kDie Medienresonanz im Jahr 2014 hinsichtlich des Themas Internet-Kriminalität und Cyber-Sicherheit ist bisher beispiellos. Von Leit- über Wirtschafts- bis hin zu Konsumentenmedien - überall spielten diese Themen eine entscheidende Rolle. Wir wagen den Blick in die Kristallkugel und prognostizieren: Im Jahr 2015 werden IT-Sicherheitsspezialisten vor allem mit den nachstehend genannten fünf Trends und Gefahren konfrontiert werden.
1. Botnets werden zur professioneller Dienstleistung
Für Produkte und Dienstleistungen, die überdurchschnittlich nachgefragt werden, bildet sich sehr schnell ein differenzierter und spezialisierter Anbietermarkt. Eine solche Nachfrage besteht aktuell nach sogenannten Botnets, um diese für kriminelle Zwecke einzusetzen. Im Prinzip kann heute jedermann bereits ab zehn US-Dollar die Stunde Botnets mieten. Die Netzwerke automatisierter Computerprogramme greifen Sicherheitslücken Dritter an oder bombardieren Netzwerke so lange mit Datenmüll, bis diese zusammenbrechen.
Diese Dienstleistung ist selbstverständlich illegal in der Europäischen Union. In anderen Regionen wie Russland wird sie aber von Dienstleistern angeboten, die ihre Vertriebs- und Servicestrukturen immer weiter professionalisieren. Dies geht sogar bis hin zu individuellem Support bei der Nutzung des gemieteten Botnets.
Angriffe aus Rechtsräumen, in denen Botnets legal sind, werden damit künftig noch weiter zunehmen. Für die Kriminellen wird die Nutzung gleichzeitig immer einfacher, da sie die Dienstleistung wie einen gewöhnlichen Bedarfsartikel mit exzellenter Servicebegleitung zu einem geringen Preis einkaufen können.
Anzeichen für einen Cyber-Angriff
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
2. Neue Angriffsflächen durch Industrie 4.0 und das Internet der Dinge
In der Vergangenheit haben sich Unternehmen wie auch Privatpersonen vor allem damit beschäftigt, ihre Daten auf Computern, Handys und sonstigen mobilen Endgeräten wie Tablets zu schützen. Letztere sind historisch betrachtet noch immer vergleichsweise neu - und drohen sich nun exponentiell und beliebig umfangreich zu vervielfachen. Denn nachdem die Datenwelt des Computers schon das Telefon erobert hat, werden künftig alle möglichen elektronischen Geräte Datenträger sein: Autos, Kühlschränke, Leuchtmittel oder die Kaffeemaschine im privaten Bereich, Produktionsanlagen, Roboter und Maschinen in der Industrie.
Sie alle sind schon jetzt oder in Kürze ebenfalls Teil des großen Netzes, das die Kommunikationsinstrumente erfasst hat. Damit werden sie zu neuen möglichen Angriffsflächen für Cyber-Kriminelle. Diese werden beim nächsten Mal vielleicht nicht die Drehbücher einer Hollywood-Produktionsfirma stehlen, sondern gleich die Produktionsmaschinen eines Maschinenbauers so schädigen, dass die weitere Fertigung monatelang stillsteht.
Alternativ greifen sie vielleicht die wichtigsten Manager an, indem sie deren Toaster im Privathaushalt dazu führen, zu überhitzen und Feuer zu fangen, oder die Kontrolle über das elektronische Lenksystem seines Autos übernehmen. CIOs müssen sich jetzt damit beschäftigen, wie sie unter diesen neuen Rahmenbedingungen einen größtmöglichen Schutz für ihre Unternehmen und ihre Mitarbeiter schaffen können.
3. Sabotage nimmt einen höheren Stellenwert ein
Der Hack von Sony Pictures ist nicht nur der größte Einbruch in ein Unternehmen, der bisher bekannt wurde. Er unterscheidet sich vor allem in einem Merkmal deutlich von anderen Einbrüchen und stellt damit eine neue kriminelle Qualität dar. Bisher wurden die meisten Einbrüche vor allem aus Spionagegründen begangen: Geheime Informationen sollten ausgekundschaftet, geistiges Eigentum gestohlen werden. Dies ist auch bei Sony passiert.
