IT-Sicherheits- und Datenschutztrends 2018

Skriptbasierte Schadsoftware bedroht Unternehmen

Detlev Henze ist Geschäftsführer der TÜV TRUST IT GmbH Unternehmensgruppe TÜV Austria.
Für das kommende Jahr erwartet TÜV Trust IT Sicherheitsbedrohungen in einer neuen Vielfalt und Intensität. Die Angreifer werden professioneller, oft steckt ein Geschäftsmodell hinter ihren Attacken.

Trend 1: Schadsoftware nutzt Skriptsprachen

Schadsoftware setzt zunehmend auf skriptbasierte Sprachen auf, etwa Visual Basic Script (VBS), JavaScript oder PowerShell. Der Grund dafür ist, dass die Zielsysteme die Interpreter für diese Sprachen häufig direkt zur Verfügung stellen, so dass die Schadsoftware ohne Umwege ausgeführt wird. Außerdem ist es schwierig, diese Schadsoftware als solche zu erkennen, da diese Sprachen auch von Administratoren eingesetzt werden und demnach kaum zu unterscheiden ist, ob es sich um legitime oder schädliche Aktivitäten handelt. Zudem bewegt sich skriptbasierte Schadsoftware "unter dem Radar", weil sie wenige Spuren auf der Festplatte hinterlässt und somit durch klassische Antivirensoftware nur schwer erkennbar ist.

Trend 2: Hacker wollen und können Geld verdienen

Die schlimmen Finger greifen über Scriptsprachen an und wollen Geld verdienen.
Die schlimmen Finger greifen über Scriptsprachen an und wollen Geld verdienen.
Foto: Ventura - shutterstock.com

Cyber Security-Angriffe lassen sich besser kommerzialisieren als früher. Durch Bitcoin und Ransomware ist ein ebenso einfaches wie effektives Geschäftsmodell entstanden. Es wird zunehmend genutzt. Auch 2018 dürfte es erneut einen Spitzenwert bei Cyber-Attacken mit konkretem geschäftlichen Interesse geben. Dabei wird der Schaden größer werden, weil in den Unternehmen die eigene Sicherheitssituation günstiger bewertet wird als sie in Wirklichkeit ist.

Trend 3: Security by Design kommt zwangsweise

Wer in der Konzeption und Architektur von Softwarelösungen und Apps nicht bereits im frühen Planungsstadium Sicherheitsaspekte berücksichtigt, wird es später schwer haben, Sicherheit zu gewährleisten. Dabei wachsen die wirtschaftlichen Risiken: Wenn etwa bei IoT-Produkten Sicherheitsdefizite erst im praktischen Einsatz beim Nutzer festgestellt werden und die Software mit der Hardware fest verbaut ist, sind nachträgliche Korrekturen kaum noch möglich.

Lernen Sie Cybersecurity - Foto: agsandrew - shutterstock.com

Lernen Sie Cybersecurity

Deshalb wird sich ein Mentalitätswandel durchsetzen, der dazu führt, dass schon in der Softwareentwicklung Schutzziele einbezogen werden. Die Entwickler werden sich an anwendungsbezogenen Bedrohungsmodellen orientieren. Dabei müssen konkrete Sicherheitsanforderungen explizit im Anforderungsprozess erhoben werden. Auch die Testmethoden werden sich ändern, zumal Testtools zunehmend unter Sicherheitsaspekten ausgewählt werden. Wichtig ist, dass es entsprechende Fortbildungsprogramme für die Entwickler gibt.

Trend 4. Entwicklung von IoT-Produkten benötigt KI

Je umfangreicher das Angebot an vernetzten Consumer-Produkten wird, desto vielfältiger wird das Gefahrenpotenzial. Das Bot-Netzwerk "Mirai", das aus einem Verbund von gekaperten IoT-Geräten entstanden ist, hat dies deutlich gemacht. Mit Spitzenbandbreiten von über einem Terabit/Sekunde wurden auch Anbieter in die Knie gezwungen, die sich eigentlich bestens gegen DDoS-Angriffe gewappnet sahen.

Doch nicht nur DDoS-Angriffe, auch weitere Szenarien sind mit IoT-Botnetzen möglich. Was passiert beispielsweise, wenn zahlreiche von Angreifern kontrollierte Kühlschränke, Kaffeemaschinen, Wasserkocher etc. gleichzeitig ihren Energieverbrauch maximieren: Kann dann noch die Stromversorgung aufrechterhalten werden?

Selbst bei einem konsequenten Security by Design ist es kaum möglich, nicht nur die bekannten, sondern auch zukünftige, noch unbekannte Zugriffsrisiken zu berücksichtigen. Hierfür bedarf es Methoden der Künstlichen Intelligenz, mit deren Hilfe sich neue Bedrohungsmuster antizipieren lassen. Sie in der Entwicklung von IoT-Produkten zu berücksichtigen, steigert nicht nur die Sicherheits-Performance, sondern mindert auch das wirtschaftliche Risiko: Security-Schwächen werden früh erkannt, so dass Produkte nicht mehr aufwändig modifiziert oder vielleicht sogar vom Markt genommen werden müssen.

