IT-Bedrohungen entwickeln sich rasant weiter und vergrössern dabei ihre Angriffsreichweite. Jüngste Vorfälle wie Wannacry und Nyetya zeigen gemäss dem gerade veröffentlichten Cisco Midyear Cybersecurity Report (MCR) die rasche Verbreitung und breite Wirkung von Angriffen, die wie traditionelle Ransomware aussehen, jedoch viel zerstörerischer sind (Destruction of Service, DeoS). Die Angreiferseite ziele zunehmend auf die Zerstörung von Backups und Sicherheitsnetzen der Unternehmenm so der Report.
Aktuellen Sicherheitspraktiken steht laut Ciscos Report ein Wandel in den Angriffsformen gegenüber. Bremtane Moudjeb, Head of Cyber Security bei Cisco Schweiz, hebt die Grössenordnung solcher neuer Cyberbedrohungen hervor: "Die Schweiz stellt im aktuellen, weltweiten Trend keine Ausnahme dar: Der Markt verzeichnet ein enormes Wachstum an Ransomware-Attacken. Darunter befinden sich auch komplexere Fälle wie Nyetya. Das E-Mail ist nicht länger die Hauptkomponente, welche derartige Bedrohungen in sich trägt. Auch das Netzwerk wird zum neuen Medium, welches Cyber-Angriffen ausgeliefert ist."
So verzeichnete Cisco einen markanten Rückgang von Exploit-Kits, während bewährte Angriffe via E-Mail wieder aufleben, um Malware zu verteilen und Umsatz zu generieren: Malware mit neuen Angriffs-, Verschleierungs- und Umgehungstechniken flankiere nun vermehrt die Spam-Mails.
Cisco hat hat in seinem Report folgende Schwerpunkte analysiert:
* Destruction-of-Service-Angriffe: Diese können Backups und Sicherheitsnetze von Unternehmen zerstören, die zur Wiederherstellung von Systemen und Daten nach einem Angriff erforderlich sind. Erfolgreiche Angriffe dieser Art sind sehr schädlich, warnt Cisco, da Unternehmen keine Möglichkeit der Wiederherstellung bleibt.
* "Dateilose Malware": Man entdecke zunehmend "dateilose Malware“, die nicht auf der Festplatte, sondern nur im flüchtigen Speicher vorliegt. Sie lasse sich schwerer erkennen oder untersuchen, da ein Neustart die Malware zunächst löscht. Zudem nutzten die Angreifer anonymisierte und dezentrale Infrastrukturen, etwa einen Tor-Proxy-Dienst, um C2-Aktivitäten (Command and Control) zu verschleiern.
* Ransomware as a Service: Durch die Weiterentwicklungen der Ransomware können Kriminelle Angriffe unabhängig von ihren Kenntnissen einfacher ausführen, so Cisco. Ransomware habe 2016 einen Schaden von über einer Milliarde Dollar verursacht.
* Business E-Mail Compromise (BEC-Angriffe, auch "Chefbetrug“ oder "CEO Fraud“ genannt): Diese Art der Social-Engineering-Angriffe verleitet Mitarbeiter dazu, über eine offiziell aussehende E-Mail (scheinbar von einem Vorgesetzten, daher "Chefbetrug“) Überweisungen an die Angreifer auszuführen. Zwischen Oktober 2013 und Dezember 2016 haben Betrüger laut Internet Crime Complaint Center über BEC-Angriffe insgesamt 5,3 Milliarden Dollar gestohlen.
* Spyware und Adware: Cisco hat laut eigenen Angaben 300 Unternehmen über einen Zeitraum von vier Monaten untersucht und festgestellt, dass jedes fünfte von ihnen (20 Prozent) durch Malware aus drei vorherrschenden Spyware-Familien infiziert wurde. In einer Unternehmensumgebung könne Spyware Benutzer- und Firmeninformationen stehlen, die Sicherheit von Geräten schwächen und Malware-Infektionen erhöhen.
Angesichts solcher Entwicklungen ist die Wirksamkeit von Sicherheitspraktiken entscheidend, betont man bei Cisco. Entscheidend sei ein möglichst kleines Zeitfenster zwischen einem Angriff und dem Erkennen einer Bedrohung (Time to Detection, TTD). Denn so könne man den Aktionsraum der Angreifer begrenzen und Schäden minimieren. Wie Cisco bekundet, habe man in den letzten sechs Monaten die Zeit bis zur Erkennung von Angriffen im Mittel auf etwa 3,5 Stunden verringern können.
Handlungsempfehlungen
Um Angriffe auf Unternehmensnetze oder auch IoT-Infrastrukturen zu bekämpfen, empfiehlt Cisco das folgende Vorgehen:
* Infrastruktur und Anwendungen sollten stets auf dem neuesten Stand sein, damit Angreifer bekannte Schwachstellen nicht ausnutzen können.
* Ein integrierter Verteidigungsansatz reduziert die Komplexität; es gilt, isolierte Investitionen zu vermeiden.
* Die Führungsebene sollte frühzeitig einbezogen sein, um umfassendes Verständnis der Risiken, Vorteile und Budgeteinschränkungen zu gewährleisten.
* IT-Organisationen sollten eindeutige Kennzahlen definieren, um Sicherheitspraktiken zu validieren und zu verbessern.
* Unternehmen sollten Sicherheitsschulungen nicht übergreifend durchführen, sondern auf die jeweilige Funktion der Mitarbeiter abstimmen.
* Verteidigung und aktive Reaktion müssen ausbalanciert sein, Sicherheitskontrollen oder Prozesse nicht "einmal eingerichtet und vergessen“.
