Die Ransomware-Welle, die 2017 neben Privatanwendern auch Unternehmen, Krankenhäuser und Behörden traf, machte deutlich: Um die IT-Sicherheit ist es nach wie vor nicht gut bestellt. Vieles im Unternehmensnetzwerk und -rechenzentrum ist bereits hochgradig automatisiert, aber die IT-Security hinkt hinterher. Die Branche verweist auf leichtsinnige Endanwender und setzt große Hoffnungen auf Machine Learning (ML) und Artificial Intelligence (AI). Doch im angehenden „Internet of Things“-Zeitalter steht die Frage im Raum, ob die IT-Sicherheit jenseits der DSGVO (Datenschutz-Grundverordnung) einer Regulierung bedarf.

Letztes Jahr sank die Zahl kompromittierter Datensätze um rund ein Viertel, von vier Milliarden im Jahr 2016 auf 2,9 Milliarden 2017, so IBMs X-Force Threat Intelligence Index 2018 vom April (LANline berichtete, lanl.in/2GBYXjT). An sich eine positive Entwicklung – doch sie ist zugleich ein Symptom dafür, dass die Kriminellen ihre Aktivitäten vom klassischen Datendiebstahl längst auf andere lukrative Felder verlagert haben. So ist Ransomware letztes Jahr laut Verizons aktuellem DBIR (Data Breach Investigations Report) vom vierten auf den ersten Platz der Bedrohungen vorgerückt: Erpressersoftware machte 2017 rund 39 Prozent aller Malware-bezogenen Datenvorfälle aus (siehe lanl.in/2qiJ1wH).

Aktivitätsverlauf der WannaCry-Ransomware mit dem zugehörigen Patch-Verhalten. Bild: Qualys/ Cisco ACR 2018

Bereits Anfang des Jahres hatte Malwarebytes im „State of Malware Report“ berichtet, dass die Ransomware-Welle schon wieder rückläufig ist, da die Kriminellen ein einträglicheres Geschäft entdeckt haben: Cryptojacking (siehe lanl.in/2BAENU8). Hier fängt sich der Anwender per Besuch einer kompromittierten Website („Drive-by Mining“), Adware, Spam oder Exploit Kit einen Schadcode ein; dieser lässt seinen Rechner heimlich eine Kryptowährung wie etwa Monero für den Angreifer schürfen (daher auch „Malmining“ genannt: bösartiges Crypto-Mining). Der Schaden für das betroffene Unternehmen besteht darin, dass seine Ressourcen für rechenaufwändige Mining-Prozesse missbraucht werden – was bei angemieteten Cloud-Ressourcen richtig teuer werden kann, da Kosten nach Verbrauch anfallen.

Das Gefahrenpotenzial ist laut Kaspersky Lab sehr hoch: „Wir haben vor Kurzem einen Analyse veröffentlicht, nach der Cyber-Kriminelle zur Infizierung von Unternehmensrechnern mit Mining-Malware auf ausgefeilte Methoden und Techniken zurückgreifen, die bislang eher im Kontext zielgerichteter Angriffe bekannt waren“, so Christian Funk, Leiter des deutschen Forschungs- und Analyseteams von Kaspersky Lab. „Laut der Kaspersky-Analyse konnte die erfolgreichste Gruppe im Jahr 2017 in nur sechs Monaten mindestens sieben Millionen Dollar erwirtschaften.“ Die Angriffe schädlicher Miner gegen Privatanwender und Unternehmen seien 2017 gegenüber 2016 um 50 Prozent angestiegen. Der Grund dafür liegt auf der Hand: „Bösartiges Crypto-Mining wächst mit der Verbreitung der Nutzung von Cyber-Währungen“, so Christian Nern, Leader of Security Software DACH bei IBM Security. Denn unmittelbarer Durchgriff auf akzeptierte Zahlungsmittel übe einen hohen Anreiz auf Kriminelle aus.

