Mit <kes>+ lesen

Malware: Trends und Abwehr

Zur aktuellen Lage in Sachen Malware hat die eine Reihe von Verbänden, Anbietern und Beratern befragt. Die Antworten zur Entwicklung der Bedrohungen, zu Fehlern und Chancen bei der Abwehr sowie wichtigen Schritten für die Zukunft sind im vorliegenden Beitrag zusammengefasst.

Bedrohungen
Lesezeit 23 Min.

Seit Längerem bestimmt Ransomware die Schlagzeilen in Sachen Malware. Als Erstes mochten wir daher wissen, ob auch weiterhin „klassische“ Schadsoftware in freier Wildbahn ihr Unwesen treibt und mehr oder minder ungezielt nach Beute sucht. Andreas Marx, Geschäftsführer von AV-TEST, sagt ganz klar ja: „Die klassischen Viren und Würmer verbreiten sich nach wie vor. Wir sprechen aktuell von etwa vier neuen Varianten pro Sekunde, also knapp 350 000 neuen Schädlingen pro Tag. Allerdings laufen die oft unter dem Radar, also quasi als ‚digitales Hintergrundrauschen‘, da Infektion und verursachte Schäden nicht immer gleich sichtbar sind.“ Einen statistischen Überblick über aktuelle Entwicklungen gibt etwa das Threat-Intelligence-Portal AV-ATLAS (https://portal.av-atlas.org) – beispielsweise zu Zahlen und Familien von Malware, den Ursprung von Spam-E-Mails oder welche Passwörter gerade auf IoT-Honeypots für Angriffe genutzt werden.

„Erpresserische Malware gehört seit Jahren zu den am meisten diskutierten Gefahren“, bestätigt Bogdan Botezatu, Director Threat Research & Reporting bei Bitdefender, „tatsächlich dominiert sie die Risikolandschaft aber nicht. Vielmehr ist sie ‚eine weitere Malware‘, mit der Cyberkriminelle in kurzer Zeit viel Geld verdienen können. Bank-Trojaner, Password-Stealer, potenziell unerwünschte Anwendungen (PUA), Phishing und generische Bots sind aber nicht passé.“

Noch weiter geht Thomas Uhlemann, Security Specialist DACH bei ESET Deutschland: „Ein Blick in unsere Statistiken zeigt, dass Ransomware eher einen kleinen Teil der täglich abgewehrten Malware-Bedrohungen ausmacht. Tatsächlich schafft es kein Erpressungstrojaner in unsere monatlichen Top 10. Diese Rangliste zeigt eine bunte Vielfalt an Bedrohungen, die wirklich ‚in the wild‘ agieren: Von Bruteforce-Attacken auf RDP (Platz 3) und SMB-Protokolle (Platz 9) über HTML-basierte Bedrohungen, wie Exploits im Apache-Server (Platz 1), bis zu Phishing-Seiten und -Mails (Platz 7) reicht die Bandbreite.“ Aktuell sei zudem das Mozi-Botnet stark vertreten, das zielgerichtet Router (u. a. von D-Link) angreift.

„Malware außerhalb des Ransomware-Spektrums ist immer noch weit verbreitet. Es wird zahlreiche Malware entdeckt, die darauf abzielt, Zugangsdaten für Dienste wie Online-Banking, soziale Medien, Cloud-Dienste und mehr zu stehlen“, berichtet auch Jens Monrad, Director & Head of Mandiant Intelligence, EMEA bei Mandiant.

Ziele jenseits der Ransomware

Eine wichtige Klasse von Malware-Bedrohungen stellen Remote-Access-Tools/Trojaner (RAT) dar, die sich in den Zielsystemen verankern und Angreifern fortan einen Fernzugriff ermöglichen. „Entsprechende Malware findet man auf allgemeinen Fileshares oder Websites und immer häufiger auch in den Software-Repositories von Entwicklern“, betont Markus Grüneberg, Head of Industry Solutions EMEA Central bei Okta. In der Folge können Supply-Chain-Attacks dafür sorgen, dass Anwender nicht nur eine gewünschte Software, sondern auch gleich Malware mit installieren.

„Kryptomining-Malware ist nach wie vor beliebt, um die Rechenleistung infizierter Geräte, wie Computer oder mobile Geräte, auszunutzen und auf diesen Kryptowährungen zu schürfen. Dies bleibt auch dann noch lukrativ, wenn der Wert von Kryptowährungen fällt, denn es entstehen den Kriminellen keinerlei Kosten und die befallenen Geräte generieren zuverlässig Einnahmen. Hier macht die Masse der infizierten Geräte den Einsatz von Malware für die Kriminellen attraktiv“, ergänzt Michael Weirich, Projekt Manager IT-Sicherheit beim eco – Verband der Internetwirtschaft: „Auch wird Malware gerne dazu benutzt, um in Systeme des Internet of Things (IoT) einzubrechen und sich so Hintertüren in Netzwerke zu öffnen. Auf vielen IoT-Geräten befinden sich leicht zugängliche Daten wie Nutzernamen und Netzwerkpasswörter, die einem Kriminellen oft einen Zugang zu Firmennetzwerken ermöglichen.“

„Klassische Viren und Würmer wie LoveLetter oder Conficker sind zwar selten, aber Botnetze, die auf Systeme abzielen, verhalten sich ähnlich und verbreiten sich ebenfalls automatisch“, erläutert Jeff Hamm, Director Incident Response bei der DCSO – Deutsche Cyber-Sicherheitsorganisation. Auch er betont, dass das IoT aufgrund langer Laufzeiten und schlechten Update-Managements für Angreifer besonders attraktiv sei.

