Wie geerbte Schwachstellen die Sicherheitslage 2020 prägen werden

Was werden 2020 die grössten IT-Bedrohungen sein? Diese Frage beschäftigte auch den japanischen IT-Sicherheitsanbieter Trend Micro. Am 11. Dezember informierte das Unternehmen in Zürich über seine Sicherheitsvorhersagen für das kommende Jahr.

Ein Punkt zieht sich dabei durch die Mehrheit der Vorhersagen: geerbte Schwachstellen und Verantwortlichkeiten. Gemeint sind Schwachstellen, die man nicht selbst verursacht hat, wie etwa Sicherheitslücken in verbreiteten Container-Images. Wenn Unternehmen löchrigen Container-Code für ihre eigenen Anwendungen nutzen, sind auch diese angreifbar.

Verschlimmert wird dies dadurch, dass Unternehmen oft zu wenig darauf achten, was sie von Drittanbietern übernehmen. Ihr Fokus liegt auf dem Teil, den Sie zum Stack beitragen. "Aber wer einen Service zur Verfügung stellt, ist auch dann dafür verantwortlich, wenn die Verwundbarkeit gar nicht im eigenen Code drin ist, sondern in einer Komponente eines Drittanbieters", mahnt Udo Schneider, Security Evangelist bei Trend Micro.

Was 2020 brisant wird, sagen Udo Schneider (links) und Richard Werner von Trend Micro. (Source: Netzmedien)

Derartige Fehler zu beheben, kann viel Zeit und Ressourcen beanspruchen. Besonders dann, wenn Unternehmen für den Image-Fix auf den dafür verantwortlichen Drittanbieter angewiesen sind. Devops-Teams sollten Schwachstellen in Container-Komponenten darum zu ihren Top-Security-Anliegen machen.

Kein Outsourcing der Verantwortung in die Cloud

Ein vergleichbares Bild zeigt sich auch bei Cloud-Diensten wie etwa AWS oder Azure. "Ich kann die Hardware abgeben", sagte Schneider, "aber die Verantwortung für Abhängigkeiten und Software bleibt weiterhin bei mir."

Die meisten der grossen Datenpannen der vergangenen Jahre hatten dieselbe Ursache: Irgendwer hatte vergessen, den öffentlichen Zugang auf sensible Daten zu verhindern. Ein weiterer beliebter Fehler ist es, das standardmässige Admin-Passwort nie zu ändern.

Cloud-Speicher würden zu oft übereilt aufgesetzt, sagte Schneider. Derartige Fehler müssen nicht zwingend vom Betreiber ausgehen – auch der Service Provider könnte die Ursache sein. Einen Cloud-Speicher bei einem Drittanbieter einzukaufen, ist kein Selbstläufer. "Man muss dem Service Provider klar sagen, wie die Systeme zu konfigurieren sind", sagte Schneider.

"Wir gehen deshalb davon aus, dass wir 2020 massive Datenpannen sehen werden von Unternehmen, die sich dieser Verantwortung nicht bewusst sind", prophezeite der Security-Evangelist.

Supply-Chain-Attacken nehmen zu

Geerbte Verwundbarkeiten sind nicht immer ein Versehen. Cyberkriminelle zielen oft bewusst auf die Zulieferer ihrer eigentlichen Opfer – weil sie hier laxere Sicherheitsmassnahmen vermuten. Mit derartigen Supply-Chain-Attacken versuchen die Angreifer, möglichst unbemerkt in das Netzwerk ihrer Opfer einzudringen.

Der Aufwand ist deutlich grösser als bei einem konventionellen, direkten Angriff. "Aber wenn der Angreifer es einmal geschafft hat, trifft er auf praktisch keine Verteidigung mehr", sagte Richard Werner, Business Consultant bei Trend Micro. Denn der Angriff komme nicht über den Perimeter, sondern vom eigenen Server und strahlt von dort aus auf das gesamte Netzwerk aus.

Supply-Chain-Attacken sind nicht neu. Im kommenden Jahr sollen sie aber stark zunehmen. Warum? Im laufenden Jahr war die Malware Emotet sehr erfolgreich darin, Firmen zu infizieren – inspiriert durch Wannacry und Notpetya. Der Hacker sah sich manuell im System um und entschied sich erst dann, was er tun wollte.

