Von unserem Gastautor Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender

[datensicherheit.de, 13.05.2020] Wie wird sich Cybersicherheit in den gerade gestarteten Zwanzigerjahren darstellen? Eine solch langfristige Prognose ist bekanntermaßen unmöglich. Doch wenn wir uns in Erinnerung rufen, wie sich in der Vergangenheit Cyberkriminalität, Malware, Technologien und Datenverstöße entwickelt haben, bekommen wir ein Verständnis für Entwicklungsschritte und die enorme Geschwindigkeit, die dabei herrscht. Dies kann Cybersicherheitsexperten und Unternehmensentscheidern dabei helfen, ihre Infrastruktur möglichst robust gegen potenzielle Angriffe, Datenverstöße und allgemeine potenzielle Bedrohungen zu gestalten – gerade in den jetzigen Zeiten, in denen Unternehmen ihre Digitalisierung im Notfallmodus vorantreiben. Was also hat sich im vergangenen Jahrzehnt, den „Zehnerjahren“, in der Cybersecurity getan?

Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender, Foto: Bitdefender

Staatlich geförderte Malware

Eine der interessantesten Entwicklungen im Hinblick auf Malware im vergangenen Jahrzehnt war, dass sie Regierungen sie sowohl für Cyber-Spionage als auch für zielgenaue Störmanöver gegen die Infrastruktur konkurrierender Nationen entwickelten und eingesetzten. Schon Stuxnet war ein entscheidender Wendepunkt, der die zunehmende Raffinesse von Malware markiert, vor allem wenn sie von Regierungen als politisches Instrument eingesetzt wird. Stuxnet wurde im Jahr 2010 entdeckt. (Auch die im Folgenden verwendeten Jahreszahlen geben jeweils das Jahr der Entdeckung oder des Bekanntwerdens an.) Das von den USA – mutmaßlich unter Mitarbeit Israels – entwickelte Stuxnet mit dem Codenamen „Olympische Spiele“ wurde entwickelt, um das iranische Atomprogramm zu kompromittieren und den USA Zeit zu geben, eine potenzielle Krise diplomatisch zu lösen. Und im Jahr 2013 sahen wir einen der detailliertesten Berichte über die Angriffskette eines APT einer „Comment Crew“ genannten Hackereinheit. Der Bericht enthüllte eine ausgeklügelte Cyberspionage-Kampagne Chinas zum Diebstahl geistigen Eigentums von US-Firmen.

Digitale Erpressung mit Ransomware

Digitale Lösegelderpressungen erreichten 2016 mit dem Kryptotrojaner Locky einen neuen Höhepunkt. Zahllose Gemeinden, Versorgungsunternehmen und praktisch alle Branchen waren in der Folge von der Bedrohung durch Dateiverschlüsselung betroffen und wurden im Betrieb gestört – bekannte Ransomware-Fälle in Deutschland sind ein Krankenhaus in Neuss und die Gemeinde Dettelbach.

Die Verschlüsselungsattacken durch Wannacry (2017) und Notpetya (2017) sind die zwei prominentesten Beispiele für globale Ausbrüche, die zu finanziellen Verlusten in Milliardenhöhe geführt haben. Sie zeigten auf, wie leicht es fällt, mittels Malware vernetzte Infrastrukturen zu kompromittieren. Was die Ausbrüche zu zwei der virulentesten machte, war die Nutzung des von der NSA entwickelten Exploits EternalBlue (siehe unten). Als diese Schwachstelle 2016 allgemein bekannt und von Lösegelderpressern missbraucht wurde, konnten sie anfällige Systeme auf der ganzen Welt kompromittieren und mit Ransomware infizieren.

