Im Umfeld der Nürnberger Messe It-sa befragte LANline Security-Anbieter zu aktuellen IT-Security-Trends. Nachdem sich Teil 1 auf Industrievernetzungs-, Cloud- und Datensicherheit konzentrierte (siehe „Sichere Daten in unsicheren Zeiten“, lanl.in/2sCK9Q2), richtet Teil 2 den Fokus auf die Endgeräte- und Endanwenderseite. Es geht somit nun um Phishing, Ransomware und automatisierte Angriffskampagnen, auf Verteidigerseite um passwortlose Authentisierung, Zero-Trust, User and Entity Behavior Analytics (UEBA) sowie Endpoint Detection and Response (EDR).

Der aktuelle „State of the Internet“-Sicherheitsbericht 2019 des Edge-Plattformbetreibers Akamai bestätigt einen schon länger bekannten Trend: Cyberkriminelle entwickeln Angriffe zunehmend auf professionelle, ja sogar industrielle Weise. Dabei, so Akamai Research, attackieren sie gerne große Technologiekonzerne wie Micro- soft, PayPal, DHL und Dropbox. Phishing ist laut dem Report längst nicht mehr nur auf E‑Mail beschränkt, sondern bezieht heute auch Social Media und Mobilgeräte mit ein. Die Kriminellen entwickeln, so warnen die Forscher, laufend neue Angriffsmethoden und -techniken, zum Beispiel für den Finanzbetrug per E-Mail (Business E‑Mail Compromise, BEC). Nach Angaben der US-Bundespolizei FBI haben BEC-Angriffe zwischen Oktober 2013 und Mai 2018 weltweit Verluste von über zwölf Milliarden Dollar verursacht.

Laut Akamais Bericht nehmen die Kriminellen bei ihren organisierten Aktionen bevorzugt die globalen Top-Marken verschiedenster Branchen und deren Nutzer ins Visier, zum Beispiel mittels Phishing as a Service. Dazu setzt die Angreiferseite unter anderem auf Phishing-Kits. Diese vorgefertigte Tools erleichtern es anhand von Web-Designprogrammen, Templates und Verteilungsmechanismen wie Massen-E-Mails, Betrugskampagnen durchzuführen. Während des Beobachtungszeitraums zielten laut dem Report die meisten Phishing-Angriffe auf die Hightech-Industrie ab: mittels 6.035 neu eingerichteter oder aber gekaperter Domains und 120 Kit-Varianten. Auf Platz zwei folgte die Finanzbranche mit 3.658 Domains und 83 Kit-Varianten. Beim Online-Handel waren 1.979 Domains und 19 Kit-Varianten involviert. Allein für Angriffe auf Microsoft zählte Akamai 3.897 Domains und 62 Kit-Varianten.

Auch der aktuelle Phishing and Fraud Report von F5 Networks belegt: Phishing ist die häufigste Methode für Angriffe auf Daten. Laut F5 sind jedoch die Bereiche Finanzen, Gesundheit, Bildung, gemeinnützige Organisationen und das Rechnungswesen am stärksten gefährdet. Der Bericht basiert auf Informationen von Webroot und F5s eigenen weltweiten Security Operation Centers (SOCs). Der Anbieter warnt vor Websites, die auf den ersten Blick vertrauenswürdig erscheinen: „Einer der wichtigsten Trends ist weiterhin, dass Phisher Glaubwürdigkeit vortäuschen, wobei bis zu 71 Prozent der Phishing-Web-sites über die Nutzung von HTTPS als legitim erscheinen“, erläutert Ralf Sydekum, Technical Manager DACH bei F5 Networks. In den F5 Labs habe man festgestellt, dass 85 Prozent der analysierten Phishing-Websites, die digitale Zertifikate verwenden, diese von einer vertrauenswürdigen Zertifizierungsstelle (CA) signieren lassen. Ein weiterer wichtiger Trend sei die steigende Zahl von Phishern, die ihre Angriffe per Automatisierung optimieren.

Der britische Security-Spezialist Sophos bestätigt: Ransomware-Angreifer setzen verstärkt auf automatisierte Angriffe. Solche Angriffe wenden laut Sophos vertraute Management-Tools gegen die Unternehmen, umgehen Sicherheitskontrollen und deaktivieren Sicherungskopien, um so in kürzester Zeit größtmögliche Durchschlagskraft zu erlangen. „Die Bedrohungslandschaft entwickelt sich weiter – rasant, in großem Ausmaß und immer weniger vorhersehbar“, so John Shier, Senior Security Advisor bei Sophos. „Die einzige, worüber wir echte Gewissheit haben, ist das, was in diesem Moment passiert“ – keine allzu beruhigende Aussage.