Lorenz Kuhlee, Director Cyber Security & Privacy bei PwC Deutschland, unterstreicht einen positiven Aspekt: „Die klassischen Viren und Würmer gibt es noch – sie bleiben Anwendern aber oft verborgen, da Firewalls und Virenscanner diese Bedrohungen in der Regel zuverlässig aufhalten.“ Selbst klassische „Script-Kiddie“-Software sei noch im Umlauf, erzählt Eddy Willems, Director Security Industry Relationships beim EICAR – European Institute for Computer Anti-Virus Research: „Allerdings ist diese Malware weniger sichtbar und sehr beschränkt in ihren Möglichkeiten. Ein großer Teil heutiger Schadprogramme stammt hingegen von Malware- oder Hacking-Gruppen.“ Ransomware sei die auffälligste Variante, aber auch RATs und Malware-Backdoors seien noch verbreitet. „Wir sehen auch weiterhin ‚Schweizer-Taschenmesser‘-Schädlinge wie Emotet, die sehr modular aufgebaut sind und beinahe beliebige Malware-Features eingebaut haben – bis hin zu Spionage- und Wurm-Komponenten.“

„Moderne Malware weist oft Merkmale klassischer Viren und Würmer auf. Beispielsweise kommt der Einsatz von Modulen zur Verbreitung innerhalb – oder auch außerhalb – des lokalen Netzwerks einer klassischen Wurm-Komponente gleich. Dies gilt auch für Stealer, die Screenshots aufnehmen, oder Keylogger, die Tastatureingaben protokollieren, oder auch für Backdoors“, erklärt Christian Funk, Leiter des Forschungs- und Analyseteams in der Region DACH bei Kaspersky. Malware sei heute modular aufgebaut, die klassische Typenstruktur daher aufgebrochen: „Je nach Angriff oder Kampagne werden entsprechende Module nachgeladen – ‚klassische Malware‘ macht also nach wie vor einen Großteil der Angriffe und des Cybercrimes aus, allerdings geht sie in der Berichterstattung wegen der technisch geringeren Besonderheiten unter.“

Einen verringerten prozentualen Anteil klassischer Malware konstatiert Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf, und warnt: „Angreifer nutzen nach dem Initial Access fast ausschließlich ‚Living-off-the-Land‘-Techniken (LotL), bei denen legitime Betriebssystem-Tools für die Ausführung der Angriffsaktivitäten verwendet werden. Das hat für den Angreifer den großen Vorteil, dass keine eigene Software nachinstalliert werden muss und Virenscanner ohne Verhaltensanalyse die maliziösen Aktivitäten nicht erkennen können.“

Taxonomie der Täter statt Technik

Die Bezeichnung „Virus“ sei ohnehin schon lange eher zum allgemeinen Sammelbegriff für Schadcodes geworden, meint Richard Werner, Business Consultant bei Trend Micro. Viele Begriffe seien missverständlich, weswegen man Cyberbedrohungen mittlerweile eher nach der Absicht ihrer Täter betiteln sollte: „Wir sprechen beispielsweise deshalb von Ransomware, weil Technologie eingesetzt wird, um Lösegeld zu erpressen (Ransom). Besonders politische Täter sind darin erfahren, Attacken vorzubereiten und durchzuführen – die eingesetzte Technologie ist dabei einzigartig beziehungsweise neuartig, aber in ihrer Wirkungsweise kategorisierbar.“

Auch Marc Lueck, CISO EMEA bei Zscaler, stellt die Frage nach der Motivation, die Malware-Autoren zu ihren Aktivitäten treibt, in den Mittelpunkt: „Während klassische Viren oder Würmer eher auf Vandalismus abzielten oder dem Konkurrenzkampf unter Hackern dienten, bewegen wir uns heute auf dem Gebiet der Cyber-Kriminalität mit dem Ziel, Profit daraus zu schlagen. Das Gleichgewicht hat sich sehr deutlich in Richtung ‚Verkauf von Malware‘ verschoben, die von Kriminellen eingesetzt wird. Fast jegliche Malware wird deshalb als Teil der Angriffskette eingesetzt.“ Die Schlüssel zum fragwürdigen Erfolg der Angreifer seien Beharrlichkeit und Automatisierung.

