Das Jahr 2012 neigt sich dem Ende zu, und so, wie die Unternehmen jetzt damit befasst sind, ihre Geschäftsaktivtäten und IT-Strukturen auf das kommende Jahr auszurichten, so schmieden auch Cyberkriminelle bereits ihre Pläne - und entwickeln immer raffiniertere Angriffsmethoden, um kleine und große Organisationen zu attackieren.
Dabei werden in 2013, so die auf Security-Technologie spezialisierte Check Point® Software Technologies Ltd. (Nasdaq: CHKP), folgende Gefahren zunehmen und im Vordergrund stehen:
Gefahr #1: Social Engineering
Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen, nutzen Hacker eine Vielzahl von Techniken. Haben sie sich in der Vergangenheit aber auf eher "einfaches Austricksen", wie z. B. auf fingierte E-Mails oder vermeintlich firmeninterne Anrufe konzentriert, hat sich ihr Fokus heute auf Soziale Netzwerke wie Facebook oder LinkedIn verlagert. Denn dort sind viele der Detailinformationen, die Cyberkriminelle für ihre unlauteren Geschäfte brauchen, meist schon vorhanden und frei zu haben - ganz ohne Tricks. Das vertrauenswürdig erscheinende Profil eines Unternehmens oder auch nur einer Person, gefolgt von einer erfolgreichen Freundschafts- oder Verbindungsanfrage, kann schon genügen - und der Social Engineering-Angriff ist ins Rollen gebracht.
Gefahr #2: APTs
Die hohe Sensibilität für Social Engineering ist auch deshalb angezeigt, weil es Vorbote einer noch raffinierteren Angriffsform sein kann - so genannter APTs - Advanced Persistent Threats. Namhafte Beispiele für APTs, die in 2012 sowohl gegen Unternehmen als auch gegen staatliche Einrichtungen gerichtet waren, sind "Gauss" und "Flame". APTs sind äußerst hoch entwickelt, sehr differenziert geplant und kombinieren verschiedene Angriffstechnologien. Ihr Ziel ist, Zugriff auf ein Netzwerk zu erlangen und dort "still und leise" Informationen zu stehlen. Sie arbeiten nach dem "low-and-slow"-Prinzip, wodurch sie meist nur schwer zu erkennen und daher oft erfolgreich sind.
Dafür müssen APTs nicht zwingend auf verbreitete Programme wie Microsoft Word o.ä. abzielen. Sie können auch andere Vektoren, zum Beispiel Embedded Systems, also eingebettete Systeme, nutzen. In einer Welt, in der immer mehr Devices über eigene IP-Adressen verfügen, ist die Implementierung von Security in diese Systeme niemals wichtiger gewesen, als heute.
APTs werden vor allem deshalb weiter auftreten, weil sie nicht zuletzt von Regierungsstellen und anderen, kapitalstarken Organisationen als nützliches Cyber-Space-Tool zu Spionagezwecken dienen. APTs finden immer und überall statt, entsprechend wichtig ist es, verdächtige Anomalien im Netzwerkverkehr frühzeitig zu erkennen.
Gefahr #3: Interne Bedrohungen
Einige der größten Gefahren drohen allerdings nicht von außen, sondern kommen von innen. Attacken aus dem Inneren des Unternehmens heraus können besonders verheerend sein, denn ein privilegierter Anwender hat Zugriff auf die sensibelsten Daten. Durch eine vom U.S. Department of Homeland Security geförderte Studie fanden die Analysten des CERT Insider Threat Center am Softwareentwicklungsinstitut der Carnegie Mellon-Universität und der amerikanische Geheimdienst gemeinsam heraus, dass z. B. betrügerische Insider innerhalb der Finanzindustrie im Durchschnitt fast 32 Monate lang unentdeckt agieren in diesem Zeitraum enormen Schaden anrichten können. Vertrauen ist, wie man landläufig sagt, ja gut - zu viel davon kann ein Unternehmen jedoch sehr verwundbar machen.
Gefahr #4: BYOD - Bring Your Own Device
Auch in der Welt der mobilen Kommunikation spielt Vertrauen eine große Rolle, zumal die Unternehmen große Schwierigkeiten damit haben, dem ungebrochenen "Bring-Your-Own-Device" (BYOD)-Trend den richtigen Mix an Sicherheitstechnologien entgegen zu setzen. Die Anwender nutzen ihre mobilen Endgeräte zunehmend so, wie ihre PCs, und machen sich damit auch in der mobilen Welt zum beliebten Angriffsziel für webbasierte Attacken.
