Zehn Trends – Cyber Security

Trend ist eine Entwicklung, die über einen gewissen Zeitraum bereits beobachtbar, statistisch erfassbar, ist. Dieser Artikel ist kein Blick in die Glaskugel, sondern eine Beschreibung und Abschätzung von aktuellen Vorgängen. Die Darstellung der Auswirkungen, die diese Bedrohungen haben können, sollen motivieren. Motivieren Handlungen vorher zu setzen und damit den möglichen Schaden zu reduzieren. Vielleicht aber auch ermöglichen einen Schaden gänzlich zu vermeiden. Damit ist vor allem der immaterielle Schaden des Reputationsverlustes gemeint.

Was sind nun die Trend Felder/ Themen

  1. Dauerhafte Änderung der Arbeitswelt durch Lockdowns
  2. Patch Management wird zu einer Prioritäten der Führung
  3. Ransomware ist gekommen um zu bleiben – als Nummer Eins Bedrohung
  4. Supply Chain Angriffe werden steigen und werden individualisiert ablaufen
  5. Suche nach einem einheitlichen Standard, um IT Sicherheit greifbar, sichtbar und bewertbar zu machen
  6. Die Nachfrage nach Security Operations Center Dienstleistungen wird steigen
  7. Multi Faktor und passwortlose Authentifizierung werden vermehrt eingesetzt
  8. Cyber Security Angriffe werden unterschwellig geführt und werden zunehmen
  9. Angriffe werden sich vor allem auf den primären und sekundären Wirtschaftssektor konzentrieren
  10. Drive-By und dateilose Angriffe über kabellose Netzwerke zielen vor allem auf Home Office Umgebungen ab

Änderung der Arbeitswelt

So wie Organisationen auf die Pandemie reagiert haben und die eigene Belegschaft in Home Office Umgebungen umgeschichtet haben, so hat sich auch die Angriffsfläche der Organisation selbst verändert. Angreifer nutzen diesen Zustand und passen sich den Umständen an, um diese Schwachstellen auszunutzen, die sie für besonders empfänglich halten.

Über klassische Medien, wie eMail, Telefon und Direktnachrichten werden Information zu Covid-19 verteilt. Es wird für gemeinnützige Organisationen Werbung gemacht, die Einsatzorganisationen unterstützen. Hier gibt es aber auch Akteuere, die vorgeben Produkte zur Heilung und Schutz vor Covid-19 Infektionen zu verkaufen. Von der Handdesinfektion, über Essen bis hin zu sonstiger Schutzausrüstung.

Mit der Pandemie hat sich ein Teil der Geschäftstätigkeiten allgemein in das Internet verlagert. Dementsprechend haben auch Kriminelle ihr Tätigkeitsprofil angepasst. Das österreichische Bundeskriminalamt stellt hier eine Steigerung im Jahresvergleich von rund 26% im Jahr 2020 fest. Diese Steigerungsrate wird wohl der unterste Rand sein, wenn andere Quellen von über 600% Steigerungsraten ausgehen. Gründe sind hier vor allem, dass entweder der Betroffene es nicht bemerkt und vor allem nicht meldet.

Alle warten wir, wie sich der Virus und die Pandemie weiterentwickeln. Ob es einen weiteren Lockdown geben wird, oder auch nicht, interessiert auch viele Menschen. Sicher ist nur, dass die Bedrohung durch Cyber Crime stetig steigen wird.

Lockdowns haben die Art und Weise, wie Geschäfte gemacht werden, grundlegend geändert. Offensichtlich ist die Senkung von Kapitalbindung (vgl.: capital expenditures, capex ) neben einer massiven Verlagerung der Mitarbeiter in das Home Office. (Prodoscore sieht eine Steigerung der Produktivität durch den Einsatz von Home Office von rund 47% im Jahresvergleich. Näheres hier) Es ist ein Trend zu beobachten, dass Büroflächen in zentralen Lagen zumindest verringert werden. Die Flexibilität, die Organisationen durch den Einsatz von Home Office, gewinnen, bietet Organisationen auch die Möglichkeit strukturelle und organisatorische Änderungen umzusetzen.

