Cyber-Bedrohungen in 2015
von Monika Schaufler, Regional Sales Director CEMEA, bei Proofpoint
Bedrohungen
Nach dem annus horribilis 2014 erwartet Proofpoint für 2015 zwar eine etwas langsamere Zunahme der Fälle von Datenmissbrauch und ausspionierten Datensätzen, jedoch zugleich eine deutliche Zunahme der Schwere und des Zerstörungsgrades solcher Gefährdungen. Cyber-Erpressungen werden schon bald über das einfache Strickmuster der Entschlüsselung gegen Bares hinaus mittels Wiper-Viren – wie jüngst bei der Erpressung von Sony – sowie der Offenlegung von proprietärem und heiklem, verfänglichem privaten Material ausgeführt. Und dies nicht nur von Hackern, sondern von Cyber-Kriminellen und sogar behördlichen bzw. vorgeblich behördlichen Akteuren.
Vektoren
Bei der Verbreitung dieser Bedrohungen werden E-Mails, soziale Medien und Malvertising die bevorzugten und am schnellsten wachsenden Vektoren sein; denn Proofpoint hat in seiner Forschung aufgezeigt, dass trotz redlicher Bemühungen um Aufklärung der Benutzer sowie der zunehmenden Einführung automatisierter Abwehrmechanismen nur wenige Schutztechnologien einen Einzelbenutzer davon abhalten können, dem Impuls zum Klicken zu folgen, wenn er dies besser unterlassen sollte.
Auswirkungen
Die Menge an Warnungen, die aufgrund dieser angestauten Bedrohungen auftreten, sowie die Erkenntnis, dass die Organisationen darauf reagieren müssen, werden eine umfassende Einführung automatisierter Incident-Response-Fähigkeiten mit sich bringen, da die Organisationen mittlerweile branchenübergreifend – sowohl im öffentlichen wie im privaten Sektor – einsehen, dass die Automatisierung die einzige Möglichkeit darstellt, das Ausmaß der von den Sicherheitsteams empfangenen Warnungen effektiv zu bewältigen.
Letzten Endes werden die Schockwellen von 2014 sich durch das Jahr 2015 hindurch ziehen, da die Gesetzgeber dazu übergehen, landeseigene Gesetze nicht nur zur Protokollierung von Datenmissbrauch, sondern auch für rechtskräftige Vorschriften und Kontrollen zur Wahrung der Privatsphäre und des Datenschutzes zu erlassen – mit entsprechenden rechtlichen und finanziellen Folgen für Organisationen, die sich nicht daran halten. Auch wenn die sozialen Medien sich derzeit noch außerhalb der Grenzen zahlreicher bestehender Rechtsvorschriften und Praktiken bewegen, so werden sie von den neuen Vorschriften erfasst, wodurch die Organisationen sich gezwungen sehen werden, auf interne Silos zurückzugreifen, um eine umfassende Sicherheitsstrategie und -planung aufzustellen, mit denen die Bedrohungen der traditionellen und neuen Kommunikationskanäle gleichermaßen angegangen werden.
Cyber-Erpressung – die am schnellsten zunehmende neue Bedrohungsform
Angefangen beim rapiden Aufstieg des CryptoLocker Ende 2013, nahm die Ransomware-Bedrohung (Ransom = Lösegeld) 2014 schon bald seuchenartige Züge an, wobei nicht nur weitere Formen der „erpresserischen“ Malware zutage traten, sondern auch mobile Plattformen wie Android zum Opfer wurden. Die Zahlung eines Lösegeldes ist verständlicherweise nach wie vor eine bevorzugte Option – trotz der damit verbundenen Risiken – allein die geschätzten 3 Mio. USD Lösegeld, die CryptoLocker erwirtschaftet hat, sind für Cyber-Kriminelle ein Hinweis auf das Potenzial digitaler Erpressungsmethoden. Diese Attacken sind schwer abzuwehren und die Schadensbehebung kostspielig; hinzu kommen Betriebsunterbrechungen, die weit über den Verlust verschlüsselter Daten hinausgehen.
Für 2015 erwartet Proofpoint eine Zunahme dieser Cyber-Erpressungsmuster im Hinblick auf den Umfang, die Raffiniertheit und – gemäß dem Beispiel der Destover-Malware – die zerstörerische Wirkung. Bei ihren Versuchen, Lösegelder aus den von ihnen angezapften Systemen und Organisationen zu erbeuten, gehen die Hacker immer intelligenter und gezielter vor, indem sie die Höhe des Lösegeldes dem Wert anpassen, den das System und die Daten für die Organisation haben.
Organisationen müssen nicht nur ihre Backup- und Recovery-Programme analog zu dieser Bedrohung anpassen, sondern noch effektiver bei der Erkennung und raschen Behandlung möglicher Infektionen in ihrer Umgebung vorgehen – und zwar so bald wie möglich nach der Attacke.