„In der IT ist heute vieles stark automatisiert, lediglich die IT-Sicherheit befindet sich noch im Stadium der Handarbeit beziehungsweise Manufaktur“, so Frank Ruge, Director und General Manager Central and Southern Europe bei Infoblox. Bild: Infoblox

„Die unmittelbare Gefahr durch Malmining ist begrenzt, außer es handelt sich um großangelegten Missbrauch ganzer Rechenzentren“, relativiert Dr. Klaus Gheri, Vice President und General Manager Network Security bei Barracuda. „Was aber sehr stutzig machen muss, ist, wie erfolgreich diese Schadsoftware platziert werden kann. Das heißt, dass ganz schnell auch andere Schadsoftware verbreitet werden kann, sollte sich das Mining als nicht mehr gewinnbringend genug herausstellen.“ Solche Gewinne verspricht weiterhin Datendiebstahl, ebenso Betrug auf der Basis gestohlener Unternehmensdaten. Hier ist und bleibt die Endanwenderseite das Einfallstor: Bei 93 Prozent aller im DBIR untersuchten Datenvorfälle waren laut Verizon Betrug und Phishing involviert, und in fast allen Fällen (96 Prozent) war E-Mail der Angriffsvektor. Verizon rät deshalb zu folgenden Maßnahmen:

  1. aufmerksam bleiben und Daten wie Log-Files überwachen,
  2. das Personal trainieren, damit es Warnzeichen erkennt,
  3. die Datenzugriffe auf das Minimum („Need-to-know“) begrenzen,
  4. schnell patchen,
  5. sensible Daten verschlüsseln,
  6. Zwei-Faktor-Authentifizierung (2FA) nutzen und
  7. dabei die physische Sicherheit nicht vernachlässigen.

Georg Lauer, Senior Principal Business Technology Architect bei CA Technologies, betont bei 2FA die Bedeutung eines differenzierten Identity- und Access-Managements (IAM): „Jeder Nutzer muss für den Zugang zu sensiblen Daten über das IAM geführt werden, jeder privilegierte Nutzer über das PUM (Privileged-User-Management, d.Red.). Dabei sollte man aber ein möglichst hohes Maß an Benutzerfreundlichkeit bewahren, zum Beispiel durch eine Step-up-Authentifizierung: Erst beim Versuch, zum Beispiel auf Finanzdaten zuzugreifen, wird ein zweiter Faktor gefordert, nicht generell für die Anmeldung am Unternehmensnetz.“

Doch es drohen noch weitere Gefahren. So berichtete Cisco im ACR (Annual Cybersecurity Report) 2018, dass Kriminelle zunehmend Schwächen in legitimer Software für ihre Angriffe nutzen (siehe lanl.in/2tNmQD1): Angreifer manipulieren bei sogenannten „Supply-Chain-Angriffen“ vertrauenswürdige Software oder kompromittieren die Update-Mechanismen legitimer Anbieter, um dort Malware-infizierte Updates zu hinterlegen. So dringen sie ins Unternehmensnetz ein und bleiben, je nach Art der Kompromittierung, monate- oder gar jahrelang unentdeckt. So mussten zwei Millionen Nutzer des PC-Tools CCleaner im Herbst 2017 die Software deinstallieren, nachdem die Update-Server der Avast-Tochter Piriform kompromittiert worden waren. 2017 wurde zudem das Schadprogramm Nyetya über eine ukrainische Steuerberatungssoftware verteilt.

Warnt vor dem Schadenspotenzial von Mining-Malware: Christian Funk, Leiter des deutschen Forschungs- und Analyseteams von Kaspersky Lab. Bild: Kaspersky Lab

Fachleute wie Bruce Schneier raten vor diesem Hintergrund zur Grundannahme, dass man Angreifer trotz aller Abwehrmaßnahmen nicht dauerhaft aus dem Unternehmensnetz fernhalten kann. Deshalb müsse man sich auf Incident Response konzentrieren, also die schnelle Reaktion auf tatsächlich erfolgte oder gerade laufende Angriffe. Hier klaffen noch große Lücken: In einer neuen Studie des Ponemon Institutes im Auftrag von IBM Resilient (deren CTO Schneier ist) gaben 77 Prozent der rund 2.800 Befragten an, ihr Unternehmen habe keinen formellen, unternehmensweit einheitlichen Notfallplan zur Abwehr von IT-Vorfällen. Fast die Hälfte der Befragten gestand ein, ihr Notfallplan sei informell, ad-hoc-basiert oder gar nicht existent.

