In unserem vierteljährlichen Bericht teilen wir unsere Einschätzung der aktuellen Cyberbedrohungslage basierend auf unseren Beobachtungen und blicken mit von uns prognostizierten Trends in die nahe Zukunft. Der Quartalsbericht beruht auf eigenen Recherchen relevanter Quellen sowie auf den Milliarden (!) von IT-Sicherheitsvorfällen, die wir im Laufe der letzten drei Monate in den IT-Umgebungen unserer Kunden beobachten konnten.
Aus IT-Sicht war das Jahr 2020 geprägt von einer noch nie dagewesenen und beschleunigten Virtualisierung. Diese Chance für Unternehmen, die auch als solche wahrgenommen werden sollte, bleibt jedoch auch von Cyberkriminellen nicht unbemerkt und bewirkt einen neuen Trend in Richtung Datenerpressung auf mehreren Ebenen. Vorsicht: die neue Normalität in der Cyber Sicherheit hat schon begonnen!
Der Umgang mit der neuen Normalität in der Cyber Sicherheit
Im Laufe des Jahres 2020 haben wir weltweit bemerkenswerte Kraftakte gesehen, um die Digitalisierung in einem noch nie dagewesenen Tempo zu beschleunigen: Unternehmen haben eCommerce-Lösungen, Fernsysteme und Netzwerke rasant umgesetzt, um Mitarbeiter im Homeoffice zu unterstützen. Die massiven Investitionen in digitale Umsetzungen durch Einzelunternehmen und Kleinbetriebe bis hin zu Konzernen und kritischer Infrastruktur könnte uns in ein neues digitales Zeitalter führen, sie hat allerdings mit Sicherheit neue Formen von Angriffen ausgelöst. Sie hat auch die Folgen einer unterschätzten Funktion der Cyber Sicherheit im Rahmen früherer digitaler Transformationsprogramme ans Licht gebracht.
Das Gesundheitswesen und die Pharmaindustrie, einschließlich der Forschungsaktivitäten zu COVID-19-Impfstoffen, sind seit einiger Zeit vermehrten und unmittelbar bevorstehenden Cyber-Bedrohungen ausgesetzt. Fälle von Datendiebstahl und der Störung von Diensten des Gesundheitswesens hatten weitreichende Folgen.
Aktuelle Malware-Situation
Eine der größten Bedrohungen 2020 war Emotet und seine Variationen, die drastisch zeigen, dass sich die Software von einem Banktrojaner zu einem hochentwickelten Angriffswerkzeug mit einem flexiblen Set an Erweiterungen und Funktionalitäten, die vom Identitätsdiebstahl bis hin zu anderen destruktiven Verhaltensformen reichen, entwickelt hat. Mittlerweile konnten die Emotet-Verantwortlichen in einem gemeinsamen europäischen Kraftakt der Sicherheitsbehörden ausfindig gemacht und aus dem Verkehr gezogen werden.
Ransomware-Angriffe in Q4, die den für die Cyber Sicherheit Verantwortlichen beträchtliche Kopfschmerzen bereiteten und erheblichen wirtschaftlichen Schaden verursachten, hatten es auf Opfer in allen Sektoren und Unternehmensgrößen abgesehen. Eines davon war die deutsche Software AG. Bei einem Angriff, der im Oktober begann, wurde von den Angreifern eine doppelte Erpressungsstrategie eingesetzt. Da sich das Unternehmen weigerte, Lösegeld zu zahlen, begannen die Angreifer, vertrauliche Unternehmensdaten zu veröffentlichen.
Ein weiteres Beispiel ist der Angriff auf das Cyber-Sicherheitsunternehmen FireEye Ende 2020. In diesem Fall wurden Werkzeuge des Red Teams erfolgreich angegriffen, was zeigte, dass es auch die Besten treffen kann. Die Rufschädigung und der Verlust von geistigem Eigentum waren in diesem Fall mit weitvernetzten Bedrohungen für andere Unternehmen verbunden, die durch diese externe Übernahme verursacht wurden. Darüber hinaus erreichten laufende Angriffe auf den Gesundheitssektor mit der skrupellosen Attacke auf die EU-Arzneimittelaufsichtsbehörde im Dezember einen unrühmlichen Höhepunkt. Im Zuge dessen wurde auf Daten zugegriffen und später tauchten manipulierte Unterlagen zu COVID-19-Medikamenten und Impfstoffen im Netz auf.
