Vom 10. bis 12. Oktober traf sich auch in diesem Jahr die Security-Branche auf der It-sa in Nürnberg. Mit 630 Ausstellern und 12.780 Besuchern hat die Fachmesse für IT-Sicherheit auch 2017 wieder Bestmarken verzeichnet. Schließlich nahmen im Vorjahr noch 489 Aussteller und 10.181 Besucher an der Messe teil. Die Entwicklung zeigt, dass IT-Security weiterhin an Bedeutung gewinnt. Dauerthema war auch in diesem Jahr wieder Ransomware.

Carbon Black, ein Anbieter von Endpoint Security, hat beispielsweise auf der It-sa die Studie „The Ransomware Economy“ zum Geschäft mit Ransomware vorgestellt. Diese zeigt unter anderem, dass es im Dark Web über 6.300 Marktplätze gibt, auf denen die Betreiber circa 45.000 Ransomware-Examples handeln. Die Preisspanne für DIY-Ransomware (Do It Yourself) liegt laut dem Report zwischen 0,50 und 3.000 Dollar (Medianpreis 10,50 Dollar). Nach Angaben von Carbon Black haben Händler 2016 Krypto-Trojaner für 249.300 Dollar verkauft. In diesem Jahr liegt der Umsatz bis jetzt bei über sechs Millionen Dollar – eine Steigerung von 2.502 Prozent. Das FBI geht davon aus, dass Kriminelle allein im Jahr 2016 mit Ransomware knapp eine Milliarde Dollar erpresst haben.

„Durch die As-a-Service-Angebote ist Ransomware auch für Laien verfügbar und in den letzten Jahren breit in den Massenmarkt gestreut worden. Jetzt stellen wir zudem fest, dass die Händler sich zunehmend auf gezielte Angriffe spezialisieren, etwa auf die Supply-Chain“, erklärt Volker Sommer, Director DACH bei Carbon Black. Ursache sei die höhere Zahlungsbereitschaft bei Unternehmen, die von einem solchen zielgerichteten Angriff betroffen sind. Laut Sommer ist sich der Mittelstand über die Gefahr von Malware für das eigene Unternehmen bewusst, handelt aber nur zögerlich. Doch gerade das Inkrafttreten der EU-DSGVO im Mai nächsten Jahren bietet seiner Meinung nach für mittelständische Unternehmen die ideale Gelegenheit, die eigene Security-Strategie auf den Prüfstand zu stellen.

Sabotage nimmt zu

Auch bei Cisco hat man eine Zunahme von spezialisierten Angriffen registriert. Laut Michael von der Horst, Managing Director Cyber-Security bei Cisco, sind die Einfallsvektoren der Angreifer mit E-Mail, Web und IoT-Devices weiterhin unverändert, nehmen aber an Komplexität zu. Dadurch sei es für Unternehmen oft schwer zu entscheiden, mit welchen Maßnahmen sie den Bedrohungen begegnen sollen. „Wir stellen verstärkt gezielte E-Mail-Angriffe fest, die das Ziel haben, Zugriff auf einer hohen Ebene für Systemspionage zu erhalten.“ In Anlehnung an die sogenannten CEO-Fraud-Attacken gehe es hierbei darum, Zugangsdaten abzufischen.

Neben der Spionage nimmt laut von der Horst jedoch auch die Zahl der Angriffe zu Sabotagezwecken zu: „Die Angreifer zielen hierbei darauf ab, dass sich Server oder Produktionsinseln nicht mehr benutzen lassen.“ Gründe für die mutwillige Zerstörung kann der Cisco-Manager jedoch noch nicht erkennen. Außerdem sei die Infektion von zahlreichen IoT-Devices nach wie vor ein großes Problem. Auch hier ist nicht klar, wie viele Geräte die Angreifer bereits infiziert haben und welche Ziele sie damit verfolgen. Mögliche Szenarien sind etwa großangelegte DDoS-Attacken wie durch das Mirai-Botnetz im vergangenen Jahr.

Dass Unternehmen zunehmend in den Fokus von Angreifern rücken, hat auch der russische IT-Security-Anbieter Kaspersky Lab festgestellt. Darüber hinaus gebe es mit Supply-Chain-Angriffen zudem eine neue Methode, mit der Kriminelle versuchen, Systeme zu infizieren, wie Christian Funk, Head of Global Research and Analysis Team DACH bei Kaspersky Lab, gegenüber LANline erklärt. Dabei kompromittieren die Angreifer eine legitime Software, die sich das Opfer anschließend herunterlädt. Jüngstes Beispiel für diese Angriffsmethode ist beispielsweise CCleaner. Dabei ist es den Angreifern gelungen, die Originaldatei des Herstellers zu manipulieren, die anschließend über offizielle Portale zum Download stand.