Mangelnde Industrialisierung

„In der IT ist heute vieles stark automatisiert, lediglich die IT-Sicherheit befindet sich noch im Stadium der Handarbeit beziehungsweise Manufaktur“, warnt Frank Ruge, Director und General Manager Central and Southern Europe bei Infoblox. „Das birgt erhebliche Gefahren, da auch Threat-Szenarien zunehmend auf automatisierte Abläufe setzen, denen mit manuellen Prozessen längst nicht mehr beizukommen ist.“ Von Bedeutung sei deshalb „der Informationsaustausch zwischen den Security-Lösungen bis hin zu deren Integration: von Firewall bis Threat Detection und Endpoint Security“. Denn kein Hersteller habe eine vollständige „All-in-one“-Lösung aufzuweisen, und die diversen Spezial-Tools für viele Szenarien müsse man alle einzeln administrieren. „Gebündelte Kompetenzen von Integrationspartnern und gemeinsame Threat Intelligence (Informationen zur Bedrohungslage, d.Red.) sind deshalb absolut angezeigt“, so Ruge.

„Tatsächlich ist die IT-Sicherheit weniger stark automatisiert als etwa der RZ-Betrieb“, sagt auch Alain De Pauw, Geschäftsführer von Axians IT Security und Leiter der Division Security bei Axians Deutschland. „Bedrohungen und Angriffsmuster ändern sich stetig und Einfallstore verschieben sich.“ Jede Sicherheitslösung müsse man deshalb kontinuierlich anpassen, ebenso das Zusammenspiel aller Lösungen untereinander. „Es ist aktuell noch nicht möglich, diese komplexe Aufgabe vollständig zu automatisieren“, so De Pauw. Für möglichst hohe Automation der IT-Sicherheit rät er zu Managed-Security-Services. Zudem gebe es bereits einige technische Lösungen, die die IT-Sicherheit automatisieren können, „etwa Firewall Policy Changes, die sich entweder am Hypervisor in VMware, AWS oder Azure oder an der Security Policy des Unternehmens orientieren.“ Weitere Beispiele seien die Incident-Response-Lösungen diverser Hersteller: „Diese können Vorfallspläne automatisiert analysieren und abarbeiten.“

„Es gibt sowohl in der Tiefe als auch in der Breite Tendenzen zur Industrialisierung“, bestätigt Barracuda-VP Gheri. So könne ein IT-Team heute Tausende Firewalls ausrollen und betreiben. „Allerdings bietet sich noch ein sehr heterogen Bild“, schränkt er ein: „Viele Organisationen pflegen noch den handwerklichen Ansatz, der aber leider nicht skaliert.“

Woher aber rührt dieser Rückstand? „Dies liegt aus meiner Sicht daran, dass wir im Security-Umfeld noch keine ‚Ende-zu-Ende’- oder Service-orientierte Perspektive entwickelt haben“, kommentiert Oliver Bendig, CEO von Matrix42. „Viele Unternehmen versuchen, einzelne Technologiebereiche wie Netzwerk, Server, Endpoints und Apps individuell und über Silolösungen abzusichern. Dabei gilt es aus unserer Sicht, beispielsweise den Service ‚Workspace’ zu schützen.“ Er plädiert deshalb für einen „ganzheitlichen Schutz für alle Workspace-Komponenten“ inklusive Device-, Patch- und Application-Management, Data Loss Prevention, Antivirus, EDR (Endpoint Detection und Response) sowie „Post-Infection Protection“ (also Incident Response), möglichst in das IT-Service-Management integriert.

Chris Mayers, Chief Security Architect bei Citrix, betont die Vorteile der Automatisierung: „Automation der IT-Sicherheit befreit das Security-Personal von Routineaufgaben und erlaubt es ihm, sich auf die Aufgaben zu konzentrieren, die menschliches Entscheidungsvermögen erfordern.“ Die Techniken der RZ-Automation könne man auch auf die IT-Sicherheit anwenden, dies müsse aber sorgfältig geplant sein. Der Citrix-Mann rät zu folgenden vier Schritten: Verstehen, welche IT-Security-Aufgaben am stärksten von der Automation profitieren; Auswahl von IT-Security-Produkten, die Standardschnittstellen zu Automations-Tools haben; Erstellung einer realistischen Testumgebung für die IT-Security-Automation; sowie Planung geeigneter Trainings für die neuen Rollen im IT-Security-Betrieb – für den Normalbetrieb wie auch für Vorfälle.

