Cybersecurity 2022
Security-Branche steht weiter unter dem Einfluss der Corona-Pandemie
Nevis zeigt Trends für 2022 auf
Ein Plus von 125 Prozentpunkten gegenüber dem Vorjahreszeitraum verzeichnet der „Cyber Report“ der Allianz für das erste Halbjahr 2021. Wo viele Menschen im Homeoffice arbeiten und mehr denn je online statt im stationären Einzelhandel einkaufen, tun sich neue Sicherheitslücken auf, die Cyberkriminelle versuchen auszunutzen. Auch Betrugsmaschen wie Phishing und Credential Stuffing stehen bei Kriminellen hoch im Kurs. Bereits jetzt zeichnen sich einige Trends ab, die für das Jahr 2022 bedeutsam sein dürften.
Phishing und Smishing
Mit Phishing-Mails, die Links zu gefälschten Firmen-Websites enthalten, versuchen Cyberkriminelle bereits seit Jahren, an Login-Daten und andere Firmen-Interna zu gelangen. Der Trick: In ihren E-Mails täuschen die Täter oft vor, es handle sich um Handlungsanweisungen eines Vorgesetzten und es sei besondere Eile geboten. Die Angeschriebenen sollen so dazu gebracht werden, überstürzt zu handeln und ungeprüft auf den enthaltenen Link zu klicken. Dadurch gelangen sie beispielsweise auf gefälschte Websites, wo sie ihre Nutzerdaten eingeben sollen – und diese so unwissentlich den Kriminellen in die Hände spielen. Die Gefahr durch Phishing bleibt auch 2022 aktuell, zumal sich die Urheber immer neue Varianten einfallen lassen – so etwa das zuletzt verstärkt eingesetzte „Smishing“.
Beim Smishing – also dem Phishing per SMS – legen die Täter seit Monaten besondere Kreativität an den Tag: Die Smartphone-Nutzer erhalten gefälschte Nachrichten, die etwa die baldige Ankunft eines Pakets ankündigen oder vortäuschen, es müsse ein Sicherheitsupdate installiert werden. Die enthaltenen Links haben eins gemeinsam: Sie führen zum Download von Schadsoftware, mit der die Cyberkriminellen Daten vom Smartphone abzapfen oder weitere SMS-Attacken starten. Zwar setzen alle Mobilfunk-Provider Spamfilter ein, um die Verbreitung der gefälschten Nachrichten zu unterbinden. Doch die Täter variieren bei der Wahl der Texte und bauen absichtlich Rechtschreibfehler ein, um die Algorithmen der Security-Software auszutricksen.
Credential Stuffing bleibt gefährlich
Als Angriffstaktik ist Credential Stuffing nach wie vor beliebt, weil die Einstiegshürden niedrig sind: Dafür besorgen sich Hacker Listen mit gestohlenen Benutzername-Passwort-Kombinationen, wie sie etwa im Darknet zu erwerben sind. Durch automatisiertes Ausprobieren auf tausenden Websites versuchen sie anschließend, sich mit den vorhandenen Daten auch in andere Nutzerkonten einzuloggen. Dabei bauen sie auf die Bequemlichkeit der User, die oft dasselbe Passwort für verschiedene Nutzerkonten vergeben. Schon ein einziges kompromittiertes Konto zahlt sich für die Cyber-Kriminellen in barer Münze aus – sei es, dass sie sich selbst Geld überweisen, auf Kosten ihrer Opfer auf Shoppingtour gehen oder Listen mit verifizierten Benutzer-Credentials weiterverkaufen.
Allein in der ersten Jahreshälfte 2021 hat das Netzwerk von Arkose Labs, das Betrugsversuche mittels KI ermittelt, 285 Millionen Credential-Stuffing-Angriffe aufgedeckt. Insgesamt macht Credential Stuffing 29 Prozent aller Angriffe aus. Auch für 2022 ist hier noch nicht mit einer Besserung zu rechnen – doch es gibt Grund zur Hoffnung: immer mehr Onlineshops und -dienstleister steigen auf sichere Login-Verfahren wie die Mehrfaktor- oder die passwortfreie Authentifizierung um. Credential Stuffing wie auch Phishing werden hierdurch ausgebremst, da ein unsicheres Passwort beispielsweise durch den Abgleich des Nuzters mit dessen biometrischen Daten ergänzt oder sogar vollständig ersetzt wird.
