IT-Security Rückblick auf 2017
IT-Security Gefährdungen für Unternehmen
Besonders gefährdet sind laut dem Lagebericht die KRITIS Unternehmen in Deutschland. Seit Einführung der Meldepflicht am 30. Juni gab es 34 Meldungen an das BSI, davon 18 aus dem Sektor Informationstechnik und Telekommunikation. Anhand dieser Meldungen wurde festgestellt, dass häufig menschliche Fehler Ursache der Störungen waren. Da ein Angriff auf KRITIS-Unternehmen nicht nur das Unternehmen selbst beeinträchtigt, sondern sich durch Störung oder Beeinträchtigung der zu erbringenden Dienstleistung auf eine große Masse an Kunden auswirkt, sind KRITIS-Unternehmen häufig ein Ziel politisch-motivierter Cyber-Attacken, die auf große Aufmerksamkeit hoffen.
Allgemein lässt sich sagen, dass Unternehmen von ähnlichen Gefahren bedroht sind, wie Privatpersonen. Ein Unterschied hierbei ist, dass bei Firmen oft der sogenannte „CEO-Betrug“ eingesetzt wird. Dabei werden Unternehmen durch Social Engineering Techniken übers Ohr gehauen und zu Überweisungen hoher Summen (Fälle mit 40 bzw. 50 Mio. Euro Schaden sind bekannt) verleitet.
Außerdem wird im Falle erfolgreicher Ransomware von Unternehmen mehr Lösegeld gefordert, als von Privatpersonen.
Nachdem Ende 2015/ Anfang 2016 die Anzahl der Cyber-Spionage-Angriffe auf deutsche Unternehmen abnahm, stieg diese Anzahl in der letzten Periode wieder. Da vor allem weniger gut abgesicherte Netzwerke von Unternehmen das Ziel solcher Angriffe sind, empfiehlt das BSI unternehmensweite Sicherheitsstandards einzurichten, die auch für Auslandsstandorte und zugekaufte Unternehmen gelten.
Die häufigsten Angriffsmethoden
Schwachstellen in Software
Auch dieses Jahr gab es wieder einige kritische Sicherheitslücken in Software-Programmen. Regelmäßig betrachtet vom BSI werden Adobe Reader, Adobe Flash, Apple OS X, Google Chrome, Linux Kernel, Mozilla Firefox, Oracle, Java/JRE, Microsoft Windows, Microsoft Internet Explorer und Microsoft Office. Regelmäßige Updates können zumindest Schutz vor den öffentlich bekannten Sicherheitslücken bieten.
Schadsoftware
„Während 2016 noch täglich ca. 350.000 neue Schadprogrammvarianten gesichtet wurden, zeichnet sich aktuell ein Rückgang ab. Von Januar bis Mai 2017 wurden rund 280.000 neue Schadprogrammvarianten pro Tag beobachtet.“ – BSI Lagebericht 2017
Die häufigsten Infektionswege waren dieses Jahr E-Mail-Anhänge sowie infizierte Websites (Drive-by-Downloads). Infektionen mit Schadprogrammen, insbesondere mit Ransomware, wurden in der Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit von Unternehmen als häufigste Angriffsart genannt, der sie zum Opfer gefallen sind.
Ransomware
Die primären Angriffsvektoren sind weiterhin Anhänge von Spam-E-Mails sowie Drive-by-Angriffe mittels Exploit-Kits.
Neu ist das Ausnutzen von Software-Schwachstellen. Auf diese Art wurde beispielsweise die Ransomware WannaCry verteilt. Ransomware ist weiterhin ein attraktives Geschäftsmodell für Cyber-Kriminelle. Daher ist davon auszugehen, dass sie auch in den nächsten Jahren noch eine Rolle für die IT-Sicherheit spielen wird.
Botnetze
Auch 2016/17 wurden Botnetze verwendet für Informationsdiebstahl, DDoS-Angriffe, zum Spamversand sowie die Verteilung von Schadprogrammen. Täglich wurden bis zu 27.000 Botinfektionen deutscher Systeme registriert und von Providern gemeldet. Ein Großteil der Botnetze wurde besonders für Online-Banking-Betrug verwendet.
Advanced Persistent Threats (APT)
Was ein APT ist, hat mein Kollege bereits hier beschrieben. Um ein APT frühzeitig zu entdecken kann beispielsweise ein SIEM-System helfen. Das BSI selbst empfiehlt in einem ersten Schritt präventiv die Maßnahmen aus ihrem Ransomware-Dossier.
Social Engineering
Gelingt Angreifern keine Kompromittierung mit technischen Attacken, so ist das Social Engineering im letzten Jahr eine beliebte Methode geworden. Was genau Social Engineering ist, kann hier nachgelesen werden. Auch welche Tools die Social Engineers gerne benutzen, hat mein Kollege bereits beschrieben. Da Social Engineering Angriffe meist zielgerichtet erfolgen, ist eine zuverlässige Gegenmaßnahme die Schulung und Sensibilisierung der Mitarbeiter. Dies sollte aber kontinuierlich angeboten werden. So wird es den Tätern schwerer gemacht die „Schwachstelle Mensch“ auszunutzen.
CEO-Betrug
Die CEO-Masche gehört ebenso zum Social Engineering. Hier wird von den Angreifern erheblicher Aufwand betrieben, um sich erfolgreich als Chef auszugeben. Allerdings erklärt sich dies laut BSI durch die deutlich höhere Schadenssumme, die erbeutet werden kann.
Sonstiges
Zu den sonstigen Angriffsmethoden zählen beispielsweise Schwachstellen bei industriellen Anlagen, Infektionen über Schadsoftware, Kryptografie, Identitätsmissbrauch durch Fernidentifizierunsverfahren, Schwachstellen in Hardware, Schwachstellen in Webanwendungen sowie Spam- und Malware.
Fazit
Aufgrund der fortschreitenden Digitalisierung wird es weiterhin notwendig sein, sich mit den aktuellen Gefährdungen regelmäßig zu beschäftigen. Die zunehmende Vernetzung, beispielsweise durch das Internet of Things, bietet Cyber-Ganoven immer wieder neue Angriffsflächen. Ebenso zeigt das erfolgreiche Nutzen von Social Engineering und der CEO-Masche deutlich, dass Informationssicherheit nun nicht mehr nur die IT-Experten in Unternehmen etwas angeht, sondern alle Mitarbeiter. So können schon regelmäßige Awareness-Schulungen aller Mitarbeiter einen Mehrwert für Unternehmen bieten und es den Tätern erschweren Informationen auszuspähen. Daneben ist es ratsam für Unternehmen, sich regelmäßig mit dem individuellen Schutzbedarf auseinanderzusetzen und eventuell nötige technische Maßnahmen umzusetzen.
1 Kommentar