Pieter Arntz (Malwarebytes): „Die Anfangsphase von Angriffen wird immer zielgerichteter: Die ersten Schritte werden immer häufiger manuell durchgeführt, sodass Angreifer gezielt nach sensiblen Informationen suchen, um den Druck auf das Opfer zu erhöhen oder diese sogar gegen neue Opfer einzusetzen.“

Auswirkungen des Ukraine-Kriegs

Auf die Frage, ob die aktuelle weltpolitische Lage für Veränderungen in Sachen Malware gesorgt hat, antwortete Andreas Marx (AV-TEST): „Der Krieg gegen die Ukraine hat sich auf die Malware-Situation bisher kaum ausgewirkt, wir sehen allenfalls mehr DDoS-Angriffe als früher.“ Auch John Pescatore, Direktor Emerging Technologies beim SANS Institute, sieht hier keine nennenswerten Veränderungen: „Die Zahl der Sicherheitsverletzungen im 1. Quartal 2022 entspricht in etwa der im 1. Quartal 2021, also bevor Russland in die Ukraine einmarschierte.“

Morgan Wright, Chief Security Advisor bei SentinelOne, beklagt eine Vermischung krimineller und nationalstaatlicher Interessen: „Transnationale kriminelle Gruppen, insbesondere in Russland, können mit der stillschweigenden Genehmigung der Russischen Föderation operieren, was ihnen Schutz vor Ermittlungen durch andere Länder bietet und die Auslieferung angeklagter Krimineller erschwert. Dies ermöglicht es Russland, Stellvertreter einzusetzen, um einen langatmigen Krieg im Cyberspace zu führen. Infolgedessen hat die Zahl der Cybergruppen zugenommen, die auf die Interessen Russlands oder der Ukraine ausgerichtet sind.“

Und Pieter Arntz, Malware Intelligence Researcher bei Malwarebytes, nimmt schon länger eine Krise im Netz wahr: „Der Cyberkrieg, der bereits vor dem Krieg in der Ukraine begann, hat zu einem Wiederaufleben zerstörerischer Malware – wie Wipers (HermeticWiper) – sowie traditioneller Würmer geführt, beispielsweise HermeticWizard oder Industroyer2.“ Diese destruktive Malware ziehe allerdings vorrangig auf Länder und Organisationen, die sich am Krieg beteiligen.

Eine Veränderung bei Ransomware hat Thomas Uhlemann (ESET) seit Beginn des Ukrainekriegs beobachtet: „Wir sehen verstärkte Aktivitäten, die sich direkt auf russische und ukrainische Ziele konzentrieren und/oder die Unterstützerstaaten einer der beiden Seiten angreifen. Dabei sind viele unprofessionelle, aber sehr überzeugte Täter am Werk.“

„Die weltpolitische Lage scheint einige russische Ransomware-Gruppen zu Attacken von EU-Organisationen und Unternehmen zu bewegen, welche die Ukraine unterstützen“, berichtet Eddy Willems (EICAR): „Eine Folge davon ist anscheinend, dass sich die Menge der weltweiten Ransomware-Angriffe in den vergangenen sechs Monaten verringert hat.“

„Der russische Angriff auf die Ukraine hat neue Arten von Malware zutage gefördert, die speziell auf kritische Infrastrukturen abzielen. Zum Beispiel Acid Rain: Der ursprüngliche Angriff richtete sich gegen Viasat KA-SAT-Modems in der Ukraine“, sagt Wright (SentinelOne) – es komme jedoch auch zu Kollateralschäden: „Die Schadsoftware griff auf Deutschland über und schaltete 5800 Enercon-Windkraftanlagen aus, indem sie deren Modems und Router befiel.“

Von düsteren Auswirkungen auf die Zukunft spricht Richard Werner (Trend Micro): „Die B efürchtung ist, dass derzeit im Ukrainekrieg viele Menschen in Cyberangriffen geschult werden und sich in Teams zusammenschließen.“

Dynamik und akute Bedrohung

Was hat sich in den letzten drei Jahren bei Malware-Attacken und ihrer Abwehr verändert? Worin sehen die befragten Experten die derzeit größte Malware-Bedrohung und welche Änderungen erwarten sie für die absehbare Zukunft? Michael Veit, Technology Evangelist und Manager Sales Engineering bei Sophos, antwortet: „Die größte Veränderung der letzten Jahre ist die Professionalisierung von Angriffen. An Ransomwareattacken sind zum Beispiel oft drei oder mehr kriminelle Gruppen beteiligt, die sich jeweils auf verschiedene Teile der Operation spezialisiert haben. Dadurch sind sie effizienter und die Anzahl der Opfer, die die Kriminellen erpressen können, erhöht sich.“ Ransomware sei momentan eindeutig die wirkungsvollste und schädlichste Bedrohung für alle Branchen und öffentliche Einrichtungen: „Ich erwarte nicht, dass sich hier in naher Zukunft allzu viel ändern wird – abgesehen von weiteren Optimierungen, um das Volumen und die Auszahlungen zu erhöhen.“

„Die weiter zunehmende Professionalisierung und die Schnelligkeit, mit der auch Sicherheitslücken in Webdiensten systematisch ausgenutzt werden, stellt gerade große Organisationen vor Herausforderungen, etwa wenn ein Patch durch interne QS verzögert ausgerollt wird“, sagt Markus Drenger, Incident Response Experte bei HiSolutions. Zudem umfasse Ransomware-as-a-Service immer mehr Features: „von speziellen Modulen für Backupsoftware bis hin zu plattformübergreifender Malware, die beispielsweise auch linuxbasierte Systeme (etwa ESXi-Server) kompromittieren“.

