Sicherheit bleibt Herausforderung
IT unter Dauerbeschuss
Die IT-Sicherheitslage ist unvermindert angespannt: Nach einer spektakulären Welle von Erpressungstrojanern (Ransomware) haben sich viele Cyberkriminelle nun auf Malware verlagert, die Systemressourcen der befallenen Computer für unerwünschtes Schürfen (Mining) digitaler Währungen missbraucht. Die Verteidigerseite setzt verstärkt auf Cloud-Services und künstliche Intelligenz - dennoch bleibt die Bedrohungsabwehr trotz aller Heilsversprechen weiterhin lückenhaft. "Die IT-Systeme sind schlecht, löchrig wie ein marodes Wassersystem", so das vernichtende Urteil von Michael George, dem Leiter des Cyber-Allianz-Zentrums Bayern beim Bayerischen Amt für Verfassungsschutz, über die Bedrohungslage der IT und insbesondere der kritischen Infrastruktur (kurz Kritis), also systemrelevanter Einrichtungen wie Kraftwerke, Wasserversorgung etc. Kritische Infrastruktur habe auch früher schon im Visier von Angreifern gestanden, so der Verfassungsschützer bei einer Pressekonferenz im Vorfeld der Münchner Security-Veranstaltung Command Control, doch seien Angriffe für Kriminelle damals "nicht besonders interessant" gewesen. Heute hingegen gebe es dank der Verschlüsselungstrojaner "ein echtes Geschäftsmodell im Cybercrime". Damit seien zum Beispiel Krankenhäuser nicht nur für staatliche Akteure im Rahmen von Cyberwar-Szenarien ein lukratives Angriffsziel, sondern auch für "ganz gewöhnliche Cyberkriminelle".
Zu den technischen Mängeln gesellen sich laut George Prozessfehler und menschliche Schwächen. Es gehe deshalb bei den Sicherheitsmaßnahmen um den Dreiklang aus IT, Prozessen und Mitarbeitern: "Wenn eines der drei nicht passt, spart man an der falschen Stelle, weil das Einfallstor riesengroß ist," so der Verfassungsschützer. Denn Angriffe nutzten fast immer den Faktor Mensch, also Social Engineering wie etwa Phishing-Mails, die Mitarbeiter zum unwissentlichen Download von Malware verleiten.
So sei die Meldung eines IT-Sicherheitsvorfalls für ein Kritis-Unternehmen stets "irgendwie peinlich" und daher "eine echte Überwindung". Bei einer AG könne ein erheblicher Sicherheitsvorfall zudem den Kurs beeinflussen. Die Folge, so George: "Man ist tendenziell bemüht, Vorfälle kleinzureden, intern zu behalten, schnell abzustellen, so zu tun, als ob nichts gewesen sei." Die betroffene Organisation scheue oft den Austausch mit Behörden "wie der Teufel das Weihwasser". Wichtig sei deshalb, dass die jeweilige Behörde nicht nur kompetent Hilfe leisten, sondern auch Vertraulichkeit garantieren und organisationsübergreifend Abwehrmaßnahmen anstoßen kann. Beim Cyber-Allianz-Zentrum in Bayern funktioniere dies gut, man erhalte sogar Anrufe aus anderen Bundesländern, selbst aus dem Ausland.
Nicht 100 Prozent, sondern Grundschutz
Georges Empfehlung: "Man muss nicht versuchen, 100 Prozent zu erreichen, sondern mit relativ wenig Aufwand einen Grundschutz zu garantieren." Eigentlich wisse das heute jeder, trotzdem aber funktioniere es oft nicht, kritisiert er: "Warum investieren manche Unternehmen nach wie vor nichts in diesen Dreiklang? Es müsste doch inzwischen überall angekommen sein." Dies gelte für Unternehmen wie im Privaten: "IT-Security ist längst etwas, das uns alle angeht." Doch eine Firewall oder Cloud-Service-spezifische Passwörter finde man bei Privatpersonen oft nicht. Nach dem Bundestags-Hack, durch Bedrohungsakteure erzwungene Stromausfälle und einer Cryptotrojanerwelle stellte er die rhetorische Frage, welches "epochale Ereignis" denn nötig sei, damit "etwas passiert". Seine Resümee: "Vielleicht brauchen wir ein bisschen Glück, um die nächste Dekade zu überstehen, bis die Systeme von sich aus sicherer werden."
