Neue Angriffsmuster und unaufmerksame Mitarbeiter gefährden die IT

Das Geschäftsmodell Cybercrime floriert, und die Täter entwickeln es stetig weiter. 2020 setzen die Angreifer verstärkt auf Arbeitsteilung und Professionalisierung. Heisst: Während eine Gruppe sich darauf spezialisiert, in Unternehmensnetzwerke einzudringen, konzentriert sich ein anderes Team darauf, Daten aus dem Netzwerk zu exfiltrieren oder zu verschlüsseln. Die einen verdienen Geld, indem sie die Zugänge verkaufen, die anderen mit Lösegeldforderungen. Dabei fällt es Cyberkriminellen nach wie vor leicht, in mittelständische IT-Netzwerke einzudringen. Denn deren IT-Sicherheit weist immer wieder Lücken auf, weil die Verantwortlichen die Schwachstellen nicht rechtzeitig patchen oder Updates nicht installieren. Dabei sind sie häufig nicht einmal das primäre Ziel, sondern als Teil der Lieferkette das schwächste Glied, um einen grossen Konzern zu infiltrieren. Hinzu kommt, dass Cyberkriminelle zunehmend auf raffinierte und ausgefeilte Angriffsmethoden setzen, um Systeme zu kompromittieren. Dazu nutzen die Täter einerseits immer komplexer werdende Angriffsmuster, zum anderen setzen sie verstärkt auf automatisierte Prozesse. Nachdem Kriminelle bei neuer Malware seit Jahren vor allem die grosse Masse im Fokus hatten, suchen sie sich ihre Ziele immer gezielter aus.

Sicherheitsrisiko IT-Dienstleister

IT-Dienstleister geraten ebenfalls verstärkt in den Fokus von Angreifern. Bereits in den vergangenen Monaten gab es immer wieder Fälle, in denen Wartungszugänge für Angriffe auf Firmennetze ausgenutzt wurden. Solche Zugänge verwenden Dienstleister in der Regel, um ihre Kunden aus der Ferne zu unterstützen.

Da jeder IT-Dienstleister darauf angewiesen ist, weitreichende Berechtigungen innerhalb eines Netzwerks zu besitzen, bedarf es keiner grossen Transferleistung, um zu erkennen, dass eines der grössten Risiken für ein Unternehmensnetzwerk schlecht gesicherte Wartungszugänge sind. Zwar gibt es ein berechtigtes Interesse, solche zu besitzen, jedoch ist es sowohl für Kunden als auch Dienstleister nicht mehr vertretbar, diese ungesichert zu lassen. Hier sind Anbieter von Serviceleistungen besonders in der Pflicht, das in sie gesetzte Vertrauen zu stärken und auch intern besondere Schutzmassnahmen zu ergreifen.

Neue Angriffsmuster

Neue Angriffsmuster sind sogenannte "Living-off-the-land-Attacken", bei denen Cyberkriminelle Windows-Bordmittel wie Power­-shell und Bitlocker mit einem bösartigen Skript kombinieren, um damit einen Angriff auszuführen. Sie spionieren dann beispielsweise Passwörter aus oder verschlüsseln wichtige Daten, um Lösegeld zu erpressen. Um derartige Angriffsmuster überhaupt zu erkennen, braucht es eine Verhaltensüberwachung, die auch komplexe Prozesse zuverlässig als schadhaft identifizieren kann.

Ein weiterer Trend: Dynamite-Phishing. Diese Variante ist eine Weiterentwicklung durch Automatisierung des bekannten Spear-Phishings, bei dem Opfer passgenaue E-Mails erhalten, die nur schwer als schadhaft zu erkennen sind. Bei Dynamite-Phishing lesen die Cyberkriminellen die E-Mail-Kommunikation von einem bereits mit einem Information-Stealer infizierten System aus. Die Kommunikationspartner des infizierten Nutzers erhalten dann schadhafte Mails, welche die letzte "echte" Mail zwischen den beiden Parteien zitieren und so wie eine legitime Antwort darauf durch den infizierten Nutzer aussehen. Da der Empfänger keine Kenntnis von der Infektion des Kommunikationspartners hat, sind solche Mails nur schwer als schadhaft zu identifizieren.

Mobile Geräte: Das Risiko steigt

Immer mehr Menschen nutzen Smartphones und Tablets als digitales Cockpit für ihren Alltag, etwa um ihr smartes Zuhause von unterwegs zu steuern. Daher sind Mobilgeräte auch für Cyberkriminelle ein attraktives Ziel. Die Zahl der schädlichen Apps hat 2019 ein Rekordniveau erreicht. Ein Ende ist hier noch nicht in Sicht. Vielmehr wird das Thema Sicherheit für Smartphones und Tablets wichtiger, weil Smartphones verstärkt sicherheitskritische Aufgaben übernehmen.

