Skriptbasierte Schadsoftware bedroht Unternehmen
Für 2018 erwartet TÜV Trust IT Sicherheitsbedrohungen in einer neuen Vielfalt und Intensität. Die Angreifer werden professioneller, oft steckt ein Geschäftsmodell hinter ihren Attacken.
Trend 1: Schadsoftware nutzt Skriptsprachen
Schadsoftware setzt zunehmend auf skriptbasierte Sprachen auf, etwa Visual Basic Script (VBS), JavaScript oder PowerShell. Der Grund dafür ist, dass die Zielsysteme die Interpreter für diese Sprachen häufig direkt zur Verfügung stellen, so dass die Schadsoftware ohne Umwege ausgeführt wird.
Außerdem ist es schwierig, diese Schadsoftware als solche zu erkennen, da diese Sprachen auch von Administratoren eingesetzt werden und demnach kaum zu unterscheiden ist, ob es sich um legitime oder schädliche Aktivitäten handelt. Zudem bewegt sich skriptbasierte Schadsoftware "unter dem Radar", weil sie wenige Spuren auf der Festplatte hinterlässt und somit durch klassische Antivirensoftware nur schwer erkennbar ist.
Trend 2: Hacker wollen und können Geld verdienen
Cyber Security-Angriffe lassen sich besser kommerzialisieren als früher. Durch Bitcoin und Ransomware ist ein ebenso einfaches wie effektives Geschäftsmodell entstanden. Es wird zunehmend genutzt. Auch 2018 dürfte es erneut einen Spitzenwert bei Cyber-Attacken mit konkretem geschäftlichen Interesse geben. Dabei wird der Schaden größer werden, weil in den Unternehmen die eigene Sicherheitssituation günstiger bewertet wird als sie in Wirklichkeit ist.
Trend 3: Security by Design kommt zwangsweise
Wer in der Konzeption und Architektur von Softwarelösungen und Apps nicht bereits im frühen Planungsstadium Sicherheitsaspekte berücksichtigt, wird es später schwer haben, Sicherheit zu gewährleisten. Dabei wachsen die wirtschaftlichen Risiken: Wenn etwa bei IoT-Produkten Sicherheitsdefizite erst im praktischen Einsatz beim Nutzer festgestellt werden und die Software mit der Hardware fest verbaut ist, sind nachträgliche Korrekturen kaum noch möglich.
Deshalb wird sich ein Mentalitätswandel durchsetzen, der dazu führt, dass schon in der Softwareentwicklung Schutzziele einbezogen werden. Die Entwickler werden sich an anwendungsbezogenen Bedrohungsmodellen orientieren. Dabei müssen konkrete Sicherheitsanforderungen explizit im Anforderungsprozess erhoben werden. Auch die Testmethoden werden sich ändern, zumal Testtools zunehmend unter Sicherheitsaspekten ausgewählt werden. Wichtig ist, dass es entsprechende Fortbildungsprogramme für die Entwickler gibt.
Trend 4. Entwicklung von IoT-Produkten benötigt KI
Je umfangreicher das Angebot an vernetzten Consumer-Produkten wird, desto vielfältiger wird das Gefahrenpotenzial. Das Bot-Netzwerk "Mirai", das aus einem Verbund von gekaperten IoT-Geräten entstanden ist, hat dies deutlich gemacht. Mit Spitzenbandbreiten von über einem Terabit/Sekunde wurden auch Anbieter in die Knie gezwungen, die sich eigentlich bestens gegen DDoS-Angriffe gewappnet sahen.
Doch nicht nur DDoS-Angriffe, auch weitere Szenarien sind mit IoT-Botnetzen möglich. Was passiert beispielsweise, wenn zahlreiche von Angreifern kontrollierte Kühlschränke, Kaffeemaschinen, Wasserkocher etc. gleichzeitig ihren Energieverbrauch maximieren: Kann dann noch die Stromversorgung aufrechterhalten werden?
Selbst bei einem konsequenten Security by Design ist es kaum möglich, nicht nur die bekannten, sondern auch zukünftige, noch unbekannte Zugriffsrisiken zu berücksichtigen. Hierfür bedarf es Methoden der Künstlichen Intelligenz, mit deren Hilfe sich neue Bedrohungsmuster antizipieren lassen. Sie in der Entwicklung von IoT-Produkten zu berücksichtigen, steigert nicht nur die Sicherheits-Performance, sondern mindert auch das wirtschaftliche Risiko: Security-Schwächen werden früh erkannt, so dass Produkte nicht mehr aufwändig modifiziert oder vielleicht sogar vom Markt genommen werden müssen.
Trend 5. Tool-Zoo birgt neue Risiken
Unternehmen neigen dazu, für die immer komplexeren Sicherheitsrisiken reflexartig immer neue Werkzeuge für spezifische Anforderungen einzusetzen. Damit bauen sie sich einen unübersichtlichen Zoo an Tools auf. Meist findet keine ausreichende Prüfung statt, wie die verschiedenen Werkzeuge miteinander harmonieren. Damit entsteht die Gefahr, dass die Tools selbst zu einer Bedrohung werden.
Trend 6. Datenschutzgrundverordnung kommt nur langsam voran
Zwar gibt es verbindliche zeitliche Vorgaben, aber alle derzeitigen Studien zeigen, dass sich die Unternehmen nur zurückhaltend mit der EU-DSGVO beschäftigen. Das dürfte sich erst ändern, wenn sich den Firmen ein zusätzlicher Investitionsanreiz bietet. Der könnte darin bestehen, dass sich der notwendige Aufbau eines Datenschutzmanagement-Systems (DSMS) an der Vorgehensweise eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2013 orientiert. Dies würde dazu führen, dass gleichzeitig wesentliche Voraussetzungen für den Aufbau eines zertifizierbaren ISMS geschaffen werden, was einen höheren Investitionsnutzen mit sich brächte.
Was sind weitere Trends, die uns dieses Jahr bewegen? Lesen Sie den gesamten Artikel auf der Seite des CIO.
am 11.01.2018 von
Johanna Barthold
Welche Trends erwarten uns im Jahr 2018 zu den Themen Datenschutz und IT-Sicherheit? Hier finden Sie eine Übersicht.