IT-Security-Fails & -Prognosen

So werden Sie 2018 gehackt

21.12.2017 von Florian Maier

Sie und Ihr Unternehmen haben 2017 ohne größere Hacks, Leaks oder Breaches überstanden? Das könnte sich schon 2018 ändern.

Denn für Unternehmen, die die IT-Sicherheit in Zeiten der totalen Vernetzung immer noch stiefmütterlich behandeln, wird die Luft langsam dünn. Schließlich werden kriminelle Hacker immer gewiefter, während die Zugangsschranken zum digitalen Untergrund immer weiter sinken.

Werden Sie 2018 gehackt? Wir sagen Ihnen, womit Sie rechnen sollten.
Foto: ra2studio - shutterstock.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem Lagebericht zur Cybersicherheit in Deutschland 2017 zu einem beunruhigenden Fazit: "Im Berichtszeitraum Juli 2016 bis Juni 2017 ist die Gefährdungslage weiterhin auf hohem Niveau angespannt. Die bekannten Einfallstore für Cyber-Angriffe bleiben unverändert kritisch bestehen."

Das waren die größten Hacks 2017

Das untermauern zum Beispiel die fünf aufsehenerregendsten IT-Sicherheitsvorfälle des beinahe abgelaufenen Jahres 2017:

Top 5 Hacks 2017

5. HBO
Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br />

4. NSA
Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br />

3. Uber
Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br />

2. Equifax
Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br />

1. WannaCry & Petya
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />

Diese Bedrohungen werden 2018 akut

Wenn Sie jetzt denken: "Geht doch eigentlich kaum noch schlimmer" - doch. Fragen Sie zum Beispiel die Experten vom Information Security Forum (ISF). Dabei handelt es sich um eine global agierende, unabhängige Security-Institution, die sich mit Cybersecurity, Risiko Management und den Auswirkungen von Hacks und Datenlecks befasst.

Steve Durbin, Managing Director des ISF, stellt für das kommende Jahr enorme Reputationsschäden für einige der größten Unternehmen der Welt in Aussicht: "Das Jahr 2018 wird von einer weiter fortschreitenden Professionalisierung krimineller Hacker geprägt sein. Ganz konkret werden wir eine weitere Personalisierung der Angriffsmethoden erleben - dabei werden gezielt menschliche, beziehungsweise persönliche Schwachstellen in den Fokus genommen werden. Auch die gezielte Eliminierung bereits vorhandener Sicherheitsmaßnahmen dürfte hoch im Kurs stehen. Der Einsatz ist 2018 höher denn je."

Und weil die Zahl der Datenlecks steigen wird, geht das ISF auch davon aus, dass die Zahl der kompromittierten Datensätze weiter ansteigt. Das dürfte viele Unternehmen in allen Branchen teuer zu stehen kommen. Basierend auf diesen Annahmen haben die Security-Experten des Information Security Forum fünf wesentliche IT-Sicherheits-Trends für das Jahr 2018 identifiziert. Das sind die Top-5-Bedrohungen für Unternehmen im neuen Jahr:

Die größten Bedrohungen für Unternehmen 2018

Crime-as-a-Service (CaaS)
Nachdem das Information Security Forum in diesem Bereich bereits 2017 einen signifikanten Anstieg verzeichnen konnte, rechnen die Experten für 2018 mit einem neuerlichen CaaS-Boom. Das wird vor allem daran liegen, dass man insbesondere in der organisierten Kriminalität die Cybercrime-Vorteile zu schätzen weiß. <br><br /> Im Vergleich zu 2017 rechnet Steve Durbin - Managing Director des ISF - allerdings damit, dass der CaaS-Trend viele neue „Cybercrime-Aspiranten“ ohne tiefgehendes technisches Wissen anziehen wird, die dann mit gekauften Tools Hackerangriffe bewerkstelligen, zu denen sie sonst niemals in der Lage gewesen wären. Gleichzeitig steigt aber auch das Professionalisierungslevel unter fähigen Black-Hat-Hackern – insbesondere beim Thema Social Engineering, wie Durbin sagt: „Die Linie zwischen Enterprise und Privatperson verwischt immer mehr – das Individuum wird immer mehr zur Firma.“ <br><br />