Ähnlich äußert sich Hamm (DCSO): „Wir erwarten mehr Ransomware, eine zunehmende Professionalisierung der Angriffe und eine schnellere Ausnutzung bekannt gewordener Schwachstellen. Für eine wirksame und effiziente Verteidigung bieten automatische und erzwungene Updates, wie sie Microsoft einführt, eine gewisse Entschärfung. Die Deaktivierung von Makros sollte ebenfalls in Betracht gezogen werden.“

„Die letzten drei Jahre waren von Ransomware-Angriffen, Spyware-Distribution, Spear-Phishing und größeren DDoS-Attacken geprägt. Die meiste Malware wird jetzt professionell innerhalb von Malware-Groups gemacht“, sagt Willems (EICAR): „Diese Gruppen sind als kleine Organisationen aufgestellt und verbreiten (Malware-) Services in der Cloud wie das auch ein normales Unternehmen täte.“ Derzeit sieht er ebenfalls Ransomware als größte Bedrohung an, aber: „In der Zukunft wird die größte Gefahr von Supply-Chain-Attacks ausgehen, die sehr schwierig zu stoppen sind.“ Der Solarwinds-Vorfall und das Log4j-Problem hätten hier einen Vorgeschmack gegeben – künftig könnten auch Cyberangriffe auf die Infrastruktur von EU-Mitgliedsstaaten problematisch werden.

Eine Zunahme von Angriffen auf die Lieferkette hat Monrad (Mandiant) bereits beobachtet: „Dabei missbrauchen Angreifer das Vertrauen zwischen zwei Organisationen, um die Infrastruktur zu kompromittieren. Angriffe und Risiken rund um die Lieferkette zu erkennen, ist sehr viel komplexer, da sie sich manchmal auf Dienste von Drittanbietern stützen und eine tiefere Kenntnis der Funktionen und Prozesse erfordern als bei direkten Bedrohungen, mit denen Unternehmen ständig konfrontiert sind.“

Gezielt und gut vorbereitet

Weirich (eco) bestätigt die Professionalisierung von Malware-Attacken und unterstreicht: „Kriminelle verschaffen sich ein Bild über die von ihnen angegriffenen Unternehmen, bevor sie sich zu erkennen geben und Daten verschlüsseln oder sperren. Damit ist es ihnen möglich, die finanzielle Leistungsfähigkeit der angegriffenen Unternehmen genauer einzuschätzen und ‚individuelle‘ Lösegeldforderungen zu stellen.“ Grüneberg (Okta) betont die Spezialisierung von Akteuren auf unterschiedliche Angriffsphasen: „Neu ist dabei, dass sehr viel Zeit in die Reconnaissance-Phase und den Aufbau der Infrastruktur für den Angriff investiert wird. Angreifer forschen ein Ziel umfassend aus, setzen dann zum Beispiel Look-a-like-Systeme auf, die vertrauenswürdigen Anwendungen zum Verwechseln ähnlich sehen, und spielen so Schadcode oder falsche Informationen in die Ziele ein.“ Interessant sei auch, dass „bei mehr als 80 % der Attacken ein menschlicher Faktor beteiligt ist und Mitarbeitende Angriffe durch angeleitetes Fehlverhalten erst möglich machen“.

Rebecca Zinke, Managerin im Bereich Cyber and Strategic Risk bei Deloitte, ergänzt: „Die größte Malware-Bedrohung ist ein fehlendes Bewusstsein darüber, welche Angriffsvektoren tatsächlich relevant für die eigene Organisation sind und welche Risiken daraus entstehen können. Auch die Abwehr von Cyberangriffen muss smarter werden: Threat-Intelligence kann ein wichtiger Baustein sein, um eine Threat-Landscape erstellen und damit Angriffsvektoren für die eigene IT-Infrastruktur besser bewerten zu können.“

„Malwarebasierte Angriffe sind im Geschäftsumfeld mittlerweile wesentlich gezielter und werden nicht mehr so sehr mit der sprichwörtlichen Gießkanne verteilt. Ist ein lohnendes Ziel identifiziert, kennen die Angreifenden das Netzwerk oft genau so gut wie das Admin-Team, wenn nicht sogar besser“, warnt Tim Berghoff, Security Evangelist bei G DATA: „Dabei setzen Cyberkriminelle auf Programme und Werkzeuge, die kein Aufsehen erregen, und begnügen sich zunehmend mit Admin-Tools und anderen Hilfsmitteln, die sie ‚vor Ort‘ finden, was ohne entsprechendes Monitoring fast unmöglich aufzudecken ist.“

