Wir haben bereits sehr gute Abwehrmechanismen, um uns vor den bestehenden Bedrohungen zu schützen, aber leider vergessen viele Unternehmen und Menschen, dass sich zahlreiche Angriffe schon mit gesundem Menschenverstand abwehren lassen.
Mittelständische Unternehmen geraten noch stärker als bisher ins Visier von Cyberkriminellen. Gerade in der Supply-Chain mit Konzernen sind sie häufig das schwächste Glied der Kette. Das werden die Angreifer 2020 noch stärker als bisher ausnutzen und gezielt angreifen – auch mit neuen Methoden wie etwa Living-off-the-Land-Attacken. Und die Zahl der schädlichen Apps für Smartphones und Tablets erreicht 2019 einen neuen Rekord – Tendenz für 2020: steigend. Welche Gefahren die IT-Sicherheit von Unternehmen und Privatpersonen im jahr 2020 bedrohen, verraten die Experten von G DATA CyberDefense. Wir haben sie gefragt, welche Herausforderungen, Entwicklungen und Gefahren in der IT-Sicherheit das kommende Jahr prägen und wie Unternehmen und Privatpersonen diesen am besten begegnen und sich davor schützen können.
Eddy Willems, Global Security Officer & G DATA Security Evangelist
Sicherheitsbewusstsein ist nach wie vor die am meisten unterschätzte Sicherheitslösung, die die gesamte sicherheitsrelevante Verteidigungslandschaft auf das höchste Niveau bringen kann. Das sollten wir nie vergessen. Denn leider scheint IT-Sicherheit auch ein menschliches Problem zu sein.
Im Jahr 2020 sehe ich weitere Bedrohungen: Cyberkriminelle automatisieren Angriffe durch maschinelle Lernalgorithmen. Gleichzeitig suchen sie weiter nach Schwachstellen, um Unternehmen zu infiltrieren.
Dazu zählen etwa auch Angriffe auf alte Router - über diese gelangen sie einfach in das gesamte Netzwerk. Hier müssen Unternehmen schnell handeln und veraltete Hardware austauschen. Insbesondere in Zeiten vernetzter Plattformen wächst die Gefahr durch Angriffe in der Supply-Chain, wenn Kriminelle das schwächste Glied attackieren.
Und auch Apple wird im kommenden Jahr stärker ins Visier der Cyberkriminellen geraten. Die in diesem Jahr gefundenen iOS-Schwachstellen geben Anlass zur Sorge. Hinzu kommt, dass ausschließlich Apple diese Probleme beseitigen kann. Hier sehe ich ein operationelles Risiko.
Der Mittelstand im Fadenkreuz
Auch im kommenden Jahr bleibt Ransomware eine große Bedrohung, denn das kriminelle Geschäftsmodell floriert weiterhin. Es ist davon auszugehen, dass Cyberkriminelle die Arbeitsteilung in der Wertschöpfungskette weiter professionalisieren. Heißt: Während eine Gruppe sich darauf spezialisiert, in Unternehmensnetzwerke einzudringen, fokussiert sich die nächste Gruppe darauf, Daten aus dem Netzwerk zu exfiltrieren oder zu verschlüsseln. Die einen verdienen Geld, indem sie die Zugänge verkaufen, die anderen mit Lösegeldforderungen. Auch Kriminelle achten darauf, effizient und gewinnorientiert zu arbeiten. Darüber hinaus gewinnen Angriffsmethoden wie Spear Phishing oder Social Engineering werden weiter an Bedeutung.
Ein weiterer Trend: Der Mittelstand rückt immer stärker in den Fokus der Cyberkriminellen. Denn es fällt Kriminellen oft leicht, in deren Netzwerk einzudringen, weil häufig die IT-Sicherheit immer wieder Lücken aufweist. Dabei sind sie häufig nicht einmal das primäre Ziel, sondern als Teil der Lieferkette das schwächste Glied, um einen großen Konzern zu infiltrieren. Einige Branchen wie etwa der Automobilsektor haben schon reagiert. Sie erhöhen mit angepassten Compliance-Vorgaben den Handlungsdruck auf ihre Zulieferer und drohen bei Verstößen empfindliche Vertragsstrafen an. Hier sind alle Branchen gefordert, eigene Standards umzusetzen. Riesigen Nachholbedarf hat etwa der Gesundheitssektor, insbesondere bei der ambulanten Gesundheitsversorgung. Es fehlt im Bereich der Praxis-IT an grundlegenden Standards. Bei der Digitalisierung dieses Bereiches muss deutlich mehr Geld in die IT-Security gesteckt werden.
Karsten Hahn, Virus Analyst
Ich erwarte, dass künftig politisch motivierte Aktivisten mehr Malware einsetzen. Dabei könnten sie Schadsoftware wie Ransomware einsetzen, um ihre eigenen politischen Zwecke zu fördern. Natürlich wäre das kriminell, aber undenkbar ist es nicht.