Ein Beispiel ist die Zahlungsdiensteverordnung PSD2. Sie sorgt dafür, dass immer mehr Menschen ihr mobiles Gerät für Onlinebanking mit Zwei-Faktor-Authentifizierung einsetzen. Wer also ein Smartphone mit einem veralteten Betriebssystem oder mit einem fehlenden Sicherheitspatch nutzt, öffnet Kriminellen bereitwillig die Tür. Ein Problem bleibt aber auch in diesem Jahr die grosse Heterogenität der Android-Versionen. Dies wird sich kaum ändern. Aber auch Apple wird 2020 stärker ins Visier der Cyberkriminellen geraten. Die 2019 gefundenen iOS-Schwachstellen geben Anlass zur Sorge.

Stop Stalkerware!

Ein bedenklicher Trend ist bei Apps zu beobachten: Der Einsatz von Stalkerware. Stalkerware bietet die Möglichkeit, mittels kommerziell erhältlicher Schadsoftware in das Privatleben einer Person einzudringen, und wird als Werkzeug für Missbrauch in Fällen von häuslicher Gewalt und Stalking eingesetzt. Durch die Installation dieser schädlichen Applikationen erhalten Täter Zugang zu Nachrichten, Fotos, Social-Media-Apps, Geolokalisierung, Audio- oder Kameraaufnahmen ihrer Opfer – in einigen Fällen kann dies sogar in Echtzeit erfolgen. Solche Programme laufen versteckt im Hintergrund ohne das Wissen oder die Zustimmung eines Opfers. Gemeinnützige Organisationen erleben eine wachsende Zahl von Opfern, die Hilfe bei diesem Problem suchen. Laut Kaspersky stieg die Zahl der Nutzer, die mit Stalkerware zu kämpfen haben, um 35 Prozent – von rund 27 800 im Jahr 2018 auf mehr als 37 500 im Jahr 2019. Auch die Bedrohungslandschaft für Stalkerware hat sich verändert. So analysierte Kaspersky 2019 380 Varianten von Stalkerware – 31 Prozent mehr als ein Jahr zuvor.

IT-Sicherheitsdienstleister und Opferschutzorganisationen arbeiten seit 2019 gemeinsam daran, den Schutz zu verbessern – und werden im Jahr 2020 weitere Initiativen starten. Die "Coalition against Stalkerware" setzt sich dafür ein, Nutzer besser über potenzielle Risiken aufzuklären. Gemeinsam arbeitet die Coalition daran, potenziellen Opfern von Stalkerware zu helfen, den Wissenstransfer zwischen den Mitgliedern zu erleichtern, Best Practices für die Entwicklung ethischer Software zu entwickeln und die Öffentlichkeit über die Gefahren von Stalkerware aufzuklären.

Menschen verhindern Cyberattacken

Der digitale Wandel nimmt jetzt auch bei immer mehr Unternehmen Fahrt auf. Aber zahlreiche Mitarbeiter fühlen sich von der Digitalisierung überfordert, weil es schlicht und einfach an digitalen Fachkenntnissen fehlt. Das führt auch dazu, dass es vielen Mitarbeitern in dieser neuen Arbeitswelt an einem IT-Sicherheitsbewusstsein mangelt. Dabei ist dieses Sicherheitsbewusstsein elementar, um das eigene Netzwerk wirkungsvoll zu schützen. Denn noch immer ist IT-Sicherheit ein menschliches Problem, beziehungsweise erfolgreiche Attacken werden häufig durch menschliches Versagen begünstigt. Daher werden Firmen verstärkt in Schulungsmassnahmen investieren. Aber einfache Tools mit einer Phishing-Simulation bieten keinen Mehrwert. Im Gegenteil: Manche gut gemeinten Tools, etwa zum Thema Phishing, verunsichern die Mitarbeiter mehr, als dass sie helfen. Hier besteht die Gefahr der Schulungsmüdigkeit.

Ohne IT-Sicherheit geht es nicht

Die Zukunft ist bereits jetzt schon digital. IT-Sicherheit wird zu einem wesentlichen Erfolgsfaktor. Unternehmen müssen lernen, das zu verstehen, und dürfen dabei nicht den Menschen vergessen, der sich Gefahren bewusst sein muss. IT-Sicherheit beginnt nicht beim Endpoint, sondern bei den Menschen, egal ob Geschäftsführer oder Mitarbeiter.