Zum Jahreswechsel warnten zahlreiche Security-Anbieter vor ebenso zahlreichen Gefahren: 2020 werden wir gezieltere Ransomware-Attacken sehen, neue Angriffsvektoren durch Edge Computing, vernetzte Industrie (OT) und 5G sowie mehr Datenschutzprobleme durch die Verbreitung der Biometrie. Doch die IT-Risiken wurzeln viel tiefer und ihr Gefahrenpotenzial ist umfassender, als es die Prognosen der Sicherheitsanbieter vermuten lassen.

Gefahrenprognosen der IT-Security-Anbieter kommen zum Jahreswechsel so regelmäßig wie das Silversterfeuerwerk, der Mitternachtssekt und der Kater am Tag danach: Praktisch jeder einschlägige Hersteller sieht sich in der Pflicht, vor Bedrohungen und Angreifergruppen zu warnen. RSA zum Beispiel geht davon aus, dass Ransomware verstärkt auf kritische Infrastrukturen abzielen wird (siehe Kasten auf Seite 12), während Malwarebytes erwartet, dass Ransomware-Angriffe auf Unternehmen und Behörden aufgrund neu gefundener Schwachstellen zunehmen werden. In den letzten beiden Jahren seien 43.000 Schwachstellen entdeckt worden, und einige davon würden zwangsläufig in Exploit-Kit-Aktivitäten münden. Eset merkt an, dass das Support-Ende von Windows 7 ab diesem Januar zusätzliche Sicherheitsprobleme bringen dürfte.

Ein Haupteinfallstor für Malware bleibt Phishing: „Hacker arbeiten mittlerweile hochprofessionell, sodass selbst geschulte Mitarbeiter Opfer von Phishing-Mails werden können“, warnt Andreas Scheurle, OSS Product Specialist Endpoint Security bei Dell Technologies. „Awareness ist deshalb notwendig, aber nur einer von vielen wichtigen Faktoren.“ Das Aufdecken von Phishing-Versuchen dürfte laut Kaspersky schwieriger werden, da inzwischen Deep- fakes (täuschend echt gefälschte Audio- oder Videodateien) in Umlauf sind. Forcepoint erwartet sogar eine „neue Ära von Ransomware“ per Drohung, gefälschte kompromittierende Videos im Umlauf zu bringen, ebenso Versuche, bei Wahlen Kandidaten mittels Deepfakes zu kompromittieren. Zunehmend werde es künftig „Deepfakes as a Service“ geben.

„Der Faktor Mensch wird auch in Zukunft eine entscheidende Rolle spielen, im Guten wie im Schlechten“, meint Andreas Scheurle von Dell Technologies. Bild: Dell Technologies

Laut einigen Spezialisten, darunter etwa Sophos-CTO Joe Levy, werden Angreifer bald versuchen, die Machine-Learning-basierte Erkennung von Angriffen auszutricksen. Tenable-CTO Renaud Draison wiederum prognostiziert im Einklang mit zahlreichen anderen Fachleuten vermehrte Angriffe auf die digitalisierte Industrie (Operational Technology, OT). Dies sieht er zugleich als Angriffsvektor, um an IT-Systeme wie Kundendatenbanken zu gelangen. „Es ist zu befürchten, dass gerade staatlich gesteuerte Angreifer ihre Ziele genauer auswählen und ihre Spuren besser verwischen werden“, kommentiert Dave Weinstein, Mitbegründer und Chief Security Officer von Claroty. „Da nun immer mehr Betreiber anfangen, grundlegende Überwachungslösungen für OT-Netzwerke einzuführen, werden wir mehr bösartige Aktivitäten sehen.“ CISOs werden laut Weinstein künftig auch für OT zuständig sein, sodass sich ihre Rolle zum „Chief Security Officer“ (ohne das „I“ für „Information“) wandelt.