Sebastian Schmerl (Arctic Wolf): „IT-Angriffsmethoden verändern sich sehr schnell. Hier ist es für Unternehmen leicht, abgehängt zu werden. Das gilt besonders für jene, die keinen Zugang zu IT-Security-Wissen haben und daher darauf vertrauen, dass die Installation von Sicherheitsprodukten ohne weiteres Zutun Sicherheitsrisiken reduziert.“

Sebastian Schmerl

Sebastian Schmerl (Arctic Wolf): „ITAngriffsmethoden verändern sich sehr schnell. Hier ist es für Unternehmen leicht, abgehängt zu werden. Das gilt besonders für jene, die keinen Zugang zu IT-Security-Wissen haben und daher darauf vertrauen, dass die Installation von Sicherheitsprodukten ohne weiteres Zutun Sicherheitsrisiken reduziert.“

Mensch, Home-Office und Cloud

„Corona und das verstärkte Homeoffice haben Unternehmen dazu gebracht, auf Cloud-Modelle zu wechseln, um Geschäftsprozesse am Laufen zu halten. Der dadurch bedingte Ansturm auf die Cloud hat der IT wenig Zeit gelassen, um eine saubere Zugangskontrolle sowie ein Überwachen der Infrastruktur auf auffällige Applikationen und Dienste zu implementieren“, berichtet Botezatu (Bitdefender).

„Das ‚New Work‘ hat für die wohl stärkste Veränderung im Security-Design gesorgt – der Zwang zum verteilten Arbeiten hat der ‚Cloudifizierung‘ enormen Vorschub geleistet. Kriminelle haben aber in Rekordzeit erkannt, dass Cloud-Speicher und Kollaborationstools hervorragend geeignet sind, um klassische Perimeterkonzepte auszutricksen“, mahnt auch Uhlemann (ESET): „Gerade Tools wie Exchange in der Cloud oder auch Microsoft SharePoint sind immer wieder Einfallstore für Angriffe gewesen. In absehbarer Zukunft werden wir eine Zunahme an Angriffen auf diese cloudbasierten Tools sehen – wie auch vermehrt Angriffe auf die Lieferkette, beispielsweise über Fernwartungssuiten oder Standardsoftware.“ Entsprechend müssten Malware-Abwehr und andere Security-Maßnahmen auf den Prüfstand: „Nutzen wir alle notwendigen und passenden Sicherheitslösungen? Ist die Security-Architektur in sich stimmig und umfassend auf dem Stand der Technik?“

Weitere Veränderungen

Schmerl (Arctic Wolf) fasst die Veränderungen der letzten Jahre wie folgt zusammen: „Auf der Angreiferseite sind LotL- und Fileless-Angriffstechniken zum Standard geworden – ferner wird immer stärker der ‚Faktor Mensch‘ für Angriffe ausgenutzt. Aufseiten der Unternehmen stellen veraltete Security-Controls die größte Herausforderung dar. Denn diese sind bei neuen Angriffstechniken unwirksam und führen zu falschen Risiko-Einschätzungen. Außerdem fehlen ein ganzheitliches Security-Monitoring und ein umfassendes Sicherheitsbewusstsein der IT-User.“

„Organisationen haben gelernt, dass eine lückenlose Cyberabwehr aufgrund der komplexen Infrastrukturen nicht möglich ist. Konsequenterweise lösen Unternehmen den bekannten ‚Protect & Defend‘-Ansatz durch eine Cyberabwehr im Sinne von ‚Detect & Respond‘ ab und passen zunehmend auch das Risikomanagement an die Bedarfe der digitalen Transformation an“, berichtet Kuhlee (PwC).

„Unter anderem durch die DSGVO ist der Fokus auf Analyse und Vorausschau bei der Sicherheit gewachsen“, sagt Jürgen Jakob, Geschäftsführer von Jakobsoftware, sieht aber dennoch weiterhin heikle Stellen: „Veraltete Systeme – gerade in größeren Unternehmen – sind sicherlich nicht die schlechtesten, aber sind sie auch auf einem aktuellen Stand? Patch-Management ist wichtiger denn je! Die Wahrnehmung seiner Bedeutung und die Umsetzung in ein gutes Patchmanagement gehen jedoch weit auseinander.“

Eine gute Hilfe bei der Entscheidung, was zuerst gepatcht werden muss, sieht Arntz (Malwarebytes) in der Entwicklung einer gemeinsamen Taxonomie für die Analyse und Erforschung von Cyberbedrohungen: „Nennenswerte Beispiele hierfür sind die Mitre-Att&ck-Wissensdatenbank über Taktiken und Techniken von Cyber-Angreifern sowie die CISA-Liste zu bekannten Sicherheitslücken.“

Michael Veit

Michael Veit (Sophos): „Viele Organisationen und Unternehmen unterschätzen immer noch ihre eigene Attraktivität für Cyberkriminelle und damit die Wahrscheinlichkeit, dass sie selbst ins Visier genommen werden. In der Folge legen die meisten Einrichtungen immer noch zu viel Wert auf Prävention, während sie zu wenig in Erkennung und Reaktion investieren.“