Internet of Things (IoT)
Das Internet der Dinge bleibt auch 2018 Security-Sorgenkind. Der Grund: Immer mehr Unternehmen setzen IoT-Devices ein – der „Security by Design“-Grundsatz hat sich hingegen immer noch nicht im großen Stil durchgesetzt. Auch die durch die rasant wachsenden IoT-Ökosysteme verwässerte Transparenz wird vom ISF angeprangert. <br><br /> Kommt es zu Datenlecks, ist es sehr wahrscheinlich, dass die betroffenen Unternehmen nicht nur den Zorn der Kunden, sondern auch die harte Hand der Regulatoren zu spüren bekommen. Worst-Case-Szenario: IoT-Devices in industriellen Kontrollsystemen (oder anderen kritischen Infrastrukturen) werden kompromittiert und führen zu Gefahr für Leib und Leben. <br><br /> „Aus Sicht der Hersteller ist es wichtig, Verhaltensmuster und Wünsche der Kunden zu verstehen,“ so Durbin. „Aber das hat dazu geführt, dass mehr Angriffsvektoren als je zuvor vorhanden sind. Die Devices müssen so abgesichert werden, dass sie unter Kontrolle sind – und nicht uns unter Kontrolle haben.“ <br><br />

Supply Chain
Seit Jahren prangert das ISF die Schwachstellen in der Supply Chain an. Denn hier werden, wie die Experten wissen, oft vertrauliche Daten mit Zulieferern geteilt. Sobald das der Fall ist, verliert das betreffende Unternehmen seine direkte Kontrolle. <br><br /> „Egal, in welcher Branche Sie tätig sind“, macht Durbin klar, „jedes Unternehmen hat eine Lieferkette. Die Herausforderung besteht darin, zu wissen, wo sich die Daten befinden – und zwar zu jedem Zeitpunkt im Lifeycycle. Und natürlich darin, die Integrität der Informationen, die geteilt werden sollen, zu bewahren.“ Unternehmen sollten deshalb nach Meinung der ISF-Experten auf das schwächste Glied in ihrer Lieferkette fokussieren und Risikomanagement-Elemente in bestehende Prozesse einbauen. <br><br />

Regulierung
Regulationen steigern die Komplexität. Das ist auch im Fall der EU-Datenschutzgrundverordnung (DSGVO/GDPR) nicht anders. <br><br /> „Ich habe in den letzten Monaten kein Gespräch geführt, bei der GDPR nicht Thema war“, meint Durbin. „Dabei geht es nicht nur um Compliance: Sie müssen in der Lage sein, persönliche Daten zu managen und zu schützen und das auch beweisen können – und zwar zu jeder Zeit. Und nicht nur gegenüber den Regulatoren, sondern auch gegenüber den Kunden.“ <br><br />

Unerfüllte Erwartungen
Diskrepanzen zwischen den Erwartungen des Vorstands und dem, was IT-Sicherheits-Abteilungen tatsächlich leisten können, wird laut den ISF-Experten 2018 eine Bedrohung darstellen. <br><br /> Durbin erklärt, warum: „Der CISO – so die Denke – hat schon alles unter Kontrolle. In vielen Fällen weiß der Vorstand einfach nicht, welche Fragen er dem CISO stellen sollte. Auf der anderen Seite versteht auch so manch ein CISO nicht unbedingt, wie er mit dem Vorstand – oder dem Business – kommunizieren muss.“ <br><br /> Die Folgen eines Sicherheitslecks oder erfolgreichen Angriffs bekommt aber nicht nur das Unternehmen als Ganzes zu spüren – auch die Reputation einzelner Manager – oder des ganzen Vorstands – können darunter leiden. Die Rolle des CISOs muss sich 2018 deshalb verändern, ist Durbin überzeugt: „Die Rolle des CISOs besteht heute vor allem darin, Dinge vorher zu sehen – nicht darin, für die Funktion der Firewall zu sorgen. Ein guter CISO muss Sales-Experte und Berater zugleich sein: Wenn er seine Ideen nicht verkaufen kann, werden Sie beim Vorstand auch keinen Anklang finden.“ <br><br />

Lesen Sie auf Seite 2, was die IT-Security-Branche für das Jahr 2018 erwartet.