Neben der Industrie sieht Trend Micro vor allem Service-Provider im Visier von Bedrohungsakteuren: „Angreifer werden zunehmend versuchen, auf Unternehmensdaten in der Cloud zuzugreifen und dabei Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection nutzen. Dafür werden sie entweder Cloud-Provider direkt angreifen oder Third-Party-Libraries kompromittieren.“ Gerade Code von Drittanbietern erachten Trend Micros Spezialisten als problematisch: „Der wachsende Einsatz von Third-Party-Code durch Unternehmen mit DevOps-Kultur wird im Jahr 2020 und darüber hinaus das Risiko für diese Firmen erhöhen. Kompromittierte Containerkomponenten und Libraries in Server-losen und Micro-Service-Architekturen werden die Angriffsoberfläche weiter vergrößern und bisherige Security-Ansätze obsolet machen.“

Bei den Abwehrmaßnahmen erwarten Marktkenner die zunehmende Nutzung künstlicher Intelligenz (KI). Hier merkt Dell-Mann Scheurle an: „Erfolgreiche Gegenmaßnahmen erfordern strategisches und kreatives Denken, weshalb die Erfahrung und Expertise von langjährigen Security-Spezialisten nicht ohne Weiteres durch KI ersetzt werden kann. Der Faktor Mensch wird auch in Zukunft eine entscheidende Rolle spielen, im Guten wie im Schlechten.“ Palo Alto Networks prognostiziert deshalb zunehmende Akzeptanz von SOAR-Tools (Security Orchestration, Automation, and Response). Denn SOAR erleichtere es, „mittels KI das menschliche Wissen der Cybersicherheitsfachkräfte über NLP (Natural Language Processing, d.Red.) zu sammeln und im gesamten Team wiederverwendbar zu machen.“

Cisco geht davon aus, dass sich „Zero-Trust Networking“ (kontextbezogene Authentisierung mit laufender Überwachung) verstärkt durchsetzen wird, ebenso Threat Hunting, also Aktivitäten für das möglichst zeitnahe Aufspüren von Eindringlingen im Netzwerk. Sophos-Fachmann Michael Veit sieht dazu neben KI auch EDR sowie MDR (Endpoint/Managed Detection and Response) im Kommen. Der anstehende 5G-Rollout wiederum gilt vielen als zweischneidiges Schwert: Laut Palo Alto Networks wird die aktuelle 5G-Verzögerung zu einer umso größeren IoT-Welle führen, die es für Sicherheitsfachleute dann zu bewältigen gilt. Dan Schiappa, Chief Product Officer von Sophos, warnt: „Geräte mit 5G-Technologie werden keine direkte Vernetzung mit dem Firmennetzwerk mehr erfordern. Dies macht es unglaublich schwierig, Bedrohungen und gefährdete Geräte zu identifizieren.“

„Es ist zu befürchten, dass gerade staatlich gesteuerte Angreifer ihre Ziele genauer auswählen und ihre Spuren besser verwischen werden“, sagt Dave Weinstein von Claroty. Bild: Claroty

Auffällig: Keine andere Industrie warnt so eindringlich und ausführlich vor Risiken, die durch ihre eigenen Produkte entstehen. Unter dem Namen „Threat Intelligence“ haben Security-Anbieter den Zugang zu aktuellen Bedrohungsinformationen sogar zum Geschäftsmodell gemacht. Diese verquere Lage wurzelt in mehreren Besonderheiten der IT-Industrie. Zunächst ist da der Umstand, dass die IT-Branche im Streben um eine hohe Schlagzahl gewohnheitsmäßig unsichere Ware auf den Markt wirft – ohne Rücksicht auf Verluste, solange nur der „Shareholder Value“ und das Markenimage nicht leiden. Die Industrie missbraucht Kunden als Betatester und nötigt sie per Nutzungsbestimmungen, sich damit abzufinden und auf Ansprüche zu verzichten – Hauptsache, man ist mit Innovationen als erster auf dem Markt. Mark Zuckerbergs Motto „Move fast and break things“ (auf Deutsch etwa: „Bewege dich schnell und zerstöre den Status quo“) bringt diese Silicon-Valley-Attitüde auf den Punkt – und diese Vorgehensweise gilt dann auch noch als hip und anlegerfreundlich.