Andere Daten und Ressourcen im Fadenkreuz der Hacker
2014 kam es zu mehreren Zwischenfällen, bei denen staatlich geförderte Hacker dem Anschein nach ihre üblichen Verhaltensmuster ablegten, indem sie neue Ziele und neue Arten von Daten anvisierten. Die prägnantesten Beispiele hierfür waren die Fälle von Diebstahl geistigen Eigentums und Industriespionageattacken, die auf russische Staatsbedienstete und vorgebliche Staatsbedienstete zurückgeführt werden konnten. Darüber hinaus sind Cyber-Kriminelle aggressiver, wenn es um den Verkauf geistigen Eigentums und sonstiger Informationen aus den infizierten Systemen geht, als wenn sie bloß mit ein paar Kreditkartennummern samt Personen- bzw. Gesundheitsdaten dem schnellen Geld hinterherlaufen.
2015 wird die Profitgier, verbunden mit einer voraussichtlichen Verschlechterung der internationalen Beziehungen wegen der Ukraine und der westlichen Sanktionen, einen fortlaufenden Ausbau der von Russland und dessen Alliierten gesteuerten Cyber-Spionage nach sich ziehen.
Organisationen, die sich heute vornehmlich mit dem Schutz der üblichen Ziele von Cyber-Kriminellen befassen – Kreditkartendaten, Personen- und Gesundheitsdaten, Bankkonten usw. – werden sich demnächst verstärkt Gedanken über die größeren geschäftlichen Auswirkungen potenzieller Gefährdungen von geistigem Eigentum und Geschäftsgeheimnissen machen müssen.
In E-Mails versteckte Bedrohungen werden ‚sozialer‘ und bringen immer häufiger Datenmissbrauch mit sich
Phishing war jahrelang der bevorzugte Vektor für Cyber-Kriminelle und staatlich beauftragte Akteure. Trotz redlicher Bemühungen um Aufklärung der Benutzer sowie der zunehmenden Einführung automatisierter Abwehrmechanismen ist Phishing nach wie vor effektiv, da nur wenige Schutztechnologien einen Einzelbenutzer davon abhalten können, dem Impuls zum Klicken zu folgen, wenn er dies besser unterlassen sollte. Recherchen von Proofpoint haben ergeben, dass jeder zehnte Empfänger in einer Organisation auf einen bösartigen Link klickt, und die Hacker sind gewieft darin, neue Wege zu finden, den „Faktor Mensch“ auszubeuten.
Cyber-Kriminelle werden im Jahr 2015 weiterhin – ganz allmählich – die Social-Engineering-Techniken, die in stark zielgerichteten Spear-Phishing-E-Mails (beispielsweise glaubwürdige E-Mails oder bösartige Office-Makros) angewandt wurden, in größer angelegte Kampagnen übergehen lassen, die auf Organisationen eines bestimmten Ressorts oder einer bestimmten Region abzielen.
Infolgedessen werden Organisationen, die sich weiterhin auf traditionelle, auf die reine Säuberung ausgerichtete E-Mail-Lösungen verlassen, häufigerem Datenmissbrauch – mit höheren Kosten – ausgesetzt sein. Stattdessen müssen Organisationen dynamischer auf die Einführung von E-Mail-Sicherheitslösungen hinarbeiten, zu denen eng integrierte, fortschrittliche Funktionen zur Erkennung und Behandlung von Bedrohungen gehören.
Social Media als fruchtbarer Boden für Cyber-Kriminelle
Die sozialen Medien erfreuen sich zunehmender Beliebtheit als Hilfsmittel für Marketing, Vertrieb, Akquise und Kundenbetreuung. Social-Media-Kanäle wachsen schneller als die Fähigkeit der Unternehmen, sie zu verwalten und zu überwachen: Recherchen von Proofpoint zufolge gibt es zwar in den Fortune 100-Unternehmen durchschnittlich 320 genehmigte Social-Media-Konten; jedoch sind 40 Prozent der Facebook-Konten, die angeblich eine Fortune 100-Marke repräsentieren, rechtswidrig, und 20 Prozent der als angebliche Fortune 100-Marke aufgeführten Twitter-Accounts haben dazu keine Befugnis. Der Ausbau der Social-Media-Kanäle, verbunden mit dem Mangel an etablierten Kontrollmechanismen, lässt die Bedrohungen in den sozialen Medien rapide ansteigen. Bereits 2014 stellte Proofpoint einen Anstieg um 650 Prozent beim Social-Media-Spam im Vergleich zu 2013 fest, und 99 Prozent der bösartigen URLs in anstößigen Inhalten führten zu einer Malware-Installation oder zu Daten-Phishing-Websites.
