IT-Security
Welche Cyber-Bedrohungen erwarten uns 2017?
Ransomare – Malware, die den Computer infiziert und Geld für die Entsperrung verlangt – entwickelt sich 2017 rasant weiter. Vor allem der Business-Bereich, das IoT und das Industrielle Internet der Dinge stehen im Visier der Hacker. Diesen Ausblick gibt das IT-Haus Trend Micro.
Zu den neuen Varianten zählen laut dem japanischen IT-Sicherheitsanbieter Trend Micro das sogenannte „Business Email Compromise“, das es auf geschäftliche E-Mails wichtiger Unternehmensmitarbeiter abgesehen. Auch „Business Process Compromise“, also das Kapern oder Verändern ganzer Geschäftsprozesse, steht im Trend. Zu den Sicherheitsvorhersagen der Experten im Einzelnen:
Erpresser-Software
Das vergangene Jahr hat sich laut Trend Micro zum Jahr der Cyber-Erpressung entwickelt. Dies sehen die Security-Experten durch mehrere Faktoren begründet: Die Angriffe vereinen unterschiedliche Verteilungsmethoden und nicht zu knackende Verschlüsselung mit massiven Drohkulissen. „Ransomware-as-a-Service“ – ein Geschäftsmodell, bei dem Betreiber ihre Infrastruktur an Cyberkriminelle vermieten – brachte auch technisch nicht Versierte ins Geschäft. Nicht zuletzt konnten Hacker nach der Veröffentlichung von Ransomware-Code ihre eigenen Versionen erstellen. Dies alles führte dazu, dass zwischen Januar und September 2016 ein 851-prozentiger Anstieg an Ransomware-Familien zu verzeichnen war, so Trend Micro. Nachdem der Höhepunkt 2016 überschritten wurde, folgt nun eine Periode der Stabilisierung: Für das Jahr 2017 rechnen die Forscher mit einem 25-prozentigen Zuwachs, also mit 15 neuen Familien pro Monat.
Bei mobilen Endgeräten sehen sie dieselbe Entwicklung wie bei Desktops, weil die Zahl der mobilen Nutzer hoch genug ist, um als Angriffsziel profitabel zu sein. Daneben werden auch Geldautomaten, Point-of-Sale-Systeme oder andere Computing-Terminals betroffen sein. Anders ist die Situation bei smarten Geräten: Derzeit lohnt es sich noch nicht, sie „in Geiselhaft“ zu nehmen, so der Security-Anbieter. Der Grund: Es ist für den Betroffenen günstiger, eine gehackte, smarte Glühbirne zu ersetzen als Lösegeld zu zahlen.
Größeren Schaden werden Cyberkriminelle mit Erpresser-Software in Industrieumgebungen und Angriffen gegen das industrielle Internet der Dinge (IIoT) anrichten. Denn mit der Drohung, eine Produktionsstraße außer Betrieb zu setzen oder die Parameter einer Anlage wie die Temperatur zu manipulieren, lässt sich mehr Lösegeld erpressen.
IoT-Geräte und DDoS-Angriffe, IIoT-Systeme und gezielte Angriffe
2016 sorgte der „Mirai-DDoS-Angriff“, der mittels Tausender ungesicherter Webcams große Websites vom Netz trennte, für Aufsehen. Er war laut Trend Micro der Vorbote von mehr Cyberangriffen auf das Internet der Dinge und dessen zentrale Infrastruktur. Die Security-Experten befürchten, dass Cyberkriminelle einzelne vernetzte Fahrzeuge für sehr gezielte Angriffe und offene Router für massive DDoS-Attacken nutzen könnten. IoT-Botnetze könnten theoretisch DDoS-Angriffe vervielfältigen und größeren Schaden anrichten. Trend Micro geht davon aus, dass Anbieter darauf nicht zeitgerecht reagieren werden.
Eine weitere Prognose: Sobald das Internet der Dinge in Fertigungs- und anderen Industrieumgebungen sowie der Energiebranche stärker Einzug gehalten hat, werden Angreifer die Effizienz ihrer „BlackEnergy“-ähnlichen Angriffe erhöhen. In Verbindung mit dem starken Anstieg der Systemschwachstellen in SCADA-Systemen wird der Wechsel zum industriellen Internet der Dinge (IIoT) nicht vorhersehbare Gefahren und Risiken für Unternehmen und Verbraucher mit sich bringen.
