Log4j hat gezeigt, wie einfach ein Angriff für Hacker sein kann. Sie müssen nur vorhandene und bekanntwerdende Schwachstellen ausnutzen, um sich weitreichende bösartige Kontrollmöglichkeiten zu verschaffen. Die Angreifer verfolgen dabei vielleicht altbekannte Motive: Schnelles Geld durch Lösegeldzahlungen oder durch Ressourcenklau für Kryptomining, Sabotage, Spionage oder Vandalismus.
Damit ergeben sich für alle IT-Sicherheitsverantwortlichen neue Herausforderungen. Thomas Krause, Regional Director DACH bei ForeNova, nennt 4 Trends, die die IT-Sicherheitslage im Jahr 2022 bestimmen werden.
Trend 1: Neue Opfer für Ransomware-Attacken - Behörden verstärkt im Visier
Cyber-Gefahren werden nicht mehr länger nur Unternehmen und ihre Abläufe betreffen. Die Hacker greifen zunehmend den digitalisierten und vernetzten Alltag aller an und richten ihre Attacken etwa gegen Logistikunternehmen, Produktion, Smart Buildings oder den Bildungssektor. Ebenso im Blickpunkt: die öffentliche Verwaltung. Im Rahmen des Onlinezugangsgesetzes (OZG) müssen Behörden bis 2022 Verwaltungsleistungen digitalisieren.
Angreifer können aber personenbezogene und damit sensible Daten verschlüsseln, stehlen, mit ihrer Offenlegung drohen oder auch die Verwaltungsarbeit komplett blockieren, wie dies im Herbst 2021 in Schwerin und im Landkreis Ludwigslust-Parchim geschehen ist.
Ransomware wird dabei alle Bereiche betreffen. Bisher kommt es alle elf Sekunden zu solchen erpresserischen Attacken. Laut Trend Micro stieg die Anzahl der Ransomware-Attacken in der ersten Hälfte 2021 gegenüber dem Vorjahreszeitraum um mehr als 1.300 Prozent. Nach Schätzungen von Cybersecurity Ventures werden diese Angriffe in diesem Jahr der Weltwirtschaft an die 20 Milliarden US-Dollar kosten: Mehr als 57 mal so viel wie 2015.
Hacker werden immer nach dem schwächsten Glied in der Kette suchen. Das sind oft Internet-of-Things-Geräte, OT-Technik oder private Hardware des Homeoffice-Mitarbeiters, wie etwa Internetrouter. Laut den Sicherheitsforschern von Armis gehören IP-Überwachungskameras zu den drei am meisten im Rahmen der Log4J-Attacke angegriffenen Geräte.
Sie alle können als Tor ins Unternehmensnetz dienen, sind aber nicht oder nur eingeschränkt von EDR, Antivirus oder Firewall verwaltet und damit geschützt. Um diese Risiken abzudecken und Ransomware-Attacken zu verhindern, hilft nur eine automatisierte IT-Abwehr mit einem erweitertem Blickwinkel auf den gesamten Datenverkehr im Netz, welche die Anzeichen eines Angriffs sowohl im internen wie im ausgehenden Netzverkehr erkennt und blockt.
Trend 2: Keine oder keine ausreichende Cyber-Abwehr durch Personalmangel
Die Cyber-Abwehr wird weiter unter Personalmangel leiden. Der quartalsweise veröffentlichte Hays-Fachkräfte-Index Deutschland für IT-Positionen stieg auch im dritten Quartal 2021 mit 229 auf einen Höchsttand seit dem Jahr 2015. Vor allem wuchs der Bedarf nach IT-Security-Spezialisten (+58 Punkte auf 486). Auch dies ist einerseits Höchststand im Vergleich zu den Werten seit 2015 und andererseits im Vergleich zu allen anderen IT-Berufen.
Viele Unternehmen sind sich dieser Abwehrschwäche auch bewusst. Lediglich 58% der von Mimecast im Oktober 2020 im „State of the Ransomware Readiness Report“ befragten Unternehmen gaben an, über ausreichend IT- und Sicherheitspersonal zu verfügen, um Ransomware Angriffe zu verhindern, während 71% der Studienteilnehmer bereits Opfer dieser erpresserischen Attacken wurden.
Der Personalmangel hat viele Gründe: Viele IT-Fachleute beschäftigen sich damit, die digitale Transformation voranzutreiben. Durch die zunehmende Digitalisierung und den Einsatz von IoT Geräten, wie bei Produktionsanlagen, werden IT-Security-Experten aber immer wichtiger. Sie haben ihrerseits einen oft sehr anstrengenden und verantwortungsvollen Posten mit hohem Rechtfertigungsdruck.