Schadcode wird schneller erstellt
Seit jeher gleicht die Beziehung zwischen Schadsoftware-Programmierern und Cybersecurity-Experten einem Wettlauf, bei dem mal die einen, mal die anderen vorn liegen. Notwendigerweise setzen alle Beteiligten darauf, immer auf dem neuesten Stand zu sein. Sei es, indem sie sofort auf Zero-Day-Exploits, also gerade erst bekannt gewordene Sicherheitslücken, reagieren, oder indem sie auf neu entwickelte Technologien zurückgreifen, für die die jeweils andere Seite noch kein passendes Gegenmittel hat.
Für kriminelle Hacker zählt oft Schnelligkeit, denn ist eine Sicherheitslücke erst einmal bekannt, dauert es meist nicht lange, bis Softwareentwickler und Security-Experten sie schließen. Ziel der Täter ist es, zuvor eine möglichst große Zahl an Angriffen zu starten. Um Zeit zu gewinnen, nutzen sie zunehmend neue Programmier-Tools wie OpenAI Codex: Die Künstliche Intelligenz wurde darauf trainiert, gesprochene Sprache in Programmiersprachen wie Python, JavaScript oder PHP umzuwandeln. Mit dieser teilweisen Automatisierung, die auch die Zahl der Fehler im Code reduziert, erhöhen sich auch Tempo und Effizienz bei der Programmierung von Ransomware, Trojanern und Co.
Hinzu kommt, dass die Kriminellen zunehmend auf neue Programmiersprachen wie Nim, Rust oder Go setzen. Sie spekulieren drauf, dass der Schadcode zunächst von einschlägigen Analysetools der Security-Branche nicht automatisiert erkannt wird und bei einer Prüfung durchrutscht. Auch hier herrscht ein Kopf-an-Kopf-Rennen zwischen Kriminellen und der IT-Security-Branche, die bemüht ist, etwaige „blinde Flecken“ ihrer Software möglichst schnell zu beseitigen.
Lieferketten im Visier
Ein weiteres Ergebnis der Allianz-Studie : Cyberkriminelle nehmen bei Ransomware-Angriffen verstärkt große Firmen ins Visier. Insbesondere solche, die in der globalen Lieferkettenkrise besonders begehrte und rare Güter herstellen. Das zynische Kalkül der Täter – hier treffen sie womöglich auf besonders große Zahlungsbereitschaft, da die Hersteller eine Unterbrechung ihrer Produktion um jeden Preis verhindern möchten und bereit sind, notfalls tiefer in die Tasche zu greifen. Der Fall des amerikanischen IT-Dienstleister Kaseya zeigt darüber hinaus, wie Hacker die Schlagkraft ihrer Attacken auszuweiten versuchen. Die Kriminellen hatten sich Zugang zu einem von Kaseya angebotenen Programm verschafft, mit dem Kundenunternehmen ihre Software-Updates verwalten und ausspielen. So gelang es ihnen, die Systeme von über tausend Firmen zu verschlüsseln, um Lösegeld zu erpressen. Vergleichbare Attacken, die zwar aufwändig, aber potenziell besonders effektiv sind, dürften auch 2022 nicht ausbleiben.
Angriffe im Gesundheitssektor
Auch die Gesundheitsbranche bleibt ein beliebtes Angriffsziel. Viele Anbieter hatten im Verlaufe der Corona-Pandemie ihre Sicherheits-Richtlinien gelockert, um ihren Mitarbeitenden die Remote-Arbeit im Homeoffice zu erleichtern. Damit wurden allerdings auch Lücken in die sonst üblichen Sicherheitsprotokolle gerissen, die in den folgenden Monaten mühsam geschlossen werden mussten. Auch wenn sich die Lage durch die Anpassung von IT-Security-Maßnahmen wieder etwas entspannt hat: die Wahrscheinlichkeit ist hoch, dass es in den nächsten Monaten zu weiteren gezielten Cyberattacken kommt, bei denen es die Täter auf sensible Geschäfts- und Patientendaten abgesehen haben.
Aufklärung bleibt wichtig
Die User Awareness bleibt 2022 ein wichtiger Baustein jedes IT-Sicherheitskonzepts, das soft- und hardwarebasierte Security-Maßnahmen ergänzt. Nutzer müssen jederzeit darüber im Bilde sein, welche Angriffsversuche sie durch ihre eigene Aufmerksamkeit abwehren können. Insbesondere Phishing-Angriffe werden immer ausgefeilter – überzeugend gefälschte Firmen-Websites und gestohlene Nutzerdaten von Vorgesetzten sollen dazu verleiten, Firmeninterna und Passwörter preiszugeben. Sicherheitsschulungen und regelmäßige Updates der Belegschaft zur Bedrohungslage können entscheidend dazu beitragen, solche Cyberattacken ins Leere laufen zu lassen.