Es ist zu erwarten, dass Cyberkriminelle künftig mehr Energie auf die Entwicklung von Funktionen verwenden werden, mit deren Hilfe sie die App-Überprüfungs- und Erkennungsmechanismen umgehen können, die von den Anbietern heute zum Schutz ihrer App-Märkte aufgeboten werden. Die Flut von iPhones, Google Android-Geräten und anderen Devices, die heute in die Unternehmen hineinschwappt, eröffnet Hackern also einen weiteren, viel versprechenden Angriffsweg, der entsprechend abgesichert werden muss.
Gefahr #5: Cloud Security
BYOD ist allerdings nicht die einzige Gefahr, die Unternehmen dazu zwingt, die Mauern um ihre schützenwerten Daten neu zu konstruieren. Es gibt da auch noch diesen "kleinen" Trend zu Cloud Computing. Je mehr Unternehmen immer mehr Informationen in öffentliche Cloud-Services stellen, umso attraktiver werden diese Services als Angriffsziele - und können für die betroffene Organisation zum "Single Point of Failure" werden. Die Unternehmen sollten daher gegenüber ihren Cloud-Providern das Thema Security als besonders wichtig herausstellen und ihre entsprechenden Anforderungen deutlich machen.
Gefahr #6: HTML5
So, wie die Verbreitung von Cloud Computing die Angriffsflächen der Unternehmen vergrößert hat, so wird auch HTML5 zum Aufkommen neuer Gefahren beitragen. Auf der diesjährigen Black Hat-Konferenz, die Security-Profis Hinweise auf eventuelle, neue Gefahren gibt, wurden der plattformübergreifende Support von HTML5 und seine Integration verschiedener Technologien als Türöffner für neue Attacken diskutiert, etwa über den möglichen Missbrauch von Web Worker-Funktionalitäten. Zwar erhält die Sicherheit von HTML5 eine zunehmend hohe Aufmerksamkeit, doch allein die Tatsache, dass es neu ist impliziert, dass die Entwickler bei seiner Nutzung Fehler machen werden - Fehler, auf die die Angreifer schon warten. Für das kommende Jahr ist daher ein Anstieg von HTML5-orientierten Attacken zu erwarten, die sich mit der zunehmenden Verbesserung gezielter Security-Maßnahmen aber graduell abschwächen sollte.
Gefahr #7: Botnets
Doch auch, wenn im kommenden Jahr in Sachen "beste Angriffs-Innovation" ein wahrer Wettbewerb zwischen Forschern, Entwicklern und Angreifern entstehen mag - nicht zuletzt werden Cyberkriminelle auch viel Zeit darauf verwenden, das zu perfektionieren, was sie schon sehr gut beherrschen - zum Beispiel werden sie für eine hohe Verfügbarkeit und Verbreitung ihrer Botnets sorgen. Zwar waren legale Take-Downs, wie sie von Unternehmen wie Microsoft durchgeführt wurden, erfolgreich und brachten Spam- und Malware-Operationen vorübergehend zum Erliegen. Doch es wäre naiv anzunehmen, dass die Angreifer nicht das, was sie aus diesen Take-Downs gelernt haben, für die Optimierung ihrer weiteren Aktivitäten nützen würden. Botnets sind sehr präsent, und werden es bleiben.
Gefahr #8: Präzise ausgerichtete Malware
Woraus Angreifer außerdem gerne lernen, ist die Vorgehensweise von Forschern bei der Analyse von Malware. Als Ergebnis traten kürzlich neue Techniken auf, mit deren Hilfe die Malware-Analyse umgangen werden kann und völlig ineffizient wird. Dies ist möglich durch die Entwicklung und den Einsatz von Malware, die in keiner anderen Umgebung korrekt ausgeführt werden kann als in der, auf die sie tatsächlich abzielt. Beispiele für solche Attacken sind Flashback und Gauss. Beide waren darin erfolgreich, insbesondere Gauss, die Netzwerkanalysten von einer automatisierten Malware-Analyse abzuhalten. Die Malware-Spezialisten werden diese Angriffstechniken im kommenden Jahr weiter verbessern und ausbauen und ihre Schadsoftware dediziert auf bestimmte Ziele ausrichten, so dass sie z. B. nur Computer mit einer spezifischen Konfiguration angreifen wird.
Sicher ist, dass 2013 eine wahre Flut von Bedrohungen und Malware mit sich bringen wird, wobei die Angriffsvektoren von sozialen Netzwerken über mobile Endgeräte bis hin zu den Mitarbeitern selbst reichen werden. So, wie die Security für Rechner und Betriebssysteme weiter verbessert werden wird, so werden sich auch die Techniken von Cyberkriminellen verbessern, mit denen sie dann die neuen Verteidigungsmaßnahmen umgehen werden. Alles in allem Grund genug, geeignete Security-Maßnahmen in 2013 nicht nur als guten Vorsatz, sondern als wichtige Grundlage für ein erfolgreiches Geschäftsjahr zu sehen.
