Bereits 2016 war ein großes Jahr für Cyberspione - insbesondere aus China und Russland. Hackern aus dem Reich der Mitte wurde in der Vergangenheit unter anderem der Angriff auf das United States Office of Personnel Management (OPM) zugeschrieben. Cyberkriminelle aus Russland sollen hingegen ganz gezielt den US-Wahlkampf zwischen Hillary Clinton und Donald Trump beeinflusst haben. In genau diesem Stil dürfte das Ganze weitergehen. Findet auch FireEye: "Wir haben 2016 einen Anstieg offenkundiger Aggression aus Russland erlebt und erwarten, dass das 2017 so weitergeht."
Sean Sullivan, Sicherheitsberater bei F-Secure, sieht die kommende US-Regierung im Übrigen als besonders gefährdet an, Opfer von Hackern zu werden: "Zum Beispiel hatte der neu gewählte nationale Sicherheitsberater Michael Flynn anscheinend einmal eine unautorisierte Internetverbindung im Pentagon installiert, die im Grunde den ‚Luftspalt‘ beseitigte, der verwendet wurde, um eines der bedeutendsten nationalen Sicherheitszentren der USA zu schützen. Sachen wie diese machen ihn zu einem potentiellen Opfer, das geradezu auf einen Cyberangriff zu warten scheint."
Bei Proofpoint Security rechnet man damit, dass staatlich unterstützte Hackerangriffe künftig über Cyberspionage hinausgehen. Der US-Anbieter geht davon aus, dass in Zukunft "mehr Regierungen" per Hackerangriff versuchen werden, "Informationen zu stehlen und Neuigkeiten in Social-Media- und anderen Nachrichtendiensten zu veröffentlichen."
Für die kommenden Wahlkämpfe dieser Welt dürfen also wir mit noch mehr medialen Schlammschlachten und Enthüllungen in bestem Wikileaks-Stil rechnen. Insbesondere die weiter steigende Bedrohung für mobile Geräte spielt hierbei eine Rolle, denn Angreifer könnten so nicht nur Gespräche abhören und Daten ausspähen, sondern auch die Lokalisierungsfunktion dazu nutzen, um gezielte physische Angriffe planen und ausführen zu können.
Hacking könnte künftig vielleicht sogar ein probates Mittel zur Ausspähung des politischen Gegners werden - egal ob es dabei nun um die US-Präsidentschaftswahl, die Bundestagswahl oder eine Kommunalwahl in Ost-Sachsen geht. Die möglichen Folgen für die politischen Akteure reichen von öffentlicher Bloßstellung bis hin zu Gefahr für Leib und Leben. Staatlich beauftragte Hacks könnten im schlimmsten Fall einen Cyberkrieg in Gang setzen. Aber noch nicht 2017. Hoffentlich.
EU-Datenschutz begünstigt Cyber-Versicherungen
Im Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Entsprechend "busy" dürften 2017 die Vorbereitungen auf die General Data Protection Regulation (GDPR) angegangen werden. Hoffentlich.
Bei LogRhythm rechnet man damit, dass die neue gesetzliche Grundlage dafür sorgt, dass IT-Sicherheit endlich zum Vorstandthema wird. Diesmal wirklich: "Die Anordnung saftiger Strafen und der Zwang, auch kleinere Verletzungen des Datenschutzes bekannt zu geben, dürften sich als größte Beweggründe für Organisationen erweisen, Cybersecurity weit ernster zu nehmen als bisher".
Das wiederum bringt das Thema Cyberversicherungen auf den Plan. Laut Gartner werden im laufenden Jahr weltweit fast 82 Milliarden Dollar in IT-Sicherheits-Technologien investiert. Und trotzdem ist das Jahr geprägt von zahlreichen Sicherheitsvorfällen. Unternehmen dürften also zunehmend auf Cyberversicherungen setzen, um sich gegen eventuelle Schäden abzusichern. Die Versicherer werden sich über die neuen Einnahmequellen freuen, aber eines werden sie mit Sicherheit nicht tun: leichtfertig Prämien ausbezahlen. Stattdessen werden die Versicherungsinstitute damit beginnen, Programme und Maßnahmen für eine bessere "Cyberhygiene" zu entwickeln. Besssere Detection- und Incident-Response-Fähigkeiten könnten beispielsweise zu Vergünstigungen führen. Durch die immer weiter steigende Zahl von Hackerangriffen dürften die Versicherer zudem zunehmend dazu übergehen, ihre Deckungssummen konstant zu verringern.
