Industrielles
Die herstellende Industrie wird als Angriffsziel immer attraktiver. Wer ein Unternehmen in diesem Bereich schnell handlungsunfähig machen will, der greift die Versorgungswege an. Wird beispielsweise ein Zulieferer durch eine Schadsoftware befallen, kommt der Betrieb in Lieferschwierigkeiten und riskiert unter Umständen Vertragsstrafen. Auch die Manipulation von Produktionsgütern kann hier lukrativ sein – so hat es in der Vergangenheit immer wieder Fälle gegeben, in denen fabrikneue Smartphones mit Malware an den Endverbraucher ausgeliefert wurden.
Schadsoftware kann auch eine unmittelbare Wirkung auf die Fertigung haben, etwa wenn wichtige Steuersysteme von Ransomware befallen sind und so zum Beispiel den Betrieb einer CNC-Fräse lahmlegen. Auch die Manipulation von Produktionsdaten ist denkbar: Erhöht ein Angreifer etwa schleichend die Fertigungstoleranzen für bestimmte Bauteile, führt dies im schlimmsten Fall im weiteren Verlauf zu Qualitätsverlusten sowie zu Schäden an Mensch, Material und nicht zuletzt auch dem guten Ruf eines Betriebes. „Gerade im Bereich der Industrie gibt es Steuerungsanlagen, die über 20 oder mehr Jahre abgeschrieben werden. Hier sind besondere Sicherungsmaßnahmen gefragt, damit die Legacy-Geräte nicht den Rest der Infrastruktur verwundbar machen,“ sagt Tilman Frosch, Geschäftsführer der G DATA Advanced Analytics. „Häufig lassen sich einzelne Komponenten nicht mehr patchen, weil der Support seit Jahren ausgelaufen ist. Hier kann eine Isolierung der verwundbaren Geräte durch virtuelle Netzwerke und Firewalls Abhilfe schaffen, wenn die Geräte nicht kurzfristig ausgetauscht werden können.“
Neue Angriffe erfordern bessere Technologien
Gerade im Business-Umfeld ist für Kriminelle viel Geld zu verdienen. Deswegen wird immer mehr Arbeit in die Entwicklung mächtiger Schadsoftware gesteckt. Dabei versuchen die Kriminellen auch, verhaltensbasierte Abwehrmechanismen von Antivirenprogrammen auszuhebeln, indem Malware zum Beispiel nicht direkt nach dem Start versucht, sich dauerhaft auf einem System einzunisten („Persistenz zu erlangen“). „Der Zeitraum den ein Behavior Blocker beobachten muss, wird immer länger“, sagt Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense AG. „Hier arbeiten wir bereits an einer neuen Technologie, um Schadsoftware auch künftig effektiv abwehren zu können.“
Weil gerade kleine und mittlere Unternehmen nur begrenzte Security-Budgets haben, wird ein weiterer Trend wichtiger: Das Outsourcing von IT-Dienstleistungen. Große Bereich der eigenen IT-Infrastruktur und der Verwaltung lagern Firmen bereits seit Jahren an IT-Systemhäuser aus. In den kommenden Jahren werden auch externe Sicherheitsdienstleister wie die G DATA Advanced Analytics eine deutlich größere Rolle spielen. Denn nur 0,2 Prozent der Unternehmen haben das Geld, umfassende IT-Sicherheit wirklich in Eigenregie stemmen zu können.
Kriminelle spionieren ihre Opfer genau aus
Auch im Bereich der kriminellen Geschäftsmodelle wird es weiterhin viel Bewegung geben, vor allem wenn es um Angriffe gegen Unternehmensnetzwerke zum Beispiel mit Ransomware geht. Haben Angreifer bisher oftmals auf Masse gesetzt, wird Klasse zunehmend wichtiger. Die Zahl individueller Fälle wird unserer Voraussicht nach zwar sinken, die Schadenssummen pro Fall werden sich jedoch teils drastisch erhöhen. Das höchste geforderte Lösegeld im Jahr 2018 belief sich bereits auf eine halbe Million Euro.
Angreifer werden künftig zu Rosinenpickern und werden sich ihre Ziele genauer aussuchen. Es wird also vorher ausgekundschaftet, welche Unternehmen Erfolg versprechen. Angreifer werden im Vorfeld der Attacke gezielt nach Geschäftszahlen gesucht haben, die Aufschluss über die wirtschaftliche Stärke eines Unternehmens geben.
