Ryan Trost, CTO und Co-Founder von ThreatQuotient
In den Unternehmen laufen die Budgetsitzungen für 2020, und die IT-Sicherheitsteams müssen ihre bisherigen Abwehrmaßnahmen auswerten und frühere Angriffe analysieren, um künftige Angriffstrends prognostizieren zu können. Eine schwierige, aber lohnende Aufgabe für die Sicherheitsmanager, die versuchen müssen, den künftigen Kurs der Gegner abzuschätzen und ihnen nach Möglichkeit mehrere Schritte voraus zu sein. Meistens bleiben die Angreifer ihren Methoden treu und variieren ihre Attacken nur geringfügig – denn warum etwas verändern, das bislang funktioniert hat? Was uns gleich zur ersten Prognose für 2020 bringt.
Stärkere Konzentration von Cloud-Angriffen. Die Unternehmen setzen weiterhin auf Cloud-Implementierungen, sowohl private als auch öffentliche, um Geld zu sparen und ihre IT-Abteilungen zu entlasten. Bei privaten Clouds haben die Teams ein wenig mehr Kontroll- und Aufsichtsmöglichkeiten, doch die öffentlichen, mandantenfähigen Cloud-Implementierungen bieten einem Angreifer vielversprechende Ziele. Er muss sich seine Opfer nicht einzeln zusammensuchen, wenn er gleich die „ganze Herde“ infiltrieren kann. Wenn ein Angreifer genau studiert, wie eine bestimmte Cloud-Technologie funktioniert, von der Infrastruktur bis zur Verteidigung, kann er seine Effizienz steigern und die Angriffskosten erheblich senken.
Die meisten Angreifer sind auf finanzielle Bereicherung aus, und eine wichtige operative Kennzahl sind für sie ihre Betriebskosten. Ähnlich wie bei unseren Abwehr-Budgets müssen die Gegner ihre Betriebskosten gegen ihre potenziellen Gewinne abwägen. Wenn es Angreifern gelingt, sich Zugang zu einer Cloud-Umgebung zu verschaffen, können die finanziellen Gewinne exponentiell hoch sein – entsprechend groß also die Motivation.
Damit soll nicht gesagt sein, dass alle Cloud-Implementierungen fluchbeladen sind, doch wenn es um die Entscheidung geht, welche Cloud-Umgebung gewählt werden soll, müssen die Sicherheitsteams unbedingt ein Mitspracherecht haben. Sie müssen die Sicherheitsverfahren des Cloud-Anbieters bewerten und prüfen, um sich zu vergewissern, dass er seinen Sorgfaltspflichten nachkommt. So muss beispielsweise gewährleistet sein, dass sich der Cloud-Anbieter routinemäßig Penetrationstests unterzieht und nicht nur alle dabei entdeckten Schwachstellen behebt, sondern sein Sicherheitsteam auch schnell reagiert.
Drastisches Wachstum bei Botnet-Armeen. Botnet-Armeen sind eigentlich nichts Neues. Wenn jedoch immer mehr Endgeräte in Haushalten vernetzt werden und Schulen jedem Schüler einen eigenen Computer zur Verfügung stellen, öffnet das Tür und Tor für eine großflächige Übernahme. Natürlich ist es von Vorteil ist, wenn jeder Schüler mit einem eigenen Tablet (oder gleichwertigen Produkt) lernen kann. Es wird einem allerdings schwer fallen, einen legitimen Grund zu finden, warum der eigene Kühlschrank eine Internetverbindung oder gar eine Videokonferenzfunktion brauchen sollte. Bei Botnet-Armeen geht von den einzelnen Geräten keine nennenswerte Bedrohung aus, doch wenn Cyberkriminelle sie in Massen kontrollieren, werden sie zu einem äußerst schlagkräftigen Angriffswerkzeug. Gleich, ob Botnet-Armeen Rechenressourcen liefern sollen (denken Sie etwa an Brute-Force-Angriffe auf Passwörter) oder zur Durchführung von Denial-of-Service-Angriffen eingesetzt werden: Sie werden mit Sicherheit massiv zulegen.
Ein OT-Netzwerk wird Opfer eines Ransomware-Angriffs werden. OT-Netzwerke sind unverzichtbar für Öl-, Gas- und Energieversorger, und Gleiches gilt für große Fertigungsindustrien wie die Automobilbranche. Diese Umgebungen laufen vielfach mit älteren Infrastrukturen und Technologien und werden nur selten auf den neuesten Sicherheitsstand gebracht. Häufig werden OT-Netzwerke auch übersehen, weil sie nicht die traditionellen Schwachstellen haben, die die meisten Unternehmen verteidigen – aus zwei wesentlichen Gründen: 1) Sie sind im Allgemeinen nicht mit dem Internet verbunden und haben 2) keine hohe Zahl von Endnutzern, die für raffinierte Spear-Phishing-Angriffe per E-Mail anfällig oder klickfreudig im Web unterwegs sind. Da Hersteller jedoch mit ihren Produktmarken leben und sterben, sind sie oft geneigt, Forderungen von Erpressern nachzugeben, und das wiederum erhöht die Gefahr von Ransomware-Angriffen. Es ist davon auszugehen, dass Hacker 2020 in mindestens ein wertvolles OT-Netzwerk eindringen und Lösegeld erpressen werden.