Standardisierung und Virtualisierung

„Automatisierung ist der heilige Gral jeder Disziplin in der IT, egal ob es sich um die Netzinfrastruktur oder die IT-Sicherheit handelt“, stimmt Jürgen Hönig, Head of Marketing bei NCP, dem zu. „Sie funktioniert aber nur, wenn die zu verwaltenden Objekte in hohem Maße standardisiert sind. Nur dann kann ich die IT-Sicherheitssysteme weitgehend ohne Aufsicht agieren lassen – Standardlösungen für Standardprobleme.“ Standardisierung sei heute schon in vielen Bereichen machbar, etwa bei Antivirus- oder VPN-Lösungen. Wichtig sei es, „möglichst eindeutige und klare Prozesse zu definieren, die sich schnell und zumindest nach ,Checkliste’ abarbeiten lassen.“ Dies vermeide bereits sehr viel unnötige Handarbeit. „Der Schlüssel zur ‚Industrialisierung’ der IT-Sicherheit ist die Fähigkeit, viele der Prozesse für sicheren Zugriff innerhalb einer wiederholbaren und auditierbaren, richtliniengesteuerten Plattform in Code zu gießen“, ergänzt Adam Jaques, Technologist beim VPN-Anbieter Pulse Secure.

Unternehmen ergreifen allmählich Maßnahmen zur Absicherung ihrer IoT/IIoT-Umgebungen. Bild: IBM Institute for Business Value „The Internet of Threats“ Report, März 2018

„Die Virtualisierungsschicht im RZ erlaubt mit den richtigen Lösungen direkt die Automatisierung der Security“, betont Martin Rausche, Systems Engineering Manager CEMEA Regional bei VMware. „Der Hypervisor hat gegenüber den klassischen Firewalls den Vorteil, dass er direkt an der virtuellen Netzwerkschnittstelle sitzt, ohne im Kommunikationspfad adressierbar zu sein.“ Dies biete eine geringe Angriffsfläche bei vollständiger Automation der Sicherheitsregeln: Beim Aktivieren, Deaktivieren oder Umziehen virtueller Maschinen könne man die Sicherheitsregeln gleich mit aktivieren, deaktivieren oder umziehen. APIs sorgten dabei für die Steuerung mittels OpenStack oder anderer Automationsplattformen.

„Gerade virtuelle Umgebungen ermöglichen eine hohe Standardisierung und ein bedarfsgerechtes Sicherheitsniveau, um Zero Impact (das Ausbleiben schädlicher Auswirkungen, d.Red.) sicherzustellen“, bestätigt René Reutter, Vice President Cyber Security und SOC Services bei Telekom Security. „SOC-Automation und vernetzte Sicherheitslösungen reduzieren Restrisiken auf ein Minimum und stellen ein schnelles Handeln am ,Brandherd’ sicher.“ Folgende Schritte sieht er dabei als erfolgskritisch: Security und Privacy by Design (also ab Werk integriert und voreingestellt), verpflichtende Schwachstellenscans, APT-Schutz (Advanced Persistent Threat) für jedes geschäftliche Postfach, DDoS-Absicherung im TBit/s-Bereich, Mobile Security, verpflichtende Cyber-Abwehr, die Behandlung von Industrienetzen wie kritische Infrastrukturen, höhere Detektionsgeschwindigkeit sowie Awareness-Programme für Endanwender.

Risikoquelle Internet of Things

Die Bemühungen um verbesserte IT-Sicherheit finden vor dem Hintergrund rasend schneller und flächendeckender Vernetzung alltäglicher Gegenstände zum Internet of Things statt. Mit dem IoT kommen – vorrangig im Consumer-Segment – immer mehr vernetzte Geräte mit erstaunlich schlechter IT-Sicherheit auf den Markt: Man trifft auf hart codierte Default-Passwörter ebenso wie auf unverschlüsselte Kommunikation mit Kontroll-Interfaces und das Fehlen jeglicher Update-Mechanismen. Damit stellt sich die Frage nach der Notwendigkeit gesetzlicher Regulierung von Security-Mindestanforderungen an IoT-Devices – und damit auch an IIoT-Gerätschaft (Industrial IoT) – nach dem Vorbild der kommenden EU-DSGVO (siehe dazu auch das Interview mit Alex Manea auf Seite 6).