Zehnerjahre der Cybersecurity, Bild: Bitdefender

Datenverluste neuer Größenordnung

In den Zehnerjahren gab es zudem zahlreiche Datenverstöße, bei denen insgesamt persönliche Daten von Hunderten von Millionen von Nutzern weltweit offengelegt wurden. So waren vom Datendiebstahl bei der US-Handelskette Target Data (2013) mehr als 41 Millionen Zahlungskarten-Konten von Kunden (und weitere Informationen) betroffen. Der Hack auf die US-Behörde Office of Personnel Management (OPM) im Jahr 2015 führte zur Preisgabe von etwa 21,5 Millionen gestohlenen Datensätzen u.a. mit Sozialversicherungsnummern, Geburtsdaten und Adressen. Ebenfalls zur Liste der großen Datenverstöße gehören RSA (2011), Yahoo (2016 mit drei Jahren Verzögerung entdeckt), Adobe (2013), Sony Pictures (2014) und der Wirtschaftsauskunftei Equifax (2017), um nur einige Beispiele zu nennen.

Eine weitere beunruhigende Datenverletzung ereignete sich 2018, als das Reservierungssystem von Marriott kompromittiert wurde und Informationen über Namen, Adressen, Kreditkartennummern, Telefonnummern und Passnummern sowie Ankunfts- und Abreisedaten von Hackern gestohlen wurden. Nochmals eine ganz andere gesellschaftliche Dimension hatte der Datenskandal von Facebook und Cambridge Analytica, der im Rahmen  der US-Präsidentenwahl 2016 viel diskutiert wurde und eine besondere Brisanz hat. Er warf ernste Fragen auf: Wie viele nutzergenerierte Daten werden gesammelt? Was könnte passieren, wenn sie missbräuchlich verwendet werden? Welche gesellschaftlichen Auswirkungen sind durch Datenmissbrauch herbeiführbar? Die Fragen wurden 2019 noch dringlicher, als mehrfach bekannt wurde, dass hunderte von Millionen Facebook-Daten versehentlich öffentlich zugänglich waren.

Schwachstellen wo man hinblickt

Eine der wahrscheinlich größten und verstörendsten Schwachstellen, die sich unter anderem auf Betriebssysteme, Anwendungen, Websites, Geräte und alles, was dazwischen liegt, auswirkte, war die Schwachstelle Heartbleed (2014). Durch die Ausnutzung dieses Programmierfehlers in OpenSSL konnten Angreifer technisch auf private Schlüssel, Passwörter, Benutzernamen, E-Mails, Daten oder andere Informationen zugreifen, die durch Verschlüsselung gesichert sein sollten.

Der bereits erwähnte EternalBlue-Exploit, von der NSA entwickelt und über fünf Jahre in Gebrauch bevor ihn die Hackergruppe Shadow Brokers 2016 publik machte, war ebenfalls eine verheerende militärische Cyberwaffe. Nachdem der Exploit allgemein zugänglich wurde, haben verschiedenste Angreifer ihn verwendet, um Hunderttausende von anfälligen Systemen auf der ganzen Welt mit WannaCry, NotPetya, Bad Rabbit und anderem Schadcode zu infizieren. EternalBlue wird selbst heute, vier Jahre später, noch von Cyberkriminellen als Teil ihres Arsenals für laterale Bewegungen genutzt. Denn es gibt immer noch ungepatchte Systeme, die dafür anfällig sind.

Doch als würde es nicht reichen, dass wir in den vergangenen zehn Jahren eine Flut von Software-Schwachstellen erlebten, kamen auch noch Hardware-Schwachstellen hinzu. Den Preis für die größten Schwachstellen im Hardware-Design erhalten Spectre und Meltdown (beide 2018). Moderne Prozessoren versuchen vorauszuahnen, welche Berechnungen als nächste fällig sind, um die Ergebnisse blitzschnell ausliefern zu können, wenn sie tatsächlich angefragt werden (Speculative Execution). Durch den Missbrauch dieser legitimen Beschleunigungsfunktion von CPUs können Angreifer potenziell auf sensible Informationen zugreifen und diese entwenden. Es bleiben keinerlei forensische Beweise zurück. Fast unglaublich ist, wie weit die Schwachstelle zurückreicht: Sie betreffen alle in den letzten zwanzig Jahren hergestellten Prozessoren. Und bis heute werden neue Wege gefunden, diese grundsätzliche architektonische Schwachstelle auszubeuten.