Risiko durch geleakte Codes

Große Sorgen bereitet es Funk zudem, dass Kriminelle durch geleakte Codes Zugriff auf Software von Geheimdiensten haben. „Dadurch erhalten die Angreifer hochwertige Werkzeuge, die sie anschließend in der Masse mit durchschlagenden Erfolg einsetzen“, sagt Funk. Dies zeige beispielsweise die WannaCry-Attacke, der nur kurze Zeit vorher ein solcher Leak von NSA-Code vorangegangen war. Der Leiter des deutschen Global Research and Analysis Team bei Kaspersky vermutet darüber hinaus, dass es sich bei WannaCry um einen Wiper-Angriff (Angriff mit Zerstörungsziel) unter einem Ransomware-Deckmantel gehandelt habe. Darauf weise unter anderem der Code hin und die Tatsache, dass die Angreifer keine Möglichkeit darin integriert hatten, um Informationen darüber zu erhalten, wer das Lösungsgeld überhaupt bezahlt habe. „Wir sehen verstärkt zielgerichtete Angriffe nach dem Ransomware-Schema auf die Infrastruktur von Unternehmen im Finanzbereich, Behörden oder Betreiber von kritischer Infrastruktur“, berichtet Funk. Bei der Spionage sei prinzipiell mehr Geld im Hintergrund vorhanden, um an Informationen zu gelangen oder Systeme zu sabotieren, etwa durch die Zerstörung von Daten.

Wieland Alge, General Manager EMEA bei Barracuda Networks, schätzt die Bedrohungslage ebenfalls als äußerst gefährlich ein: „Wir erleben gerade eine digitale Transformation der Kriminalität.“ Bei den Angreifern handele es sich nicht mehr um einzelne Hacker oder Softwareentwickler, sondern um organisierte Banden oder Firmen. Nur diese hätten auch das Know-how, um das über Krypto-Währungen anonym eingesammelte Geld auch anschließend zu waschen, so der Barracuda-Manager. Darüber hinaus rechnet Alge damit, dass die Massenangriffe mit Einmalzahlung von gezielten Attacken mit Abomodellen abgelöst werden. Statt die Daten zu verschlüsseln, um einmalig ein Lösegeld zu erpressen, sei es möglich, dass Angreifer Systeme langfristig infiltrieren, um anschließend ein monatliches Schutzgeld zu erpressen, so Alge.

Um sich vor den Bedrohungen zu schützen, rät der General Managers des Firewall-Herstellers Barracuda dazu, die eigenen Systeme mit Firewalls zu schützen, „um sie zumindest vor Angreifern unsichtbar zu machen.“ Auch die Segmentierung des Netzwerks sei sinnvoll, um die möglichen Angriffszellen möglichst gering zu halten. Die Segmentierung von Netzwerken gehört auch für Funk von Kaspersky zur Verteidigungsstrategie, um im Fall der Fälle den Schaden möglichst zu begrenzen. Darüber hinaus ist nach Meinung des Kaspersky-Managers eine Verhaltens-Engine sowie eine Traffic-Überwachung wichtig, um aktuelle Bedrohungen erkennen zu können. Auch die Weiterentwicklung von Machine Learning ist laut Funk essenziell, um die vorhandenen Daten zu nutzen und künftige Angriffsmuster erkennen zu können.

Auch Cisco setzt bei der Gefahrenabwehr auf den Export von Daten, um diese anschließend in einer zentralen Instanz in der Cloud zu analysieren. Ziel sei prinzipiell die komplette Automation der IT-Security. „Wir gehen von einem ‚Best-of-Breed‘- zu einem ‚Best-of-Integrated’-Ansatz über“, erklärt Ciscos von der Horst. Ziel sei es, eine 360-Grad-Sicherheit zu bieten, die die Eintrittshürde für die Angreifer erhöht und dabei die Komplexität und den Zeitaufwand für Cisco-Kunden reduziert. Auch die Traffic-Analyse ist für den Cisco-Manager unabdingbar. Durch die Überwachung der DNS-Abfragen lasse sich beispielsweise verdächtige Kommunikation von Malware mit C&C-Servern (Command and Control) feststellen. Dies sei wichtig, so von der Horst, da einige Schadsoftwarevarianten mittlerweile in der Lage sind, automatisiert alle 30 Minuten eine neue Fake-DNS zu erstellen, um so die eigene Entdeckung und anschließende Blockierung zu erschweren oder sogar zu verhindern. Darüber hinaus könne Cisco mittels Machine Learning den verschlüsselten Traffic analysieren, ohne diesen dabei zu entschlüsseln (LANline berichtete).

Die It-sa 2017 hat gezeigt, dass die Cyberkriminellen mit ihren Methoden immer wirkungsvoller vorgehen. Gleichzeitig bedienen sich auch die Security-Hersteller neuer Techniken, um Herr der Lage zu bleiben, etwa Machine Learning. Für Unternehmen wird es bei der Vielzahl an Bedrohungen und Lösungen nicht leichter, die richtige Security-Strategie zu finden, um sich vor Angriffen zu schützen. Es deutet also alles darauf hin, dass die It-sa auch im nächsten Jahr (9. bis 11. Oktober 2018) wieder neue Rekordzahlen verkünden wird.

Timo Scheibe ist Redakteur bei der LANline.