Bei vielen Anbietern hat man ein offenes Ohr für die Forderung nach strengerer gesetzlicher Regulierung. „Ähnlich wie die EU-DSGVO den Datenschutz fördert, so würden gesetzliche Security-Regulierungen zu mehr Sicherheit – insbesondere von IoT-Geräten – führen“, meint zum Beispiel Armin Leinfelder, Leiter Produkt-Management beim Augsburger Client-Management-Spezialisten Baramundi. „Entsprechend der massiv zunehmenden Vernetzung wächst natürlich auch der Bedarf an Sicherheits-Mindestanforderungen.“

Staatliche Regulierung

„Zukünftig werden viele Dinge unseres täglichen Lebens von IoT-Geräten gesteuert: medizinische Geräte, Autos, Fahrstühle, Flugzeuge und vieles mehr“, so Matrix42-Chef Bendig. „Dies vergrößert den Angriffsvektor und die Auswirkungen von Cyber-Angriffen erheblich. Darum ist es aus meiner Sicht notwendig, Standards zu etablieren, an die sich IoT-Geräte halten müssen, um einen Basisschutz an Sicherheit zu gewährleisten.“ Dies sei über eine gesetzliche Regulierung am besten umsetzbar und deshalb sinnvoll.

„Bei Kaspersky Lab begrüßen wir grundsätzlich politische Initiativen im Bereich Cyber-Sicherheit auf nationaler und internationaler Ebene“, so Christian Funk, der Leiter von Kasperskys hiesigem Forscherteam. „Das Risiko von Cyber-Attacken auf kritische Infrastrukturen, Industrieanlagen und das IoT steigt. Die Gründe: Diese Systeme sind oftmals nicht ,by Design’ geschützt, werden verstärkt automatisiert, aus der Ferne kontrolliert – beispielsweise über das Internet – oder zunehmend in komplexe Netzwerke integriert.“

„Die Sicherheit wurde bei der IT-gestützten Prozessautomation oft nicht berücksichtigt“, mahnt auch CA-Mann Lauer. Die Kommunikation zwischen Entitäten werde deshalb häufig als sicher vorausgesetzt, obwohl sie es nicht sei. „Heute gibt es viele Möglichkeiten, ,Security by Design’ in der Softwareentwicklung umzusetzen“, so Lauer weiter. „Ist Sicherheit hingegen nur ein Nachgedanke, dann bereitet dies im Alltagsbetrieb Probleme, da man fehlende Schutzfunktionen nachträglich hinzufügen muss.“

Machine-Learning-Algorithmen erkennen anhand von Trainingsdaten selbsttätig auffälliges Nutzerverhalten. Bild: Cisco ACR 2018

Auf Regierungsseite weiß man laut Citrix’ Chief Security Architect Chris Mayers längst um die IoT-Risiken: „Europäische Cyber-Security-Organisationen, darunter ENISA und ECSO, bereiten bereits Empfehlungen vor.“ Zudem gebe es Maßnahmen auf nationaler Ebene. „Mehr Sicherheitsstandards für das Internet der Dinge werden in den USA bereits umgesetzt“, berichtet Telekom-Security-VP René Reutter. „Beim Internet of Things Cybersecurity Act 2017 müssen Anbieter sicherstellen, dass sämtliche IoT-Geräte gepatcht werden können, keine einprogrammierten oder nicht-änderbaren Passwörter enthalten, frei von bekannten Sicherheitslücken und Schwachstellen sind und einer Code-Härtung unterzogen wurden. Ein solcher ,Security by Design’-Ansatz ist wesentlich effektiver, als im Nachhinein aufwändig nachzurüsten.“

Regulierung allein hilft nicht

Doch hört man zu staatlicher Kontrolle meist relativierende Stimmen. „Für Consumer-Geräte werden wir nicht an einer Herstellerhaftung vorbeikommen. Das heißt, die Produkthaftung auch auf die Softwarekomponenten auszudehnen“, so Barracuda-VP Klaus Gheri. Im B2B-Bereich werde aber weniger der Gesetzgeber gefragt sein als die Sorgfaltspflicht der Geschäftspartner. „Ein Qualitätssiegel, das elementare Sicherheitsvorkehrungen abverlangt, wäre hier schon eine Hilfe“, so IBMs Security-Spezialist Christian Nern. Eine Herausforderung stelle aber die schiere Anzahl der zu schützenden Sensoren dar.