Trend Micro geht davon aus, dass 2019 auch einige Service Provider auf diese Weise infiziert wurden und die Supply-Chain-Attacken nun vorbereitet werden. Denn diese Attacken sind sehr komplex und brauchen viel Zeit.

Auch 5G kommt nicht ohne Altlasten

Ein weiteres Thema, bei dem man darauf achten sollte, was sonst noch alles in der Box steckt, ist 5G. "Die Geschwindigkeit der Luftschnittstelle ist das uninteressanteste an 5G überhaupt", sagte Schneider.

Viel interessanter sei es, dass man 5G nicht ausrollen kann, ohne eine ganze Sammlung von Ressourcen gleich mit auszurollen. Darunter etwa SDN (Software-defined Networking) und NFV (Network Functions Virtualization).

"5G zieht einen riesigen Softwarestack mit sich", sagte Schneider. Themen wie etwa SDN seien so tief im ganzen Aufbau vergraben, dass man darauf nicht verzichten könne. Das mache die potenzielle Angriffsfläche des Mobilfunkstandards deutlich grösser.

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.

Die übrigen IT-Security-Vorhersagen für 2020:

• Die gestiegene Rechenleistung von IoT-Geräten führe dazu, dass sie noch stärker als zuvor von Cyberkriminellen ausgenutzt werden. Ein weiterer Vorteil ist, dass sie sich mittlerweile mit Standard-Tools programmieren lassen, da sie nu auch Javascript, Python und Co. verstehen. IoT-Geräte könnten etwa für DDoS-Attacken oder Cryptomining genutzt werden.

• Trend Micro rechnet mit mehr Cyberattacken auf kritische Infrastrukturen im Jahr 2020. Allerdings handle es sich dabei noch um Testangriffe, denn noch fehle ein skalierbares Geschäftsmodell. Cyberkriminelle wollen möglichst viel Geld bei einem möglichst geringen Risiko erbeuten. "Eine rauchende Ruine ist das letzte, was sie wollen", sagte Schneider. "Findet ein Cyberkrimineller jedoch ein skalierbares Geschäftsmodell, haben wir ein Problem." Denn die Angriffsfläche nimmt stetig zu: Was verbunden ist, hat auch Schwachstellen, die sich ausnutzen lassen.

• Deepfakes werden bekannte Angriffsvektoren neu erfinden. Im Falle von Business E-Mail Compromise sei dies bereits geschehen. Bei dieser Masche, die man auch als CEO-Scam kennt, versuchen Cyberkriminelle mit gefälschten E-Mails Unternehmen dazu zu bringen, Zahlungen auszuführen. Vergangenen September probierte ein Angreifer dasselbe über das Telefon: Gemäss Medienberichten nutze er die mittels künstlicher Intelligenz generierte Stimme des Unternehmens-CEOs.

• Immer mehr Mitarbeiter wollen im Home Office arbeiten. Dort herrschen jedoch deutlich schwächere Sicherheitsvorkehrungen. "Das macht es für den Angreifer leichter, zu spionieren und an Passwörter heranzukommen", sagte Werner. Eine Multi-Faktor-Authentifizierung (MFA) könnte helfen. "Dies macht dem Angreifer das Leben allerdings nur ein wenig schwerer. Dann muss er zwei Geräte infizieren, statt nur eins", sagte Werner. Der Zugriff vom Home Office aus sollte daher nicht nur MFA unterstützen sondern auch möglichst Nutzer-spezifisch sein.

• Ein uraltes Problem, dass auch 2020 nicht an Relevanz verlieren wird, ist Patching. Unternehmen werden zwar immer schneller, wenn es darum geht, Patches bereitzustellen. Um einen High-Security-Patch zu installieren, braucht eine Firma jedoch im Schnitt 2 Monate. Übereilt geschriebene Patches können aber für neue Probleme im System sorgen. "Wir erwarten, dass Cyberkriminelle sich 2020 jeden Patch anschauen und auf Probleme prüfen werden", sagte Werner.

• Eine weitere bekannte Hürde für die Sicherheit, ist das Budget. Statt das das Ziel der IT-Security zu definieren und die Zeit und das Budget entsprechend zu definieren, sei es in der Regel genau andersherum. Zeit und Ressourcen sind Fixwerte, und das Security-Ziel muss sich daran anpassen.

Mehr zu den Sicherheitsprognosen von Trend Micro können Interessierte hier lesen.

Zum Nachschlagen:

• Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

• Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.