Cybercrime oberflächlich betrachtet

Wir leben in oberflächlichen Zeiten. Genauer: in einer Zeit unendlich vieler Oberflächen. Tagein, tagaus starren wir auf Bildschirme, Anzeige- oder Werbetafeln. Das schwarze Schaf der Flächenherde ist die Angriffsoberfläche. Diese muss der Security-Verantwortliche scharf im Blick behalten, denn hier lauern Gefahren.

Das Oberhaupt aller Oberflächen ist heute die Benutzeroberfläche von Rechner, Smartphone und allerlei Gadgets, „Display“ oder „Screen“ genannt. Letztere kennt man von Formulierungen wie „Silver Screen“ für „Filmleinwand“, wobei das „Silber“ einst wohl eher vom Abgas-Feinstaub im Autokino herrührte. Das Verb „to screen“ wiederum bedeutet „untersuchen“ – logisch, soll ein Screening doch Verborgenes an die Oberfläche bringen, etwa eine Krankheit beim MRT oder die Reaktion des Testpublikums beim Film-Screening.

Die SmartScreen-Technik in Microsofts IT-Sicherheitslösung Defender wiederum dient dazu, vom Nutzer besuchte Websites zu screenen, um verdächtige Downloads ans Tageslicht zu zerren. Security-Forscher von Trend Micro haben allerdings jüngst in der Screening-Technik selbst eine jener Lücken entdeckt, die, wie im Horrorfilm, dunklen Monstern Einlass gewähren und so die silbern glänzende Leinwand zur Angriffsoberfläche mutieren lassen.

„Es handelt sich hier um eine sogenannte Security-Bypass-Funktionalität“, erläutert Richard Werner, Business Consultant bei Trend Micro. „Das heißt, Sicherheitsfunktionen, in diesem Fall von Microsoft Defender, werden bewusst umgangen.“ Die Schwachstelle erlaubt Angreifern, einen Download zu erzeugen, ohne dass Defender Alarm schlägt. Dazu tarnt sich eine URL als .jpg und lädt beim Anklicken Malware aus dem Netz. „Weder SmartScreen noch der Anwender noch die genutzte Applikation erkennen, dass hier ein Download aus dem Internet erfolgt“, so Werner. „Das macht es eben so gefährlich.“

Microsoft hat kürzlich am Patch Tuesday mehrere Schwachstellen geschlossen, auch aktiv ausgenutzte, darunter die von Trend Micro gemeldete Lücke. Bei SmartScreen gab es laut Werner letzthin schon ähnliche Schwachstellen. „Wenn Hacker von einem Problem wissen, dann schauen sie sich den Patch an, um einen Weg daran vorbei zu finden. Das gilt für beide Seiten, für Security-Forscher wie auch für Angreifer“, sagt er. „In diesem Fall waren die Angreifer eben leider schneller.“

Trend Micro führt die schnelle Angriffstruppe unter dem Namen „Water Hydra“. Das vielköpfige Wassermonster nahm bereits 2021 die Finanzindustrie ins Visier. Damals platzierte es gezielt Phishing auf in Bankkreisen populären Websites – ein sogenannter „Waterhole“-Angriff, daher wohl der Name der Gruppe. „Water Hydra ist hochspezialisiert auf den Finanzbereich“, sagt Werner. „Sie verfügt über genau auf diesen Sektor abgestimmte Werkzeuge und weiß, wie sie hier ihren ‚Return on Investment‘ erzielt.“

Angriffsoberfläche blüht und gedeiht

Software-Schwachstellen sind für Cyberkriminelle längst ein lukratives Geschäft, unabhängig von der Branche, auf die sie zielen – sofern sie ihre Opfer überhaupt so detailliert screenen. Das Problem: Die Angriffsoberfläche wächst und wächst, denn die Verteidiger kommen mit dem Lückenschließen kaum nach: Laut BSI-Lagebericht für 2023 gibt es im Schnitt knapp 70 neue Sicherheitslücken pro Tag. „Patch-Management eskaliert gerade“, warnt Richard Werner.

Die Zeiten, in denen IT-Teams sich darauf konzentrieren konnten, ihre Microsoft-Umgebung bestmöglich abzusichern, sind den Weg der Stummfilm-Ära gegangen: „Angriffe zielen immer mehr auch auf kleinere Softwarehersteller“, so Werner. „Wir wissen von etwas über 1.000 Schwachstellen, die bei Cyberangriffen tatsächlich Verwendung finden.“ Microsoft mache nur noch rund ein Drittel der aktiv ausgenutzten Schwachstellen aus.