Die Eindringlinge sind jedoch weiter gegangen, indem sie neben Spionage auch Sabotage betrieben haben. Sie haben systematisch Daten vernichtet, die Sony teils nur unter Aufbringung großer finanzieller Mittel - teils gar nicht - wiederherstellen kann. Arbeit und geistiges Eigentum, also Werte, sind damit vernichtet worden. Gerade im Kontext der bereits erläuterten professionellen Botnets und von Industrie 4.0 müssen sich die Sicherheitschefs von Unternehmen darauf einstellen, dass Sabotage mittelfristig einen genauso hohen Stellenwert einnehmen wird wie Spionage.
Die 13 Gebote des Cyber-Kriegs
1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept.
2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein!
Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an.
3. Gebot: Kennen Sie Ihre Gegner und deren Strategien!
Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten.
4. Gebot: Wissen Sie, wann was abgesichert werden muss!
Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing.
5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle!
Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen.
6. Gebot: Ausgaben allein verbessern die Sicherheit nicht!
Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen.
7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können!
Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen.
8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept!
Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden.
9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt!
Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen.
10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts!
Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden.
11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran!
Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen.
12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter!
Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen.
13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert!
Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.
4. Angriffe erfolgen vermehrt aus der Lieferkette
Angriffe zielen heute häufig nicht mehr direkt gegen das - zumeist gut geschützte - Firmennetzwerk, sondern auf das Individuum. Vom hochrangigen Manager bis hin zum einfachen Tarifmitarbeiter kann jede Person, die Zugang zum Firmennetzwerk hat, ein mögliches Einfallstor sein. Ist sie geknackt, sind die Angreifer drin. Dementsprechend haben die meisten Unternehmen bereits ihre Sicherheitsrichtlinien angepasst und überwachen die Nutzung mobiler Endgeräte durch ihre Mitarbeiter immer genauer.
Doch die Cyber-Kriminellen haben bereits neue Zielgruppen ausgemacht, um Firmennetzwerke durch die Hintertür zu infiltrieren. Diese finden sich heute überall in der Lieferkette - vom Lieferanten bis hin zum Kunden. Immer mehr Teilnehmer einer Lieferkette sind über IT-Schnittstellen miteinander verbunden, um schnell und effizient miteinander kommunizieren zu können.
Das bedeutet jedoch auch: Ist ein Lieferant infiziert, der über IT mit dem Firmennetzwerk verbunden ist, können Unternehmen künftig auch über diese Stellen infiltriert werden. Darum gilt es zu handeln und neuen Strategien für den Umgang mit "Supply Chain Security" zu entwickeln.
Sicherheitsrisiko Apps
Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte.
Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden.
Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist.
Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar.
Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln.
Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert.
Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt.
Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google.
Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.
5. Smartphones und mobile Endgeräte werden noch unsicherer
Es gibt unzählbar viele Betriebssysteme, aber am Ende nutzen die Menschen auf der ganzen Welt vor allem drei davon: Android, iOS und Windows. Trotz regelmäßiger Updates ermöglicht dieses Monopol der Betriebssysteme Kriminellen auf der ganzen Welt rund um die Uhr, daran zu tüfteln und diese Systeme zu hacken.
Immer mehr "Mobile Device Exploit Kits" werden entwickelt, mit denen WhatsApp- oder SMS-Konversationen eingesehen werden können, Telefonate mitgeschnitten oder gar proaktiv in Konversation mit Dritten eingegriffen werden kann. Und immer mehr dieser Kits funktionieren immer länger, da sie aufgrund der Vielfalt der vorhandenen Lösungen zunächst entdeckt und dann unschädlich gemacht werden müssen.
Dass eine solche "Spyware" in vielen Ländern dieser Welt zudem nicht illegal ist, macht ein gezieltes Bekämpfen noch schwerer. Wir müssen uns also darauf einstellen: Die Nutzung von Smartphones und sonstigen mobilen Endgeräten wird nicht nur unsicher bleiben, sondern sogar noch unsicherer werden. Dieser Bedrohung müssen Unternehmen und ihre Mitarbeiter frühzeitig ihr Kommunikationsverhalten anpassen.