Das Problem: Dank der Digitalisierung und ihrer Begleiterscheinungen wie agiler Entwicklung und DevOps droht diese „Hauptsache schnell“-Mentalität, sich quer durch alle Branchen in die Produkte und Prozesse zu fressen. Welche Konsequenzen unzureichende Qualitätssicherung neuer Software haben kann, zeigte Boeings 737-Max-Debakel. Während Softwarehäuser bei abstürzenden Browsern die Verantwortung noch an die Kunden abwälzen können, gerät dieses Prinzip bei Flugzeugabstürzen völlig zurecht an seine Grenzen. Zwischen diesen beiden Extremen liegt jedoch ein weites Feld, und dieses wird in den kommenden Jahren für zahlreiche Rechtsstreitigkeiten sorgen.

Während man im Silicon Valley jegliche Verantwortung – etwa auch für die Fülle der Hasstiraden und die Wahlbeeinflussung, die auf den großen Softwareplattformen stattfinden – weit von sich weist, sammelt man eifrig unter Missachtung jeglichen Datenschutzes personenbezogene Daten der Nutzer wie auch Unbeteiligter. Das Ziel: deren Monetarisierung im Rahmen der „Datenökonomie“, die über weite Strecken schlicht eine Überwachungsökonomie ist.

Diese Überwachung rückt den Konsumenten immer stärker zu Leibe. So hat Google zum Beispiel letzten Herbst das Fitness-Tracker-Unternehmen FitBit akquiriert. Zwar verspricht Google, die Gesundheitsdaten nicht für Werbezwecke zu nutzen; doch auch Facebook versprach einst, eingekaufte WhatsApp-Daten nicht im Hause zu verwerten – heute hängt Facebooks Kerngeschäft daran, erlauben doch Mobilfunknummern die eindeutige Identifikation der Anwender. Zudem fallen bei der FitBit-Nutzung neben Gesundheits- noch zahlreiche weitere Daten an, etwa Geräte- oder Lokationsinformationen, die Google zu Geld machen kann und wird.

Die dunkle Seite der digitalen Macht

Die Silicon-Valley-Firmen – insbesondere Giganten wie Amazon, Apple, Facebook oder Google – nehmen sich derlei heraus, weil sie sich für etwas Besonderes halten: Schließlich ist man einst, so der selbstinszenierte Mythos, angetreten, um die Welt zu verbessern, ja zu retten. Da ist dann natürlich jedes Mittel recht – insbesondere wenn man, wie im Fall der „hyperskalierenden“ Cloud-Plattformen, enorme Größe und Marktmacht erreicht hat. Schließlich hat Facebook rund zwei Milliarden Nutzer, Googles Suchmaschine bewältigt Milliarden Suchanfragen pro Tag. Diese Macht lässt schnell vermuten, man sei „too big to fail“ – zu groß (und somit zu wichtig), als dass noch etwas schiefgehen könnte. „Too big to fail“ – hm, hatten wir das nicht schon mal?

In der Tat beschreibt Financial-Times- und CNN-Wirtschaftsanalystin Rana Faroohar [1] erschreckende Parallelen zwischen der IT-Branche und der Finanzindustrie, deren Praktiken bekanntlich 2007/08 in einer globalen Finanzkrise mündeten: Wie einst die Finanzjongleure, so bauen auch die Digitalkonzerne auf ein mit Zähnen und Klauen verteidigtes Insiderwissen – früher zu den Feinheiten komplexer Finanzprodukte, in denen man Junk-Anlagen versteckte, heute zu den Algorithmen für die Totalüberwachung.

 

RSA-Prognosen für 2020

Dells Security-Tochter RSA erwartet – hier paraphrasiert und kurz zusammengefasst – folgende Entwicklungen:

  1. Unternehmen werden die Verantwortung für Risiko-Management und Informationssicherheit in den Mittelpunkt rücken.
  2. Die Authentifizierung wird sich neuen Anforderungen anpassen müssen.
  3. Wegen des Brexits müssen Unternehmen in UK und außerhalb ihre Risikoeinschätzung überdenken.
  4. Neue Abwehrtechnik wird Qualifikationslücken schließen.
  5. Unternehmen werden weiter in KI-basierte Sicherheit investieren.
  6. Angriffe auf Kryptowährungen werden deutlich zunehmen.
  7. Angreifer werden neben Log-in-Daten auch Verfahren zur Passwort-Wiederherstellung und damit gesamte Konten kapern.
  8. Ransomware wird verstärkt auf kritische Infrastrukturen abzielen.
  9. IoT-Angriffe werden massive Störungen verursachen und Verbraucher am Internet of Things zweifeln lassen.
  10. Cybersicherheit wird über Daten hinausgehen und immer stärker unsere physische Welt umfassen.

