Die Angriffsflächen werden größer und komplexer.

NEW BUSINESS - NR. 3, MÄRZ 2022
Safety first – ein Ansatz, der auch in der ­Softwareentwicklung Fuß fassen sollte. © Pete Linforth/Pixabay

Das ewige Katz-und-Maus-Spiel zwischen Cyberkriminellen und IT-Sicherheits-Experten geht munter weiter. Dazwischen stehen Unternehmen und deren Mitarbeiter als potenzielle Ziele.

Die Bedeutung von IT-Sicherheit steigt immer mehr. Das ist kein Wunder, sorgt doch der anhaltende Digitalisierungstrend dafür, dass kaum noch etwas ohne elektronische Bauteile und Software läuft, von der elektrischen Zahnbürste über Waschmaschinen bis zu Ventilen, Industriesteuerungsanlagen und allem dazwischen. Vieles davon ist außerdem permanent miteinander vernetzt. Das bringt viele Vorteile, kann aber andererseits auch ebenso viele Lücken aufreißen – Sicherheitslücken.

Hinzu kommt, dass sich die Fronten durch den in der jüngeren Vergangenheit beschleunigten Wandel der Arbeitswelt in Richtung Datenaustausch über Unternehmensgrenzen hinweg, Homeoffice und Remote Work nicht nur einfach verschoben haben, sondern geradezu zersplittert sind. Es reicht nicht mehr, dicke und hohe Wände um die eigene IT-Infrastruktur zu bauen, wenn man notwendigerweise selbst unzählige Löcher für den Zugriff von außen hineinbohrt. Andere und vor allem zeitgemäße Konzepte sind gefragt.

Starke Zunahme der Angriffe
Das dritte Newtonsche Gesetz besagt, dass bei der Wechselwirkung zwischen zwei Körpern jede Aktion gleichzeitig eine gleich große Reaktion hervorruft. Gleiches gilt in der IT-Sicherheit. Cyberkriminelle und Sicherheitsexperten kämpfen mit denselben Mitteln und versuchen, einander Paroli zu bieten. Hundertprozentige Sicherheit lässt sich nicht herstellen. Jedes Unternehmen ist ein potenzielles Ziel. Die Frage ist nur, ob und wann man in das Fadenkreuz einer digitalen Angriffstruppe gerät.

So verzeichneten beispielsweise die Sicherheitsforscher von Check Point Research in ihrem aktuellen Jahresvergleich zu virtuellen Attacken für 2021 einen Anstieg der Cyberangriffe in Österreich von 117 Prozent. Eine alarmierende Zahl, besonders im internationalen Vergleich. Weltweit lag die Zunahme bei Angriffen auf Firmennetzwerke bei 50 Prozent, in Europa bei 68 Prozent, Deutschland bei 62 Prozent und in der Schweiz bei 65 Prozent. Auf Branchen bezogen, waren in Österreich die Bereiche Government/Military unter Dauerfeuer und verzeichneten einen Anstieg von 219 Prozent, verglichen mit dem Jahr 2020. Danach kommen die Bereiche Finance/Banking mit 203 Prozent sowie Software Vendors mit 147 Prozent.

Einen späten Höhepunkt sahen die Sicherheitsforscher von Check Point im Dezember wegen der Log4J-Schwachstelle, die beinahe jedes System auf der Welt betrifft. Omer Dembinsky, Data Research Manager bei Check Point, erklärt dazu: „Die Zahl der ­Cyberangriffe erreichte gegen Ende des Jahres ihren Höhepunkt, was vor allem auf die Versuche zurückzuführen ist, die Sicherheitslücke Log4J auszunutzen. Neue Penetrationstechniken und Umgehungsmethoden haben es Hackern sehr viel leichter gemacht, bösartige Absichten zu verwirklichen.

Besonders beunruhigend ist, dass einige wichtige gesellschaftliche Branchen auf der Liste der am häufigsten angegriffenen Bereiche weit oben stehen. Das Bildungswesen, die Behörden und das Gesundheitswesen haben es in die Top 5 weltweit geschafft. Ich gehe davon aus, dass all diese Zahlen 2022 steigen werden, da Hacker neue Methoden zur Durchführung von Attacken, insbesondere Ransomware-Angriffen, suchen werden. Wir befinden uns somit in einer Cyberpandemie, wenn Sie so wollen. Ich empfehle der Öffentlichkeit, insbesondere im Bildungs-, Regierungs- und Gesundheitssektor, sich mit den Grundlagen des eigenen IT-Schutzes vertraut zu machen. Verschiedene Maßnahmen, wie das Aufspielen von Patches, die Segmentierung von Netzwerken und die Schulung von Mitarbeitern, können die Netzwerke bereits wesentlich sicherer machen.“

Was erwartet uns 2022?
So weit, so bekannt. Der Wettlauf von kriminellen Elementen und Cybersecurity-Anbietern sowie -Anwendern hat nicht erst gestern begonnen. Auch die Mittel und Methoden auf beiden Seiten sind nicht neu, sie werden nur immer raffinierter. Aber natürlich ändern sich immer wieder die Rahmenbedingungen. So gehen etwa die Forscher des IT-Security-Anbieters Trend Micro davon aus, dass sich die Bedrohungsakteure darauf konzentrieren werden, mittels Ransomware vor allem Rechenzentrums- und Cloud-Workloads sowie besonders gefährdete Services anzugreifen. So werden sie versuchen, die große Zahl der weiterhin aus dem Homeoffice arbeitenden Mitarbeiter für sich zu nutzen.