Erste Anzeichen für bessere immanente Sicherheit lassen sich finden: Microsoft liefert mit Windows Defender nach jahrzehntelangem Auslagern an Dritte inzwischen eine in Windows integrierte Sicherheitslösung mit. VMwares Virtualisierungsplattform vSphere enthält nun Anomalieerkennung durch das hauseigene Werkzeug AppDefense (siehe Beitrag Seite 6). Apples Mobilgeräte-Betriebssystem iOS gilt unter Fachleuten aufgrund des geschlossenen Ökosystems mit strengen App-Kontrollen als vergleichsweise sicher. Und Cloud-Provider wie AWS oder Google investieren viel in Security, hängt doch ihr Geschäftsmodell am verlässlichen und sicheren Betrieb der Kundeninstanzen.
Zugleich aber ist zu konstatieren, dass jahrzehntelange Erfahrung der IT-Branche mit Sicherheitsfragen den Ransomware-Befall mit WannaCry und Co. zunächst nicht stoppen konnte, ebenso schwierig gestaltet sich die Abwehr der laufenden Welle von Cryptomining-Malware. Mitunter erscheinen die Sicherheitsmaßnahmen einzelner Anbieter geradezu als sprichwörtlicher "Tropfen auf den heißen Stein".
Während Microsoft aufgrund des Anspruchs von Rückwärtskompatibilität mit einem enorm großen Korpus anfälligen Legacy-Codes zu kämpfen hat, gilt Apple als intransparenter Konzern, von dem Anwender lediglich hoffen können, dass er seine Security-Prozesse im Griff hat. Die Konzentration von IT-Instanzen in Cloud-Monokulturen wiederum macht große Provider zum Angriffsziel mit riesigem Schadenspotenzial - ganz abgesehen davon, dass Google-Nutzer ihre Daten einem Cloud-Anbieter anvertrauen, dessen Geschäftsmodell wie das von Facebook auf dem Ignorieren von Privatsphäre und Datenschutz beruht.
Angesichts bruchstückhafter Verteidigungslinien, mangelnder systemimmanenter Sicherheitsfunktionalität und einer sich rege weiterentwickelnden Cybercrime-Industrie überrascht es nicht, dass es weiterhin Reports hagelt, in denen die Sicherheitsanbieter vor zahlreichen Gefahren warnen. So erklärte der russische Security-Spezialist Kaspersky Lab jüngst, man habe im ersten Halbjahr in Botnets einen steigenden Anteil multifunktionaler Malware gefunden, also Schadsoftware, die nicht für einen bestimmten Zweck entwickelt wurde, sondern vielfältig einsetzbar ist (siehe Link). Insbesondere habe sich der Anteil von RATs (Remote Access Trojans, Fernsteuerungs-Malware) verdoppelt.
"Der Besitz eines Botnets ist sehr kostenintensiv", erläuterte Alexander Eremin, Sicherheitsexperte bei Kaspersky Lab. Um Profit zu machen, müsse ein Betreiber jede Gelegenheit nutzen, um mit Malware Geld zu verdienen. "Ein Botnet, das aus Multi-Purpose-Malware (Mehrzweck-Schadcode, d.Red.) besteht, kann seine Funktionen relativ schnell ändern - vom Senden von Spam über DDoS (Distributed Denial of Service, d.Red.) hin zur Verteilung von Banking-Trojanern", so Eremin weiter. Dies ermögliche dem Botnet-Betreiber, zwischen Geschäftsmodellen zu wechseln. Zugleich könne er seine Infrastruktur dadurch einfach an andere Kriminelle vermieten.