Auch wenn es einen Maßnahmenkatalog und Plan gibt, um die Einbindung von Home Office Umgebungen in das Sicherheitskonzept der Organisation zu gewährleisten, kann es immer zu einem Zwischenfall kommen. Je größer die Anzahl der Home Office Benutzer ist, desto wahrscheinlicher wird es zu einem Zwischenfall kommen. Es gibt einen großen Unterschied zwischen reeller Effektivität und Wirkung von eingesetzten Schutzmaßnahmen und der angenommen Schutzstellung durch das Management. Meist ist eine falsch geleitete Risikobewertung der Grund. Eine Risikobewertung beruht in diesem Bereich vor allem auf Erfahrungen aus der Vergangenheit und (Experten-) Schätzungen als Basis für eine Bewertung. Bei dieser Form von Risiko ist dieser Ansatz nicht ziehlführend, um das entsprechende neue Risiko zu bewerten, geschweige denn, es vor allem zu erkennen. Der klassische Bewertungsansatz führt zu einem blinden, ungeschützten Bereich und das machen sich die möglichen Angreifer zu Nutze. Der klassischen Methode der Risikobewertung, und in weiterer Folge der Führung, fehlen Mittel und Methoden, um die Lage in diesem Bereich qualifiziert zu beurteilen.

Patchmanagement

Erfolg haben Angreifer in der Hauptsache, wenn ein System und seine dazugehörige Software nicht regelmäßig gewartet werden – auf neudeutsch nicht gepatcht werden. Das Ponemon Institut hat dazu in einem Bericht festgestellt, dass 2019 rund 60% aller Schutzverletzungen auf ungewarteten, oder nicht vollständig gewarteten, Systemen vorgefallen sind. Das ist einer der Gründe, warum Wartung ein Management Thema ist. Hinzukommt, dass bei dem Einsatz vor allem von Cloud Technologien, es nicht mehr möglich ist ein Patch- und Release Management nach altem Muster umzusetzen. An diese Stelle tritt ein (agiles) Life Cycle Management, dass nur mehr externe Ressourcen verwaltet, periodisiert und einsetzt. Software- und Hardware Wartung werden zu einem kontinuierlichen Prozess – wie ich es hier bereits beschrieben habe. Vorteile können sich daraus ergeben, wenn der Hersteller eine Standardisierung und Konsolidierung zulässt. Das ermöglicht Vorhersagbarkeit und Wiederholbarkeit von Ergebnissen. Der Weg dorthin kann laufend angepasst und verbessert werden.

Ransomware

Was Ransomware ist und welche grundlegenden Maßnahmen man treffen kann, können sie hier nachlesen. Um dem Thema die notwendige Aufmerksamkeit zu geben hier ein paar schockierende Fakten:

  • Ein Todesfall steht im Zusammenhang mit einem Ransomware Angriff auf das Uniklinikum Düsseldorf. (Vgl.: Artikel hier)
  • ¾ aller von Ransomware betroffenen Organisationen hatten einen aktuellen Endgeräte Schutz aktiviert.
  • 50% von 582 befragten IT Verantwortlichen gehen davon aus, dass ihre Organisation nicht ausreichend vorbereitet ist einem Ransomware Angriff zu widerstehen.

Diese Aussagen zeichnen ein düsteres Bild. Es geht aber leider noch weiter. Ein Ransomware Angriff endet nicht mehr mit der blossen Verschlüsselung von Daten, sondern diese Daten werden extrahiert. Damit soll auf der einen Seite die kompromittierte Organisation durch Veröffentlichung unter Druck gesetzt werden sich doch frei zu kaufen. Auf der anderen Seite können die Daten auch vermarktet werden. Hierzu eignen sich besonders gut Gesundheitsdaten.

Erschwerend kommt hinzu, dass es Regulative, Compliance Regeln gibt, die Sicherheitsmaßnahmen aushebeln können.