„Dass viele IoT-Geräte mit Sicherheitslücken produziert werden, können wir aus unserer Prüferfahrung leider nur bestätigen“, erklärt Günter Martin, Head Center of Excellence IoT Privacy beim TÜV Rheinland. Neue gesetzlichen Regelungen seien allerdings nicht erforderlich, denn diese gebe es in Deutschland bereits: „Der Bundestag hat das neue Bundesdatenschutzgesetz, gewissermaßen die nationale Version der EU-DSGVO, bereits vergangenes Jahr beschlossen. Es wird am 25. Mai 2018 wirksam und enthält weitgehende Mindestanforderungen in puncto Datenschutz und Cyber-Security, darunter zum Beispiel die Verschlüsselung von Daten bei der Übertragung.“ Man beobachte, dass die IoT-Gerätehersteller diese Anforderungen durchaus ernst nehmen.

Die DSGVO zielt allerdings ausschließlich auf den Schutz personenbezogener Daten von EU-Bürgern – nicht betroffen sind zum Beispiel unzureichend geschützte Maschinendaten und Maschinensteuerungen. Das Gefahrenpotenzial im IoT und IIoT geht somit über das reine Datenschutzrisiko weit hinaus. Die DSGVO könnte aber ein gutes Testfeld für weitreichendere Regulierung sein, meint Jürgen Hönig vom Nürnberger VPN-Spezialisten NCP: „Hier werden den Unternehmen relativ strenge Vorgaben gemacht, die mit hohen Strafen verbunden sind. Wenn das Konzept auf breiter Front akzeptiert und umgesetzt wird, gibt es keinen Grund, warum ähnliche Anforderungen im IoT oder IIoT nicht möglich wären.“

„Die Auswahl der IoT-Lösung kann nur durch entsprechende Anforderungskataloge der Käufer gesteuert werden“, meint hingegen VMware-Mann Rausche und warnt vor dem Risikofaktor Mensch: „Selbst veränderbare Passwörter verhindern nicht den Einsatz desselben Passworts für die IP-Kamera zu Hause und das eigene Girokonto.”

AI soll’s richten

Um Schadsoftware, Fehlverhalten und Angriffe schnell aufspüren zu können, setzt man in der IT-Security-Branche neuerdings verstärkt auf künstliche Intelligenz (AI). Auf sie stößt man meist in der Form assistierten Machine Learnings (ML), oft in Kombination mit unassistiertem ML; komplexere Verfahren wie neuronale Netze oder Deep Learning nutzen nur wenige Anbieter, darunter IBM oder Sophos (siehe Beitrag auf Seite 54). Obwohl AI im Prinzip Angreifern wie auch Verteidigern zur Verfügung steht, könnte sie in der Lage sein, „die Waage in Richtung der Verteidigung zu kippen“, so Bruce Schneier in seinem Crypto-gram-Newsletter vom März. Denn heutige Angriffe nutzen laut dem Experten die relativen Vorzüge von Computern und Menschen gegen die relativen Schwächen von Computern und Menschen. „Die Verteidigung ist derzeit eben wegen der menschlichen Komponente in einer schlechteren Position als der Angriff“, so Schneier. „Computer, die in traditonell menschliche Bereiche vorstoßen, werden diese Gleichung in eine neue Balance bringen.“ Sein Fazit: „AI ist die vielversprechendste Technologie, die ich bisher gesehen habe, um die Verteidiger auf Augenhöhe mit den Angreifern zu bringen.“

Fehlerquelle Mensch

Noch ist es aber nicht so weit: Sophos weist in seinem „Naked Security“-Blog darauf hin, dass Abwehrsysteme mit den heutigen assistierten ML-Modellen zwar komplexe Zusammenhänge aus Daten ermitteln können; wenn die Trainingsdaten allerdings irrige oder nicht-existente Bezüge aufweisen, dann übernehme die AI diese Fehlbezüge mit in die Modellierung. Der Weg zur automatisierten Angriffsabwehr per AI ist also mit Stolpersteinen gepflastert, die der „Faktor Mensch“ dort platziert hat.