Darüber hinaus wird auch die Zahl der IoT-Malware steigen. Smart-Home-Elemente (Heizung, Fernseher, Kühlschrank) lassen sich über Malware fremdsteuern, aber auch medizinische Geräte (Herzschrittmacher). Vielleicht zeigt bald der Smart-TV eine Ransomware-Meldung an, wenn das Smart Home befallen ist. Cyberkriminelle nutzen Geräte, die Audio oder Video aufzeichnen, (Babyphone, Siri, etc) verstärkt dazu, um Material zu sammeln, mit dem sie Leute erpressen können. Das gibt IoT-Produkten Aufschwung, die auf Sicherheit setzen.
Auch Aktivisten könnten Malware nutzen, um Smart Homes zu befallen und am Fernseher ihre eigene Agenda zu verbreiten. Einzelpersonen wie Politiker könnten mittels IoT Malware bedroht werden, um politische Ziele zu erreichen. Diese Welle von Angriffen auf IoT führt dazu, dass eine neue Bewegung von Menschen entsteht, die sich so weit möglich von Technik fernhalten wird.
Thomas Siebert, Head of Protection Technologies
Cyberkriminelle setzen auch in den kommenden Jahren immer raffiniertere Methoden ein, um Systeme zu kompromittieren. Dazu nutzen sie einerseits immer komplexer werdende Angriffsmuster, zum anderen setzen sie verstärkt auf automatisierte Prozesse.
Ein Trend sind so genannte „Living-off-the-land-Attacken“: Hier kombinieren Angreifer etwa legitime Microsoft-Tools mit einem bösartigen Skript, sodass diese selbst einen Angriff ausführen. Sie lesen dann Passwörter aus und geben diese an Kriminelle weiter oder verschlüsseln wichtige Daten, um Lösegeld zu erpressen. Um derartige Angriffsmuster überhaupt zu erkennen, braucht es eine Verhaltensüberwachung, die auch komplexe Prozessketten zuverlässig als schadhaft identifizieren kann.
Mit BEAST hat G DATA seit dem Herbst eine entsprechende Technologie in seine Lösungen eingebaut. Anders als herkömmliche Verhaltensanalysen zeichnet die G DATA Technologie das gesamte Systemverhalten in einem Graphen auf und liefert damit Schutz basierend auf einer ganzheitlichen Betrachtung.
Ein weiterer Trend: Dynamite Phishing. Diese Variante ist eine Weiterentwicklung durch Automatisierung des bekannten Spear Phishings, bei dem Opfern passgenaue Mails erhalten, die nur schwer als schadhaft zu erkennen sind. Bei Dynamite Phishing lesen die Cyberkriminellen die E-Mail-Kommunikation von einem bereits mit einem Informationstealer infizierten System aus. Die Kommunikationspartner des infizierten Nutzers erhalten dann schadhafte Mails, welche die letzte „echte“ Mail zwischen den beiden Parteien zitieren und so wie eine legitime Antwort darauf durch den infizierten Nutzer aussehen.
Da der Empfänger keine Kenntnis von der Infektion des Kommunikationspartners hat, sind solche Mails natürlich nur schwer als schadhaft zu identifizieren. Hier erwarten wir, dass die Mails durch die Angreifer automatisiert noch passender gestaltet werden, etwa durch Schlagwortanalysen.
Ralf Benzmüller, Executive Speaker G DATA CyberDefense
Der digitale Wandel nimmt jetzt auch bei immer mehr Unternehmen Fahrt auf. Aber: Zahlreiche Mitarbeiter fühlen sich von der Digitalisierung überfordert, weil es schlicht und einfach an digitalen Fachkenntnissen fehlt.
Das führt auch dazu, dass es vielen Mitarbeitern in dieser neuen Arbeitswelt an einem IT-Sicherheitsbewusstsein mangelt. Daher werden Firmen verstärkt in Schulungsmaßnahmen investieren. Aber einfache Tools mit einer Phishing-Simulation bieten keinen Mehrwert. Im Gegenteil: Manche gut gemeinten Tools etwa zum Thema Phishing verunsichern die Mitarbeiter mehr als sie helfen. Hier besteht die Gefahr der Schulungsmüdigkeit.
Ein weiteres Thema: Im kommenden Jahr stehen weitere rechtliche Regelungen im Bereich der Cybersicherheit und im Datenschutz an. Schon die Umsetzung der DSGVO und des IT-Sicherheitsgesetzes haben dafür gesorgt, dass sich das Verhalten von Unternehmen deutlich verändert hat. Die drastischen Bußgelder zeigen Wirkung. Allerdings ist mit der DSGVO nicht das Ende der Fahnenstange erreicht. Die ePrivacy-Verordnung, die anstehende Reform der IT-Sicherheitsgesetz und der europäische CyberSecurity-Act bringen weitere Vorgaben mit dem Ziel, die digitale Sicherheit zu verbessern.