Supply Chain Angriff

Hier möchte ich vor allem auf die Pressemitteilung der  europäische Agentur für Cyber Sicherheit (vgl.: ENISA) verweisen. Was diese Art von Angriff vor allem auszeichnet ist, dass herkömmliche Sicherheitsmechanismen umgangen werden. Schadsoftware wird über eine vertrauenswürdige Stelle ausgeliefert. Die vertrauenswürdige Stelle ist meist der Hersteller. Der Schadmechanismus wird dem Hersteller untergeschoben. Das geht so weit, dass zum Beispiel ganze Serien von USB Sticks mit Schadmechanismen ausgestattet werden, um möglicherweise ein potentielles Opfer zu erwischen. Der Kollateralschaden wird hier in Kauf genommen.

Solche Art von Schadsoftware und Schadmechanismus ist stets abrufbereit bei allen Mitgliedern einer Versorgungskette. Die Versorgungskette ist in diesem Fall der Hersteller und seine Kunden. Eine gängige Vorgehensweise ist es sich des bestehenden Update Mechanismus zu bedienen, um Schadcode quasi Huckepack, auszuliefern. Die Schadfunktion wird erst bei Bedarf aktiviert und möglicherweise erst zur Laufzeit konfektioniert – individuell zusammengesetzt. Grundsätzlich hilft hier eigentlich nur ein vertrauensfreier Architekturansatz. Vertrauensfrei heisst in dem Fall, dass immer zur Laufzeit der Kontext von Rolle und Funktion gegen die aktuelle Berechtigung geprüft wird. Berechtigung ist die Zugriffs- und Ausführungsberechtigung und kann mehrstufig ausgestaltet sein.

Zertifizierung

Analog zum Reifegradmodell Code Maturity Model (vgl.: CMM) aus der Softwareentwicklung hat sich, ebenfalls aus dem US Verteidigungsministerium heraus getrieben, das Cyber Security Maturity Model Certification (vgl.: CMMC) entwickelt. CMMC vereint vor allem etliche NIST Standards und ISO Standards aus der 27000 Reihe. Nachzulesen hier

Das österreichische Informationssicherheitshandbuch und Publikationen des bundesdeutschen Bundesamts für Sicherheit in der Informationssicherheit bieten hier entsprechende auch Unterlagen, Checklisten und Handlungsanleitungen an. Wie im CMMC Modell wird hier eine Vereinheitlichung und Standardisierung von sicheren Verarbeitungsformen propagiert. Normen und Richtlinien, wie die ISO 27000 bauen auf diesen Modellen auf.

CMMC kann als ein Überbau betrachtet werden, denn es werden Kontroll- und Steuerungselemente in diesem Modell beschrieben.

CMMC ermöglicht es anhand von fünf Stufen den umgesetzten Sicherheitsstandard zu bestimmen. Stufe eins bis fünf,

  1. Basic Cyber Hygiene

17 Praxisvorlagen

  1. Intermediate Cyber Hygiene

72 Praxisvorlagen

  1. Intermediate Cyber Hygiene extended

130 Praxisvorlagen

  1. Proactive

156 Praxisvorlagen

  1. Advanced/Progressive

171 Praxisvorlagen

Die Bewertung erfolgt in den Kategorien,

  • Cyber Security
  • Managed Security
  • Network Vulnerability
  • Penetration Testing
  • Recent Cyber Attacks
  • Social Engineering

Security Operations Center (vgl.: SOC)

SOC ist eine Organisationseinheit, die im laufenden Betrieb, Informationsflüsse überwacht. Bei Auftreten von Unregelmäßigkeiten und Abweichungen werden Gegenmaßnahmen zur Aufrechterhaltung der Geschäftsfähigkeit eingeleitet und umgesetzt. Diese Organisationseinheit ist für die Überwachung und Sicherstellung – Vertraulichkeit, Verfügbarkeit und Integrität – aller Informationsflüsse zuständig. Ein Informationsfluss kann auch ausserhalb der Organisation beginnen und enden. Das fällt ebenso, soweit zulässig, in den Aufgabenbereich eines SOCs. SOCs bedienen Unterstützungsprozesse einer Organisation. Diese Art von Unterstützungsprozess ist nicht organisationsspezifisch und kann über Organisationsgrenzen hinweg geteilt werden. Auf absehbare Zeit wird entsprechend der Markt für Dienstleister und Dienstleistungen aus dem Bereich SOC steigen.