Den Vorhersagen der Forscher für 2022 zufolge werden etwa Schwachstellen in Rekordzeit als Waffe eingesetzt und mit Bugs zur Privilegienerweiterung kombiniert, um auf diese Weise erfolgreiche ­Angriffe durchzuführen. „Die vergangenen Jahre waren hart für Cybersecurity-Teams: Durch die großflächige Umstellung auf das Homeoffice standen viele vor der Herausforderung, dass die Angriffsoberfläche ihres Unternehmens immer größer und komplexer wurde“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Mit der Etablierung hybrider Arbeitsformen und der Rückkehr zu mehr Planungssicherheit im Tagesgeschäft wird es Sicherheitsverantwortlichen jedoch möglich sein, eine zu­verlässige Strategie zu entwickeln, um Sicherheitslücken zu schließen und Cyberkriminellen die Arbeit zu erschweren“, schlägt der Experte auch optimistische Töne an.

Ähnlich sieht die auf uns zukommenden Security-Herausforderungen auch Ulrich Fleck, Geschäftsführer des auf Cyber- und Applikationssicherheit spezialisierten Beratungsunternehmens SEC Consult: „Durch Konzentrationstendenzen auf einige Cloud-Dienstleister werden Sicherheitszwischenfälle wesentlich größere Auswirkungen haben. Außerdem verstärkt sich unsere IT-Abhängigkeit mit dem Grad der Digitalisierung und der Anwendung smarter Systeme. Informationsgesellschaften wie jene in der westlichen Welt werden davon besonders stark betroffen sein.“

Deswegen steht für ihn unter anderem das Thema Datensouveränität hoch im Kurs, also die Reduktion der Abhängigkeit von wenigen großen Cloud-Anbietern, noch dazu mit Sitz im Ausland bzw. überhaupt außerhalb Europas. In diesem Zusammenhang spricht er auch die europäische Gaia-X-Initiative an, die für Bevölkerung und Unternehmen die Hoheit über die eigenen Daten sowie Geschäftsmodelle sichern soll.

Ebenfalls ein nicht neues, aber immer drängenderes Problem ist das allerorts fehlende Fachpersonal, auch, aber nicht nur auf dem weiten Feld der IT-Sicherheit. Der bereits seit Jahren herrschende Mangel an Fachkräften trägt in steigendem Maße dazu bei, dass Sicherheitstechnologie nicht effektiv ausgerollt wird oder bewusstseinsbildende Maßnahmen nicht oder nur unzureichend durchgeführt werden.

Auch die Implementierung eines effektiven Notfallprogramms, falls eine Attacke erfolgreich war, benötigt Cybersecurity-Expert:innen, die derzeit rar gesät sind. „Das wird der Wirtschaft demnächst noch große Probleme bereiten“, warnt Fleck, „wenn nicht schnell gegengesteuert wird.“ Die SEC-Consult-Gruppe, seit Anfang 2021 Teil der Atos-Gruppe, tut dies in Eigenregie mit einem von SEC Consult Deutschland entwickelten Ausbildungsprogramm, in dem Nachwuchskräfte von erfahrenen Mitar­beiter:innen geschult werden. Dieses Programm soll 2022 in der gesamten Unternehmensgruppe und auch bei Atos ausgerollt werden.

Chancen und Risiken der Zukunft
Ein anderes Rezept gegen den Fachkräftemangel stellen Automatisierung sowie der Einsatz von künstlicher Intelligenz und Machine Learning dar. Damit können unterbesetzte IT-Security-Abteilungen ihre Schlagkraft erhöhen, um den wachsenden und vielschichtiger werdenden Angriffen Herr zu werden. Es handelt sich dabei aber nur um Werkzeuge, noch dazu um solche, die auch der Gegenseite zur Verfügung stehen.