Das erwartet die IT-Sicherheitsbranche für 2018

Wie in jedem Jahr haben auch so gut wie alle Hersteller im Bereich der IT-Sicherheit eigene Trends und Erwartungen für das Jahr 2018 veröffentlicht. Wir haben einige Einschätzungen der Security-Hersteller zusammengetragen:

IBM

Die Security-Spezialisten von Big Blue haben ihre Security-Prophezeihungen für 2018 in Form eines Podcasts veröffentlicht:

Bitdefender

Mirco Rohr, Security Evangelist: "Nie war die weltweite Bedrohungslage in der IT so brisant wie 2017, das als Rekordjahr von Ransomware und als Durchbruch der Crypto-Currency-Miner-Attacken in die Security-Annalen eingehen wird. Wir sehen auch im Jahr 2018 keinen Grund zur Entwarnung. Ransomware- und Miner-Angriffe, die die Rechenleistung ihrer Opfer für ihre Currency-Gewinnung abschöpfen, werden in täglich hundertfach variierter Form allgegenwärtig sein. Auch die Anzahl von Spam-E-Mails wird weiter zunehmen, genauso wie Zero-Day-Exploits. Unternehmen werden verstärkt in den Fokus der Angriffe rücken und Windows 10 und OS X ein immer beliebteres Ziel für Cyberangriffe. Zudem: Große IoT-Botnets werden 2018 zur neuen Normalität."

Kaspersky

Die Cybersecurity-Experten haben zur Bedrohungslage 2018 einen umfassenden Report verfasst, den Sie sich hier direkt im .pdf-Format herunterladen können. Kaspersky Labs sieht im kommenden Jahr vor allem die Supply Chain als gefährdet an. Juan Andrés Guerrero-Saade, Kaspersky-Sicherheitsexperte: "Attacken gegen Lieferketten haben sich im Jahr 2017 so albtraumhaft gezeigt, wie wir es vorhergesehen hatten. Fortschrittliche Bedrohungsakteure werden auch im Jahr 2018 weiter versuchen, Softwarehersteller zu attackieren, denn Angriffe mit Hilfe des Einbaus von Backdoors in beliebte oder regional häufig genutzte Software werden als Angriffsvektor immer attraktiver.

Über Supply-Chain-Attacken können Angreifer zudem mehrere Unternehmen einer bestimmten Branche angreifen, während sie dabei von System-Administratoren und Sicherheitslösungen kaum wahrgenommen werden können." Darüber hinaus rechnet Kaspersky auch mit mehr - und qualitativ hochwertigerer - mobiler Malware sowie einer deutlichen Zunahme bei APTs und Hackerangriffen, die ausschließlich auf Zerstörung ausgelegt sind.

Trend Micro

Die japanischen Security-Spezialisten stellen ihre Einschätzungen zur IT-Sicherheit 2018 in Form eines YouTube-Videos zur Schau:

F-Secure

Researcher Päivi Tynninen: "Wir werden immer noch sehen, dass Cyber-Kriminelle neue Erpresser-Malware entwickeln, allerdings lange nicht so viele wie in den letzten beiden Jahren. Die Infektionsmaßnahmen um Einzelpersonen anzugreifen sind momentan nicht gerade effektiv. Das Geschäftsmodell dagegen ist eine Geldquelle für Kriminelle. Deswegen werden wir wahrscheinlich mehr gezielte Ransomware-Angriffe auf Firmen sehen - die Kriminellen zielen so auf größere Geldsummen bei weniger Zielen." Ein Blogpost informiert ausführlich über die Sicherheitprognosen der Finnen für 2018.

McAfee

Steve Grobman, Chief Technology Officer: "Neue Technologien wie Machine Learning, Deep Learning und Künstliche Intelligenz sind zwar die Eckpfeiler der IT-Sicherheit. Allerdings arbeiten Cyber-Kriminelle genauso hart daran wie wir, diese für sich zu nutzen und weiterzuentwickeln. Letztendlich macht also die menschliche Intelligenz hinter der Technologie im Kampf gegen Cyber-Kriminellen den großen Unterschied."