BEC-Angriffe
Das Ziel von sogenannten „Business Email Compromise“ (BEC) ist es, ein E-Mail-Konto zu hacken oder einen Mitarbeiter so auszutricksen, dass dieser Geld auf das Konto des Hackers überweist. Im Visier der Cyberkriminellen stehen Finanzabteilungen weltweit. Mehrere Aspekte machen die Angriffe „attraktiv“. Da ist zum einen die unkomplizierte Handhabung: An den Angriffen gibt es nichts Außergewöhnliches – außer vielleicht der Tatsache, dass der jeweils beste Weg ausgekundschaftet werden muss, um eine für das Opfer glaubhafte E-Mail zu erstellen. Dies lässt sich jedoch häufig aber mithilfe einer ausgeklügelten Suchabfrage bewerkstelligen. Diese Art des Angriffs ist zudem kostengünstig, weil es keiner komplizierten Infrastruktur bedarf. Den durchschnittlichen Verdienst bei einem erfolgreichen BEC-Angriff gibt Trend Micro bei 140.000 US-Dollar an, der geschätzte Gesamtschaden in den vergangenen zwei Jahren belief sich auf 3 Mrd. US-Dollar. Zum Vergleich: Der durchschnittliche Verdienst bei Ransomware-Angriffen beträgt 722 US-Dollar und kann bis auf 30.000 US-Dollar steigen, wenn ein Unternehmensnetzwerk betroffen ist.
Die Spezialisten von Trend Micro gehen davon aus, dass der schnelle Profit diese Erpressungsmethode beliebt machen wird, zumal sie schwer zu entdecken ist – weil ja eben kein Schadcode enthalten ist – und weil die Mühlen der grenzübergreifenden Gerichtsbarkeit langsam mahlen: Bis beispielsweise ein Nigerianer, der seit 2014 mehrere Unternehmen betrogen hatte, festgenommen wurde, dauerte es über zwei Jahre.
BPC-Angriffe
Der Angriff auf das Konto der Bangladesh Bank bei der U.S. Federal Reserve Bank of New York verursachte einen Verlust von über 80 Mio. US-Dollar. Anders als bei „Business Email Compromise“, wo die Gefahr in menschlichem Fehlverhalten liegt, beruhte dieser Raub auf einem tiefgehenden Verständnis der Kriminellen dafür, wie große Finanztransaktionen ablaufen. Trend Micro nennt diese Angriffskategorie „Business Process Compromise“ (BPC). Sie wird vor allem Finanzabteilungen betreffen, aber nicht ausschließlich. Zu den ebenfalls möglichen Szenarien gehört das Hacken von Auftrags- oder Bezahlsystemen. Cyberkriminelle können sich auch in ein Lieferzentrum hacken und wertvolle Güter an andere Adressen umleiten. Einen vergleichbaren Fall gab es bereits: Im Jahr 2013 wurde das Liefercontainer-System des Antwerpener Hafens gehackt. Und warum der Aufwand? Ein Vergleich der „Verdienstmöglichkeiten“ zeigt die Gründe: Ransomware-Angriffe auf Unternehmensnetzwerke 20.000 US-Dollar, BEC 140.000 US-Dollar und BPC 81 Mio. US-Dollar.
Sicherheitslücken bei Adobe und Apple
Im vergangenen Jahr 2016 hat Adobe zum ersten Mal Microsoft bei der Anzahl aufgedeckter Sicherheitslücken überholt. 135 der veröffentlichten Lücken betrafentrafen 135 Adobe-Lösungen, 76 76 Microsoft-Lösungen. Für Apple war es das Jahr mit den meisten Sicherheitslücken: Bis November 2016 wurden 50 offengelegt – im Jahr 2015 waren es noch 25. Diese Entwicklungen haben laut Trend Micro damit zu tun, dass Microsofts PC-Verkäufe in den vergangenen Jahren zugunsten von Smartphones und Tablets zurückgegangen sind – dass aber die Verbesserungen Microsofts in puncto Sicherheit die Cyberkriminellen auch dazu getrieben haben, nach Alternativen zu suchen.
