Bedrohungen für SMBs wachsen
Es folgt die Einschätzung von Troy Gill, Manager of Security Research bei AppRiver. 1. Die Karriere der Malware geht weiter: Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen. Zudem entwickeln findige Angreifer neuartige Varianten von Ransomware. Sie reagieren äußerst schnell und beweglich, beispielsweise wenn es darum geht Zero-Day-Schwachstellen zeitnah auszunutzen. Unglücklicherweise gibt es nicht den einfachen Weg, um sich gegen Ransomware zu schützen. In meinen Augen ist es allerdings kein guter Rat, die geforderten Zahlungen zu leisten. Aus zwei Gründen: Zum einen belohnt es die Angreifer und zeigt dass die Methode tatsächlich funktioniert. Zum anderen gibt es keinerlei Garantie, dass ein Opfer tatsächlich den Schlüssel erhält und wieder auf die gesperrten Daten zugreifen kann. Vorbeugen ist besser als heilen, allerdings gibt es derzeit keine hundertprozentig sichere Abwehrmöglichkeit. Was man aber tun kann, ist die Angriffsfläche signifikant verringern:
• Halten Sie Betriebssysteme und Software immer auf dem letzten Stand
• Verzichten Sie nicht auf IT-Sicherheitsmaßnahmen und installieren Sie Firewalls, IDS, Spam-, Viren und Webfilter
• Um Attacken frühzeitig als solche zu identifizieren, setzen Sie auf regelmäßige Schulungen und Awareness-Trainings
• Etablieren Sie eine umfassende Backup-Strategie, so dass Sie im Fall des Falles die verschlüsselten Dateien wiederherstellen können
2. Eine Flut von Datenschutzverletzungen: Die Flut der Datenschutzverletzungen in diesem Jahr und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden im kommenden Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen. Dazu haben einerseits die bekannt gewordenen Datenschutzverletzungen beigetragen, aber auch die Freigiebigkeit, mit der viele ihre Daten auch weiterhin in den sozialen Medien preisgeben. Das Zusammenspiel von Daten aus diesen beiden Quellen wird ein ganz entscheidender Bestandteil für die zu erwartenden hochspezialisierten Angriffe sein. Angriffe, deren Ziel es unter anderem sein wird, die Chipkarten-Technologie zu umgehen.
3. Krieg mit anderen Mitteln: Der Cyberkrieg wird weitergehen. Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungs-infrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht ein Mal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. Diese Taktik der „boots at home” wird erwartungsgemäß einer der ersten Schritte innerhalb der Kriegsführung sein. Sei es um zusätzliche Erkenntnisse zu gewinnen oder sei es um vorab Infrastrukturen und Kommunikationssysteme außer Gefecht zu setzen.
4. INTERNET DER DINGE: Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WiFi-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weitaus meisten Benutzer. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist. So ist es nicht besonders überraschend, dass wir mit der weiteren Verbreitung von iOS zunehmend gegen dieses Betriebssystem gerichtete Angriffe beobachten. Ein Beweis dafür, dass kein System wirklich immun ist.
Existiert eine Schwachstelle in welchem populären Betriebssystem auch immer, wissen Hacker davon, und es ist nur eine Frage der Zeit bis die entsprechende Lücke ausgenutzt wird. Es ist höchst problematisch, dass die meisten Benutzer Sicherheits-Updates und Patches nicht sofort installieren und dadurch ihre Systeme gefährden. Die beste Empfehlung ist es sicherzustellen, dass alle Benutzer die aktuellste Version des Betriebssystems eingespielt haben, inklusive der letzten Firmware- und Software-Updates. In vielen Fällen werden Sicherheitsschwachstellen gefunden und Patches zügig veröffentlicht. Sie zeitnah zu installieren, kann also den Unterschied ausmachen, ob man einem Angriff zum Opfer fällt oder nicht. Schulungen wie man sich sicher im Internet bewegt und wie man verdächtige Links als solche identifizieren kann tragen ebenfalls dazu bei die Angriffsfläche zu verringern.
5. BRING YOUR OWN DEVICE (BYOD): Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter. Gleichzeitig sollten die Mitarbeiter noch so viele Freiheiten haben, dass sie wirklich von BYOD in ihrem Arbeitsalltag profitieren. Diese Balance zu finden ist oftmals nicht ganz einfach, stellt aber sicher, dass Unternehmen ausreichend geschützt sind und Mitarbeiter gleichzeitig optimale Arbeitsbedingungen vorfinden. Es ist leichter gesagt als getan, solche Policies umzusetzen, trotzdem ist es alternativlos.
6. Wearables: Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen. Trotzdem fragen sich immer mehr Menschen in einer Welt der Datenschutzverletzungen wo eigentlich alle diese Daten letztendlich gespeichert sind und wozu genau sie benutzt werden (sollen). Zumindest kann man mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass ein Großteil dieser Daten sich in sehr individuellen und zielgerichteten Marketing-Kampagnen wiederfindet.
7. TOR: Auch als ‘Dark’ oder ‘Deep Web’ bezeichnet, hat TOR eher noch an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben den guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art. Selbst Vereinigungen wie solche, die hinter Ransomware wie Cryptolocker stehen, haben begonnen ihre Erpressungen über TOR und Krypto-Währungen wie BitCoin abzuwickeln. Das hilft sich gegenüber Behörden und Opfern gleichermaßen zu tarnen.
