So regelmäßig wie Lebkuchen und Schoko-Weihnachtsmänner treffen wir alle Jahre wieder auf IT-Security-Prognosen für das kommende Jahr. Dieses literarische Genre ist eine Besonderheit der IT-Branche: Man stelle sich vor, Autohersteller würden zur Vorweihnachtszeit ihre „Prognosen für Autodiebstähle, Unfälle und Pannen 2022“ veröffentlichen oder Fluglinien ihre „Ausblicke auf Flugzeugabstürze im kommenden Jahr“. Die Cyberprognosen sind Trendanalyse, Selbstdarstellung und Warnung zugleich. Schon im Vorfeld der diesjährigen Prognosesaison befragte ich diverse Security-Anbieter, welche Tendenzen sie sehen – und wovor sie warnen.
„Zwei Entwicklungen sehen wir mit Sorge: Den massiven Anstieg zum einem von Ransomware und zum anderen von Supply-Chain-Angriffen, die es den Kriminellen ermöglichen, eine größere Anzahl von Opfern gleichzeitig zu attackieren“, sagt Jörg von der Heydt, Regional Director DACH bei Bitdefender im Einklang mit Security-Experten aus Teil 1 dieses Beitrags. „Die großen Ransomware-Betreiber greifen zudem ständig kritische Infrastrukturen an. Der Colonial-Pipeline-Vorfall (ein Ransomware-Angriff auf einen US-Pipeline-Betreiber, d.Red.) hat gezeigt, wie ein digitales Verbrechen die Sicherheit eines ganzen Landes beeinträchtigen und die allgemeine Versorgung unterbrechen kann.“
Über die „Ransomware as a Service“-Gruppe REvil – deren Partner („Affiliates“) hinter den Angriffen auf den Fleischverarbeitungskonzern JBS, Colonial und das US-Softwarehaus Kaseya steckten, die aber inzwischen untergetaucht ist – sprach ich kürzlich auch mit Catalin Cosoi, dem Leiter von Bitdefenders Investigations- und Forensikteam. Im November hatte eine internationale Polizeiaktion zur Verhaftung mehrerer Affiliates geführt, für die Ergreifung der Hintermänner hat die US-Regierung zehn Millionen Dollar Belohnung ausgelobt. „Das hat in der Cybercrime-Branche einige Wellen geschlagen, und die Leute warten ab, was passiert und ob sie wieder aktiv werden, sich umorientieren oder neu gruppieren sollen“, meinte Cosoi. Sein Gefühl sei aber, dass REvil wieder in Erscheinung treten werde. „Für eine wirksamere Bekämpfung von Ransomware müssen der private Sektor und die Strafverfolgungsbehörden besser zusammenarbeiten“, betonte der Experte.
Auch Cosois Kollege von der Heydt sieht den Kampf gegen Ransomware als „Gemeinschaftsaufgabe“. Er weist darauf hin, dass angesichts der Ransomware-Welle von 2021 Anbieter von Cyberversicherungen ihre Policen überdenken: „Bei zu laxer Gewähr können Hacker davon ausgehen, dass Unternehmen zahlungswillig sind“, so von der Heydt. Zur mitunter zu hörenden Aufforderung, Gesetzgeber sollten Lösegeldzahlungen verbieten, gibt Andreas Schmiedler von Quest Software zu bedenken: „Eine zentrale Frage zu den wahrscheinlichen neuen Maßnahmen ist, ob sie den Tätern oder den Opfern das Leben schwerer machen werden. Wenn die Regierungen beispielsweise Ransomware-Zahlungen verbieten, könnte dies im Falle von Gesundheitsdiensten lebensbedrohliche Folgen haben.“
„Angriffe täuschen oft legitime und normale Prozesse vor oder werden unter Einsatz unterschiedlichster Vektoren wie Endpunkten, Netzwerk, Supply Chains, gehosteter IT und Cloud-Diensten durchgeführt“, führt von der Heydt aus. Er rät deshalb zum Einsatz von XEDR-Technologie (Extended Endpoint Detection and Response, bei anderen Anbietern, die teils auch Netzwerkdaten mit einbeziehen, kurz XDR genannt). Diese korreliere Telemetriedaten über alle Endpunkte hinweg und spüre so Anzeichen eines Angriffs ebenso auf wie APT-Techniken (Advanced Persistent Threat, langanhaltend und raffiniert vorgehende Angreifergruppen), Malware-Signaturen, Schwachstellen und abnormales Verhalten.