„Das exponentielle Wachstum moderner Technologie bringt eine Fülle von Chancen für die Zukunft mit sich, jedoch auch die damit einhergehenden Herausforderungen für die Cybersicherheit“, erklärt Victoria Baines, Zukunftsforscherin im Bereich der Cybersicherheit. „Diese Szenarien und die damit verbundenen Bedrohungen werden Veränderungen in der Unternehmens- und Regulierungspraxis der Cybersicherheit erfordern. Die Cybersicherheitsbranche muss sowohl die Technologie als auch die Ausbildung weiterentwickeln, um sich auf eine Zukunft vorzubereiten, in der alles miteinander vernetzt und deshalb gefährdet ist.“

Mit dieser Zukunft beschäftigt sich auch Trend Micro in seinem „Project 2030“, das versucht, eine Vision dessen zu zeichnen, wie die Welt zu Beginn des nächsten Jahrzehnts aussehen könnte. Demzufolge wird bis dahin die Konnektivität jeden Aspekt des Alltags beeinflussen, sowohl auf physischer als auch auf psychischer Ebene.

Bedrohungsakteure werden sich weiterentwickeln, um technologische Innovationen zu nutzen und zu missbrauchen – so wie sie es bereits heute tun. Unter den Vorhersagen des Projekts findet sich zum Beispiel auch jene, dass KI-Tools eben auch Cyberkriminellen die Arbeit erleichtern können und Angriffe „in einem völlig neuen Umfang selbst für Personen mit wenig technischem Vorwissen“ ermöglichen werden.

Darüber hinaus wird prognostiziert, dass Cyberangriffe nicht nur Lieferketten massiv stören werden, sondern darüber hinaus Menschen sogar physischen Schaden zufügen könnten – beispielsweise über vernetzte medizinische Implantate. Die bis dahin entstehenden „Massive-Internet-of-Things (MIoT)-Umgebungen“ könnten zudem zu attraktiven Zielen für Sabotage­angrif­fe und Erpressung werden, welche auf die Bereiche Fertigung, Logistik, Transport, Gesundheitswesen, Bildung, Einzelhandel und das private Wohnumfeld abzielen.

Das Ausforschen der Täter soll ebenfalls immer schwieriger werden. KI-gestützte Verschleierung könnte eine Zuordnung von Angriffen zu einem Täter nahezu unmöglich machen, schreibt Trend Micro in seinem Bericht. Incident Response und Identity and Access Management (IAM) am Netzwerk-Edge würden deshalb in den Fokus der Securitybranche rücken. Das sind nur einige der Punkte, die in „Project 2030“ von Trend Micro angesprochen werden.

„Project 2030 ist keine absolute Vision dessen, was sein wird, sondern ein Gedankenspiel über das, was sein könnte – die Beschreibung einer Zukunft, welche auf der Grundlage aktueller Technologien und Trends plausibel ist,“ erklärt Richard Werner von Trend Micro. „Wir hoffen, dass diese Zukunftsaussichten eine Debatte in der Sicherheitsbranche und in der Gesellschaft auslösen. Nur wenn wir künftige Szenarien sorgfältig vorausdenken, können wir Regierungen, Unternehmen und Individuen eine Gelegenheit bieten, sich auf die Cybersicherheitsherausforderungen des kommenden Jahrzehnts vorzubereiten.“

Einer der vielversprechendsten, sofort umsetzbaren und zugleich naheliegendsten Ansatzpunkte für mehr IT-Sicherheit ist jedoch, schon bei der Softwareentwicklung den Security-Gesichtspunkten noch viel mehr Aufmerksamkeit zu widmen. Zugunsten schneller Entwicklungen wird das noch immer oft sträflich vernachlässigt. Dabei können bereits beim Entwurf einer neuen Applikation anhand von Bedrohungs-Modellen gezielte Maßnahmen zur Risikominimierung gesetzt werden. Security by Design lautet das Motto. „Software-Provider werden also eine immer wichtigere ­Rolle einnehmen und Anwender:innen­orga­nisationen und Unternehmen sollten einen besonders kritischen Blick in die Software-Supply-Chain werfen“, rät daher Ulrich Fleck von SEC Consult abschließend. (RNF)


INFO-BOX
Strategien entwickeln
Trend Micro empfiehlt Unternehmen, anhand folgender Empfehlungen eine Strategie zur proaktiven Eindämmung neuer Risiken zu entwickeln und zu implementieren:
• Konsistente Richtlinien zur Härtung von Servern und zur Anwendungskontrolle, um ­Ransomware-Angriffe zu bekämpfen
• Risikobasiertes Patching und hohe Alarmbereitschaft beim Erkennen von ­Sicherheitslücken
• Verbesserter Basisschutz für Cloud-zentrierte KMU
• Netzwerküberwachung für mehr Transparenz in IoT-Umgebungen
• Zero-Trust-Philosophie zur Absicherung internationaler Lieferketten
• Cloud-Security mit Schwerpunkt auf DevOps-Risiken und unter Anwendung bewährter Vorgehensweisen der Branche
• Extended Detection and Response (XDR) zur Erkennung von Angriffen über ganze ­Netzwerke hinweg