Trotz der bestehenden Bedenken tragen die Initiativen dazu bei, das notwendige Bewusstsein von Unternehmen für IT-Sicherheit zu verbessern. Die Umsetzung erfordert aber gerade von mittelständischen Unternehmen noch viel Arbeit.
Tim Berghoff, Security Evangelist
In den kommenden Monaten werden sich auf zahlreichen Gebieten interessante Neuentwicklungen ergeben. Das fängt beim Wettrennen um Datenschutz auf Webseiten an: Immer mehr Browser blockieren standardmäßig die Speicherung von Cookies, die es Werbetreibenden ermöglichen, immer gezielter Werbung an einzelne Nutzer auszuspielen. Auch Abfragen von Webseiten, die der Nutzer mit „Benachrichtigungen von dieser Seite zulassen“ möchte, werden zunehmend als störend empfunden. Die Werbeindustrie hat erkannt, dass es langfristig nicht mehr möglich sein wird, ausschließlich über Cookies ihre Werbung gezielt zu platzieren. Alternativen werden jedoch bereits aktiv gesucht, vom Browser-Profiling bis hin zur Nutzung von Dateien im Browsercache, die nach gesetzlicher Definition keine Cookies sind, aber die Speicherung von Daten erlauben.
Nutzer müssen also hier auf der Hut sein, wenn es soweit ist – denn wenn Cookies durch ein gesetzliches Schlupfloch umgangen werden, sammeln Unternehmen weiterhin fröhlich Daten über ihr Surfverhalten, ohne den Nutzer darüber überhaupt informieren zu müssen.
Anbieter von IT-Dienstleistungen werden verstärkt im Fokus von Angreifern geraten. In den vergangenen Monaten hat es immer wieder Fälle gegeben, in denen Wartungszugänge für Angriffe auf Firmennetze genutzt wurden. Solche Zugänge nutzen Dienstleister oft, um ihre Kunden aus der Ferne zu unterstützen. Da jeder IT-Dienstleister darauf angewiesen ist, weitreichende Berechtigungen innerhalb eines Netzwerkes zu besitzen, bedarf es keiner großen Transferleistung, um zu erkennen, dass eines der größten Risiken für ein Unternehmensnetzwerk schlecht gesicherte Wartungszugänge sind.
Zwar gibt es ein berechtigtes Interesse, solche zu besitzen, jedoch ist es sowohl für Kunden als auch Dienstleister nicht mehr vertretbar, diese ungesichert zu lassen, in der Hoffnung, dass sie übersehen werden. Hier sind Anbieter von Serviceleistungen besonders in der Pflicht, das in sie gesetzte Vertrauen zu stärken und auch intern besondere Schutzmaßnahmen zu ergreifen.
Alexander Burris, Lead Mobile Researcher
Immer mehr Menschen nutzen Smartphones und Tablets als digitales Cockpit für ihren Alltag, etwa um ihr smartes Zuhause von unterwegs zu steuern.
Daher sind Mobilgeräte auch für Cyberkriminelle ein attraktives Ziel. Das belegen auch unsere Auswertungen. Die Zahl der schädlichen Apps hat 2019 eine Rekordniveau erreicht. Ein Ende ist hier noch nicht in Sicht. Vielmehr wird das Thema Sicherheit für Smartphones und Tablets wichtiger, weil Smartphones immer mehr sicherheitskritische Aufgaben übernehmen.
Ein Beispiel ist die Zahlungsdiensteverodnung PSD2. Sie sorgt dafür, dass immer mehr Menschen ihr mobiles Gerät für Onlinebanking mit Zwei-Faktor-Authentifizierung einsetzen. Wer also ein Smartphone mit einem veralteten Betriebssystem oder mit einem fehlenden Sicherheitspatch nutzt, öffnet Kriminellen bereitwillig die Tür.
Ein Problem bleibt aber auch im kommenden Jahr die große Heterogenität der Android-Versionen. Dies wird sich leider kaum ändern. Denn ein aktuelles Gerichtsurteil erlaubt es Elektronikmärkten auch in Zukunft, veraltete und unsichere Android-Smartphones zu verkaufen, ohne Kunden auf die Risiken hinzuweisen. Somit liegt die Verantwortung weiterhin beim Verbraucher.
Es gibt aber auch Licht am Ende des Tunnels. Denn Hersteller und IT-Sicherheitsdienstleister arbeiten gemeinsam daran, den Schutz zu verbessern. Auch G DATA engagiert sich im Kampf gegen gefährliche Apps.
Als Mitglied der „Coalition against Stalkerware“ setzt sich G DATA dafür ein, Nutzer besser über potenzielle Risiken aufzuklären und arbeitet gemeinsam mit Opferschutzorganisationen, um auch nicht-technische Probleme im Zusammenhang mit Stalkerware anzugehen.
Stefan Karpenstein
Public Relations Manager