Autorin: Christine Schönig, Technical Managerin, Check Point Software Technologies GmbH
Dabei werden in 2013, so die auf Security-Technologie spezialisierte Check Point® Software Technologies Ltd. (Nasdaq: CHKP), folgende Gefahren zunehmen und im Vordergrund stehen:
Gefahr #1: Social Engineering
Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen, nutzen Hacker eine Vielzahl von Techniken. Haben sie sich in der Vergangenheit aber auf eher "einfaches Austricksen", wie z. B. auf fingierte E-Mails oder vermeintlich firmeninterne Anrufe konzentriert, hat sich ihr Fokus heute auf Soziale Netzwerke wie Facebook oder LinkedIn verlagert. Denn dort sind viele der Detailinformationen, die Cyberkriminelle für ihre unlauteren Geschäfte brauchen, meist schon vorhanden und frei zu haben - ganz ohne Tricks. Das vertrauenswürdig erscheinende Profil eines Unternehmens oder auch nur einer Person, gefolgt von einer erfolgreichen Freundschafts- oder Verbindungsanfrage, kann schon genügen - und der Social Engineering-Angriff ist ins Rollen gebracht.
Gefahr #2: APTs
Die hohe Sensibilität für Social Engineering ist auch deshalb angezeigt, weil es Vorbote einer noch raffinierteren Angriffsform sein kann - so genannter APTs - Advanced Persistent Threats. Namhafte Beispiele für APTs, die in 2012 sowohl gegen Unternehmen als auch gegen staatliche Einrichtungen gerichtet waren, sind "Gauss" und "Flame". APTs sind äußerst hoch entwickelt, sehr differenziert geplant und kombinieren verschiedene Angriffstechnologien. Ihr Ziel ist, Zugriff auf ein Netzwerk zu erlangen und dort "still und leise" Informationen zu stehlen. Sie arbeiten nach dem "low-and-slow"-Prinzip, wodurch sie meist nur schwer zu erkennen und daher oft erfolgreich sind.
Dafür müssen APTs nicht zwingend auf verbreitete Programme wie Microsoft Word o.ä. abzielen. Sie können auch andere Vektoren, zum Beispiel Embedded Systems, also eingebettete Systeme, nutzen. In einer Welt, in der immer mehr Devices über eigene IP-Adressen verfügen, ist die Implementierung von Security in diese Systeme niemals wichtiger gewesen, als heute.
APTs werden vor allem deshalb weiter auftreten, weil sie nicht zuletzt von Regierungsstellen und anderen, kapitalstarken Organisationen als nützliches Cyber-Space-Tool zu Spionagezwecken dienen. APTs finden immer und überall statt, entsprechend wichtig ist es, verdächtige Anomalien im Netzwerkverkehr frühzeitig zu erkennen.
Gefahr #3: Interne Bedrohungen
Einige der größten Gefahren drohen allerdings nicht von außen, sondern kommen von innen. Attacken aus dem Inneren des Unternehmens heraus können besonders verheerend sein, denn ein privilegierter Anwender hat Zugriff auf die sensibelsten Daten. Durch eine vom U.S. Department of Homeland Security geförderte Studie fanden die Analysten des CERT Insider Threat Center am Softwareentwicklungsinstitut der Carnegie Mellon-Universität und der amerikanische Geheimdienst gemeinsam heraus, dass z. B. betrügerische Insider innerhalb der Finanzindustrie im Durchschnitt fast 32 Monate lang unentdeckt agieren in diesem Zeitraum enormen Schaden anrichten können. Vertrauen ist, wie man landläufig sagt, ja gut - zu viel davon kann ein Unternehmen jedoch sehr verwundbar machen.
Gefahr #4: BYOD - Bring Your Own Device
Auch in der Welt der mobilen Kommunikation spielt Vertrauen eine große Rolle, zumal die Unternehmen große Schwierigkeiten damit haben, dem ungebrochenen "Bring-Your-Own-Device" (BYOD)-Trend den richtigen Mix an Sicherheitstechnologien entgegen zu setzen. Die Anwender nutzen ihre mobilen Endgeräte zunehmend so, wie ihre PCs, und machen sich damit auch in der mobilen Welt zum beliebten Angriffsziel für webbasierte Attacken.
Es ist zu erwarten, dass Cyberkriminelle künftig mehr Energie auf die Entwicklung von Funktionen verwenden werden, mit deren Hilfe sie die App-Überprüfungs- und Erkennungsmechanismen umgehen können, die von den Anbietern heute zum Schutz ihrer App-Märkte aufgeboten werden. Die Flut von iPhones, Google Android-Geräten und anderen Devices, die heute in die Unternehmen hineinschwappt, eröffnet Hackern also einen weiteren, viel versprechenden Angriffsweg, der entsprechend abgesichert werden muss.