Fehler und Potenzial für Verbesserungen

„Ein gutes Patch-Management ist die Basis guter Sicherheit“, konstatiert Willems (EICAR) und fährt fort: „Der größte Fehler, den Unternehmen begehen, ist es, einige wichtige Punkte zu unterschätzen: Einer davon ist der menschliche Faktor, ein anderer sind winzige Fehler in der Konfiguration von Security-Lösungen. Man sollte wirklich ausführlich testen, ob alles läuft wie es soll, und nachbessern, wenn neue Angriffe aufkommen. Und eine Rund-um-die-Uhr-Überwachung des Netzwerks ist selbst für kleinere Unternehmen heute entscheidend.“

Hamm (DCSO) nennt Fehlkonfigurationen, ungepatchte Systeme mit anfälligen Diensten, mangelnde Sichtbarkeit von Endpunkten und Tools sowie Schatten-IT – besonders mit flüchtigen Cloud-Instanzen – als die größten Risiken für die IT-Sicherheit: „Darüber hinaus wächst der Wissensbereich über das der traditionellen Sicherheitsteams hinaus. Sicherheit muss in der Unternehmenskultur verankert werden – insbesondere mit Blick auf Cloud-Dienste. Eine weitere Schwachstelle ist der Fokus auf Malware und nicht auf den Angreifer: Angreifer nutzen zwar Malware, um in Systemen Fuß zu fassen, aber sie neigen dazu, administrative Tools zu nutzen, um sich einzunisten und ‚Lateral Movements‘ auszuführen.“

„Angriffs- und Verteidigungstechnologie stehen im konstanten Wandel und benötigen ständige Aktualisierung. Moderne Sicherheitskonzepte setzen voraus, dass Systeme durchgehend untersucht werden. Die dadurch erzeugten enormen Datenmengen müssen jedoch gespeichert, durch künstliche Intelligenz (KI) analysiert und mit anderen Datenquellen korreliert werden. Dazu bietet die Sicherheitsbranche oft Software-as-a-Service (SaaS) als einzige Möglichkeit zur Verteidigung an. Grundsätzlich sollten Informationen, Transparenz und der Wille, sich mit der Technologie auseinanderzusetzen, unbedingt Hand in Hand gehen“, fordert Werner (Trend Micro).

Wright (SentinelOne) erklärt: „Einer der größten Fehler von Unternehmen besteht darin, zu glauben, dass man sich allein durch den Erwerb von Experten aus diversen Problemen der Cybersicherheit herauswinden kann. Die Talente und Fähigkeiten, die für ein robustes Cybersicherheitsteam erforderlich sind, sind Mangelware. Effektive Führung ist dabei eine unterschätzte Komponente.“ Als wirksame Strategie, um die Qualifikationslücke zu schließen, sieht Wright Investitionen in Technologie an, welche die Arbeitslast verringert und nicht erhöht: „Das Versäumnis, in KI und Quantencomputer zu investieren, ist eine der größten Lücken, die es zu schließen gilt. Zudem haben die jüngsten Entdeckungen von Schwachstellen wie Log4j unser Vertrauen in Open-Source-Software als geschäftskritische Komponente infrage gestellt.“ Gerade hier würden erhebliche Möglichkeiten für Angriffe auf die Software-Lieferkette bestehen.

Eine gewisse Abhilfe bei Personalmangel können laut Funk (Kaspersky) auch Extended-(XDR)- und Managed-(MDR)-Detection-and-Response-Lösungen bewirken, wenn sie effizientere Abläufe und tiefere Einblicke liefern: „Sie bieten eine umfassende Kontrolle über potenzielle Eintrittspunkte, vor allem in Kombination mit erstklassigen Tools für die Erkennung und Behebung von Vorfällen sowie für die Bedrohungssuche, -analyse und -reaktion.“

Wer einen Angriff nicht erkennt, ist in den Möglichkeiten seiner Bekämpfung beschränkt, warnt Monrad (Mandiant): „Von allen Cyberangriffen, bei deren Bewältigung wir Organisationen im Jahr 2021 in der EMEA-Region unterstützt haben, wurden 62 % der Unternehmen von einer externen Partei darüber informiert – von Strafverfolgungsbehörden, Regierungsstellen, sozialen Medien oder der Ransomware-Gruppe selbst. Diese Zahl zeigt mir, dass es den meisten Unternehmen noch immer an entsprechenden Methoden fehlt, um mit Bedrohungen im Cyberraum umzugehen. Wenn sie den Angriff selbst nicht erkennen können, werden sie nicht in der Lage sein zu kontrollieren, wie die Öffentlichkeit ihre Fähigkeiten und ihr Fachwissen wahrnimmt. Es ist ein ständiger Kampf mit der öffentlichen Meinung, ihren Stakeholdern und den verfügbaren Ressourcen, um Angriffe zu bewältigen.“