Trend 5. Tool-Zoo birgt neue Risiken

Viel hilft nicht viel - zumindest dann nicht, wenn zu viele schlecht integrierte Tools an verschiedenen Stellen eingesetzt werden.
Viel hilft nicht viel - zumindest dann nicht, wenn zu viele schlecht integrierte Tools an verschiedenen Stellen eingesetzt werden.
Foto: deepadesigns - shutterstock.com

Unternehmen neigen dazu, für die immer komplexeren Sicherheitsrisiken reflexartig immer neue Werkzeuge für spezifische Anforderungen einzusetzen. Damit bauen sie sich einen unübersichtlichen Zoo an Tools auf. Meist findet keine ausreichende Prüfung statt, wie die verschiedenen Werkzeuge miteinander harmonieren. Damit entsteht die Gefahr, dass die Tools selbst zu einer Bedrohung werden.

Trend 6. Datenschutzgrundverordnung kommt nur langsam voran

Zwar gibt es verbindliche zeitliche Vorgaben, aber alle derzeitigen Studien zeigen, dass sich die Unternehmen nur zurückhaltend mit der EU-DSGVO beschäftigen. Das dürfte sich erst ändern, wenn sich den Firmen ein zusätzlicher Investitionsanreiz bietet. Der könnte darin bestehen, dass sich der notwendige Aufbau eines Datenschutzmanagement-Systems (DSMS) an der Vorgehensweise eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2013 orientiert. Dies würde dazu führen, dass gleichzeitig wesentliche Voraussetzungen für den Aufbau eines zertifizierbaren ISMS geschaffen werden, was einen höheren Investitionsnutzen mit sich brächte.

Trend 7. IT-Sicherheitsgesetz erzeugt Domino-Effekte

Das IT-Sicherheitsgesetz (IT-SiG) bleibt weit oben auf der Agenda, da es sich kontinuierlich weiterentwickelt. Vor allem aber müssen im Mai 2018 die betroffenen Unternehmen aus dem sogenannten Korb 1 mit den Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung die Umsetzung der Sicherheitsmaßnahmen gemäß Paragraph 8a nachweisen. Es wird interessant sein zu sehen, wie die öffentlichen Institutionen dann mit den "schwarzen Schafen" unter den nachweispflichtigen Firmen umgehen werden.

Unabhängig davon werden die KRITIS-Unternehmen die von ihnen zu erfüllenden Sicherheitserfordernisse zunehmend auch an ihre Lieferanten übertragen, weil in einer digitalisierten Welt die Sicherheitsverhältnisse nicht an den Grundstücksmauern des eigenen Unternehmens Halt machen. Die KRITIS-Firmen werden deshalb insbesondere Anforderungen in Richtung eines zertifizierbaren Informationssicherheits-Managementsystems nach ISO 27001 an ihre Lieferanten stellen.

Trend 8. Autonomes Fahren bleibt unsicher

Abgesehen davon, dass Fahrerassistenz-Systeme noch nicht unbedingt nach Security-by-Design-Anforderungen entwickelt werden und noch eine Reihe Kinderkrankheiten aufweisen, bestehen noch zahlreiche offene Fragen. So fehlt es noch an ausreichenden Verfahren für die Validierung von Funktionen für das Hochautomatisierte Fahren (HAF) sowie an Methoden für den Software-Download beziehungsweise die Überprüfung der fortschreitenden Automatisierungsfunktionen in den Fahrzeugen. Erkenntnisse relevanter Forschungsprojekte und von Testumgebungen für HAF sollten in Genehmigungsprozessen, Zertifizierungs- und Zulassungsverfahren einfließen, damit diese ökonomisch umsetzbar werden. Ebenso bedarf es einer verstärkten Fokussierung auf Fail-safe-Ansätze von HAF-Systemen.

Die Übertragung sicherheitsrelevanter Daten von Fahrzeugen an eine übergeordnete Plattform und die Bereitstellung sicherheitsrelevanter Informationen an alle vernetzten Teilnehmer in gleicher Aktualität und Qualität sind noch nicht angemessen gelöst. Und nicht zuletzt: Es gilt, den Sicherheits- und Datenschutzerfordernissen durch adäquate Verschlüsselungstechnologien und qualifizierte Auditierungen Rechnung zu tragen.

9. IP-basierte Fertigungsysteme - ein Einfallstor

Mit Blick auf die Industrie-4.0-Zukunft hat die Digitalisierung der Produktionsstrukturen eine deutlich höhere Dynamik bekommen. Allerdings entspricht die wachsende Vernetzung noch längst nicht den notwendigen Sicherheitsanforderungen. Dadurch können die IP-basierten Fertigungssysteme bis hin zu den Leitständen ein Einfalltor in das gesamte Unternehmensnetz werden. Zu welchen Konsequenzen mit längeren Produktionsstillständen dies führen kann, mussten in diesem Jahr bereits marktbekannte Unternehmen erfahren. Daraus leitet sich die Empfehlung ab, mit dem Sicherheitsengagement in der Fertigung nicht erst bis zur Umsetzung umfassender Industrie 4.0-Infrastrukturen zu warten.