Standardisierung des Sicherheitsrahmens

Dass angesichts dieser Bedrohungslage dennoch Unternehmen und Privatanwender ihr IT-Equipment nutzen können, spricht dafür, dass auch die IT-Sicherheitsindustrie sich in einem atemberaubenden Tempo weiterentwickelt hat. Alle Next-Generation-Schutzmechanismen oder die vielschichtigen Schutzschichten, die heute in Gebrauch sind, zu beschreiben, würde an dieser Stelle zu weit gehen. Vielmehr wollen wir an zwei Meilensteine der Zehnerjahre erinnern, die zeigen, wie sich die Branche gegen ihren gemeinsamen Gegner organisiert hat.

Die Sicherheitsindustrie rang lange darum, eine gemeinsame Fachsprache zu finden und die gleichen Probleme einheitlich zu benennen, zu diskutieren und anzugehen. Dies geschah endlich, als das NIST Cybersecurity Framework Konzepte wie Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen in einem einheitlichen Vokabular definierte (2013, aktualisiert 2018). Das durch das US National Institute of Standards and Technology (NIST) eingeführte Lexikon gibt CIOs und CISOs und allen Entscheidungsträgern eine sprachliche Basis, die auch den Wert der Cybersicherheit innerhalb von Organisationen aufzeigt.

Auch das MITRE ATT&CK Framework (2015) markierte einen Wendepunkt in der Art und Weise, wie Sicherheitsforscher und Untersuchungen Taktiken und Techniken beschrieben, die zur Kompromittierung von Organisationen eingesetzt werden. Das Rahmenwerk der US-amerikanischen Nonprofit-Organisation MITRE zeichnet sich dadurch aus, dass es dafür eintritt, dass die Cybersicherheit die klassischen Sicherheitsansätze mit der Aufklärung von Cyber-Bedrohungen kombinieren sollte. Damit verbunden ist das Ziel, dass Organisationen schnell Anzeichen und Taktiken von Angreifern erkennen können, um auf Cyber-Angriffe zu reagieren und sich an diese anzupassen.

Sowohl NIST als auch MITRE haben verändert, wie IT-Sicherheitsspezialisten die Sicherheit, die Bedrohungsakteure und die Mittel innerhalb von Organisationen betrachten und darüber sprechen. So können IT- und Cybersicherheits-Abteilungen koordinierter, sachkundiger und effektiver bei der Identifizierung und Verhinderung von Cyberangriffen vorgehen.

Auch die Cybersicherheit hat somit in den Zehnerjahren einen langen Weg zurückgelegt. Die Branche hat mehr Zusammenhalt beim Umgang mit Malware und Cyberattacken. Organisationen haben verstanden, dass die Cybersicherheit sozusagen einen Vorsitzenden im Sitzungssaal braucht. Cybersicherheitsexperten sprechen nun dieselbe Sprache. Neue Sicherheitswerkzeuge wurden entwickelt, um Sicherheitsexperten dabei zu unterstützen, das Verhalten von Bedrohungen besser zu erkennen und zu verstehen, und es gibt mehr Informationen über die Bedrohungsakteure und ihre Taktiken als je zuvor.

Was uns die nächsten zehn Jahre an IT-Sicherheit und -Unsicherheit bringen, lässt sich also ebenso wenig vorhersagen, wie jemand im Jahr 2010 Stuxnet, Heartbleed oder Meltdown hätte vorhersagen können. Wenn man das vergangene Jahrzehnt Revue passieren lässt, kann man jedoch die atemberaubende Beschleunigung der Entwicklung neuartiger Bedrohungen erahnen.

Außer Frage steht darüber hinaus die Fähigkeit und Kaltblütigkeit cyberkrimineller Organisationen, immer neue Angriffswege zu finden und auszunutzen. Die derzeitige Krisensituation aufgrund des Coronavirus mit Home-Office-Konzepten, die aus der puren Not geboren sind, machen staatlichen Spionageeinheiten und cyberkriminellen Organisationen das Leben einfach. Es wäre fahrlässig zu glauben, dass Menschen, die seit Jahren konsequent das berufliche Ziel verfolgen, bestimmte Organisationen zu infiltrieren oder bestimmte Informationen oder Unterlagen zu stehlen, aufgrund einer weltweiten Gesundheitskrise ihre Chance ungenutzt lassen. Sie können nun in vielen Fällen mit deutlich weniger Aufwand ihre Ziele erreichen.

