Wir blicken auf ein für Angreifer erfolgreiches Jahr 2021 zurück. Petit-Potam, Log4j und viele andere Schwachstellen ermöglichten es Angreifern, Schadsoftware zu platzieren, Systeme zu übernehmen oder Daten zu stehlen. Betroffen waren kleine, große, staatliche, privatwirtschaftliche, gut vorbereitete und schlecht vorbereitete Organisationen. Kurzum: Jeder kann Opfer eines Sicherheitsvorfalles werden. Blue Teams, Systemadministratoren und Sicherheitsverantwortliche haben sich Nächte um die Ohren geschlagen und dabei Angriffe abgewehrt, Systeme geupdated und die Messlatte der eigenen IT-Sicherheit immer wieder nach oben korrigiert. Trotzdem ist es möglich, dass Angriffe erst spät oder gar nicht entdeckt werden. Die Situation bleibt angespannt.
"Hello, Dave. I think we may be on to an explanation of the trouble with the Hal 9000 computer. We believe it started months ago when you and Frank interrogated the computer about the Mission."
– Simonson
Zusammenfassend lässt sich sagen, dass das Jahr 2021 aus Sicht der IT-Security eine Odyssee mit vielen Schreckmomenten war. Doch diese Odyssee endet nicht mit dem Jahr 2021, sondern wird sich 2022 fortsetzen.
Die Odyssee geht weiter
Schauen wir uns gemeinsam an, welche IT-Security Trends das Jahr 2022 für uns bereithält, wie sie unsere Odyssee beeinflussen und ob diese nicht nur eine Wiedergeburt alter Themenfelder ist.
Angriffe auf Identitäten
Als logische Konsequenz des Wechsels von On-Premises-Infrastrukturen zu Cloud-Services stehen Identitäten stärker denn je im Fokus von Angreifern.
Durch Angriffsszenarien wie Phishing oder Smishing werden Login-Daten erbeutet. Hierbei täuschen die Angreifer in E-Mails oder Messenger Nachrichten vor, dass dringend Handlungsbedarf bestehe und die eigenen Anmeldedaten geändert oder erneut eingegeben werden müssen. Hierzu werden diverse Vorwände genutzt, wie beispielsweise. ein angeblich abgelaufenes Kennwort oder eine Handlungsanweisung eines Vorgesetzten.
Die E-Mails oder Nachrichten sind mittlerweile kaum mehr von echter Kommunikation zu unterscheiden und leiten, bei einem Klick auf den enthaltenen Hyperlink, auf eine präparierte Webseite weiter. Dort angekommen werden die Anmeldedaten eingegeben und an einen Server des oder der Angreifer übermittelt. Der Angreifer ist nun in der Lage die Anmeldedaten zu nutzen.
Neben dem Phishing und Smishing ist eine weitere beliebte Angriffsart das Credential Stuffing. Hier werden Benutzer- und Passwortlisten aus vorherigen Hacks erbeutet genutzt und im Anschluss wird durch automatisches Testen versucht Zugriff auf Benutzerkonten zu erhalten. Eine wirkliche Bedrohung stellt diese Art des Angriffes deshalb dar, weil die meisten Menschen bequem sind: Passwörter werden mehrfach genutzt und häufig entspricht der Anmeldename der E-Mail-Adresse. Diese Bequemlichkeit ermöglicht es Kriminellen oder anderen Akteuren, durch mehrfach verwendete Passwörter Zugriffe zu erhalten und die Auswirkungen des Angriffes zu verstärken.
Lieferketten Angriffe
Zunehmend geraten auch digitale Lieferketten ins Visier von Angreifern. Das Ziel dieser Angriffe ist es, über Dritte das Hauptziel zu erreichen oder zu stören. Das Motto hierbei lautet: Die gesamte Kette ist nur so stark, wie ihr schwächstes Glied. Die meisten Supply-Chain-Angriffe sind zielgerichtet und starten bei dem verwundbarsten Glied der Kette.
Nach einem erfolgreichen Kompromittieren eines Dritten wird versucht weiteren Schäden anzurichten, in dem Prozesse und Abhängigkeiten gestört oder Zugänge zu den weiteren Mitgliedern der Lieferkette genutzt werden. Allerdings beschränken sich Lieferketten Angriffe nicht nur auf Organisationen und deren Zulieferer, sondern können beispielsweise auch in der Welt der Software eine große Rolle spielen.
Moderne Software besteht aus mannigfaltigen Code-Bibliotheken. Die Zusammensetzung von Code-Bibliotheken bildet die Lieferkette einer Software. Wird nun über eine dieser Bibliotheken schadhafter Code eingeschleust, war der Angriff erfolgreich und die Angreifer können weiteren Schaden anrichten.
Angriffe auf Lieferketten funktionieren deswegen so gut, weil jedes Glied den anderen Gliedern in der Kette vertraut. Durch diese Vertrauensstellung haben Angreifer ein leichtes Spiel, da sie nach einem erfolgreichen Kompromittieren ebenfalls das Vertrauen der anderen Mitglieder genießen.
Digitale Erpressung
Ransomware - Diese Art des Cyberangriffes beschäftigt die Branche seit Ewigkeiten. Die Art und Weise wie Ransomware funktioniert, ist (methodisch gesehen) immer die gleiche. Eine Schadsoftware wird platziert, verschlüsselt Systeme und pflanzt sich durch diverse IT-Systeme und Kommunikationswege einer Organisation fort.