Anti-Malware-Spezialist Malwarebytes wiederum konstatiert in seinem CTNT-Report (Cybercrime Tactics and Techniques) für das dritte Quartal einen deutlichen Anstieg von Angriffen auf Einrichtungen des Gesundheitswesens, auch hier zum Beispiel mittels Ransomware. Das Gesundheitswesen hat sich zum attraktiven Ziel für Cyberkriminelle entwickelt. Die Gründe: eine häufig veraltete IT-Infrastruktur, niedrige IT-Budgets und die branchentypische Fülle wertvoller personenbezogener Daten.

Vor allem Trojaner wie Emotet und TrickBot machten den IT-Verantwortlichen zu schaffen: Laut Malwarebytes’ Produktdaten-Auswertung stieg das Trojaner-Aufkommen im dritten Quartal gegenüber dem Vorquartal um 82 Prozent.

Die Empfehlungen der Security-Anbieter, wie man mit dieser Gefahrenlage denn nun fertig wird, umspannen ein breites Spektrum: von der Evaluierung des Status quo (nach dem Motto „man kann nur verteidigen, von dem man weiß, dass man es hat“) über die Authentifizierung und Autorisierung, die laufende Überwachung des Verhaltens von Nutzern und Endpunkten (UEBA) bis hin zum Aufspüren von Angriffen und der Reaktion darauf (Detection and Response, auf Endpunktseite Endpoint Detection and Response, kurz EDR).

„Gerade in großen Unternehmen merken IT-Sicherheitsteams, dass sie effizienter werden müssen“, sagt Markus Auer, Regional Manager Central Europe bei ThreatQuotient. Denn Cyberkriminelle seien immer besser organisiert und nutzten immer ausgefeiltere Techniken, um in Systeme und Netzwerke einzudringen. „Weil die Schlagzahl an Attacken so hoch ist, müssen die Security-Experten in Organisationen und bei Dienstleistern schneller eine Übersicht über die Gefahrenlage und den Ist-Zustand von IT-Landschaften gewinnen“, so Auer.

Hat man den Status quo einmal ermittelt, ist die Absicherung der Identitäten und Zugriffsrechte (Authentifizierung, Autorisierung) der nächste Schritt. Hier bewegt sich die Branche endlich mit Nachdruck weg von der klassischen – und höchst angreifbaren, da rein wissensbasierten – Kombination aus Benutzername und Passwort, etwa durch Mehr-Faktor-Authentifizierung oder biometrische Tokens. „Passwortloser Log-in wird weiter an Bedeutung gewinnen“, prognostiziert Alexander Koch, VP Sales DACH and CEE beim Security-Token-Hersteller Yubico. „Angesichts täglicher Berichte über Datenlecks und gestohlene Passwörter ist es für Betriebe wichtiger denn je, Konten von Mitarbeitern am Arbeitsplatz zu schützen.“ Dies zeige auch eine aktuelle Studie des Ponemon Institutes: Hier gaben 57 Prozent der Befragten IT- und IT-Security-Experten eine Präferenz für passwortlose Anmeldungen zu Protokoll.

Laut Nevis-CPO Stephan Schweizer hat das klassische Passwort ebenfalls „ausgedient“: „Mit Hilfe von Device Finger Print, Geolokation, Tippverhalten und kontinuierlicher Verhaltensanalyse werden Anomalien besser erkannt und Missbrauch verhindert“, so Schweizer. Dies gelte es allerdings mit der Bedienbarkeit zu harmonisieren, denn Benutzerfreundlichkeit sei ein wichtiger Wettbewerbsvorteil.

Null Vertrauen im Netz

In diesem Kontext propagieren Fachleute immer öfter den sogenannten „Zero-Trust“-Ansatz („Null Vertrauen“). Dieses Sicherheitskonzept geht von der Prämisse aus, dass Anwender und Endgeräte grundsätzlich nicht vertrauenswürdig sind. Man unterscheidet nicht mehr zwischen Nutzern „von innen“ und „von außen“, sondern fordert zunächst prinzipiel stets für jeden Service eine Authentisierung ein, bevor man eine granulare Autorisierung erteilt. Anschließend überwacht Monitoring-Software Nutzer und Gerät laufend auf Abweichungen vom Soll-Verhalten hin (darauf zielt UEBA ab). Zero-Trust soll Situationen vermeiden, in denen sich ein Angreifer, ist er erst einmal ins Unternehmensnetz eingedrungen, dort frei oder zumindest unauffällig „seitwärts“ – zu seinem eigentlichen Angriffsziel – bewegen kann. Das laufende Monitoring soll Auffälligkeiten aufdecken, beispielsweise nicht plausible geografische Sprünge (erkenntlich anhand eines plötzlichen IP-Adresswechsels) oder auch ein Abweichen vom nutzerrollenkonformen Verhalten.