Versprechen sind gut, Kontrolle ist besser

„In den letzten Jahren hat sich der Malwareschutz stark weiterentwickelt. Es gibt kaum noch Anti-Virus-(AV)-Lösungen, die nur signaturbasiert arbeiten, und viele Organisationen haben darüber hinaus in EDR-Lösungen investiert, die das tatsächliche Verhalten aller Prozesse beobachten und so eine bessere Erkennung und sofortige Reaktion ermöglichen. Daher ist primitive und breit gestreute Malware für viele Organisationen keine große Bedrohung mehr“, erläutert Stefan Strobel, Geschäftsführer von cirosec: „Sobald Angreifer es jedoch gezielter auf Unternehmen oder Behörden abgesehen haben und dann auch noch versuchen, typische Schutzmechanismen zu umgehen, kommen die etablierten Maßnahmen an ihre Grenzen. Gefährlich ist in diesem Kontext das teilweise blinde Vertrauen einiger Organisationen auf die Versprechungen von Herstellern oder SOC-Betreibern.“ Unzählige Anbieter versprechen den „besten Schutz“ und mit optional erhältlichen Managed-Services auch eine „sofortige Erkennung“ von Vorfällen: „In Red-Teaming-Projekten sehen wir jedoch das Gegenteil“, stellt Strobel klar: „Die vorhandenen Schutzmaßnahmen können meist einfach umgangen werden und die SOC-Dienstleister bemerken davon nichts, selbst wenn das Red-Team bereits Domänen-Administrator ist. Oft wäre es für den Angreifer deutlich schwerer, wenn Organisationen die vorhandenen Bordmittel von Windows besser nutzen würden. Die Härtung der Powershell, ein pragmatisches Begrenzen der ausführbaren Programme mit AppLocker oder die Einschränkung und Signierung von Office-Makros sind hier nur wenige Beispiele.“

„Der ‚Detect & Respond‘-Ansatz erwartet professionelle Threat-Intelligence-(TI)-Services, um einen aktuellen Blick auf die akute spezifische Bedrohungslage zu erlangen. Use-Cases und Playbooks sind Grundlage für Einführung, Betrieb und Weiterentwicklung einer umfassenden Überwachungslösung. Die Unternehmen müssen sich mit der Einführung einer SIEM- oder XDR-Lösung sowie angemessener Automatisierung via Security-Orchestration-Automation and Response (SOAR) auseinandersetzen, um mit der sich verschärfenden Bedrohungslage Schritt halten zu können“, betont Derk Fischer, Partner Cyber Security & Privacy bei PwC Deutschland.

Markus Grüneberg

Markus Grüneberg (Okta): „Der Mensch ist der neue Perimeter und damit die ‚Firewall‘ von Organisationen. Doch trotz der vielen Cyberattacken, die direkt auf Anwender abzielen, werden sie häufig noch immer nicht ausreichend vorbereitet: Schulungen sind vielfach zu statisch, um die dynamischen Veränderungen der Angriffe abzubilden.“

Ganzheitliche Ansätze sind gefragt

„Viel zu oft wird Sicherheit als ein reines IT-Thema und als Kostenfaktor behandelt – Aktivitäten konzentrieren sich auf das regulatorisch Notwendige. Für den Schutz vor Malware, wie beispielsweise Ransomware, ist aber eine hohe Kompetenz in der Früherkennung (Preparation, Detection) notwendig“, sagt Christian Nern, Partner bei KPMG im Bereich Financial Services: „Ein gesamtheitlicher Security-Ansatz ist unabdingbar, umso mehr vor dem Hintergrund des laufenden Ausbaus von Cloud-Technologie. Denn die Cloud verändert die Sicherheitslage, die IT-Komplexität wächst – es bedarf einer gesamtheitlichen Security-Architektur.“ Sein Kollege Arkadi Popov, Assistant Manager bei KPMG, ergänzt: „Neben technologischen Aspekten müssen auch organisatorische Aspekte mehr Aufmerksamkeit erhalten. So sind der Aufbau eines wirkungsvollen Security-Operations-Centers (SOC) und das Durchführen regelmäßiger Penetration-Tests wichtig. Entsprechende Überprüfungen der IT-Systeme auf Security-Lücken finden in einigen Häusern aber noch gar nicht statt. Ferner sollte die Sensibilisierung aller Mitarbeitenden in den Fokus rücken – durch Awareness-Schulungen zu Social-Engineering-Methoden (Phishing-Mails, CEO-Fraud).“

Auch Botezatu (Bitdefender) sieht Fehler auf der organisatorischen Ebene, nämlich „bei Unternehmen, die keinen Security-First-Ansatz verfolgen, Sicherheitsrichtlinien unklar definieren und diese nicht in tägliche Prozesse integrieren.“ Das gehe Hand in Hand mit mangelndem Bewusstsein oder Akzeptanz der IT-Sicherheit: „Es ist sehr wichtig, dass die Verantwortlichen verpflichtende Sicherheitsrichtlinien breit kommunizieren und alle sie effizient umsetzen – ohne Wenn und Aber.“

