Update Security-Markt, Teil 2
Die Macht des Bösen
So regelmäßig wie Lebkuchen und Schoko-Weihnachtsmänner treffen wir alle Jahre wieder auf IT-Security-Prognosen für das kommende Jahr. Dieses literarische Genre ist eine Besonderheit der IT-Branche: Man stelle sich vor, Autohersteller würden zur Vorweihnachtszeit ihre „Prognosen für Autodiebstähle, Unfälle und Pannen 2022“ veröffentlichen oder Fluglinien ihre „Ausblicke auf Flugzeugabstürze im kommenden Jahr“. Die Cyberprognosen sind Trendanalyse, Selbstdarstellung und Warnung zugleich. Schon im Vorfeld der diesjährigen Prognosesaison befragte LANline diverse Security-Anbieter, welche Tendenzen sie sehen – und wovor sie warnen.
„Zwei Entwicklungen sehen wir mit Sorge: Den massiven Anstieg zum einem von Ransomware und zum anderen von Supply-Chain-Angriffen, die es den Kriminellen ermöglichen, eine größere Anzahl von Opfern gleichzeitig zu attackieren“, sagt Jörg von der Heydt, Regional Director DACH bei Bitdefender im Einklang mit Security-Experten aus Teil 1 dieses Beitrags. „Die großen Ransomware-Betreiber greifen zudem ständig kritische Infrastrukturen an. Der Colonial-Pipeline-Vorfall (ein Ransomware-Angriff auf einen US-Pipeline-Betreiber, d.Red.) hat gezeigt, wie ein digitales Verbrechen die Sicherheit eines ganzen Landes beeinträchtigen und die allgemeine Versorgung unterbrechen kann.“
Über die „Ransomware as a Service“-Gruppe REvil – deren Partner („Affiliates“) hinter den Angriffen auf den Fleischverarbeitungskonzern JBS, Colonial und das US-Softwarehaus Kaseya steckten, die aber inzwischen untergetaucht ist – sprach LANline kürzlich auch mit Catalin Cosoi, dem Leiter von Bitdefenders Investigations- und Forensikteam. Im November hatte eine internationale Polizeiaktion zur Verhaftung mehrerer Affiliates geführt, für die Ergreifung der Hintermänner hat die US-Regierung zehn Millionen Dollar Belohnung ausgelobt. „Das hat in der Cybercrime-Branche einige Wellen geschlagen, und die Leute warten ab, was passiert und ob sie wieder aktiv werden, sich umorientieren oder neu gruppieren sollen“, meinte Cosoi. Sein Gefühl sei aber, dass REvil wieder in Erscheinung treten werde. „Für eine wirksamere Bekämpfung von Ransomware müssen der private Sektor und die Strafverfolgungsbehörden besser zusammenarbeiten“, betonte der Experte.
Auch Cosois Kollege von der Heydt sieht den Kampf gegen Ransomware als „Gemeinschaftsaufgabe“. Er weist darauf hin, dass angesichts der Ransomware-Welle von 2021 Anbieter von Cyberversicherungen ihre Policen überdenken: „Bei zu laxer Gewähr können Hacker davon ausgehen, dass Unternehmen zahlungswillig sind“, so von der Heydt. Zur mitunter zu hörenden Aufforderung, Gesetzgeber sollten Lösegeldzahlungen verbieten, gibt Andreas Schmiedler von Quest Software zu bedenken: „Eine zentrale Frage zu den wahrscheinlichen neuen Maßnahmen ist, ob sie den Tätern oder den Opfern das Leben schwerer machen werden. Wenn die Regierungen beispielsweise Ransomware-Zahlungen verbieten, könnte dies im Falle von Gesundheitsdiensten lebensbedrohliche Folgen haben.“
„Angriffe täuschen oft legitime und normale Prozesse vor oder werden unter Einsatz unterschiedlichster Vektoren wie Endpunkten, Netzwerk, Supply Chains, gehosteter IT und Cloud-Diensten durchgeführt“, führt von der Heydt aus. Er rät deshalb zum Einsatz von XEDR-Technologie (Extended Endpoint Detection and Response, bei anderen Anbietern, die teils auch Netzwerkdaten mit einbeziehen, kurz XDR genannt). Diese korreliere Telemetriedaten über alle Endpunkte hinweg und spüre so Anzeichen eines Angriffs ebenso auf wie APT-Techniken (Advanced Persistent Threat, langanhaltend und raffiniert vorgehende Angreifergruppen), Malware-Signaturen, Schwachstellen und abnormales Verhalten.
„Ransomware zielt auf Schwachstellen in Netzwerken ab“, erläutert Corey Nachreiner, Chief Security Officer bei WatchGuard. Die hauseigene Bedrohungsanalyselösung ThreatSync sei deshalb darauf ausgelegt, Ereignisse im Netzwerk wie auch an den Endpunkten zu durchleuchten und Vorfälle zur Gefahrenbewertung miteinander in Beziehung zu setzen. Dies erlaube es, Gegenmaßnahmen umgehend einzuleiten: „Durch regelbasierte Automatismen kann beispielsweise direkt verhindert werden, dass Malware eine Verbindung zu bösartigen Servern aufnimmt“, sagt Nachreiner. Das Security-Team könne damit den infizierten Host isolieren, eine weitere Ausbreitung von Malware unterbinden, verdächtige Dateien unter Quarantäne stellen, Prozesse abbrechen oder bestehende Registrierungsschlüssel auf Endgeräten löschen.
„Das Bewusstsein, die IT-Infrastruktur allgemein gegen Cyberangriffe zu schützen, hat zugenommen“, meint Robert Korherr, geschäftsführender Gesellschafter bei ProSoft, im Einklang mit anderen Fachleuten. Allerdings ergab eine Kaspersky-Umfrage unter 1.500 Entscheidern in Europa, darunter 250 aus Deutschland, dass über die Hälfte (53 Prozent) der Entscheidungsträger hierzulande proaktiver sein und ihre Cybersicherheitsmaßnahmen verstärken möchten, aber nicht wissen wie. Immerhin, mit Blick auf Ransomware sagt ProSoft-Chef Korherr: „Frei nach dem Motto ,Vorsicht ist besser als Nachsicht’ gelangen immer mehr Unternehmen zu der Erkenntnis, dass Prävention den besten Schutz bietet.“ Deshalb hätten Backups und Snapshots „eine kleine Renaissance erlebt“: „Regelmäßig – am besten mehrmals täglich – durchgeführt, sorgen sie für höhere Sicherheit, wenn die Sicherungen extern gespeichert und mit einem Passwort gegen Verschlüsselung geschützt werden“, so Korherr.
- Die Macht des Bösen
- Supply-Chain-Angriffe
Lesen Sie mehr zum Thema