Alle Lücken zu schließen ist also praktisch unmöglich. Deshalb müssen IT-Teams Prioritäten setzen: „Das Schwachstellenmanagement sollte sich idealerweise um jene Schwachstellen kümmern, die eine echte Gefahr für das Unternehmen darstellen“, sagt Werner. Hier müsse die Security-Branche Orientierung liefern, das könne kein Unternehmen mehr selbst leisten. Die gute Nachricht: „Die Industrie“, so Werner, „hat heute die Möglichkeiten, Schwachstellen mittels Sensorik zu identifizieren und die relevanten per KI zu finden.“ Der Begriff „KI“ meint hier eine selbstlernende statistische Analyse, nicht halluzinierende Chatbots.

NIS-2 zwingt zum Handeln

Gefahr erkannt, Gefahr gebannt? So einfach macht es die Softwarebranche ihren Kunden nicht. „Wenn ein Unternehmen eine Sicherheitslücke kennt, selbst eine kritische, dann heißt das noch nicht, dass es sie auch schließen kann“, sagt Werner. Als Gründe nennt er mangelndes Know-how, Zeitnot – „oder man darf’s nicht patchen, weil der Hersteller dies nicht zulässt, etwa bei Industrieanlagen.“ Die Gründe variierten je nach Unternehmen – dies erschwere es, wirkungsvolles Patch-Management zu betreiben. Der oft gehörte Ratschlag, man müsse Softwarelücken eben einfach zeitnah schließen, scheint da so oberflächlich wie oberschlau.

Richard Werners Rat: „Ich muss monitoren, was passiert, um Informationen für risikobasierte Entscheidungen zu sammeln.“ Trend Micro nennt dies „Attack Surface Risk Management“, bei anderen Anbietern heißt es schlicht „Attack Surface Management“ (ASM), also Angriffsoberflächen-Management.

ASM ist für viele Unternehmen unumgänglich, für die übrigen zumindest ratsam. Denn es hilft laut Werner, sich auf den Ernstfall vorzubereiten: „Ernstfall 1: Ich habe ein Risiko entdeckt und muss entscheiden, wie ich damit umgehe. Ernstfall 2: Das Risiko ist eingetreten, der Angriff findet statt. Wichtig ist nun: Laut NIS-2-Verordnung [Cybersicherheitsrichtlinie der EU, d.Red.] müssen sich Unternehmen auf beides vorbereiten.“

Denn niemand dürfe mehr annehmen, alle Risiken komplett ausschließen zu können. „Das konnte man noch nie“, sagt Werner, „aber man hat sich lange Zeit diesem Mythos hingegeben.“ Inzwischen aber haben Water Hydra & Co. diesen Mythos entzaubert.

Einen Einblick in das Ausmaß der Angriffsoberflächen gibt die Auswertung von Trend Micros Attack Surface Risk Management, das laut Hersteller rund 9.000 Unternehmen einsetzen: „11% der Assets im durchschnittlichen Unternehmen gelten als ‚kritsch‘ im Sinne von ‚hoch angreifbar‘“, sagt Werner. Diese müsse man überwachen, um bei Anzeichen steigenden Risikos schnell Maßnahmen zu ergreifen.

Leben mit dem Fadenkreuz

11% heißt: Jedes neunte Asset trägt ein digitales Fadenkreuz und ist somit potenziell Zielscheibe eines Angriffs. Da stellt sich – nicht anders als beim Patch-Management – die Frage, wie ein IT-Team diese Sisyphos-Aufgabe bewältigen soll. „An irgendeiner Stelle muss eine Intelligenz vorhanden sein, die Auskunft gibt: Dies hängt mit jenem zusammen, deshalb sind diese Reaktionen zu ergreifen“, so Werner. Auch hier setzt Trend Micro auf KI-Algorithmen: „Diese Intelligenz ist im Idealfall eine künstliche Intelligenz, weil KI schneller agieren kann als alles andere.“

Ein Unternehmen kann das ASM aber nicht komplett an KI auslagern: „Die Umsetzung der Abwehrmaßnahmen ist eine Frage der Strategie und der Kosten“, sagt Werner. „Dies muss jedes Unternehmen für sich selbst organisieren.“

Fazit: Es wird beim Management der Angriffsoberflächen wichtig sein, nicht zu oberflächlich vorzugehen. Denn dies würde selbst wiederum Angriffsoberflächen öffnen. Schließlich betreiben Cyberkriminelle – wie die Filmstudios in Hollywood – laufend ihr eigenes Screening, um die Reaktion ihres Publikums zu testen. Und leider lebt auch die unendlich vielköpfige Hydra der digitalen Unterwelt in einem Zeitalter unendlich vieler Oberflächen.

*****

Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.

Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)

Cartoon: (c) Wolfgang Traub