Unerwünschtes Cryptomining
Der japanische Security-Anbieter Trend Micro wiederum verzeichnete in seinem Bericht zum ersten Halbjahr 2018 einen 96-prozentigen Anstieg bei der Erkennung von bösartigen Cryptomining-Versuchen gegenüber 2017. Im Vergleich zum ersten Halbjahr 2017 habe sich die Angriffsart sogar verzehnfacht (+956 Prozent). Cyberkriminelle setzen somit statt auf schnelles Lösegeld per Ransomware immer stärker auf den langsameren, im Hintergrund stattfindenden Diebstahl von Rechenleistung für das Schürfen (Mining) digitaler Währungen. Das sogenannte Malmining verursacht durch das Kapern von CPU-Power und damit erhöhten Energieverbrauch erheblichen wirtschaftlichen Schaden, insbesondere bei nach Verbrauch zu bezahlenden Cloud-Ressourcen. "Die jüngsten Veränderungen in der Bedrohungslandschaft spiegeln das wider, was wir seit Jahren beobachten: Cyberkriminelle ändern ihre Tools, Taktiken und Verfahren ständig, um ihre Erfolgsquoten zu erhöhen", so Udo Schneider, Security Evangelist bei Trend Micro. Ebenfalls im Kommen ist laut Trend Micro dateilos operierende Schadsoftware (Fileless Malware). Diese agiert direkt im Arbeitsspeicher und hinterlässt so keine Spuren auf der Festplatte. Der Schadcode wird dabei in laufende Applikationen injiziert oder aber per Scripting mittels eigentlich legitimer Tools wie PowerShell angestoßen.
"Die Frage ist heute nicht mehr ob, sondern wann Systeme angegriffen werden", so Sven Schaefer, Business Development Consultant bei Rackspace. "Daher ist es essenziell, sich mit dem Thema Security und Absicherung der Cloud zu befassen, eine Strategie zu entwickeln und mit den richtigen Partnern zusammenzuarbeiten, die bei der Umsetzung und Stärkung der Sicherheitsvorkehrungen helfen." Denn mit speziellem Know-how könne ein erfahrener MSSP (Managed-Security-Services-Provider) beispielsweise die Bedeutung sicherheitsrelevanter Vorkommnisse im Industrieumfeld oft besser einschätzen als die interne IT-Abteilung des Unternehmens.
Erschwert wird die Lage aus Sicht der Security-Verantwortlichen neuerdings durch verschärfte Datenschutzbestimmungen, Stichwort EU-DSGVO (Datenschutz-Grundverordnung). "Die DSGVO sollten Unternehmen nicht nur als reine Pflichtaufgabe verstehen. Im Zuge der dabei notwendigen Dateninventur können sie vielmehr auch den Grundstein für ein funktionierendes Multi-Cloud-Management legen", kommentiert Gerald Fehringer, Leiter Multi-Cloud Consulting bei QSC. "Wenn sie diese Inventur durch den Einsatz entsprechender Tools außerdem teils oder ganz automatisieren, können sie ihre Daten schneller klassifizieren und einfacher verschlüsseln."
Cloud und KI sollen?s richten
Im andauernden Hase-und-Igel-Rennen zwischen Cybercrime und IT-Security-Industrie setzt man in letzter Zeit verstärkt auf zweierlei: erstens auf Managed Services einschließlich hoch skalierbarer Cloud-Services, etwa zur DDoS-Abwehr, zweitens auf künstliche Intelligenz (KI; im Englischen Artificial Intelligence oder kurz AI). Diese soll - meist in der Form maschinellen Lernens (ML) - vor allem helfen, durch Aufdeckung manuell schwer identifizierbarer Anomalien im Datenverkehr oder im Nutzerverhalten potenzielle Angriffe oder Missbrauch aufzuspüren.
"Cloud-Technologien sind wichtige Katalysatoren für die digitale Transformation", sagt Franck Braunstedter, Senior Manager Cyber Defense and Cloud Security bei NTT Security. "Fast täglich entstehen neue Cloud-Services, etwa aus den Bereichen künstliche Intelligenz, maschinelles Lernen oder Blockchain as a Service, die Unternehmen bei ihrem digitalen Wandel voranbringen." Während vor einiger Zeit Sicherheitsvorbehalte und Risiken die Cloud-Debatten dominierten, hat sich das Bild laut Braunstedter inzwischen gewandelt: "Heute sieht die Mehrheit der Unternehmen in der Cloud eher die damit verbundenen Chancen."