Nach der erfolgreichen Verschlüsselung hat die Organisation durch die Zahlung eines Geldbetrages (meistens mit Kryptowährung) die Möglichkeit, ihre Daten wieder freizukaufen. Seit ca. 2005 (Quelle: BSI) tritt Ransomware in verschiedenen Ausprägungen verstärkt in Erscheinung. Die bekannteste Welle dürfte WannaCry (2017) gewesen sein. Hierbei wurden in über 150 Ländern mehr als 200.000 Windows Maschinen verschlüsselt. WannaCry war ein Wurm, der sich selbstständig verbreitete. Der Eintrittsvektor war eine Schwachstelle im Microsoft Betriebssystem.
Neben diesen Trends werden auch die Entwicklungen im Bereich der Künstlichen Intelligenz sowie das Thema Cloud Computing die bekannten Angriffsarten verändern (bspw. Deepfakes) und die Möglichkeiten für Kriminelle und andere Akteure erhöhen. Es wird vermehrt Cybercrime-as-a-Service-Angebote geben und auch DDoS-Angriffe werden weiter stattfinden.
„Stop Dave. Stop Dave. I am afraid. I am afraid Dave.“
– HAL 9000
Am Ziel angekommen?
Das Jahr 2022 wird uns also weiterhin eine beschwerliche Odyssee bescheren! Cyberangriffe bleiben nach wie vor ein beträchtliches Risiko für Organisationen. Oft treten die zuvor betrachteten Angriffsziele und -arten sogar gemeinsam in Erscheinung oder sind Teil einer größeren Kampagne.
Umso wichtiger ist die Frage: Wie reagiert eine Organisation auf die sich verschärfende Situation?
Hierbei ist es wichtig zu begreifen, dass es nie einen hundertprozentigen Schutz gibt. Jeder, der etwas anderes erzählt lügt oder hat keine Ahnung! Es ist unabdingbar, durch ein Risikomanagement die Situation und potentielle Angriffsvektoren zu bewerten und abhängig davon Maßnahmen abzuleiten.
Zusätzlich lassen sich aber allgemeingültige Maßnahmen ergreifen und Methoden einsetzen, um sich für das neue Jahr zu rüsten und Risiken zu minimieren.
Das wichtigste Werkzeug ist auch im Jahr 2022 die Awareness sowie die Vorbereitung der Menschen hinter den IT-Systemen. Durch das Schaffen von Awareness und Verständnis für die Vorgängen, Angriffsarten und Schutzmechanismen, kann ein Großteil der Angriffe vermieden werden. Beides sorgt dafür, dass Schwachstellen erkannt und beseitigt sowie Login-Daten besser geschützt werden.
Neben der Awareness und den organisatorischen Maßnahmen können technologische Ansätze wie der Aufbau einer Zero-Trust Infrastruktur und die Implementierung eines SIEM zur Erkennung von verdächtigen Vorgängen helfen.
Zum Schutz von Identitäten schaffen die Multifaktor Authentifizierung (die sowieso IMMER aktiv sein sollte) sowie die risikobasierte Authentifizierung und Autorisierung Abhilfe.
Zero-Trust-Modelle
Hierbei handelt es sich um ein Sicherheitskonzept, was grundsätzlich ALLEM und JEDEM misstraut. Es findet keine Unterscheidung mehr zwischen internen und externen Diensten und Systemen oder Komponenten statt. Alles und jeder muss sich authentifizieren und sämtliche Prüfungen durchlaufen. Neben dem Schutz gegen Angriffe von außerhalb, schützt dieses Modell auch gegen innere Gefahren.
Kernkomponenten eines Zero-Trust-Modells sind die Verschlüsselung, Authentifizierung und Zugriffsrechte sowie die Überprüfung von sämtlicher auftretender Kommunikation.
SIEM – Security Information and Event Management
Ein SIEM ermöglicht es, Informationen und Events an einer Stelle zusammenzubringen. Diese werden dann in Beziehung zueinander gesetzt und zeigen anhand von Mustern, verdächtige Aktivitäten. Neben der mittlerweile überall vorhandenen Mustererkennung können SIEM Systeme mittlerweile durch Cloud- und KI-Mechanismen angereichert werden. Dadurch ist es möglich, auch komplexe Angriffe zu erkennen und ein System zu nutzen, welches „automatisch“ lernt und besser wird.
Risikobasierte Authentifizierung und Autorisierung
Die risikobasierte Authentifizierung und Autorisierung reichert den „klassischen“ Login und Berechtigungsvorgang um eine Bewertung anhand verschiedener Kriterien an. Hierbei werden bei Authentifizierungsanforderungen erst diverse Parameter wie die Lokation, IP-Adresse, Gerät und weitere abgefragt. Je nach Zusammensetzung dieser Parameter wird eine Risikostufe angelegt, die dann entscheidet, ob die Authentifizierung erfolgreich war und welche Zugriffe erlaubt werden. Des Weiteren kann eine Information an die administrative Einheit erfolgen. Diese Methodik ermöglicht es, selbst wenn Login-Daten gestohlen werden, Zugriffe zu verhindern und den Diebstahl zu erkennen
MFA – Multifaktor Authentifizierung
Wir schreiben das Jahr 2022 und befinden uns schon seit Ewigkeiten auf dieser Odyssee. Ich werde nicht erneut darauf hinweisen, was MFA ist und warum es immer aktiv sein sollte. Ernsthaft, wir haben 2022!
„My God, it's full of stars.“
– Bowman
Fazit
Das Jahr 2022 wird uns weiter fordern und wir werden auch dieses Jahr noch lange nicht das Ziel, nämlich einen vollumfänglichen Schutz gegen alle Formen der Cyberkriminalität, erreichen. Die Möglichkeiten an Bedrohungen sind unendlich und diese Odyssee durch den Cyberspace wird vermutlich nicht enden. Wir werden weiterhin unser Bestes geben und für Sie da sein! Behalten Sie die Trends für 2022 im Auge und bleiben Sie SICHER!
Autor: Dominic Iselt, IT Security Engineering Expert