Unterstützt wird der Trend durch die stark steigende Komplexität, Art und Umfang von Netzwerkinfrastrukturen. Schlagworte dazu sind, Bring Your Own Device (vgl.: BYOD), SIEM, IDS und IPS.

Multifaktor Authentifizierung

Multifaktor Authentifizierung (vgl.: MFA) wird derzeit als der Goldstandard bezüglich sichere Methoden zu Authentifizierung von Benutzern durch die Organisation betrachtet. Diese Methode ist aber nicht uneingeschränkt sicher. Vor allem wenn das Trägermedium für den Rückkanal direkt oder indirekt Manipulation zulässt. Hier kommt es vor allem bei dem Einsatz von SMS als Rückkanal zu Man-In-The-Middle Angriff. Es bieten sich Software und Hardware Lösungen an. Hier ist vor allem Yubikey zu nennen. Ein Hardware Token mit mehreren Schnittstellen, zwei Speicherplätzen für Schlüssel und für allen gängigen Standards verwendbar. Der Weg geht hin in Richtung Zero Trust Architektur.

Unterschwellige Angriffen

Nationale Interessen und deren Durchsetzung im Netz haben meist keinen offiziellen Charakter, geschweige denn werden sie angekündigt. Meist geht es hier um wirtschaftliche und geopolitische Interessen, wie zwischen den Machtblöcken Indien und China zum Beispiel. Aktivitäten im Netz haben den Vorteil, dass sie am Anfang unter einer Wahrnehmungsschwelle erfolgen und entsprechend keine sofortige Gegenreaktion erfolgen kann. Je länger die aggressive Onlineaktivität zurückliegt, desto geringer ist das Niveau der Gegenreaktion. Es steht aber zu befürchten, dass es irgendwann eskaliert, wie es zum Beispiel der US amerikanische Präsident, Joe Biden, darstellt.

Angriffsziele

Vor allem der primäre und sekundäre Wirtschaftssektor, wie Abbau und Gewinnung von Bodenschätzen, Transport, Bauwesen und Energie sind bereits erkannte und lohnende Angriffsziele. Sie wurden bereits neben Krankenhäuser auch Pipelinebetreiber Opfer von Ransomware Angriffen.

Drive By Angriffe

Unterstützt durch den Trend Home Office und der Mobilität der Endbenutzern vergrößert sich die Angriffsfläche einer Organisation immens. Um die vergrößerte Angriffsfläche zu nutzen, konzentrieren sich die Angreifer und ihre Aktivitäten bereits darauf. Hinzu kommt noch der vermehrte Einsatz von Internet of Things (vgl.: IoT) Geräten, wie Beleuchtung, Klima, Schliesssysteme uvm. IoT ist ein Problem deshalb, weil einerseits das IoT Gerät im selben Netzwerk, wie der (Home Office) Benutzer ist und der Benutzer ist aber über ein virtuelles privates Netzwerk (vgl.: VPN) mit der Organisation verbunden. Es kommt hinzu, dass Wartung und Reaktion auf bekannte Schwachstellen bei IoT Geräten nachweislich sehr schleppend, wenn überhaupt, erfolgt – sechs Monate und mehr sind leider die Regel. Um preislich ansprechend zu bleiben ist Sicherheit bei den meisten Anbietern von IoT Geräten aus Kostengründen nicht die oberste Priorität. Der Angreifer muss nur, wie ein Fischer, sein Schleppnetz auswerfen. Ein WLAN Scan, um verletzbare IoT Geräte zu finden, reicht völlig aus. Auch wenn IoT Geräte über sehr beschränkte Ressourcen verfügen, reichen sie alle Mal aus, um zum Beispiel ein DDOS Angriff tatkräftig zu unterstützen.

Share on:

Schreibe einen Kommentar