"Kurioserweise gilt zwar: ,Die Cloud sind nur die Computer anderer Leute?, trotzdem werden Daten unverschlüsselt gespeichert, verarbeitet und ausgetauscht", gibt Thomas Uhlemann, Security Specialist bei Eset, zu bedenken. "Zudem wird davon ausgegangen, dass gerade große Anbieter ?per se? schon sicher seien - bis einer vergisst zu patchen."
Vor allem die auf AI gesetzten Hoffnungen für eine effektivere Angriffsabwehr sind derzeit hoch - und dies nicht ganz ohne Grund. Bewährt hat sich ML etwa bei der Anomalieerkennung - brauchbares Datenmaterial und eine vernünftige Baseline vorausgesetzt. "Machine Learning und KI können dabei helfen, Cloud-Konten und -Instanzen fortlaufend auf schädliche Verhaltensweisen zu überprüfen", erläutert Constantin Gonzalez, Principal Solutions Architect bei AWS. "Die Technologien unterstützen Unternehmen außerdem maßgeblich in den Bereichen Governance und Compliance. ML wird künftig verstärkt in Sicherheits-Services integriert sein, um vertrauliche Daten in Cloud-Umgebungen automatisch zu erfassen und zu schützen. Auch die Sicherheit im IoT (Internet of Things, d.Red.) profitiert künftig noch mehr von automatisierten KI- und ML-Diensten."
KI hilft beiden Seiten
Doch künstliche Intelligenz kommt den Angreifern ebenso zugute wie den Verteidigern. "Machine Learning oder künstliche Intelligenz wird künftig in zweierlei IT-Security-Bereichen eine wichtige Rolle spielen", so Gerhard Giese, Senior Solutions Engineer bei Akamai. "Im Negativen für das Lösen von Captchas - schon heute ist KI in der Lage, einfache Captchas zu lösen. In Zukunft ist zu erwarten, dass auch logische Verknüpfungen kein Hindernis mehr darstellen werden." Im Positiven wiederum werde KI künftig zum Beispiel Verwendung finden, um automatisierten Traffic aufzuspüren. "Allerdings ist die Entwicklung hin zu einem positiven Sicherheitsmodell zu erwarten, welches den Menschen erkennt und nicht den Bot", so Giese.
Der aktuelle Hype um AI im Security-Umfeld hat aber auch seine Schattenseiten. So ergab eine internationale Umfrage des slowakischen Security-Anbieters Eset, dass 75 Prozent der IT-Entscheidungsträger KI alleine für den Königsweg bei der Lösung von Cyber-Security-Problemen halten (siehe Link). Diese verzerrte Wahrnehmung ist laut Eset schädlich: "Es ist beunruhigend zu sehen, dass der Hype um KI und ML so viele IT-Entscheider - vor allem in den USA - dazu veranlasst, die Technologien als das Allheilmittel für Cybersicherheits-Herausforderungen zu betrachten", monierte Juraj Malcho, Chief Technology Officer bei Eset. "Wenn uns das letzte Jahrzehnt etwas gelehrt hat, dann, dass es für manche Dinge keine einfache Lösung gibt."
Die Grenzen für den Einsatz von KI und ML sieht Gerhard Giese von Akamai für die nahe Zukunft im Bereich nicht-unterstützten Lernens (Unassisted Learning): "Zur Zeit sind die Probleme noch zu groß, um einer KI ein vollständig autarkes Selbstlernen zu erlauben." Mittelfristig werden deshalb nach wie vor menschliches Einwirken über die Qualität der Ergebnisse entscheiden.
"Die Grenzen des KI-Ansatzes", ergänzt Miro Ljubicic, Leader Cyber Defense Competence Center EMEA bei NTT Security, "liegen bei der Entscheidungsfindung im konkreten Einzelfall: Soll Aktivität X als Antwort auf eine Bedrohung Y nun ausgeführt werden oder nicht - und welche Konsequenzen hätte dies für den betroffenen Service?"
Risikoabwägung und Übernahme von Verantwortung sind laut Ljubicic Kernelemente jedes Incident-Response-Managements, weshalb einschlägige Security-Standards zu Recht eine klare Entscheidungskette fordern. Dies schließe den Einsatz von KI als entscheidungsbefugte Instanz somit gegenwärtig prinzipiell aus.
Lesen Sie mehr zum Thema