Basierend auf diesen Zahlen werden sie dann Lösegeldforderungen stellen, von denen sie recht genau wissen, dass sich das betroffene Unternehmen die Zahlung durchaus leisten kann, ohne das wirtschaftliche Überleben zu gefährden. Viele dieser Angriffe werden „in Handarbeit“ ausgeführt. Weil die potentiellen Gewinne hoch sind, dürfte sich der Aufwand für die Angreifer meist trotzdem lohnen.
Im Zuge der wesentlich verschärften Bedingungen unter der EU-Datenschutzgrundverordnung hat sich hier unfreiwillig ein weiteres Geschäftsfeld eröffnet: die Drohung mit dem Verkauf von Daten oder die Meldung eines Datenlecks direkt an die zuständige Landesdatenschutzbehörde. Letzteres wäre noch weitaus unangenehmer für ein Unternehmen, denn solche Meldungen müssen öffentlich gemacht werden. Die Angst vor öffentlicher Bloßstellung und den drastisch erhöhten Bußgeldern könnten sich Kriminelle zunutze machen.
Virtuelles
In unserer Prognose für das ausgehende Jahr 2018 hatten wir eine zunehmende Bedeutung von Kryptowährungen vorausgesagt. Diese Voraussage ist eingetroffen – Krypto-Miner sind 2018 vielerorts tatsächlich zu einem Problem geworden. So lieferten zahlreiche Webseiten auch Mining-Software aus, die unbemerkt per WebAssembly die Rechenleistung fremder PCs ohne Wissen der Anwender nutzten, um Kryptowährungen zu schürfen. Die Verbreitung von Krypto-Minern trieb bisweilen auch seltsame Blüten, wie zum Beispiel Papier-Aushänge auf Supermarktparklätzen.
Problematisch werden virtuelle Währungen für Unternehmen dann, wenn es Angreifern gelingt, eine vom Unternehmen genutzte Cloudplattform wie AWS zu kapern. Die unbegrenzte Skalierbarkeit einer solchen Plattform kann schnell zum finanziellen Problem für ein betroffenes Unternehmen werden, wenn ein Angreifer eine Cryptomining-Software auf der Plattform plaziert und diese das virtuelle Geld schürfen lässt. Ohne eine Begrenzung der Skalierung profitiert der Angreifer von der hohen Rechenleistung, die das angegriffene Unternehmen zahlen muss.
Die DSGVO wird wirken
Berichte über tatsächlich verhängte Strafen auf Basis der Datenschutzgrundverordnung werden sich in den kommenden Monaten häufen, wenn die ersten Prozesse abgeschlossen und die ersten Urteile gesprochen sind.
So wurde ein portugiesisches Krankenhaus bereits zu einer Geldstrafe von 400.000 Euro verurteilt (Link öffnet sich in einem neuen Fenster), da im betreffenden Fall zu viele Angestellte Zugriff auf bestimmte Patientendaten hatten. Das betroffene Krankenhaus hat offiziell 296 Ärzte, es gab jedoch über 900 Benutzerkonten mit entsprechenden Berechtigungen. Das Verfahren dauert an.
Die Strafen werden auch an der Frage gemessen, wie Unternehmen ihre eigene Security-Infrastruktur gestalten und wie gut sie mit Behörden zusammenarbeiten. So kam der Chat-Anbieter Knuddels mit einem Bußgeld von rund 20.000 Euro davon, nachdem es Angreifern gelungen war, zahlreiche Nutzerdaten zu erbeuten. Grund: Das Unternehmen hatte den Vorfall frühzeitig gemeldet und auch im weiteren Verlauf mit den Behörden kooperiert.
Ende 2018 machte auch noch ein weiteres spektakuläres Datenleck bei der Marriot-Hotelgruppe die Runde. Etwa eine halbe Milliarde Datensätze befanden sich zeitweise im Zugriffsbereich von Unbefugten – und das seit mindestens 2015. Hier ist zu erwarten, dass hier erstmalig eine der drastischeren Strafen greift, die die EU-Datenschutzgrundverordnung vorsieht. Ein Urteil dürfte in jedem Fall Signalwirkung haben, auch wenn mit einem Abschluss aller Gerichtsverfahren nicht vor 2020 zu rechnen ist. Beim Marriott-Hack zeigte sich außerdem, dass die neuen Regeln nicht sofort dazu führen, klare Zuständigkeiten zu etablieren.