Proofpoint erwartet 2015 eine Zunahme anstößiger oder bösartiger Inhalte in den sozialen Medien um 400 Prozent, da die Hacker es auf Social-Media-Konten in Unternehmen abgesehen haben, um unter dem Vorwand der Vertraulichkeit Malware zu verbreiten und Kundendaten zu stehlen. So wurden beispielsweise seit Juli 2014 jeden Monat mehr als 34 bösartige Postings in Social-Media-Konten von Unternehmen festgestellt; wir gehen davon aus, dass diese Zahl auf über 170 Nachrichten im Monat steigen wird.
Zur Bewältigung dieser neuen Herausforderung sowie zur Minderung des Risikos für die jeweilige Marke und ihre Programme in den sozialen Medien werden die Organisationen ihre bisherigen Kontrollen, Reaktionsabläufe und Berichte auf die Social-Media-Kanäle ausweiten müssen.
Malvertising als Bedrohung weiterhin auf dem Vormarsch
Wenngleich Phishing nach wie vor der maßgebliche Vektor für Attacken ist, werden Cyber-Kriminelle den Schwerpunkt immer weiter auf Malvertising als Vektor für den Befall von Clients und die Verbreitung von Malware legen. Angesichts hoher Trefferquoten und niedriger Kosten wird die Zunahme des Malvertising durch die breit gefächerte Charakteristik der Reklamenetzwerke begünstigt und stellt somit eher ein strukturelles Problem als eine Frage der Richtlinien dar. 2014 wurde bei einem einzelnen von Proofpoint analysierten Malvertising-Vorfall ein infiziertes Reklamenetzwerk erkannt, das täglich ganze 3 Millionen Benutzer einer potenziellen Infektion aussetzte.
Im Jahr 2015 wird die Fähigkeit der Hacker, Websites zu infizieren, Benutzer ins Visier zu nehmen und Inhalte abzulegen, mehr und mehr Gestalt annehmen, während sie oftmals der Erkennung durch die meisten gängigen Scanner und Gateways entkommen. Gleichzeitig werden Unternehmen, bei denen nicht nur die Eigentümer infizierter Websites betroffen sind (beispielsweise Werbeagenturen und die Firmen, deren Werbematerial gestohlen wurden), sich die Risiken bewusst machen, die das Malvertising – bei dem oftmals Werbematerial gestohlen wird – für ihre Marken bedeutet.
Organisationen, denen Werbematerial entwendet wurde, werden verstärkten Druck auf Website-Eigentümer und Betreiber von Reklamenetzwerken ausüben, um Malware in ihren Werbe-Streams proaktiv aufzudecken. Derweil wird der Schutz der Anwender vor URLs (auch aus regulären E-Mails), die zu Websites mit Malvertising-Infektionen führen, zu einer bedeutenden Abwehrmaßnahme für alle Organisationen werden.
Automatisierte Incident Response wird durch häufigere Warnmeldungen zur Priorität
Während viele Organisationen die von fortschrittlichen Bedrohungen ausgehende Gefahr erkannt und entsprechende Lösungen zu deren Erkennung erworben und eingesetzt haben, sind nur wenige bei der Bewältigung des zunehmenden Umfangs der von diesen und anderen Sicherheitslösungen ausgehenden Warnmeldungen weitergekommen. Vielmehr gehen die kritischen Anzeichen einer Gefährdung im Durcheinander Tausender von Warnmeldungen unter: Beispielsweise verursachten die Hacker im Fall der Neiman-Marcus-Attacke 60.000 Warnmeldungen über einen dreimonatigen Zeitraum – eine ziemlich hohe Anzahl. Und dabei stellt dies nur 1 Prozent der täglichen Protokollereignisse an den Endpunkten dar. Hinzu kommen haufenweise Warnmeldungen aus Netzwerken, Servern und weiteren Sicherheitslösungen ganz zu schweigen von der Tatsache, dass 83 Prozent der Unternehmen zu wenig Know-how und Ressourcen für den Schutz ihrer IT haben. So sind die Organisationen einem regelrechten Sturm ausgesetzt, der sie angesichts der pro Tag anfallenden Meldungen handlungsunfähig macht. Umso weniger reagieren sie auf Ereignisse (d. h. Fälle von Datenmissbrauch), die von ihren Sensoren nicht erkannt wurden.
Nach Einschätzungen von Proofpoint werden Organisationen 2015 in größerem Umfang automatisierte Incident-Response-Lösungen in verschiedenste Branchen und Größenordnungen einführen. Selbst wenn es sich nur bei 1 Prozent der Meldungen um einen potenziellen Ernstfall handelt, dürfen diese nicht mehr ignoriert werden – besonders dann nicht, wenn die Störereignisse so rasche Auswirkungen haben. Daher werden Organisationen ihre Incident-Response-Prozesse automatisieren, um der überströmenden Menge an Warnmeldungen Herr zu werden.