Anders als bei der produzierenden Industrie beruht die Marktmacht von Finanzinstituten und Digitalkonzernen nicht auf materiellen, sondern auf immateriellen Gütern, im Fall der IT-Größen auf Code und dem Wert ihrer Marke; dieser Umstand erleichtert es laut Faroohar, Business ins Ausland und damit auch in Steuerparadiese zu verlagern, um Unsummen anzuhäufen – im Fall von Apple aktuell 245 Milliarden Dollar. Zugleich planiert dies den Weg zu Steuersparmodellen: Amazon zahlte 2019 laut Medienberichten auf 11,2 Milliarden Dollar Gewinn keine US-Einkommenssteuer. Solches Gebaren und das dadurch wachsende Ungleichgewicht zwischen transnationalen Konzernen und dem machtlos scheinenden Individuum mit meist sinkendem Reallohn sind, so Faroohar, eine Wurzel des wieder erstarkten Populismus – die Finanzkrise lässt grüßen.

Die Parallelen zwischen Finanz- und IT-Branche gehen aber noch weiter: Laut Faroohar haben die IT-Konzerne die aktuelle Niedrigzinsphase auch dazu genutzt, ältere, höher verzinste Anleihen anderer – also schwächer aufgestellter – Unternehmen aufzukaufen. „Sie verhielten sich in gewisser Weise wie Banken, nahmen große Ankerpositionen bei neuen Unternehmensanleihen ein und zeichneten diese im Wesentlichen so, wie es JP Morgan oder Goldman Sachs tun würden“, so die CNN-Analystin. Die Folge, so Faroohar: „Die Silicon-Valley-Giganten waren nicht nur die profitabelste und am wenigsten regulierte Industrie der Welt, sondern sind für den Markt systemrelevant geworden, da sie über Vermögenswerte verfügen, die – wenn diese verkauft oder herabgestuft werden – die Märkte selbst stürzen könnten.“

Ihr Fazit: Die Finanzindustrie behauptete einst, was gut für die Finanzmärkte ist, sei gut für die Wirtschaft als Ganzes, und genauso benehmen sich die Silicon-Valley-Giganten heute – mit ebenso schwer durchschaubaren, komplexen und damit letztlich risikoträchtigen Geschäftspraktiken. Deshalb erachtet sie „Big Tech“ nach den Banken als die nächste „Too big to fail“-Industrie, die eine globale Wirtschaftskrise auslösen könnte. Eine Regulierung der IT-Branche von staatlicher Seite scheint damit dringend geboten. Dem stehen in den USA jedoch die vorherrschende Laissez-faire-Wirtschaftsphilosophie wie auch das Trump-geprägte Politklima entgegen, das vorrangig auf den Wettbewerb mit China fokussiert ist. In Europa hingegen hat man mit der DSGVO bereits einen wichtigen ersten Schritt unternommen, um einen dritten Weg zu finden – einen Weg zwischen digitaler Laissez-faire-Globalisierung US-amerikanischer Bauart und einem nicht minder digital gestützten Überwachungsstaat chinesischer Prägung.

Im Vergleich zum von Faroohar skizzierten Risikopotenzial für Wirtschaft, Datenschutz und Demokratie wirken viele Bedrohungen, vor denen die Security-Anbieter warnen, harmlos wie ein Knallfrosch an Silverster. Es bleibt zu hoffen, dass wir dereinst, wenn das Digitalisierungsfeuerwerk der 2020er-Jahre vorüber ist, nicht aufwachen wie unsere Vorfahren am Ende der „Roaring Twenties“: mit einem großen Kater.

 

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.