Durch den Personalmangel und die steigende Bedeutung des Berufes sind sie in der Position, viel Geld zu verlangen, was gerade kleine und mittelständische Unternehmen nicht bezahlen können oder wollen. Große Unternehmen sind meist durch spezialisierte Fachkräfte und die entsprechende in der Regel teure und sehr komplexe Technik gegen Ransomware-Angriffe gut geschützt.
Mittlere und kleine Unternehmen sind dagegen den Gefahren zunehmend schutzlos ausgeliefert sind. Sie verfügen nicht über das nötige Fachpersonal, um klassische NDR-, EDR- oder SIEM-Lösungen bedienen zu können.
Ein fataler Trend, denn gleichzeitig professionalisiert, organisiert und automatisiert sich die Gegenseite immer mehr: Eine Ransomware-as-a-Service-Killchchain ernährt die verschiedensten Personen – von der Auswertung der Schwachstellensuche über die Entwicklung und Durchführung einer Attacke bis hin zum Call Center, welches das Lösegeld einsammelt.
Unternehmen, die sich trotz Personalmangel gegen die organisierte Cyberkriminalität auf Augenhöhe schützen und wehren wollen, brauchen bezahlbare Lösungen, die alle IT-Mitarbeiter bedienen können und für die gerade keine spezialisierten Cyber-Security-Spezialisten nötig sind, um Informationen zu bewerten und zu beurteilen.
Dabei helfen NDR-Sicherheitslösungen, die automatisch mit Hilfe von Technologien wie Künstlicher Intelligenz und Machine Learning Angriffe im Netzverkehr schnell und effektiv erkennen sowie präventiv abblocken.
Trend 3: Komplexe Angriffe und Zeitzünder tarnen sich immer besser
Komplexe Angriffe sind keine punktuellen Aktionen einer Malware, die sofort und offen zum Angriff übergeht. Mittels Log4j haben sich laut der Einschätzung von Bitdefender-Experten jetzt zum Beispiel viele Angreifer in die Ziel-IT eingenistet, tarnen sich und warten gelassen auf den perfekten Moment, um zuzuschlagen.
Die ersten Indizien für solche „Schläfer“ finden sich im Netzwerkverkehr. Hier deuten sich Angriffe in anomalem Datenverkehr an, bevor sie aktiv werden. Security-Analysten oder auch IT-Administratoren können durch eine Root-Cause-Analyse herausfinden, ob sie betroffen sind.
Dafür benötigen die Security-Verantwortlichen den Gesamtüberblick: Sicherheitstechnologien wie Endpoint Detection and Response und Network Detection and Response zusammen mit anderen Cyberabwehrtechnologien bilden gemeinsam ein starkes Team und eine vernetzte Abwehr.
Trend 4: Der Gesundheitsbereich wird sich besser aufstellen müssen und können
Angriffe auf Krankenhäuser und andere Anbieter im Gesundheitssektor sind in den letzten Jahren endemisch geworden. Laut dem Healthcare-Report von Kaspersky vom Juli 2021 steht der Gesundheitssektor als eine von vielen Branchen im Fokus der Angreifer: Fast drei Viertel (72%) der deutschsprachigen Unternehmen aus diesem Bereich erlebten während der Pandemie mindestens einen Cyberangriff auf ihre Organisation.
Nahezu zwei Drittel (61,4%) der Befragten aus Deutschland, Österreich und der Schweiz im Gesundheitswesen stuften die aktuelle digitale Bedrohungssituation für sich selbst als hoch ein. Das liegt auch daran, dass medizinische Geräte immer mehr an das Internet angebunden sind und oft mit nicht mehr unterstützten Betriebssystemen betrieben werden.
Zudem kann die eingesetzte Endpunktsicherheit diese Geräte nicht schützen. Nicht nur wegen solcher eklatanten Lücken stehen die IT-Verantwortlichen unter Handlungsdruck.
Neue Digitalisierungsinitiativen oder die Nachfrage nach Datenfreigabe in Zeiten der Pandemiebekämpfung erzeugen zudem für mehr Datenverkehr. Mehr Vernetzung erhöht die Angriffsfläche. Gleichzeitig verlangen Vorgaben wie etwa das Patientendatenschutzgesetz dabei nach mehr Sicherheit. All dies bedeutet: Im Jahr 2022 wird der Sektor lang aufgeschobene Aufgaben erledigen müssen.
Das wird mit den notwendigen Fördermöglichkeiten, wie dem Krankenhauszukunftsgesetz dann möglich sein. Network Detection and Response kann dazu beitragen, auch den wachsenden IoT- und OT-Fuhrpark in Hospitälern in die Cyber-Abwehr einzubinden.