Bedeutung von Security-Awareness steigt
Es ist längst überliefert: Der Mitarbeiter ist das schwächste Glied in der IT-Security-Kette. So gut wie alle Unternehmens-Hacks beginnen mit einer Phishing-Kampagne. Wenn die Mitarbeiter eines Unternehmens nicht vertraut sind mit Security Best Practices, sind Angreifern Tür und Tor geöffnet. Entsprechend werden die Unternehmen ihre Herangehensweise an die Vermittlung von Security Awareness anpassen müssen. Bei LogRhythm rechnet man ebenfalls damit, dass Unternehmen in Sachen Mitarbeiterschulung zulegen müssen: "2017 dürfte sich dieses Thema zu einer noch größeren Herausforderung für die Geschäftswelt auswachsen als bisher, denn die Gegenwehr erfordert noch intensivere Awareness-Maßnahmen und auch weiterentwickelte Erkennungswerkzeuge."
Die sind auch dringend nötig, denn Cyberkriminelle zielen zunehmend auf mobile Endgeräte - insbesondere die weit verbreiteten Android Phones - und nutzen Automatisierungs-Tools für ihre "Arbeit". Wie Proofpoint berichtet, wissen professionelle Angreifer dabei immer was sie tun: "Die Angreifer haben bereits gezeigt, dass sie genau wissen, wann neue Produkte auf den Markt kommen, so dass ihre Kampagnen zu einem Zeitpunkt starten, an dem viel Kommunikation auf Kundendienstkanälen absehbar ist."
Sie sollten Ihre Mitarbeiter aber nicht nur über die klassischen Einfallstore wie die E-Mail informiert halten. Auch Social-Media-Kanäle stehen zunehmend im Fokus von Angreifern, wie auch Proofpoint prognostiziert: Aufgrund der höheren Renditen, die Hackerangriffe über Social-Media-Plattformen bieten, erwarten die US-Amerikaner entsprechend großzügige Wachstumsraten in diesem Bereich. Fälle von Betrug und Phishing sollen sich im Jahresvergleich um 100 Prozent steigern, die Spam-Rate 2017 sogar um satte 500 Prozent zulegen. Dabei spielten auch der Betrug mit gefälschten Konten und "integrierte Betrugstechniken" wie Fake-Apps, -Websites und -E-Mails eine bedeutende Rolle, wie das Unternehmen berichtet.
Armin Simon, Regional Sales Director Identity & Data Protection bei Gemalto, sieht hingegen auch an dieser Stelle die Verschmelzung von privater und geschäftlicher Welt als wesentliche Herausforderung für Unternehmen an: "Von gemeinsam genutzten Anmeldeinformationen bis hin zu Authentifizierungspraktiken: Consumer-Trends haben erheblichen Einfluss auf die Unternehmenssicherheit. Unternehmen müssen sicherstellen, dass ihre Daten nicht durch schlechte Angewohnheiten einzelner Nutzer kompromittiert werden".
Ransom-Every-Ware
Apropos schlechte Angewohnheiten. Das IT-Sicherheits-Thema des Jahres war ohne Zweifel Ransomware. Und die Beliebtheit der Erpressungs-Malware steigt unaufhörlich. Die Hacker wenden dabei immer raffiniertere Taktiken an, um den Schadcode möglichst unbemerkt einzuschleusen. Die Cyberkriminellen nutzen inzwischen auch Automatisierungs-Tools um Cloud Services, medizinische Geräte sowie kritische Infrastrukturen anzugreifen.