„Ransomware zielt auf Schwachstellen in Netzwerken ab“, erläutert Corey Nachreiner, Chief Security Officer bei WatchGuard. Die hauseigene Bedrohungsanalyselösung ThreatSync sei deshalb darauf ausgelegt, Ereignisse im Netzwerk wie auch an den Endpunkten zu durchleuchten und Vorfälle zur Gefahrenbewertung miteinander in Beziehung zu setzen. Dies erlaube es, Gegenmaßnahmen umgehend einzuleiten: „Durch regelbasierte Automatismen kann beispielsweise direkt verhindert werden, dass Malware eine Verbindung zu bösartigen Servern aufnimmt“, sagt Nachreiner. Das Security-Team könne damit den infizierten Host isolieren, eine weitere Ausbreitung von Malware unterbinden, verdächtige Dateien unter Quarantäne stellen, Prozesse abbrechen oder bestehende Registrierungsschlüssel auf Endgeräten löschen.
„Das Bewusstsein, die IT-Infrastruktur allgemein gegen Cyberangriffe zu schützen, hat zugenommen“, meint Robert Korherr, geschäftsführender Gesellschafter bei ProSoft, im Einklang mit anderen Fachleuten. Allerdings ergab eine Kaspersky-Umfrage unter 1.500 Entscheidern in Europa, darunter 250 aus Deutschland, dass über die Hälfte (53 Prozent) der Entscheidungsträger hierzulande proaktiver sein und ihre Cybersicherheitsmaßnahmen verstärken möchten, aber nicht wissen wie. Immerhin, mit Blick auf Ransomware sagt ProSoft-Chef Korherr: „Frei nach dem Motto ,Vorsicht ist besser als Nachsicht’ gelangen immer mehr Unternehmen zu der Erkenntnis, dass Prävention den besten Schutz bietet.“ Deshalb hätten Backups und Snapshots „eine kleine Renaissance erlebt“: „Regelmäßig – am besten mehrmals täglich – durchgeführt, sorgen sie für höhere Sicherheit, wenn die Sicherungen extern gespeichert und mit einem Passwort gegen Verschlüsselung geschützt werden“, so Korherr.
Supply-Chain-Angriffe
Auch WatchGuard-CSO Nachreiner erachtet Supply-Chain-Angriffe als „besorgniserregend“. Das Vorgehen: „Angreifer dringen entweder in Netzwerke vertrauenswürdiger Anbieter ein und verstecken Trojaner in deren legitimer Software oder missbrauchen Zertifikate beziehungsweise bisher ungepatchte Schwachstellen in beliebten Produkten, um in die Netzwerke anderer Unternehmen einzudringen. Beim jüngsten Kaseya-VSA-Vorfall haben die Angreifer auf diese Weise mehr als eine Million Endpunkte von rund 1.500 Unternehmen kompromittiert“, so Nachreiner. Solche Angriffe seien mit rein reaktiven Sicherheitskontrollen nur schwer zu erkennen und erforderten eine umfassende, mehrschichtige Sicherheitsstrategie.
Als einen wunden Punkt sieht er dabei die mangelnde Überwachung verschlüsselten Datenverkehrs: „Laut aktuellem Internet Security Report wurden im zweiten Quartal 2021 eindrucksvolle 91,5 Prozent der insgesamt identifizierten Malware über verschlüsselte Verbindungen übertragen“, berichtet Nachreiner. „Unternehmen, deren Sicherheitslösung HTTPS-Datenverkehr nicht entschlüsselt, haben also bei neun von zehn Malware-Angriffen per se das Nachsehen.“ Er rät deshalb zum Einsatz von Firewalls mit hoher Rechenleistung wie der hauseigenen Firebox-M-Serie, die auch HTTPS-Datenverkehr verzögerungsfrei verarbeiten können.