Es bleibt zu hoffen, dass Unternehmen möglichst schnell nacharbeiten, um die bekannten Best Practices der Sicherheit auch unter den jetzigen Extrembedingungen wieder möglichst umfassend zu erfüllen. Hoffnung besteht zudem, wenn die Cybersecurity-Industrie auch in Zukunft ihre Zusammenarbeit verstärkt. Die Risiken für die Privatsphäre und die Malware werden nicht abnehmen, doch die Verteidiger der Cybersicherheit bei Herstellern und Anwenderunternehmen sind heute besser als je zuvor gewappnet, mit unbekannten Gefahren umzugehen.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2019
Bitdefender-Labs legen Blaupause eines Cyber-Angriffs offen

[datensicherheit.de, 30.03.2019] Rund die Hälfte aller Unternehmen hatte in den vergangenen zwölf Monaten Datenverluste zu beklagen (Quelle: Computer Weekly). Verloren gegangene Informationen gehören zu den größten Gefahren, auch für Privatanwender. Immer wieder werden Lecks bekannt, bei denen zum Teil Millionen Nutzerdaten gestohlen werden. Für Unternehmen haben Datenpannen unter Umständen schwere Imageschäden und hohe Strafen zur Folge. Für Anwender kann das den Verlust von persönlichen Fotos und Erinnerungen oder sogar finanzielle Schäden bedeuten, weil beispielsweise Kontoinformationen frei ins Internet gelangen. Der Grund für solche Datenverluste sind vielfältig und reichen von technischen über menschliche Fehler bis hin zu Cyberangriffen. Der „World Backup Day“ am 31. März soll jährlich an die Bedrohung durch Datenverluste erinnern und zur regelmäßigen Sicherung sensibler Informationen aufrufen.

„Die regelmäßige Sicherung wichtiger Daten sollte für alle Pflicht sein – egal, ob Unternehmen oder Privatanwender“, meint Thomas Uhlemann, ESET Security Specialist. „Eine Kopie allein dabei reicht oft nicht. Persönliche Dokumente und Erinnerungen sollten lokal sowie verschlüsselt in der Cloud gesichert werden.“

Backups regelmäßig erstellen

Privatanwender können Datensicherungen, sogenannte Backups, sehr einfach mit externen Speichermedien, wie USB-Sticks oder Netzwerkspeichern, erstellen. Eine weitere Möglichkeit besteht darin, auf Cloudspeicher-Angebote zurückzugreifen. Nutzer müssen hierbei für sich entscheiden, ob sie die Daten lieber lokal bei sich zu Hause speichern oder einen externen Dienstleister nutzen wollen. Die Cloud bietet den Vorteil, dass die Daten dort nahezu ausfallsicher gespeichert sind. Der Nachteil ist aber, dass diese Daten dem Kontrollbereich des Anwenders entzogen sind. Erhalten Fremde darauf Zugriff, kann das zu einem Problem werden.

Drei Tipps für die effektive Datensicherung

• Saubere Backups erstellen: Eine leistungsfähige Sicherheitslösung ist Pflicht. Ansonsten besteht die Gefahr, dass Datensicherungen mit Computerschädlingen erstellt werden und zu digitalen Zeitbomben werden.
• Externe Speichermedien trennen: Sind Backups auf das Medium eingespielt, sollte dieses vom Computer getrennt werden. Ansonsten besteht die Gefahr, dass zum Beispiel bei einer RansomwareAttacke auch die Sicherungen verschlüsselt werden.
• Datensicherung regelmäßig aktualisieren: Backups sollten regelmäßig aktualisiert werden. Häufig sichern Anwender insbesondere wichtige Dokumente, Fotos und Videos. Es ist aber auch möglich ein gesamte Festplatte zu sichern. Hier bietet zum Beispiel Windows bereits von Haus aus eine Backup-Funktion. Diese Sicherungen sollten aber generell regelmäßig erneuert werden, um bei einem Datenverlust keine böse Überraschung zu erleben.

