Sicherheitsrisiken für das kommende Jahr
So sieht Check Point das Security-Jahr 2013
Das Jahr 2012 neigt sich dem Ende zu, und so, wie die Unternehmen jetzt damit befasst sind, ihre Geschäftsaktivtäten und IT-Strukturen auf das kommende Jahr auszurichten, so schmieden auch Cyber-Kriminelle bereits ihre Pläne - und entwickeln immer raffiniertere Angriffsmethoden, um kleine und große Organisationen zu attackieren.
Disput zwischen Security-Experten und Stiftung Warentest
Psychologische Studie zur Vorgehensweisen von internen Datendieben
HP-Studie: IT-Personal ist Sicherheitsrisiko
Umfassende Sicherheitslösung für kleine Unternehmen
Security-Plattform für kleine Unternehmen
Dabei werden im Jahr 2013, so die Security-Spezialisten von Check Point, folgende Gefahren zunehmen und im Vordergrund stehen.
Gefahr 1 – Social Engineering: Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen, nutzen Hacker eine Vielzahl von Techniken. Haben sie sich in der Vergangenheit aber auf eher „einfaches Austricksen“, wie zum Beispiel auf fingierte E-Mails oder vermeintlich firmeninterne Anrufe konzentriert, hat sich ihr Fokus heute auf soziale Netzwerke wie Facebook oder Linkedin verlagert. Denn dort sind viele der Detailinformationen, die Cyber-Kriminelle für ihre unlauteren Geschäfte brauchen, meist schon vorhanden und frei zu haben – ganz ohne Tricks. Das vertrauenswürdig erscheinende Profil eines Unternehmens oder auch nur einer Person, gefolgt von einer erfolgreichen Freundschafts- oder Verbindungsanfrage, kann schon genügen – und der Social-Engineering-Angriff ist ins Rollen gebracht.
Gefahr 2 – APTs: Die hohe Sensibilität für Social Engineering ist auch deshalb angezeigt, weil es Vorbote einer noch raffinierteren Angriffsform sein kann – so genannte APTs – Advanced Persistent Threats. Namhafte Beispiele für APTs, die im Jahr 2012 sowohl gegen Unternehmen als auch gegen staatliche Einrichtungen gerichtet waren, sind „Gauss“ und „Flame“. APTs sind äußerst hoch entwickelt, sehr differenziert geplant und kombinieren verschiedene Angriffstechniken. Ihr Ziel ist, Zugriff auf ein Netzwerk zu erlangen und dort „still und leise“ Informationen zu stehlen. Sie arbeiten nach dem „low-and-slow“-Prinzip, wodurch sie meist nur schwer zu erkennen und daher oft erfolgreich sind. Dafür müssen APTs nicht zwingend auf verbreitete Programme wie Microsoft Word abzielen. Sie können auch andere Vektoren, zum Beispiel Embedded Systems nutzen. In einer Welt, in der immer mehr Devices über eigene IP-Adressen verfügen, ist die Implementierung von Security in diese Systeme niemals wichtiger gewesen, als heute. APTs werden vor allem deshalb weiter auftreten, weil sie nicht zuletzt Regierungsstellen und anderen, kapitalstarken Organisationen als nützliches Cyberspace Tool zu Spionagezwecken dienen. APTs finden immer und überall statt, entsprechend wichtig ist es, verdächtige Anomalien im Netzwerkverkehr frühzeitig zu erkennen.
Gefahr 3 – Interne Bedrohungen: Einige der größten Gefahren drohen allerdings nicht von außen, sondern kommen von innen. Attacken aus dem Inneren des Unternehmens heraus können besonders verheerend sein, denn ein privilegierter Anwender hat Zugriff auf die sensibelsten Daten. Durch eine vom U.S. Department of Homeland Security geförderte Studie fanden die Analysten des CERT Insider Threat Center am Softwareentwicklungsinstitut der Carnegie-Mellon-Universität und der amerikanische Geheimdienst gemeinsam heraus, dass etwa betrügerische Insider innerhalb der Finanzindustrie im Durchschnitt fast 32 Monate lang unentdeckt agieren und in diesem Zeitraum enormen Schaden anrichten können. Vertrauen ist, wie man landläufig sagt, ja gut – zu viel davon kann ein Unternehmen jedoch sehr verwundbar machen.
Gefahr 4 – BYOD – Bring Your Own Device: Auch in der Welt der mobilen Kommunikation spielt Vertrauen eine große Rolle, zumal die Unternehmen große Schwierigkeiten damit haben, dem ungebrochenen BYOD-Trend den richtigen Mix an Sicherheitstechnik entgegenzusetzen. Die Anwender nutzen ihre mobilen Endgeräte zunehmend so, wie ihre PCs, und machen sich damit auch in der mobilen Welt zum beliebten Angriffsziel für Web-basierte Attacken. Es ist zu erwarten, dass Cyber-Kriminelle künftig mehr Energie auf die Entwicklung von Funktionen verwenden werden, mit deren Hilfe sie die App-Überprüfungs- und Erkennungsmechanismen umgehen können, die von den Anbietern heute zum Schutz ihrer App-Märkte aufgeboten werden. Die Flut von Iphones, Google-Android-Geräten und anderen Devices, die heute in die Unternehmen hineinschwappt, eröffnet Hackern also einen weiteren, viel versprechenden Angriffsweg, der entsprechend abgesichert werden muss.