Und noch etwas: Intelligente Malware wird versuchen, ihr Tun besser zu verschleiern, in dem sie weniger traditionelle Dienste nutzt als bisher, wie zum Beispiel Tor oder andere P2P-Netze. Initiativen wie die jüngst von Facebook in das Tor-Netzwerk werden möglicherweise weitere renommierte Unternehmen motivieren ähnliches zu tun. Unternehmen, die ihren Nutzer eine anonyme Zugriffsmöglichkeit bieten wollen. Auch um neue Nutzergruppen anzuziehen, die ansonsten eher zögerlich sind, solche Netze auszuprobieren. Man sollte sich dieser Möglichkeiten bewusst sein, bevor man sich entschließt Tor zu verwenden und die notwendigen Vorkehrungen treffen. Als Unternehmer können Sie beispielsweise im Rahmen der Sicherheitsrichtlinien die Installation von Tor einschränken. Auch hier zahlt es sich aus aufmerksam zu sein und zu beobachten, was im Netzwerk vor sich geht.
8. Unbekannte Schwachstellen: Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegenden Sicherheitslücken in der Kommunikation konfrontiert. Das gilt für die Heartbleed in SSL-basiertem Datenverkehr ebenso wie für die äußerst langlebige Bash-Sicherheitslücke Shellshock. Solche Schwachstellen zu finden wird eines der großen Ziele im kommenden Jahr bleiben. Und zwar für beide Seiten: Für Angreifer und für IT-Sicherheitsspezialisten.
9. Mobile Zahlungssysteme: Mobile Zahlungssysteme arbeiten intensiv daran digitale Zahlungen sicherer zu machen. Dazu tragen insbesondere Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Weile unser Verhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation oder das „virtuelle Portemonnaie“ zu verändern.
Unglücklicherweise verlief die Early Adopter-Phase nicht allzu glücklich und ließ noch einiges zu wünschen übrig. Nicht zuletzt aufgrund von Sicherheitsrisiken und Bedenken. Wir gehen davon aus, dass diese Mängel in Kürze behoben sind und mobile Zahlungssysteme sich nun langsamer, aber dafür kontinuierlich innerhalb der kommenden Jahre im Handel etablieren werden. Leider werden dank der frühen und erfolgreichen Datenschutzverletzungen und Attacken (wie die auf das CurrentC- Zahlungssystem, bei der E-Mail-Adressen gestohlen wurden) weitere zielgerichtete Angriffe auf mobile Zahlungssysteme und die zugrundeliegende Architektur zu erwarten sein.
10. INDIVIDUELLE CLOUD-SPEICHER: Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden.
Es soll nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten. Unternehmen sollten den Zugriff auf Ordner beschränken und zwar nur auf diejenigen Mitarbeiter, die ihn benötigen, um ihre Arbeit zu erledigen. Diese Maßnahme hilft Datenverluste zu minimieren, sowohl unbeabsichtigte wie beabsichtigte. Wählen Sie sorgfältig aus, von welchen Endgeräten aus Mitarbeiter auf die Cloud zugreifen dürfen, und welche Art der Verschlüsselung Sie einsetzen, um zu verhindern, dass Geräte sich mit potenziell unsicheren Netzwerken verbinden.
Das sind zehn der wichtigsten Bedrohungsszenarien, die wir für das kommende Jahr erwarten dürfen. Ausgefeilte Attacken werden weiter zunehmen und zunehmend schwieriger aufzudecken sein.
Zum Abschluss daher noch einige Tipps, die sich in der Praxis bewährt haben:
• Schulen Sie die Nutzer im Hinblick auf Trends in der aktuellen digitalen Bedrohungslandschaft wie zum Beispiel Phishing-Kampagnen, Malware und böswillige Webseiten.
• Verwenden Sie immer einen mehrstufigen Sicherheitsansatz. Das ist der beste Weg Ihr Unternehmen von allen Seiten so gut wie möglich zu schützen. Viren- und E-Mail-Filter sind ein guter Anfang, sie schützen aber nicht vor webbasierter Malware und umgekehrt.
• Wenn Sie den Hackern einen Schritt voraus sein wollen, sichern Sie potenzielle Schwachstellen im Unternehmen so gut wie irgend möglich ab.
• Spielen Sie sämtliche Firmware- und Software-Updates unmittelbar ein; oftmals enthalten Sie Patches für bekannte Sicherheitsschwachstellen und -lücken. Je länger Sie mit dem Einspielen warten, desto verwundbarer wird Ihr Netzwerk im Hinblick auf Malware. .
• Hat eine Hard- oder Software seitens des Herstellers ihr End of Life erreicht, wird in der Regel der Support eingestellt und keine Sicherheits-Patches mehr ausgebracht. Dann wird es Zeit für ein Upgrade. Auch wenn das auf den ersten Blick hohe zusätzliche Kosten verursacht, bewahrt es Sie doch unter Umständen vor weit höheren im Falle einer Datenschutzverletzung. Von der verlorenen Arbeitsleistung, möglichen Rufschädigung und juristischen Kosten gar nicht zu reden.