Weitere Informationen zum Thema:

WeLiveSecurity
World Backup Day – Daten in sicheren Händen?

datensicherheit.de, 21.11.2018
Studie: Nachholbedarf bei Datensicherung und Compliance in deutschen Unternehmen

datensicherheit.de, 13.11.2018
Studie: Backup und Datenwiederherstellung zunehmend komplexer

datensicherheit.de, 09.08.2018
Ransomware: Zahlungsbereitschaft von Unternehmen stark gestiegen

datensicherheit.de, 31.03.2016
World Backup Day 2016: Backup als wichtige Säule der IT-Security-Strategie

[datensicherheit.de, 25.07.2018] Rubrik, spezialisiert auf Cloud Data Management, hat heute die Einführung von Polaris Radar bekannt gegeben, seine neueste Datenmanagementanwendung, die auf der Polaris SaaS-Plattform basiert. Polaris Radar nutzt maschinelles Lernen, um das Verhalten von Bedrohungen zu modellieren, und beschleunigt so die Behebung von Datensicherheitsvorfällen in Unternehmen. Im Falle eines Angriffs, wie etwa durch Ransomware, können Unternehmen Geschäftsunterbrechungen und Datenverluste minimieren, indem sie mit nur wenigen Klicks ihre gesamte Umgebung wiederherstellen.

Ransomware-Angriffe nehmen zu

Ransomware-Angriffe nehmen hinsichtlich Umfang und Raffinesse zu, und die Täter sind besser in der Lage, Gegenmaßnahmen zu umgehen. Eine aktuelle Umfrage von NTT Security ergab, dass die Zahl der Ransomware-Angriffe im Jahr 2017 gegenüber dem Vorjahr um 350 Prozent gestiegen ist. [1] Laut einer Umfrage des Endpunktschutz-Anbieters Barkly sind bereits 71 Prozent der Unternehmen mit Ransomware infiziert worden, nachdem die Angreifer die Präventionsmaßnahmen erfolgreich umgangen hatten. [2] Unternehmen müssen schnell handeln und Risiken durch Ransomware eindämmen, um Kosten, Wiederherstellungszeiten und Reputationsschäden zu minimieren. Eine ganzheitliche Ransomware-Reaktionsstrategie integriert eine beschleunigte Erkennung und Wiederherstellung sowie Präventionsmaßnahmen und gewährleistet so eine hohe Widerstandsfähigkeit gegenüber Cyberbedrohungen.

Intelligente Datenanalyse und beschleunigte Wiederherstellung

Anfang des Jahres brachte Rubrik mit Polaris die branchenweit erste SaaS-Plattform mit einem einheitlichen Aufzeichnungssystem für alle Geschäftsinformationen auf den Markt. Radar, die neueste auf Polaris basierende Datenverwaltungsanwendung, ermöglicht es Unternehmen, schneller auf Sicherheitsvorfälle zu reagieren. So liefert Radar umfassende Informationen darüber, wie sich ein Angriff auf geschäftskritische Anwendungsdaten auswirkt. Die mehrstufige Verteidigung von Radar umfasst:

• Überwachung – Erkennung von Anomalien mittels maschineller Lernmodelle: Radar nutzt maschinelle Lernalgorithmen, um zu verstehen, wie sich Benutzer verhalten und wie sich Daten im Laufe der Zeit entwickeln. Durch die aktive Überwachung globaler Metadaten generiert Radar Warnmeldungen für Anomalien und verdächtiges Verhalten, wie z.B. Ransomware-Aktivitäten.
• Analyse – Schnelle Diagnose der Auswirkungen von Bedrohungen mit Hilfe von Datenanalyse: Radar analysiert kontinuierlich die gesamte Umgebung, um eine Veränderung von Aktivitäten über die Zeit abzubilden. Unternehmen können nun schnell erkennen, welche Anwendungen und Daten betroffen waren und wo sie sich befinden, um die Auswirkungen des Angriffs auf das System zu visualisieren.
• Wiederherstellung – Minimieren von Geschäftsunterbrechungen und Datenverlusten durch vereinfachte Wiederherstellung: Radar automatisiert manuelle Wiederherstellungsprozesse mit intelligenten Workflows. Benutzer wählen einfach alle betroffenen Anwendungen und Dateien aus und können mit nur wenigen Klicks den letzten sauberen Zustand wiederherstellen. Radar baut auf Rubriks Kernplattform auf, die unveränderliche Backups und nach Behördenstandards zertifizierte Verschlüsselung bietet, um alle Daten vor Angriffen zu schützen.