„Die IT-Security muss sich weg von Indicators of Compromise (IoCs) hin zu Indicators of Behavior (IoBs) bewegen“, fordert Forcepoint-CTO Nicolas Fischbach. „Der Mensch ist die Konstante in einer sich ständig wandelnden Bedrohungslandschaft. Im Fokus sollte also der vertrauliche, sichere Umgang mit Daten im Unternehmen stehen: Wo befinden sich meine Daten? Um welche Art von Daten handelt es sich und wie interagieren Menschen und Maschinen mit diesen?“ Nach Ansicht von Dr. Lars Lippert, Vorstand von Baramundi aus Augsburg, „werden uns Mechanismen für Angriffe ‚von innen‘ vermehrt beschäftigen“. Kontrollierte Einschränkungen des Zugriffs von Geräten und Benutzern auf andere Systeme und Netzwerke – also Zero Trust – erlauben hier laut Lippert „neue Ansätze für die IT Sicherheit“.

„Die IT-Security muss sich weg von Indicators of Compromise (IoCs) hin zu Indicators of Behavior (IoBs) bewegen“, sagt Forcepoint-CTO Nicolas Fischbach. Bild: Forcepoint

Zu diesen Ansätzen zählt die letzthin heiß diskutierte Nutzung von Machine Learning (ML) oder, allgemeiner und plakativer formuliert, von künstlicher Intelligenz (KI) für die Security-Analyse. „KI ist ein Hype, der sicher die letzten Monate hochgekocht wurde“, kommentiert Eckhard Schaumann, DACH Manager bei RSA. Es gebe viel Verwirrung um den Begriff. „Machine Learning ist eine Teilmenge der KI, die eine leistungsstarke Technik ist, um Verhalten zu verstehen“, so Schaumann. UEBA sei ein Sicherheitsbereich, in dem KI-Technik zum Einsatz komme. Ein Beispiel: KI kann bei auffälligen Abweichungen vom statistisch errechneten Normalverhalten eines Nutzers oder Endgeräts Alarm schlagen, zum Beispiel bei einem plötzlichen Ansteigen von Datenspeicherungen auf externe Speichermedien. Das Reaktionsspektrum reicht von der Aufforderung, sich erneut zu authentisieren, bis hin zum automatischen Abbruch einer als Sicherheitsverstoß erkannten Aktion mit Benachrichtigung des SOC-Teams.

Stand heute will sich aber das Gros der Anbieter wie auch der Anwender nicht auf eine KI-gestützte Vollautomation von Reaktionen auf Sicherheitsvorfälle festlegen. So meint zum Beispiel Peter Aicher, Senior Presales Engineer bei Kaspersky: „Angriffe, die schwer zu erkennen sind, werden zunehmen. Sie werden mit legitimen Tools durchgeführt oder ihre Aktivitäten ähneln legitimen Aktionen – sie werden gezielt so entwickelt, dass sie der Erkennung durch Antiviren- und Endpoint-Lösungen entgehen. Zum Schutz vor solchen Angriffen ist daher die Kombination aus fortgeschrittenen Technologien mit Machine Learning und menschlicher Expertise nötig.“ Diese Expertise könne man auch als Service zukaufen. Aber ohne diese menschliche Intervention kommt die Security-Branche offenbar vorerst nicht aus, allem Hype um KI zum Trotz.

Der Rummel um die KI/ML-gestützte Security-Analyse hat inzwischen offenbar seinen Zenit überschritten. „Der Hype um einzelne Schutztechnologien flaut ab, da festzustellen ist, dass Angreifer leider immer wieder Wege finden, diese zu überwinden“, berichtet Richard Werner, Business Consultant bei Trend Micro. Das zeige nicht zuletzt die aktuelle Welle von dateilosen Angriffen wie Emotet. „Die Branche reagiert darauf mit Lösungen zur Früherkennung von Angriffen und ihrer Beseitigung unter dem Schlagwort ,Detection and Response’ – nicht zuletzt als Managed Service.“