FireEye

Mike Hart, Vice President Central Europe: "Ein Trend war die Entwicklung staatlich unterstützter Hackergruppen aus dem Iran. Wir gehen davon aus, dass wir nur die Spitze des Eisbergs gesehen haben und erwarten eine weitere Zunahme der iranischen Cyber-Operationen im nächsten Jahr."

Zum Video: So werden Sie 2018 gehackt

Dashlane

Emmanuel Schalit, CEO: "Auf der Verbraucherseite wird die Zahl der Online-Konten und Passwörter weiterhin exponentiell ansteigen, so dass die Risiken und Mühen im Zusammenhang mit der digitalen Identität immer größer werden."

CheckPoint Software

Oded Gonda, VP Technologie und Innovation: "Die zunehmende Nutzung cloudbasierter File-Sharing-Dienste trägt dazu bei, dass Datenlecks auch in Zukunft ein besonders wichtiges Thema für die Organisationen sind, die auf die Cloud umstellen. Darüber hinaus sorgen auch SaaS-basierte E-Mails wie Office 365 und Googles G-Suite für attraktive Cybercrime-Ziele. Wir gehen davon aus, dass Cyberkriminelle ihre Angriffe auf die Cloud 2018 intensivieren werden."

Malwarebytes

Der US-Sicherheitsanbieter gab seine Prophezeihungen zur IT-Sicherheit 2018 im Rahmen eines YouTube-Live-Broadcasts zum Besten:

Avast

Michal Salat, Threat Intelligence Director: "Da die Popularität von Kryptowährungen weiter steigt, könnten wir 2018 noch aggressivere Kryptomining-Malware sehen - insbesondere Browser-basierte Malware - mit der Cyberkriminelle heimlich die PCs ihrer Opfer nutzen, um 'digitales Gold' zu schürfen, ohne selbst in Computerinfrastrukturen zu investieren. Ein gefundenes Fressen für Angreifer wird nächstes Jahr auch die RSA-Key-Schwachstelle sein, die 2017 in Infineon-Chips gefunden wurde, denn dadurch können sie Daten von Chip-Karten, Sicherheits-Token und sogar Pässen stehlen."

NTT Security

Kai Grunwitz, Senior Vice President EMEA, hat seine Top-3-Security-Trends in Form eines Blogposts veröffentlicht. Besonders kritisch sieht der Experte von NTT Security dabei für das kommende Jahr die Transformation von DevOps zu SecDevOps: "In einer Zeit die immer stärker von Mobile- und Cloud-Technologien getrieben ist, wird es unerlässlich, Security in den DevOps-Ansatz zu injizieren. Diese Umstellung wird einigen Security-Profis schwer fallen."

Fortinet

Derek Manky, Global Security Strategist, gibt in folgendem Video Auskunft über die "Cyber Threat Landscape Predictions" des US-Sicherheitsanbieters:

Proofpoint

Die US-Security-Spezialisten erwarten für 2018, eine noch schamlosere Ausbeutung des "Faktor Mensch" durch kriminelle Hacker. Auf welche neuen Angriffsvektoren, -Taktiken und Exploits die Cyberkriminellen nach Ansicht von Proofpoint im kommenden Jahr setzen, erfahren Sie im entsprechenden Blogpost.

SANS Institute

John Pescatore, Director of Emerging Security Trends: "In den Medien gibt es unzählige Schlagzeilen, die auf massive Unterbeschäftigung im Bereich der Cybersicherheit verweisen, während die meisten Unternehmen tatsächlich die Notwendigkeit sehen, dass die Mitarbeiter im Bereich der Cybersicherheit effektiver werden. Ebenso sind 'Machine Learning' und 'KI' stark überbewertet als Technologien, die den Bedarf an erfahrenem und qualifiziertem Cybersicherheitspersonal drastisch reduzieren.

Die wirklichen Erfolge im Bereich der Cybersicherheit liegen darin, dass die Qualifikationen des Personals kontinuierlich verbessert werden, das Personalwachstum moderat ist und Cybersicherheitstools als Multiplikatoren eingesetzt werden, die es den Mitarbeitern ermöglichen, mit der Geschwindigkeit der Bedrohungen und den Geschäftsanforderungen Schritt zu halten."