Für die Darknet-Gangster ist so eine Ransomware-Kampagne ein mehr als einträgliches Geschäft: Die meisten Institutionen und Firmen können es sich schlicht nicht leisten, auf die Daten zu verzichten und bezahlen. Aufgrund der - aus Sicht der kriminellen Hacker - guten, finanziellen Ergebnisse im Jahr 2016, geht Catalin Cosoi davon aus, dass "Cyberkriminelle 2017 wahrscheinlich mehr Ressourcen in die Verbesserung des automatisierten Targeting stecken, um Privatanwender und Unternehmen mit noch höheren Gebühren zu erpressen." Auch Roland Messmer meint, dass der Ransomware-Trend 2017 erst so richtig "in Schwung" kommt. Unternehmen müssten sich entsprechend wappnen, so der Experte: "Mit besseren Backup-Strategien und der Investition in ausgefeiltere Tools".
Die neuesten Trends im Trend: Ransomware-as-a-service und Ransomworms. Ersteres dürfte inzwischen selbsterklärend sein, letzteres bezeichnet eine Form der Erpressungs-Malware, die nicht nur Files verschlüsselt, sondern auch Code auf dem Rechner zurücklässt, der die schnelle und einfache Wiederholung des räuberischen Vorgehens sicherstellt.
Mehr Überwachung durch den Staat
Die weiter steigende Bedrohungslage - nicht nur im Cyberraum - wird zu einer Zunahme staatlicher Überwachungsmaßnahmen führen. Die Maßnahmen selbst dürften mit der Zeit zunehmend aggressiver werden: Dieselben Tracking- und Targeting-Tools, die in der Werbewirtschaft zum Einsatz kommen, könnten dazu verwendet werden, Aktivisten und Dissidenten zu überwachen.
Mit Blick auf den diesjährigen Konflikt zwischen Apple und dem FBI werden Geheimdienste zunehmend Verschlüsselungsmethoden ins Visier nehmen - mit dem Argument, das sei zur Bekämpfung des Terrorismus absolut notwendig.
Erka Koivunen, CISO bei F-Secure, befürchtet, dass einige Unternehmen unter dem Druck der Behörden einknicken werden: "Im Jahr 2017 werden immer mehr IT-Unternehmen dem staatlichen Überwachungsbedarf durch die Schwächung der Sicherheit ihrer Produkte und Dienstleistungen gerecht werden. Politiker in verschiedenen europäischen Nationen unter der Führung Frankreichs diskutieren juristische und technische Möglichkeiten, um Regierungen die Möglichkeit zu geben, die digitalen Aktivitäten der Bürger zu überwachen."
2017 dürfte für die mittlerweile über 25 Jahre geführte Diskussion um Datenschutz und Sicherheit ein entscheidendes Jahr werden.
Automatisierte Unterstützung bei der Jagd nach Hackern
Immer noch sind Spezialisten für IT-Sicherheit rar und begehrt. Diejenigen, die es gibt, ächzen in der Regel unter der Arbeitslast. Deswegen werden Unternehmen zunehmend auf Automatisierungs-Tools setzen. Nur so kann gewährleistet werden, dass die teuren Security-Profis ihre Zeit nicht mit banalen Aufgaben verplempern und sich stattdessen auf das Wesentliche konzentrieren können. Der Trend zur Automatisierung wird den Spezialisten auch dabei helfen, ihren Job effektiver zu erledigen: Dank der Tools laufen weniger Alerts mit höherer Relevanz auf. Die Suche nach der Nadel im (Alert-)Heuhaufen entfällt.
Andy Patel, Senior Manager bei F-Secure, bringt es auf den Punkt: "Die Kombination von künstlicher Intelligenz und menschlichem Erfindungsgeist ist die Strategie, wie die Cybersicherheitsindustrie diese Bedrohungen in der Zukunft bekämpfen will. Für Aufgaben wie Risikoanalyse, Penetrationstests, Bedrohungsanalysen, Incident Response und Forensik können dabei die Vorteile von Mensch und Maschine gemeinsam genutzt werden. Einige etablierte Akteure in der Branche und sogar Startups werden im Jahr 2017 versuchen, mit diesem Ansatz ihre Expertise auszubauen."
Dieser Artikel basiert in Teilen auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.