Eine interessante Entwicklung, die weltweit viel Aufmerksamkeit auf sich zog war die jüngste SUNBURST-Attacke („SolarWinds.Orion.Core.BusinessLayer.dll“) auf den Netzwerkmanagementsoftware-Anbieter SolarWinds, die auf einer Lieferkettenstörung, gefolgt von einer Bedrohung für Cloud-Assets, beruhte. Der gewählte Ansatz erlaubte es einem unbekannten Angreifer, über den IT-Fußabdruck der Lieferkette des Unternehmens und unter Anwendung eines domainübergreifenden Ansatzes Malware an potentiell Tausende Organisationen zu verbreiten. Jedem Unternehmen, das sich in irgendeiner Form mit digitaler Transformation befasst, zeigt diese Attacke, dass die Cyber Sicherheit nicht am Zaun der Firewall beginnt oder endet.
Im Hinblick auf die große Reichweite bleiben Phishing, Cyberbetrug, Ransomware und täuschende Fake-Domains im Hintergrund der Pandemie die größten digitalen Bedrohungen. Da der Internet Browser der Hauptfaktor im Rahmen derartiger Angriffe ist, müssen Unternehmen der Aufrechterhaltung konsequenter IT-Sicherheitskontrollen noch größere Aufmerk-samkeit schenken.
Zero-Day-Angriffe und kritische Schwachstellen
In der zweiten Jahreshälfte 2020 wurden stärkere Wellen von DDoS-Attacken verzeichnet. Der deutsche BSI-Bericht, eine jährliche Publikation zur „Lage der IT-Sicherheit in Deutschland“, der vom deutschen Bundesamt für Sicherheit in der Informationstechnik veröffentlicht wird, bestätigte unsere Wahrnehmung der stetig zunehmenden Komplexität dieser Angriffe, was deren Erkennung mit Sicherheit schwieriger macht.
Im vierten Quartal rieten Experten des Radar Cyber Defense Center wiederholt dazu, Geräte und Maschinen zu isolieren, die immer noch auf Windows 7 und Server 2008 laufen. Microsoft reagierte mit temporären Patches. Außerdem warnten Sicherheitsforscher vor einer neuen Schwachstelle mit dem Namen „Amnesia:33“. 150 IoT- und OT-Anbieter waren betroffen. Amnesia:33-Angriffe sind häufig von Schäden am Speicher, DoS sowie Remote Code Execution begleitet. Die Input-Validierung, interne DNS-Server, das Blockieren von IPv6-Traffic sowie Netzwerkverhaltensanalyse sind nur einige von vielen möglichen Präventionsmaßnahmen.
Allgemeine Bedrohungen & Trends
Das Jahr 2021 wird voraussichtlich von unterschiedlichen digitalen Formen der Datenerpressung auf mehreren Ebenen geprägt sein. In Folge der vermehrten Zuwendung von Unternehmen in Richtung Cloud-Dienste, um während der Pandemie im Geschäft zu bleiben, vergrößern die Angreifer nun ihre Reichweite weiter in diesen Bereich hinein. Es wird davon ausgegangen, dass Cyberkriminelle kundenbasierte Applikationen, API Services sowie Container-Frameworks wie Kubernetes mit sämtlichen entsprechenden Automatisierungsskripten ins Visier nehmen, während konventionelle Sicherheitsmaßnahmen häufig nicht ausreichen, um diese neuen Kapazitäten zu schützen.
In eben diesem Kontext kann das, was wir mit der SUNBURST-Attacke gesehen haben, als Ausgangspunkt eines Trends interpretiert werden: Angreifer werden Schwachstellen außerhalb der eigentlichen Organisation (z.B. über deren Lieferkette) attackieren und so Zugriff auf Unternehmensressourcen und in der Folge, unter Anwendung eines domänenübergreifenden Ansatzes, cloudbasierte Ressourcen erhalten. Cyberkriminelle werden somit den gesamten IT-Fußabdruck eines Unternehmens vollumfänglich nutzen. Ein positiver Nebeneffekt dieser ungünstigen Entwicklung wird hoffentlich darin bestehen, dass der Cybersicherheit im Rahmen digitaler Transformationsprogramme von Unternehmen ein weit größerer Stellenwert eingeräumt wird. Das adaptierte IT-Sicherheitsgesetz in Deutschland ist dafür der erste we-sentliche Schritt.
COVID-19 spielte 2020 eine große Rolle, und das wird voraussichtlich auch 2021 weiterhin der Fall sein. Dieses sensible Thema wird weiterhin ein bevorzugter Aufhänger für Phishing-Kampagnen bleiben. Angriffe auf nicht abgesicherte Infrastruktur und Produktionsanlagen und etwaigen Fernzugriff werden weiter anhalten.
Aus einer Abwehrperspektive ist MITRE ATT&CK inzwischen allgegenwärtig. Das globale Wissen über Angriffstaktiken und Methoden wächst ständig. Neue Mappings werden laufend eingeführt. Eines der jüngsten ist das Mapping von ATT&CK TTPs gegen das NIST-Framework, das Erkennung und Abwehr näher zusammenbringt.