Einheitliche Richtlinien
„Cybersicherheit muss zum Standard werden“, fordert Sudhir Ethiraj, Global Head of Cybersecurity Office beim TÜV Süd: Man brauche branchenübergreifend einheitliche Richtlinien, die auch die Lieferketten abdecken. Als Vorbild nennt er die UNECE-Regelungen (United Nations Economic Commission for Europe) für Fahrzeugtypen. „Sie stellen die Grundlage für die Zulassung von neuen Modellen und Typen dar“, so Ethiraj. Deren Einhaltung müsse der Autohersteller nachweisen, und zwar inklusive seiner Lieferkette. „Die prüfbare Einhaltung von Standards erhöht das Vertrauen von Kunden und Partnern in ein Produkt und damit in ein Unternehmen – die wertvollste Währung“, sagt Ethiraj.
Ein Problem dürfte uns aber erhalten bleiben: „Risikofaktor Nummer eins ist der Mensch“, erklärt ProSoft-Chef Korherr. „Das wissen Angreifer und haben sich das durch die Lockdowns und die Homeoffice-Pflicht in 2021 weiter zunutze gemacht, indem sie vermehrt auf Sicherheitslücken im privaten Umfeld gesetzt haben – angefangen bei authentischen Phishing-Mails, die auf das Informationsbedürfnis bezüglich der Pandemie abgezielt haben, über Geräte, die auch für private Zwecke genutzt werden, hin zu Unternehmensdaten, die in unsicheren Cloud-Anwendungen gespeichert werden.“
Interessant: Laut einer TechConsult-Umfrage bei 200 deutschen Unternehmen im Auftrag von Sophos bestätigten die Befragten zwar, dass die IT-Teams mehr Sicherheitsvorfälle zu bearbeiten hatten – aber weit weniger, als angesichts der gestiegenen Cyberangriffe zu vermuten gewesen wäre. Lediglich zwölf Prozent der befragten IT-Verantwortlichen berichteten von einer deutlichen Zunahme der Sicherheitsvorfälle, 30 Prozent lediglich von geringer. Fast die Hälfte (48 Prozent) bekundeten, die Zahl der Vorfälle sei konstant geblieben. Und zehn Prozent der Befragten gaben sogar an, weniger sicherheitsrelevante Vorfälle registriert zu haben. Die mit Abstand meistgenannten Ursachen für Vorfälle waren Angriffe mittels Spam (77 Prozent) und Phishing (59 Prozent).
Kritische Infrastruktur im Visier
Bei Palo Alto Networks wiederum betont man die Notwendigkeit, Kritis-Umgebungen (kritische Infrastruktur, also etwa Strom, Gas, Wasser etc.) und industrielle Betriebstechnik (Englisch: Operational Technology, OT) zu schützen. „Führungskräfte müssen das Sicherheitsrisiko im Zusammenhang mit der nächsten Welle von Infrastrukturen beachten, die in Planung sind oder bereits online sein könnten“, warnt Sergej Epp, CSO Zentraleuropa bei dem US-Anbieter. „Betriebs-, IT- und Sicherheitsteams haben in der Vergangenheit bei OT-Projekten vielleicht nicht zusammengearbeitet, aber jetzt ist es unerlässlich, dass sie eng zusammenarbeiten, um sicherzustellen, dass die Sicherheit bereits im Planungsprozess der digital transformierten Kritis/OT berücksichtigt wird, anstatt zu versuchen, sie nachträglich einzubauen.“
Damit schließt sich der Kreis zu den Angriffen auf den Pipeline-Betreiber Colonial und den Fleischverarbeiter JBS: Alle Beteiligten – IT, OT, Endanwender und der Gesetzgeber – müssen an einem Strang ziehen, um die Gefahren aus dem Netz zu stoppen. Vor allem gilt es zu verhindern, dass böse Mächte hierzulande kritische Infrastruktur lahmlegen. Nicht zu vergessen: Zu bestimmten Zeiten sind auch Lebkuchen und Schoko-Weihnachtsmänner kritische Infrastruktur.
(Dieser Beitrag erschien erstmals in LANline 13/2021.)
Bild: (c) Wolfgang Traub
IT Info 2 Go 