Die Ransomware-Angriffe der letzten Zeit sowie die zerstörerische Malware NotPetya haben erneut verdeutlicht, wie anfällig die IT-Infrastrukturen vieler Unternehmen nach wie vor sind. Zugleich vergrößern die Unternehmen durch die Digitalisierung ihre Angriffsfläche. In dieser Zwickmühle setzen Anwender wie auch Security-Anbieter ihre Hoffnung verstärkt auf Cloud-gestützte Security-Angebote, Machine Learning und die Versprechungen der künstlichen Intelligenz.

Auch 2017 warnten wieder zahlreiche Security-Reports vor der anhaltend bedrohlichen IT-Sicherheitslage, etwa Ciscos Midyear Cybersecurity Report (MCR) oder der Data Breach Investigations Report (DBIR) des US-Carriers Verizon – diesmal mit der ironischen Pointe, dass Verizon im Juli aufgrund eines abstrusen Fehlers seines Dienstleisters Nice Systems selbst eine Datenpanne erlitt.

Destruction of Service

Cisco analysiert im MCR eine Reihe bedenklicher Entwicklungen, darunter sogenannte DeOS-Angriffe (Destruction of Service). So infizierte die Schadsoftware NotPetya diesen Sommer zahlreiche Unternehmen, darunter auch namhafte Konzerne wie die Reederei Maersk. Zunächst schien dies als Variante der Ransomware Petya, doch dann erkannten Forscher: Die Schadsoftware hatte es nicht auf Lösegeld, sondern auf die (Zer-)Störung der Zielsysteme abgesehen (daher „NotPetya“). Bei erfolgreichen DeOS-Angriffen, warnt Cisco, bleibe den Unternehmen oft keine Möglichkeit der Wiederherstellung. Auch Maersk kämpfte wochenlang mit den Folgen des Angriffs.

Doug Howard von RSA warnte auf dem RSA Summit in München vor einer „Kluft des Kummers“ zwischen IT-Security-Personal und Geschäftsführung. Bild: Dr. Wilhelm Greiner

„Echte“ Erpressungstrojaner wie WannaCry, Petya und Co. verursachten 2016 laut MCR einen Schaden von über einer Milliarde Dollar. Die Szene habe sich weiterentwickelt zu „Ransomware as a Service“: Im Darknet erhalten Kriminelle Know-how und Bausteine für Kampagnen, sodass sie auch mit geringer Kenntnis Angriffe durchführen können.

Ebenfalls beunruhigend ist laut Cisco das Aufkommen „dateiloser“ (Fileless) Malware: Man entdecke zunehmend Schadsoftware, die nur im RAM vorliegt. So sei sie schwerer zu erkennen und zu untersuchen, da ein Neustart die Malware zunächst löscht. Zudem nutzten die Angreifer anonymisierte dezentrale Infrastrukturen wie Tor zur Verschleierung ihrer C2-Aktionen (Command and Control).

Im Aufwind befinden sich auch sogenannte BEC-Angriffe (Business E-Mail Compromise, gern „CEO Fraud“ oder „Chefbetrug“ genannt): Offiziell anmutende E-Mails, scheinbar von Vorgesetzten stammend, verleiten Mitarbeiter dazu, Geld auf Konten von Betrügern zu überweisen. Zwischen Oktober 2013 und Dezember 2016 entstand durch diese Masche laut Internet Crime Complaint Center ein Schaden von 5,3 Milliarden Dollar. Als weiteren Trend nennt der MBR Spyware und Adware (Spionagesoftware, unerwünschte Werbung): Cisco habe vier Monate lang 300 Unternehmen untersucht; jedes fünfte sei von Malware aus drei großen Spyware-Familien infiziert worden.

„Die größte Gefahr sind derzeit kompromittierte Zugangsdaten“, so Michael Neumayr, Regional Sales Manager Zentraleuropa bei Centrify. Bild: Centrify

Verizons DBIR 2017 zeichnet ein ähnlich düsteres Bild und enthält nützliche Zusatzinformationen. 2016 zielten 93 Prozent aller Angriffe auf finanzielle Gewinne oder Spionage. Der aktuelle Report zeigt einen Aufwärtstrend bei Spionage und eine Abnahme finanziell motivierter Angriffe. Doch Verizon warnt vor Fehlinterpretation: Dies sei unter anderem einem Rückgang bei zwei Angriffsformen geschuldet: bei Botnets zum Passwortdiebstahl und bei POS-Kompromittierungen (Point of Sale). Das organisierte Verbrechen setze weiterhin stark auf Ransomware als Einnahmequelle – doch diese Erpressungen habe man in der Statistik nicht erfasst, da solche Vorfälle eine sehr hohe Dunkelziffer aufweisen.

Laut DBIR sind zudem Angriffe durch Innentäter deutlich angestiegen. Erneut warnt Verizon, dieser relative Anstieg rühre vom erwähnten Rückgang bei Trojaner-Botnets und POS-Angriffen her. Die Zunahme interner Bedrohungen liege im Rahmen üblicher Schwankungen. Der aktuelle DBIR veranschaulicht damit sehr schön, wie schnell man aus solchen Reports voreilige Schlüsse ziehen kann.

Problemfeld digitale Identität

Globale Vernetzung, SaaS-Nutzung und Hybrid- oder Multi-Cloud-Umgebungen sind für Unternehmen zunehmend der Normalfall. Security-Experten bemängeln, dass die IT-Sicherheit sich nicht gleich schnell weiterentwickelt. „Die größte Gefahr sind derzeit kompromittierte Zugangsdaten“, so Michael Neumayr, Regional Sales Manager Zentraleuropa bei Centrify. „Laut dem Verizon DBIR 2017 lassen sich 81 Prozent der durch Hacks verursachten Datenschutzverletzungen auf gestohlene oder schwache Passwörter zurückführen. Forrester schätzt, dass an 80 Prozent der Data Breaches gehackte Accounts von Anwendern mit erweiterten Rechten beteiligt sind.“

„Die Vorteile eines softwaredefinierten Perimeters liegen vor allem darin, dass man schneller und effizienter eingreifen kann“, so Detlef Eppig, Geschäftsführer von Verizon in Deutschland. Bild: Verizon

Trotzdem wendeten Unternehmen aber nur zehn Prozent des Security-Budgets für den Schutz digitaler Identitäten auf. Im Einklang mit zahlreichen Experten beklagt Neumayr: „Leider werden digitale Identitäten noch viel zu oft lediglich von Passwörtern geschützt, die für eine Vielzahl von Insellösungen benötigt werden. Das Ganze wird durch ein Gewirr aus komplexen Richtlinien, Berechtigungen und Prozessen zusammengehalten.“ Fachleute empfehlen insbesondere angesichts zunehmender Cloud-Service-Nutzung eine Mehr-Faktor-Authentifizierung (MFA) über Hardware- oder Soft-Tokens. Denn MFA erschwert das Kapern von Benutzerkonten deutlich (siehe Kasten).

Die Sicherheit privilegierter Konten ist laut Christian Götz, Director of Professional Services bei CyberArk, die „Archilles-Ferse“ der Cloud-Sicherheit: Diese Konten mit umfangreichen Rechten seien „häufig nicht ausreichend abgesichert“. Er rät zu einem „Shared Responsibility“-Modell, also einer klar geregelten Aufteilung der Verantwortlichkeiten zwischen Cloud-Provider und Kunde: Zuerst gelte es, wichtige Infrastruktur-Services wie den Domänen-Controller abzusichern, dann die Administratorzugänge.

Verschlüsselung und VPN

Neben Identity-Management mit MFA raten Experten bei Cloud-Nutzung zur Verschlüsselung der Unternehmensdaten – möglichst mit kundenseitigem Key-Management: „Die Verschlüsselung von Daten in der Cloud durch kryptografische Schlüssel, die allein das Anwenderunternehmen generiert und auf die weder Anwendungshersteller noch RZ-Betreiber Zugriff haben, ermöglicht die Einhaltung von Compliance-Regeln, wie sie in der EU-DSGVO (EU-Datenschutz-Grundverordnung, d.Red.) gefordert werden“, so Elmar Eperiesi-Beck, Gründer und CEO von Eperi. „Verschlüsselte Daten sind selbst bei unberechtigtem Zugriff nicht verwertbar, was den Umfang, in dem sich die EU-DSGVO auf das Unternehmen auswirkt, stark verringern kann.“

Zur Verschlüsselung der Daten gesellt sich die des Zugriffs: „Virtual Private Networks sind aus der Cloud nicht wegzudenken,“ betont Jürgen Hönig, Marketingleiter bei NCP. „VPNs können den Weg der Daten zwischen lokalem RZ und Provider sichern, lassen sich aber auch selbst als Dienst in die Cloud verlagern.“ Dies sei insbesondere für KMU interessant: „Gerade kleineren Unternehmen bieten Managed-Security-Services wie VPN aus der Cloud ein höheres Sicherheitsniveau, als sie es mit einer Lösung in Eigenregie erreichen könnten“, so Hönig.

Sieht einen Trend zu Integration statt Einzellösungen: Thorsten Henning, Senior Systems Engineering Manager Central Europe bei Palo Alto Networks. Bild: Palo Alto Networks

Netzwerksicherheit reicht aber weit über VPNs hinaus: „Ein wesentlicher Bestandteil der digitalen Transformation ist die Transformation des Netzwerks“, so Detlef Eppig, Geschäftsführer von Verizon in Deutschland. Er rät zum Software-Defined WAN und einem Software-Defined Perimeter mit Firewall, IDS, DDoS-Mitigation und WAN-Optimierung sowie Universal CPE als Endgerät auf Kundenseite. „Die Vorteile eines softwaredefinierten Perimeters liegen vor allem darin, dass man schneller und effizienter eingreifen kann“, so Eppig. „Zudem ist er einfacher und zügiger zu implementieren, da man kein teures Spezialequipment mehr benötigt.“

Bei Public, Private oder Hybrid Clouds besteht in puncto Risiken „im Prinzip kein Unterschied zu denjenigen, die herkömmliche IT-Infrastrukturen aufweisen“, so Matthias Pfützner, Solution Architect Cloud bei Red Hat. Es gebe aber eine „andere Risikowahrnehmung, da eine stärkere Konzentration stattfindet und bei Public sowie Hybrid Cloud ein Teil der Kontrolle abgegeben wird.“

Sicher in der Cloud

Vor allem das Cloud-Management entscheide über das Sicherheitsniveau. Die Frage, so Pfützner, laute daher nicht: „Welcher Cloud-Typ ist sicherer?“ Vielmehr sei zu fragen: „Welche Management-Tools sind am besten für ein umfassendes Risiko-Management geeignet?“

„Sicher in der Cloud“ heißt laut Richard Werner, Business Consultant bei Trend Micro, „auch davon auszugehen, dass ein Nachbarsystem – also eines, das beispielsweise dieselbe Hardware benutzt – eben nicht sicher ist.“ Im eigenen RZ seien „die IT-Sicherheitsinfrastruktur sowie entsprechende Prozesse bereits existent und eingespielt“, in der Cloud hingegen sei vieles neu zu organisieren. Dies bietet laut Werner „neue Optionen, bisher nicht gesehene Lücken zu schließen oder Aufgabenbereiche zu konsolidieren“.

Aufgrund sich stetig verändernder Angriffe wird „eine ML-gestützte Abwehr auch nie 100 Prozent erreichen können“, warnt Helge Husemann, Product Marketing Manager EMEA bei Malwarebytes. Bild: Malwarebytes

Experten raten hier gerne zu mehr Integration: „Die aktuelle Ransomware-Welle hat zu erhöhter Aufmerksamkeit und zu einem Umdenken geführt: hin zu modernen Lösungen, die auch komplexe Angriffe erkennen und bekämpfen können, und hin zum integrierten Ansatz statt punktueller Einzellösungen“, sagt etwa Thorsten Henning, Senior Systems Engineering Manager Central Europe bei Palo Alto Networks.

Trotz aller Cloud-Sicherheitsmaßnahmen „müssen die Arbeitsprozesse weiterhin einfach und transparent bleiben und das Suchen in verschlüsselten Dokumenten muss möglich sein“, betont Dr. Bruno Quint, Head of Profitcenter TrustedGate bei Rohde & Schwarz Cybersecurity. Dafür sorge ein Hochsicherheits-CASB (Cloud Access Security Broker) durch Verschlüsselung und Virtualisierung: „Mitarbeiter können bequem mit virtualisierten Dokumenten arbeiten, die keine vertraulichen Inhalte enthalten“, so Quint. „Das reale Dokument wird währenddessen verschlüsselt und dann fragmentiert auf frei wählbaren Speichersystemen abgelegt.“

Kluft des Kummers

Genau hier liegt ein großer Stein im Weg des Sicherheitsfortschritts: Während IT-Fachleute über technische Maßnahmen diskutieren, denken Business-Entscheider, die dafür das Budget bereitstellen sollen, in ganz anderen Kategorien: „Zwischen dem Fokus der IT auf technische Details und dem Blick der Geschäftsführer auf Business-Risiken klafft eine große Lücke, ein ,Gap of Grief‘ (,Kluft des Kummers‘, d.Red.)“, konstatierte Doug Howard, Vice President Global Services bei RSA, beim RSA Summit in München. „Die IT-Security-Branche muss lernen, die Sprache der Business-Entscheider zu sprechen. Sie muss den Blick auf Geschäftsrisiken lenken, auf bedrohten Umsatz, Reputationsschaden, den Verstoß gegen gesetzliche Vorgaben. Und sie muss die IT-Security-Entscheidungen gemäß dieser Geschäftsrisiko-Perspektive priorisieren.“

„Angriffe können auch ohne umfassendes IT-Wissen durchgeführt werden“, so Maya Horowitz, Threat Intelligence Group Manager bei Check Point. Bild: Check Point

Auch die wirtschaftlichen Motive der Angreifer seien zu berücksichtigen: „Für die Kompromittierung von IT-Systemen benötigt heute kein Angreifer mehr physischen Zugang – außer es handelt sich um einen anspruchsvollen Angriff staatlicher Akteure“, so Howard. „Die Frage ist deshalb: Wie kann man Angriffe für die Angreifer so teuer machen, dass sie unattraktiv sind?“ Er empfiehlt eine Reihe von Schutzmaßnahmen: „MFA, eine Priorisierung zu schützender Systeme, Datenklassifizierung, das Monitoring des Netzwerkverkehrs inklusive unüblicher Ports im Hinblick auf C2-Datenverkehr oder Payload-Spitzen, die Automation von Routineabläufen bis hin zu ganzen IT-Prozessen wie beispielsweise Updates, zudem aussagekräftige Reports und Awareness-Trainings.“

Die IT-Industrie schiebt bei Angriffen gerne unachtsamen Endanwendern den schwarzen Peter zu. Viele Experten fordern deshalb mehr Förderung des IT-Sicherheitsbewusstseins (Security Awareness), während andere die Erfolgsaussichten eher skeptisch betrachten. „Man wird nie alle Endanwender davon abhalten, auf Schädliches zu klicken“, so Howard zu LANline. „Das heißt aber nicht, dass alle auf alles klicken dürfen. Man kann die Anwender darauf schulen, die offensichtlichen Fehler zu vermeiden. Und man kann ihnen sagen: Wenn ihr schon auf diesen verdächtigen Link klicken müsst, dann macht das nicht vom Office-PC, sondern vom iPhone aus – und schickt dann einen Screenshot zum Helpdesk.“

Abwehr bleibt schwierig

„Organisationen haben große Probleme, die aktuellen Bedrohungen abzuwehren,” so Maya Horowitz, Threat Intelligence Group Manager bei Check Point. Denn die Gefahrenlandschaft habe sich durch das Aufrüsten der Cyberkriminellen verändert und Angriffe seien heutzutage auch ohne umfassendes IT-Wissen durchführbar. „Trotz neuer Bedrohungen haben viele Unternehmen noch keine passenden Sicherheitsmechanismen implementiert“, so Horowitz weiter. „Sie versteifen sich immer noch auf die Erkennung von Attacken statt auf Prävention und die grundlegende Unterbindung von Angriffen.“

Ob durch Leichtsinn der Endanwender oder gezielte Angriffe: Die Erkennung von Bedrohungen (Threat Detection) und Reaktion auf Vorfälle (Incident Response) bleiben problematisch, wie auch die oben zitierten Reports belegen. Zugleich steigt im Cloud- und IoT-Zeitaler der Druck, die Sicherheit besser in den Griff zu bekommen. Teils getrieben durch die händeringende Suche der IT-Verantwortlichen nach effektiverem Schutz, teils befeuert durch das Marketing mancher Anbieter setzt man deshalb nun zur Bedrohungserkennung und Gefahrenabwehr verstärkt auf Machine Learning (ML) und künstliche Intelligenz (KI). Doch Experten warnen hier vor überzogenen Erwartungen.

Identitätsdiebstahl mittels 2FA vermeiden
Zwei- oder Mehr-Faktor-Authentifizierung (2FA/MFA) ergänzt Benutzername und Passwort zum Nachweis der Benutzeridentität um eine zusätzliche Komponente. Im Consumer-Bereich üblich sind SMS an eine hinterlegte Mobilfunknummer, der Einsatz von 2FA-Apps wie Google Authenticator oder (beim Online-Banking) optische PIN-Generatoren. Mit solchen Mitteln bleibt ein Account geschützt, selbst wenn Angreifer die Credentials-Datenbank des Providers kompromittieren und die Daten veröffentlichen oder verkaufen. Die US-Behörde NIST warnt inzwischen allerdings vor der Nutzung von SMS als zweitem Faktor: In vielen Ländern sei es Angreifern problemlos möglich, beim Call-Center des Carriers einen „Handyverlust“ zu melden und den SMS-Verkehr an eine alternative SIM-Karte (die des Angreifers) umzuleiten – die Folge: kompromittierte Konten bis hin zum Identitätsdiebstahl.

Die hiesigen Mobilfunkanbieter Deutsche Telekom, Telefónica und Vodafone betonten gegenüber LANline, ein solcher SMS-Redirect sei bei ihnen nicht möglich, man schicke bei Verlust ausschließlich eine neue SIM-Karte an die hinterlegte Adresse.

Der Hintergrund: Etablierte Abwehrmaßnahmen stoßen an ihre Grenzen. „Die große Zahl polymorpher Malware überlastet heutige Antivirenlösungen mit herkömmlicher signaturbasierender Erkennung aufgrund der hohen Anzahl täglicher Updates“, so Helge Husemann, Product Marketing Manager EMEA bei Malwarebytes. Selbst eine Next-Gen-Antivirenlösung habe hier Probleme, da die mathematische Modellberechnung auf bekannter Malware basiere. „Hier sehe ich sehr bald eine signaturähnliche Frequenz von Updates, da man die Erkennungsmodelle immer öfter updaten muss“, so Husemann.

ML soll nun Abhilfe schaffen. Doch so einfach wird das nicht gehen: „Eine Hürde für die ML-gestütze Bedrohungsabwehr besteht heute im Mangel an Kontextinformationen“, so Husemann. „Angaben zum Kontext der betroffenen Systeme und Daten benötigt man nicht nur, um Alltagsverhalten vom Angriff zu unterscheiden, sondern auch, um das Business-Risiko angemessen einschätzen zu können.“ Hinzu kommt, dass Angriffsmethoden bewegliche Ziele bleiben: „Deshalb muss sich auch das Machine Learning immer wieder neu justieren. Und deshalb wird eine ML-gestützte Abwehr auch nie 100 Prozent erreichen können.“ Sein Rat: „Erforderlich ist ML zur Anomaliedetektion, eine Payload-Analyse im Netzwerkverkehr sowie eine Überwachung des Applikationsverhaltens. Außerdem muss eine heutige Lösung ‚aufräumen‘ können, da niemand hundertprozentigen Schutz gewährleisten kann.“

Auf erfolgreiche Angriffe sind die Unternehmen laut Rashmi Knowles, Field CTO bei RSA, schlecht vorbereitet: „Die Organisationen geben rund 80 Prozent ihres Budgets für Schutzmaßnahmen aus, damit also zu wenig für Response- und Recovery-Prozesse.“ Hier gelte es nachzubessern – nicht zuletzt angesichts neuer Anforderungen an die Informationssicherheit, Stichwort: EU-DSGVO (im Englischen GDPR): „Datenverluste können teuer werden. Zugleich ist schwierig, sich darauf vorzubereiten und sie zu managen“, so Knowles. „Außerdem fordert GDPR ,Privacy by Design‘, also in die IT-Lösungen integrierten Datenschutz. Dadurch wird der DPO (Data Protection Officer, Datenschutzbeauftrager, d.Red.) zum zentralen Akteur in IT-Sicherheitsfragen.“

Trotz inzwischen jahrzehntelanger Erfahrung mit dem Thema IT-Sicherheit und trotz Unterstützung durch Machine-Learning-Algorithmen geht das Hase-und-Igel-Rennen zwischen Whitehats und Blackhats also unvermindert weiter. Den Hintergrund bilden verschärfte Regularien zum Datenschutz und eine globale Vernetzung auf Angreifer- und zum Glück auch auf Verteidigerseite. Ob ML und KI den Verteidigern den ersehnten Vorsprung verschaffen können, ist noch offen.