„Im heutigen digitalen Zeitalter nimmt das Ausmaß von Sicherheitsangriffen, wie etwa durch Ransomware, enorm zu. Um ihre Verteidigung zu stärken, müssen Unternehmen Präventionsmaßnahmen mit einer effektiven Wiederherstellung kombinieren“, erklärte Soham Mazumdar, Mitbegründer und Chefarchitekt von Rubrik. „Radar sorgt für die nötige Geschwindigkeit und das nötige Wissen, um die Auswirkungen des Angriffs schnell einzuschätzen und geschäftsschädigende Ausfallzeiten und Datenverluste zu minimieren.“
Stärkung der IT und Ermöglichung von SecDevOps mit einem API-gesteuerten Ökosystem versetzt Unternehmen in die Lage, ein einziges Krisenmanagementteam im gesamten Unternehmen einzurichten, das Informationssicherheit, Infrastruktur und Betrieb sowie Business Continuity Management vereint. Dies sorgt für mehr Transparenz und bessere Kontrolle. Rubrik und andere Drittanbieter werden die offenen APIs von Polaris nutzen, um Radar in bestehende Überwachungs-Dashboards, Sicherheitsabläufe und Präventionsprodukte zu integrieren.

[1] Quelle: NTT Security, NTT Security 2018 Global Intelligence Report, Mai 2018
[2] Quelle: Barkly Inc., Must-Know Ransomware Statistics 2017, Jonathan Crowe, Juni 2017

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit.de, 27.06.2018
Rückblick auf Ransomware-Attacken 2017: Schutz ist machbar

datensicherheit.de, 27.06.2018
Rückblick auf Ransomware-Attacken 2017: Schutz ist machbar

datensicherheit.de, 20.07.2018
Ransomware: Die Seuche des 21. Jahrhunderts

[datensicherheit.de, 15.12.2011] Vom Blitzschlag bis zum tierischen Unfall, vom kleinen Klick an der falschen Stelle bis zur Verkettung unglücklicher Umstände reichten die Ursachen für die „Top 10“ der Datenverlustfälle 2011. Jedes Jahr wählen Kroll Ontracks Datenrettungs-Ingenieure für diese Hitliste die kuriosesten und dramatischsten Fälle aus den hauseigenen Laboren aus:
Die Fälle zeigten, dass sich der Verlust wichtiger Daten nicht immer vermeiden lasse – aber dass er zum Glück nicht immer endgültig sein müsse. In den meisten Fällen hätten die Ingenieure mit ihren mehr als 25 Jahren Erfahrung und spezialisierten Technologien für die Datenrettung die verlorenen Informationen komplett wiederherstellen können.
Ihre Erfahrung zeige immer wieder – wer wichtige oder wertvolle Daten verliert, sollte am besten sofort professionelle Hilfe in Anspruch nehmen, kommentiert Peter Böhret, „Managing Director“ bei Kroll Ontrack, die Hitliste der Datenverluste 2011. In ihren weltweiten Labors könnten sie zwar immer wieder Daten retten, die sogar andere Unternehmen als nicht wiederherstellbar eingestuft hätten. Allzu häufig sähen wir jedoch auch, dass zunächst versucht werde, Daten selbst zu retten oder nach der billigsten Lösung zu suchen. Das ende häufig damit, dass sich Daten nicht oder nur mit höherem Aufwand retten ließen.

Weitere Informationen zum Thema:

Ontrack Data Recovery
Top 10 Datenverluste 2011