Telekom

Auch die Deutsche Telekom weiß, was 2018 auf Sie - beziehungsweise Ihre IT Security - zukommt. Die folgende Grafik gibt einen kurzen Überblick über die Prognosen, eine ausführliche Version finden Sie auf der Telekom-Webpräsenz.

Foto: Telekom

IT-Sicherheit 2018: Awareness First!

Eine übergreifende, ganzheitliche Sicherheitsstrategie ist für Unternehmen also auch im Jahr 2018 unerlässlich. Vor allem das Thema Security Awareness gewinnt immer mehr an Bedeutung. Schließlich sind es in der Regel die IT-Sicherheits-Grundlagen - beziehungsweise deren konsequente Nichtbeachtung - die zu größeren Hacks oder Datenlecks führen. Das zeigt nicht nur die steigende Beliebtheit von Social-Engineering-Taktiken (etwa CEO-Fraud), sondern auch ein Blick auf die schlimmsten Passwort-Sünder des Jahres 2017, die der Passwort-Manager-Provider Dashlane ermittelt hat:

Die größten Passwort-Sünder 2017

10. Sean Spicer
Der ehemalige Pressesprecher der US-Regierung veröffentlichte in mehreren Tweets scheinbar einige seiner Passwörter.

9. Paul Manafort
Donald Trumps vor kurzem angeklagter Ex-Wahlkampfleiter nutzte das hochkomplexe Passwort "Bond007" scheinbar gleich für mehrere private Konten.

8. Imgur
1,7 Millionen User-Passwörter wurden möglicherweise kompromittiert. Schuld daran war ein veralteter Verschlüsselungs-Algorithmus.

7. HBO
Mehrere ehemalige Mitarbeiter berichteten nach Hackerangriffen von mangelhaftem Sicherheitsgebahren beim US-Pay-TV-Sender - darunter auch die Mehrfachnutzung von Passwörtern für verschiedene Accounts.

6. Google
Bei einem großangelegten Phishing-Angriff wurden im Mai 2017 die Anmeldedaten vieler Google-Nutzer in Mitleidenschaft gezogen.

5. US-Republikaner
Eines der Data-Analytics-Unternehmen der Republikanischen Partei der USA machte versehentlich die personenbezogenen Daten von 198 Millionen Amerikanern öffentlich zugänglich.

4. US-Verteidgungsministerium
Booz Allen Hamilton - Auftragnehmer des US-Verteidigungsministeriums - setzte das Pentagon einem enorm hohen Sicherheitsrisiko aus, als das Unternehmen kritische Daten auf einem Amazon-Server ablegte - ohne diese mit einem Passwort zu schützen.

3. Großbritanniens Regierung
Ermittlungen der "Times" ergaben im Juni, dass russische Hacker regen Handel mit Tausenden von Passwörtern britischer Regierungsvertreter trieben. Betroffen waren Parlamentsabgeordnete und Mitarbeiter des Auswärtigen Amtes, darunter dessen IT-Chef.

2. Equifax
Kriminelle Hacker verschafften sich die persönlichen Daten von knapp 150 Millionen Menschen in den USA, Großbritannien und Kanada über die Systeme des US-Finanzdienstleisters. Ein Security-Experte deckte auf, dass das Unternehmen für einige seiner Online-Portale die Login-Kombination "admin/admin" verwendete.

1. Donald Trump
Für jemanden, der wiederholt die IT-Security-Verfehlungen seiner politischen Gegner angeprangert hat, bekleckert sich "POTUS" selbst nicht gerade mit Security-Ruhm. Security-Experten stellen weiterhin die Sicherheit des präsidialen Mobile Devices und der Social-Media-Konten in Frage.

Oder, um es mit den Worten des BSI zu sagen: "Viele der bekannt gewordenen IT-Sicherheitsvorfälle in den Jahren 2016 und 2017 haben gezeigt, dass sich für eine erfolgreiche IT-Sicherheit alle Akteure ihrer Verantwortung bewusst sein müssen."

Mit Material von IDG News Service.