Die Einführung automatisierter Incident-Response-Prozesse wird deutliche Auswirkungen auf die Art und Weise haben, in der Informationssicherheit praktiziert wird. Dabei wird der Schwerpunkt von den Tools auf die Prozesse verlagert, und Datenmissbrauch wird schneller erkannt und gebannt.
Sicherheitsverletzungen von 2014 bilden die Grundlage für neue Gesetze 2015
2014 wurde weitgehend zum Jahr des Datenmissbrauchs erklärt. In diesem annushorribilis überschlugen sich die Ereignisse: z. B. über 1 Milliarde offengelegter Datensätze, ernsthafte Gefährdungen kritischer Infrastrukturen und immer größere Verluste durch Betriebsunterbrechungen. Anstatt jedoch diese Berichte der Öffentlichkeit ins Bewusstsein zu rufen, veränderten die Datenmissbrauchsfälle 2014 die Stimmung in der Öffentlichkeit und unter politischen Entscheidungsträgern und ermutigten dazu, Organisationen in die Pflicht zu nehmen, wenn diese keinen angemessenen Schutz für öffentliche wie private Daten boten.
Die Schockwellen von 2014 werden sich durch das Jahr 2015 hindurch ziehen, da die Gesetzgeber dazu übergehen, landeseigene Gesetze nicht nur zur Protokollierung von Datenmissbrauch, sondern auch für rechtskräftige Vorschriften und Kontrollen zur Wahrung der Privatsphäre und des Datenschutzes zu erlassen – mit entsprechenden rechtlichen und finanziellen Folgen für Organisationen, die sich nicht daran halten. Darüber hinaus wird sich dieser Trend nach unseren Erwartungen auf globaler Ebene fortsetzen, was bis Ende 2015 in einem Geflecht internationaler Regelwerke ausarten wird, mit dessen Entschlüsselung die Unternehmen 2016 beschäftigt sein werden.
Für die Organisationen wird daraus die Notwendigkeit entstehen, über Punktlösungen hinaus zu denken und eine Kombination von Technologien einzusetzen, mit der fortschrittliche Bedrohungen und Zugriffe von Hackern auf ihre Umgebungen erkannt werden, sowie Lösungen und Prozesse zur schnellen Behandlung von Vorfällen, um sowohl direkte Schäden als auch die rechtlichen und finanziellen Folgen des Datenmissbrauchs abzuwenden.
Soziale Medien werden einer drastischen Regulierung unterworfen
Wie bereits angemerkt, sind die sozialen Medien als Kommunikationsplattform aufgrund ihres rapiden Wachstums auch zum Ziel von Cyber-Kriminellen geworden. Durch die Zunahme des Social-Media-Kommunikationsumfangs wächst auch das Compliance-Risiko der sozialen Medien. 2014 wurden jeden Monat durchschnittlich 48 Nachrichten mit gesetzlich regulierten Daten in aktiven Social-Media-Konten von Unternehmen gepostet – die Erwartungen für 2015 laufen auf knapp 200 Nachrichten im Monat hinaus. Zugleich wird die Zahl der per Social Media übermittelten Firmenmitteilungen mit regulierten Daten (Patientendaten, Sozialversicherungsnummern usw.) 2015 um 300 Prozent zunehmen.
Die Gesetzgeber werden 2015 den sozialen Medien verstärkte Aufmerksamkeit widmen und erwarten, dass diese Medien den bereits für E-Mails geltenden Compliance-Anforderungen gerecht werden. Und die Messlatte wird höher gesetzt, um den höheren Standards neuer Gesetze zu genügen.
Für Organisationen ergibt sich daraus die Notwendigkeit, zügig Sicherheits- und Compliance-Lösungen zu finden und anzuwenden, die einerseits auf soziale Medien abgestimmt sind und die sich andererseits problemlos in das Management- und Reporting-Grundgerüst vorhandener Datensicherheitslösungen integrieren lassen. Auch wenn sie sich derzeit noch außerhalb der Grenzen zahlreicher bestehender Rechtsvorschriften und Praktiken bewegen, so werden Organisationen wie auch die Führungskräfte von IT-Sicherheitsabteilungen sich gezwungen sehen, auf interne Silos zurückzugreifen, um eine umfassende Sicherheitsstrategie und -planung aufzustellen, mit denen die Bedrohungen der traditionellen und neuen Kommunikationskanäle gleichermaßen angegangen werden.
Siehe auch F-Secure Malware Trends 2015
Siehe auch TÜV Rheinland Cyberbedrohungen 2015
Siehe auch Kaspersky Security Bulletin