Manche Anbieter propagieren allerdings weiterhin punktuelle Abwehrtechniken. Bromium zum Beispiel setzt zum Endgeräteschutz auf ein konkretes Verfahren: die Mikrovirtualisierung. „Herkömmliche Client-basierte Lösungen, die zur Abwehr auf die Erkennung von Malware angewiesen sind, haben kaum noch eine Chance, fortschrittlichen Attacken standzuhalten. Die einzig logische Alternative sind Lösungen, die nicht auf die Detektion, sondern auf die Isolation von Schadcode abzielen“, so Jochen Koehler, bei Bromium verantwortlich für den Vertrieb in Europa. Die derzeit effektivste Variante für eine solche Isolation basiere auf Virtualisierungstechnik: „Bei der sogenannten Mikrovirtualisierung wird jede riskante Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs oder das Downloaden eines Dokuments in einer eigenen Mikro-VM gekapselt“, erläutert Koehler. Dies schütze selbst vor bislang unbekannter Malware.

Ziel: Einheitliche Sicherheitskette

Oliver Bendig, CEO des Frankfurter Softwarehauses Matrix42, plädiert dafür, den gesamten IT-Lifecycle in den Blick zu nehmen: „Für die nächste Welle der Security-Innovation wird vor allem die Integration von Security und Operations für den Digital Workspace zu einem ,Security Automation, Orchestration, and Response’-Modell immer wichtiger werden“, betont der Matrix42-Chef. Bereits bei der Erstellung von Apps und Services müsse Security inhärent sein, um mehr Sicherheit am Ende der Kette – am Endpoint – zu erzeugen. Damit werden laut Bendig künftig die Disziplinen UEM (Unified-Endpoint-Management), ITSM (IT-Service-Management) und Endpoint Protection immer stärker interagieren.

In die gleiche Kerbe schlägt Matthias Canisius, Regional Director CEE bei Senti-nelOne. Er sieht drei Themen an Bedeutung gewinnen: „Ganz allgemein ist und bleibt das Bestreben von Unternehmen ungebrochen, ihre IT-Sicherheitsinfrastruktur weiter zu konsolidieren und Integration und Automatisierung voranzutreiben. Die zweite Entwicklung, die mit der erstgenannten einhergeht, ist, dass Technologien weiter konvergieren werden.“ Dies habe man vor vielen Jahren bereits im Bereich Firewall und Intrusion Prevention gesehen. Ähnliches sei in den nächsten ein, zwei Jahren im Zusammenspiel von Endpoint Protection mit Detection and Response zu erwarten. „Drittens werden KI-basierte Technologien auch zunehmend im Bereich der IoT-Discovery und -Security zu finden sein sowie zur Absicherung der rasant wachsenden containerbasierten Infrastrukturen“, so Canisius.

Fazit

Die Angreiferseite geht heute nach der Art industrieller Organisationen hochgradig arbeitsteilig vor, bis hin zu Modellen wie „Malware as a Service“. Mit Ransomware haben die Cyberkriminellen ein Geschäftsmodell gefunden, das eine einfach reproduzierbare, direkte Monetarisierung eines Angriffsmusters erlaubt. Dabei erweist sich Phishing – in zunehmend geschickt getarnter Form – als ungebrochen wirksamer Angriffsvektor. Doch auch die Verteidigerseite hat Fortschritte zu vermelden, um dieser Bedrohungslage etwas entgegenzusetzen: Mehr-Faktor-Authentifizierung bis hin zum passwortlosen Log-in ersetzt die angreifbare, weil rein wissensbasierte Authentisierung per Benutzername und Passwort. Große Hoffnungen setzt die Branche darauf, KI/ML-Instanzen so trainieren zu können, dass sie Angriffe und sonstiges auffälliges Verhalten verlässlich identifizieren – nicht zuletzt im Rahmen von Zero-Trust-Modellen, die ein kontinuierliches Monitoring des Nutzer- und Endpunktverhaltens auf Netzwerk-, Applikations- und Service-Ebene vorsehen.

Sicherheitskonzepte wie kontinuierliche ML-Auswertungen, UEBA und Zero-Trust dürften manch einem Betriebsrat oder Datenschützer kalte Schauer über den Rücken jagen. Verfechter solcher Ansätze betonten aber in Gesprächen mit LANline immer wieder, man gehe davon aus, sich selbst mit skeptischen Stakeholdern gütlich einigen zu können: Monitoring und Analyse erfolgten schließlich zumindest bis zum konkreten Verdachtsfall anonymisiert – und die Alternative zur fortlaufenden Security-Überwachung wäre letztlich ein in jeder denkbaren Bedeutung des Wortes „unsicherer“ Arbeitsplatz.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.