Wichtig sei bei allen Maßnahmen, das Personal „mitzunehmen“, unterstreicht Marx (AV-Test): „Ich spreche dabei nicht einmal von Schulungen oder Ähnlichem, sondern nur von Erklärungen, warum man jetzt etwas anders macht und was man damit erreichen will. Denn je restriktiver man versucht, etwas abzusichern, desto höher ist die Wahrscheinlichkeit, dass Mitarbeiter versuchen, diese Maßnahmen zu umgehen oder zu ‚erleichtern‘ – schließlich wollen sie ja möglichst gut weiterarbeiten.“

Reibungsverluste und der Dauerbrenner „Backup“

„Vielfach kommen Ressourcen nicht so effizient zum Einsatz, wie es eigentlich nötig wäre“, beklagt Berghoff (G DATA): „Die Tendenz, neuen Herausforderungen mit additiven Lösungsansätzen zu begegnen, führt oftmals zu einem unübersichtlichen Gewirr unterschiedlicher Lösungen, die nur begrenzt untereinander kommunizieren. Zudem erhöht dieses Gewirr den Komplexitätsgrad unnötig. Oft geht so der Blick aufs Ganze in einer Mischung aus zu kleinteiligen Zuständigkeiten und unklar geregelter Verantwortung sowie fehlender Kommunikation verloren. Aber auch an operativer Stelle gibt es Verbesserungspotenzial – etwa bei der Prüfung von Datensicherungen auf ihre Wiederherstellbarkeit.“

„Die größten Fehler, die wir leider selbst in sicherheitsbewussten Unternehmen beobachten, liegen in den Backup-Strategien“, berichtet Arntz (Malwarebytes): „Oft sind die Backups nicht aktuell genug oder brauchen viel zu lange für die Bereitstellung. Sowohl beim Schutz vor Ransomware als auch vor destruktiver Malware ist es aber entscheidend, über verwertbare und aktuelle Backups zu verfügen.“

Weniger Vertrauen, mehr Zero-Trust

„Aus unserer Sicht muss das Thema ‚Zero Trust‘ noch viel kompromissloser gedacht und umgesetzt werden!“, betont Uhlemann (ESET). Es sei erfreulich, dass Zwei-Faktor-Authentifizierung und Verschlüsselung zunehmend Verbreitung fänden: „Allerdings wird ein Großteil der täglich versendeten Mails immer noch unverschlüsselt übertragen. Konzepte zur Überprüfung und Absicherung der Lieferkette stecken viel zu oft noch in den Kinderschuhen, Cloud-Speicher und Kollaborationstools könnten besser in die Security-Architektur eingebunden werden. IT-Sicherheit als essenzielle Geschäftsgrundlage ist leider noch nicht in allen Leitungsfunktionen angekommen.“

Eine riskante Dissonanz sieht Drenger (HiSolutions) zwischen dem klassischen IT-Betrieb (Ops) und den IT-Security-Abteilungen sowie auch gegenüber den von Entwicklern betriebenen IT-Ressourcen: „Ob Softwarehaus oder klassische Industrie mit angebundener IoT-Entwicklung, im Zuge der Transformation von IT-Umgebungen werden sowohl Token-Phishing in der Cloud als auch Supply-Chain-Angriffe auf Build-Infrastrukturen immer wichtiger – das interne git ist der Domaincontroller von morgen. Aber daraus ergeben sich auch Chancen, dem Kerngedanken von Zero-Trust zu folgen, Datenflüsse gezielter zu schützen und Anwendungen und Kommunikation weniger anfällig zu gestalten.“ Letztlich sollte die Annahme „Assume Breach“ bereits in der Konzeptionsphase von Anwendungen berücksichtigt werden, um viele Probleme zu vermeiden.

Lueck (Zscaler) unterstreicht, dass Malware keine organisatorischen Grenzen respektiert: „Egal ob das die Abschottung von IT- und OT-Infrastrukturen betrifft oder das Zusammenfügen zweier Unternehmensnetze durch Mergers & Acquisitions. Dementsprechend muss sich auch eine umfängliche Sicherheitsstrategie von den klassischen Grenzen freimachen: Viele Unternehmen konzentrieren sich nach wie vor auf den Schutz der Mitarbeiter mit Point-Produkten und vergessen dabei, wo Angreifer überall Schlupflöcher finden können, um sich dann lateral durch die Umgebung fortzubewegen. Das Zero-Trust-Prinzip sollte also nicht nur für die Mitarbeitenden angewendet werden, sondern für die gesamte Umgebung inklusive aller Workloads und deren Kommunikationsbeziehungen. Auch hier muss gelten, dass kein Vertrauensvorschuss mehr eingeräumt werden darf für Zugriffsrechte. Dazu ist ein stärker granularer Blick in die IT-Umgebung erforderlich, als ihn viele Organisationen bisher haben.“

Diesen Beitrag teilen: