Laut Ciscos jährlichem Sicherheitsbericht für 2018 (Annual Cybersecurity Report, ACR) nutzen Kriminelle zunehmend Schwächen in legitimer Software, Cloud-Services sowie IoT-Botnetze für ihre Angriffe. Die Zahl der Security-Vorkommnisse steige weiter kontinuierlich. Der verschlüsselte Netzwerkverkehr habe sich innerhalb von zwölf Monaten mehr als verdreifacht. Das Problem: Angreifer machen sich Verschlüsselung zunutze, um unbemerkt in die Unternehmen einzudringen. Cisco betont, Security-Verantwortliche sollten deshalb auf die Automation von Sicherheitsabläufen, künstliche Intelligenz (KI) und Machine Learning (ML) setzen.

Laut Cisco setzen Sicherheitsverantwortliche zunehmend auf Automation, KI und ML. Bild: Cisco

Laut Cisco setzen Sicherheitsverantwortliche zunehmend auf Automation, KI und ML. Bild: Cisco

„Die Malware-Entwicklung der letzten Monate zeigt, dass Angreifer weiter dazulernen und immer raffinierter vorhandene Sicherheitslücken ausnutzen. Für Sicherheitsverantwortliche steigt der Handlungsdruck“, kommentiert Klaus Lenssen, Chief Security Officer bei Cisco. „Unternehmen müssen ihre Sicherheitsstrategie optimieren, Prozesse automatisieren und in neue Technologien investieren, um mit den Angreifern Schritt halten zu können.“ Die Basis dafür liefere ML. Denn dadurch lerne das Netzwerk mit der Zeit, auffällige Verhaltensmuster selbst in verschlüsselter Datenkommunikation zu erkennen.

Der Anteil des – legitimen wie auch schädlichen – verschlüsselten Datenverkehrs lag im Oktober 2017 laut Cisco-Angaben bei 50 Prozent der Netzwerkkommunikation. Vor diesem Hintergrund, so der Netzwerkausrüster, nutzen schon heute 39 Prozent der Unternehmen Automationslösungen, um Angriffe schneller zu erkennen; 34 Prozent setzen bereits auf ML- und 32 Prozent auf KI-Systeme. Die Ausgaben dafür sollen weiter steigen.

Einfallstore IoT und Supply Chain
Nach wie vor unterschätzen Unternehmen sogenannte Supply-Chain-Angriffe, warnt Cisco. Deren Vorgehensweise: Angreifer manipulieren vertrauenswürdige Software oder kompromittieren die Update-Mechanismen legitimer Anbieter, um dort Malware-infizierte Updates zu hinterlegen. Dadurch dringen sie ins Unternehmensnetz ein – und bleiben, je nach Art der Kompromittierung, monate- oder gar jahrelang unbemerkt.

So mussten zum Beispiel zwei Millionen Nutzer des PC-Tools CCleaner im Herbst 2017 die Software deinstallieren, nachdem die Update-Server der Avast-Tochter Piriform kompromittiert worden waren. Andere Angriffe dieser Art fallen sofort auf: 2017 wurde das zerstörerische Schadprogramm Nyetya über eine ukrainische Steuerberatungssoftware verteilt.

Bereits 2013 war die US-Handelskette Target Ziel eines solchen Supply-Chain-Angriffs: Hier hatten die Angreifer die Kassensysteme in 1.800 Filialen kompromittiert. Auch die prominente Stuxnet-Malware ist als SCADA-Schädling ein Vertreter dieser Angriffskategorie.

Cisco rät den Security-Verantwortlichen angesichts solcher Vorfälle, ihre Sicherheitsstrukturen regelmäßig zu aktualisieren, die Sicherheitsansätze der Anbieter genutzter Software zu überprüfen und keine Software oder Hardware aus nicht-autorisierten Quellen zu nutzen. Bietet der Softwarehersteller Prüfmechanismen wie digitale Signaturen oder Hashwerte an, empfehle sich deren Überprüfung bei jedem Download. Ideal ist laut Cisco der Einsatz von Secure-Boot- und Trust-Anchor-Technik, die solche Prüfungen automatisiert und nur das Booten autorisierter Software zulässt.

Laut Cisco-Angaben haben bereits 42 Prozent der Unternehmen einen DDoS-Angriff über IoT-Botnetze (Internet of Things) wie etwa Mirai erlebt. Eine der 2017 am stärksten angestiegenen Angriffsarten waren sogenannte Short-Burst-Angriffe, also DDoS-Angriffe mit kurzer Dauer von Sekunden bis hin zu einer halben Stunde, aber sehr großem Verkehr und hoher Frequenz. Derlei Angriffe zielen zum Beispiel darauf ab, das Geschäftsmodell von Gaming-Websites zu stören.

Angesichts weiterhin steigender Cloud-Nutzung warnt Cisco zudem davor, dass Kriminelle die Schwierigkeiten ausnutzen, die Sicherheitsteams bei der Absicherung der Cloud-Infrastrukturen im Unternehmen haben. Hilfreich sei hier eine Kombination aus Best Practices, moderner Sicherheitstechnik und Abwehrmechanismen wie Cloud-Security-Plattformen.

Kriminelle nutzen legitime Cloud-Services aller Art für ihre Command-and-Control-Server. Bild: Cisco

Kriminelle nutzen legitime Cloud-Services aller Art für ihre Command-and-Control-Server. Bild: Cisco

Des Weiteren weist der Netzwerkausrüster darauf hin, dass die Unternehmen beim Thema IT-Security auf Lösungen zu vieler unterschiedlicher Anbieter setzen. So habe im Jahr 2017 ein Viertel der Security-Teams Lösungen von elf bis 20 Herstellern genutzt, im Vorjahr waren es nur 18 Prozent. Die daraus resultierende Komplexität erhöhe das Angriffsrisiko.

Der ADR 2018 ist gegen Angabe personenbezogener Daten erhältlich unter www.cisco.com/c/en/us/products/security/security-reports.html. Weitere Informationen finden sich unter www.cisco.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.