Gefahr 5 – Cloud Security: BYOD ist allerdings nicht die einzige Gefahr, die Unternehmen dazu zwingt, die Mauern um ihre schützenwerten Daten neu zu konstruieren. Es gibt da auch noch diesen „kleinen“ Trend zu Cloud Computing. Je mehr Unternehmen immer mehr Informationen in öffentliche Cloud-Services stellen, umso attraktiver werden diese Services als Angriffsziele – und können für die betroffene Organisation zum „Single Point of Failure“ werden. Die Unternehmen sollten daher gegenüber ihren Cloud-Providern das Thema Security als besonders wichtig herausstellen und ihre entsprechenden Anforderungen deutlich machen.
Gefahr 6 – HTML5: So, wie die Verbreitung von Cloud Computing die Angriffsflächen der Unternehmen vergrößert hat, so wird auch HTML5 zum Aufkommen neuer Gefahren beitragen. Auf der diesjährigen Black-Hat-Konferenz, die Security-Profis Hinweise auf eventuelle, neue Gefahren gibt, wurden der plattformübergreifende Support von HTML5 und seine Integration verschiedener Techniken als Türöffner für neue Attacken diskutiert, etwa über den möglichen Missbrauch von Web-Worker-Funktionen. Zwar erhält die Sicherheit von HTML5 eine zunehmend hohe Aufmerksamkeit, doch allein die Tatsache, dass es neu ist, impliziert, dass die Entwickler bei seiner Nutzung Fehler machen werden – Fehler, auf die die Angreifer schon warten. Für das kommende Jahr ist daher ein Anstieg von HTML5-orientierten Attacken zu erwarten, die sich mit der zunehmenden Verbesserung gezielter Security-Maßnahmen aber graduell abschwächen sollte.
Gefahr 7 – Botnets: Doch auch, wenn im kommenden Jahr in Sachen „beste Angriffs-Innovation“ ein wahrer Wettbewerb zwischen Forschern, Entwicklern und Angreifern entstehen mag – nicht zuletzt werden Cyber-Kriminelle auch viel Zeit darauf verwenden, das zu perfektionieren, was sie schon sehr gut beherrschen – zum Beispiel werden sie für eine hohe Verfügbarkeit und Verbreitung ihrer Botnets sorgen. Zwar waren legale Take-Downs, wie sie von Unternehmen wie Microsoft durchgeführt wurden, erfolgreich und brachten Spam- und Malware-Operationen vorübergehend zum Erliegen. Doch es wäre naiv, anzunehmen, dass die Angreifer nicht das, was sie aus diesen Take-Downs gelernt haben, für die Optimierung ihrer weiteren Aktivitäten nützen würden. Botnets sind sehr präsent, und werden es bleiben.
Gefahr 8 – Präzise ausgerichtete Malware: Woraus Angreifer außerdem gerne lernen, ist die Vorgehensweise von Forschern bei der Analyse von Malware. Als Ergebnis traten kürzlich neue Techniken auf, mit deren Hilfe die Malware-Analyse umgangen werden kann und völlig ineffizient wird. Dies ist möglich durch die Entwicklung und den Einsatz von Malware, die in keiner anderen Umgebung korrekt ausgeführt werden kann als in der, auf die sie tatsächlich abzielt. Beispiele für solche Attacken sind Flashback und Gauss. Beide waren darin erfolgreich, insbesondere Gauss, die Netzwerkanalysten von einer automatisierten Malware-Analyse abzuhalten. Die Malware-Spezialisten werden diese Angriffstechniken im kommenden Jahr weiter verbessern und ausbauen und ihre Schadsoftware dediziert auf bestimmte Ziele ausrichten, so dass sie beispielsweise nur Computer mit einer spezifischen Konfiguration angreifen wird.
Sicher ist, dass 2013 eine wahre Flut von Bedrohungen und Malware mit sich bringen wird, wobei die Angriffsvektoren von sozialen Netzwerken über mobile Endgeräte bis hin zu den Mitarbeitern selbst reichen werden. So, wie die Security für Rechner und Betriebssysteme weiter verbessert werden wird, so werden sich auch die Techniken von Cyber-Kriminellen verbessern, mit denen sie dann die neuen Verteidigungsmaßnahmen umgehen werden. Alles in allem Grund genug, geeignete Security-Maßnahmen 2013 nicht nur als guten Vorsatz, sondern als wichtige Grundlage für ein erfolgreiches Geschäftsjahr zu sehen.
Lesen Sie mehr zum Thema