Gezielte Cyberpropaganda
2016 hat nahezu die Hälfte der Erdbevölkerung (46 %) Zugang zum Internet, sei es über traditionelle Computer, Smartphones oder Internet-Cafés. Dadurch können immer mehr Menschen schnell und einfach auf Informationen zugreifen - unabhängig von Quelle und Glaubwürdigkeit - und die öffentliche Meinung beeinflussen. Die fehlende Überprüfung, ob Informationen glaubwürdig sind, trägt laut Trend Micro zusammen mit übereifrigen Nutzern, die andere vom eigenen Glauben überzeugen wollen, zur weiten Verbreitung gefälschter Inhalte bei. Dies macht es noch schwerer, zwischen Fakt und Fälschung zu unterscheiden.
Trend Micro veranschaulicht, welche Macht soziale Medien und Online-Informationsquellen haben, wenn es um politische Entscheidungen geht: Wie WikiLeaks für Propaganda eingesetzt wird, zeigte sich bei den US-Präsidentschaftswahlen 2016, als belastendes Material eine Woche vor der Wahl durchsickerte. Beim steten Monitoring des cyberkriminellen Untergrunds stießen die Sicherheitsforscher auf sogenannte Script-Kiddies, die mit ihren Einnahmen durch gefälschte wahlbezogene Nachrichten warben. Sie behaupteten, etwa 20 US-Dollar im Monat verdient zu haben, indem sie Internet-Verkehr zu vorgefertigten Inhalten über die Präsidentschaftskandidaten umleiteten. „Cyber-Agenten“ wurden sogar dafür bezahlt, Propagandamaterial in sozialen Medien zu posten.
Zusatzaufwand durch EU-Datenschutz-Grundverordnung
Ab dem 25. Mai 2018 kommt die bereits in Kraft gesetzte EU-Datenschutz-Grundverordnung zur unmittelbaren Anwendung. Unternehmen mit fehlender Compliance werden dann Strafen von bis zu 4 % ihres Umsatzes zahlen müssen. Nicht allein die EU-Mitgliedsstaaten sind betroffen, sondern Organisationen weltweit, die persönliche Daten von EU-Bürgern sammeln, verarbeiten und speichern. Die damit einhergehenden Änderungen in Richtlinien und Geschäftsprozessen werden zu erheblichen administrativen Zusatzkosten führen, so Trend Micro. So wird unter anderem ein „Data Protection Officer“ (DPO) Pflicht, d.h. eine neue Rechnungsposition (für Einstellung, Schulung und Stelle eines entsprechend geschulten Mitarbeiters) wird in den Unternehmensausgaben auftauchen.
Zudem müssen Nutzer über ihre neuen Rechte informiert werden – und Unternehmen sicherstellen, dass die Nutzer ihre Rechte auch wahrnehmen können. Die dem individuellen Grundrecht auf informationelle Selbstbestimmung entspringende Einsicht, dass EU-Bürger ihre persönlichen Daten selbst besitzen und somit gesammelte Daten bestenfalls nur „ausgeliehen“ sind, wird die gesamten datenbezogenen Arbeitsabläufe beeinflussen.
Neue Taktiken für gezielte Angriffe
Die ersten Kampagnen für gezielte Angriffe wurden vor zehn Jahren dokumentiert. Seitdem gehen Cyberkriminelle viel raffinierter vor, während die Netzwerkinfrastrukturen weitgehend gleich geblieben sind. Diese Lernkurve bringt laut Trend Micro Methoden hervor, die in erster Linie darauf ausgerichtet sind, die meisten modernen Sicherheitstechnologien der vergangenen Jahre zu umgehen.
Cyberkriminelle werden sich vermehrt um die Erkennung von Sandboxen kümmern, um zu sehen, ob unbekannte Dateien in eine Sandbox geschoben werden. Sie werden Sandboxen sogar angreifen und „überfluten“. Dabei bezeichnet der Begriff ‚Sandbox‘ eine Technik, Software innerhalb einer speziellen - d.h. von den übrigen Systemressourcen isolierten - Laufzeitumgebung auszuführen. Die Technik lässt sich im Prinzip mit in sich geschlossenen Containern vergleichen, in denen Software ausgeführt werden kann, ohne andere Ressourcen eines Systems zu beeinflussen.