Gefahr #5: Cloud Security
BYOD ist allerdings nicht die einzige Gefahr, die Unternehmen dazu zwingt, die Mauern um ihre schützenwerten Daten neu zu konstruieren. Es gibt da auch noch diesen "kleinen" Trend zu Cloud Computing. Je mehr Unternehmen immer mehr Informationen in öffentliche Cloud-Services stellen, umso attraktiver werden diese Services als Angriffsziele - und können für die betroffene Organisation zum "Single Point of Failure" werden. Die Unternehmen sollten daher gegenüber ihren Cloud-Providern das Thema Security als besonders wichtig herausstellen und ihre entsprechenden Anforderungen deutlich machen.
Gefahr #6: HTML5
So, wie die Verbreitung von Cloud Computing die Angriffsflächen der Unternehmen vergrößert hat, so wird auch HTML5 zum Aufkommen neuer Gefahren beitragen. Auf der diesjährigen Black Hat-Konferenz, die Security-Profis Hinweise auf eventuelle, neue Gefahren gibt, wurden der plattformübergreifende Support von HTML5 und seine Integration verschiedener Technologien als Türöffner für neue Attacken diskutiert, etwa über den möglichen Missbrauch von Web Worker-Funktionalitäten. Zwar erhält die Sicherheit von HTML5 eine zunehmend hohe Aufmerksamkeit, doch allein die Tatsache, dass es neu ist impliziert, dass die Entwickler bei seiner Nutzung Fehler machen werden - Fehler, auf die die Angreifer schon warten. Für das kommende Jahr ist daher ein Anstieg von HTML5-orientierten Attacken zu erwarten, die sich mit der zunehmenden Verbesserung gezielter Security-Maßnahmen aber graduell abschwächen sollte.
Gefahr #7: Botnets
Doch auch, wenn im kommenden Jahr in Sachen "beste Angriffs-Innovation" ein wahrer Wettbewerb zwischen Forschern, Entwicklern und Angreifern entstehen mag - nicht zuletzt werden Cyberkriminelle auch viel Zeit darauf verwenden, das zu perfektionieren, was sie schon sehr gut beherrschen - zum Beispiel werden sie für eine hohe Verfügbarkeit und Verbreitung ihrer Botnets sorgen. Zwar waren legale Take-Downs, wie sie von Unternehmen wie Microsoft durchgeführt wurden, erfolgreich und brachten Spam- und Malware-Operationen vorübergehend zum Erliegen. Doch es wäre naiv anzunehmen, dass die Angreifer nicht das, was sie aus diesen Take-Downs gelernt haben, für die Optimierung ihrer weiteren Aktivitäten nützen würden. Botnets sind sehr präsent, und werden es bleiben.
Gefahr #8: Präzise ausgerichtete Malware
Woraus Angreifer außerdem gerne lernen, ist die Vorgehensweise von Forschern bei der Analyse von Malware. Als Ergebnis traten kürzlich neue Techniken auf, mit deren Hilfe die Malware-Analyse umgangen werden kann und völlig ineffizient wird. Dies ist möglich durch die Entwicklung und den Einsatz von Malware, die in keiner anderen Umgebung korrekt ausgeführt werden kann als in der, auf die sie tatsächlich abzielt. Beispiele für solche Attacken sind Flashback und Gauss. Beide waren darin erfolgreich, insbesondere Gauss, die Netzwerkanalysten von einer automatisierten Malware-Analyse abzuhalten. Die Malware-Spezialisten werden diese Angriffstechniken im kommenden Jahr weiter verbessern und ausbauen und ihre Schadsoftware dediziert auf bestimmte Ziele ausrichten, so dass sie z. B. nur Computer mit einer spezifischen Konfiguration angreifen wird.
Sicher ist, dass 2013 eine wahre Flut von Bedrohungen und Malware mit sich bringen wird, wobei die Angriffsvektoren von sozialen Netzwerken über mobile Endgeräte bis hin zu den Mitarbeitern selbst reichen werden. So, wie die Security für Rechner und Betriebssysteme weiter verbessert werden wird, so werden sich auch die Techniken von Cyberkriminellen verbessern, mit denen sie dann die neuen Verteidigungsmaßnahmen umgehen werden. Alles in allem Grund genug, geeignete Security-Maßnahmen in 2013 nicht nur als guten Vorsatz, sondern als wichtige Grundlage für ein erfolgreiches Geschäftsjahr zu sehen.
Autorin: Christine Schönig, Technical Managerin, Check Point Software Technologies GmbH
