Cisco Midyear Cybersecurity Report 2017 - cco.chcco.ch/data/documents/Cisco_2017_Security-Report_German.pdf · Inhalt Zusammenfassung Veröffentlichung von Schwachstellen führt

1

Cisco Midyear Cybersecurity Report 2017

InhaltZusammenfassung ......................................................... 3

Wichtigste Erkenntnisse ................................................ 5

Einleitung ........................................................................ 7

Verhalten von Angreifern ............................................... 9

Exploit-Kits: viele inaktiv, aber nicht alle .........................9

Der Einfluss des Verhaltens der Verteidiger auf die Nutzung anderer Angriffsstrategien ................. 11

Web-Angriffsmethoden entwickeln sich gemeinsam mit dem Internet ...........................................................12

Weltweite Blockierungsaktivität im Web ........................13

Spyware ist wirklich so schlimm, wie sie klingt .............14

Rückgang der Exploit-Kit-Aktivität wirkt sich wahrscheinlich auf globale Spam-Trends aus ...............18

Schädliche E-Mails: Ein genauerer Blick auf die Dateityp-Strategien von Malware-Programmierern .......19

Ist Ransomware ein Thema, das Ihnen Sorgen bereitet? E-Mail-Angriffe könnten eine noch größere Bedrohung darstellen. .....................................22

Malware-Entwicklung: eine Halbjahres-Betrachtung .....23

Threat-Intelligence von Talos: Auf den Spuren der Angriffe und Schwachstellen ..................................24

Beschleunigte Bedrohungserkennung: Das Tauziehen zwischen Angreifern und Verteidigern wird knapper .....26

Trends bei der Weiterentwicklungszeit: Nemucod, Ramnit, Kryptik und Fareit ............................28

Längere Lebensdauer – und Überschneidung – von DGA-Domänen .............................................................33

Infrastrukturanalyse schafft weitere Kenntnisse über Angreifertools .......................................................34

Angriffe auf die Lieferkette: Bereits ein kompromittierter Vektor kann viele Organisationen beeinträchtigen .........36

Das Internet of Things (IoT) nimmt gerade erst Fahrt auf, aber die IoT-Botnets sind bereits zur Stelle ............39

Erpressung im Cyberspace: Ransom Denial of Service (RDoS) ............................... 41

Neue Methoden der Hacker ........................................ 42

Ransomware-Angriffe auf medizinische Geräte ............42

Schwachstellen ............................................................46

Geopolitisches Update: WannaCry-Angriff unterstreicht das Risiko der Ansammlung von Informationen über ausnutzbare Schwachstellen ..........46

Veröffentlichung von Schwachstellen führt zu vermehrten Angriffen ...............................................47

Setzen Sie Ihr Geschäft keinem Risiko durch DevOps-Technologien aus ............................................50

Organisationen führen Patches für bekannte Schwachstellen von Memchached-Servern nicht schnell genug durch .............................................54

Hacker wenden sich der Cloud zu, um attraktive Ziele schneller zu attackieren ........................................56

Nicht verwaltete Infrastrukturen und Endpunkte stellen Risiken für Organisationen dar ...........................59

Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger ...............................61

Security Capabilities Benchmark Study: Fokus auf verschiedenen Branchen ..............................................61

Unternehmensgröße hat Einfluss auf den Sicherheitsansatz ...................................................62

Wissens- und Talentlücken mit Services schließen .......63

Outsourcing von Services und Daten zu Bedrohungswarnhinweisen nach Land ..........................64

IoT-Sicherheitsrisiken: Vorbereitung auf das Jetzt und die Zukunft .............................................65

Security Capabilities Benchmark Study: Fokus auf ausgewählte Branchen .................................................66

Service Provider .......................................................... 66

Öffentlicher Sektor ..................................................... 68

Einzelhandel ................................................................ 70

Fertigung ..................................................................... 72

Versorgungsunternehmen ........................................... 74

Gesundheitswesen ...................................................... 76

Transport- und Verkehrswesen ................................... 78

Finanzwesen ............................................................... 80

Fazit ...............................................................................83

Cybersicherheit muss einen festen Platz in der Agenda der Geschäftsführung einnehmen ........ 84

Informationen zu Cisco ................................................86

Mitwirkende am Cisco Midyear Cybersecurity Report 2017 ...........................................86

Cisco Midyear Cybersecurity Report 2017 Technologiepartner ..................................88

3


Zusammenfassung

ZusammenfassungSeit fast zehn Jahren erstellt und veröffentlicht Cisco Cybersecurity Reports, um Security Teams und den Unternehmen, die von ihnen unterstützt werden, dabei zu helfen, neue Cyberbedrohungen und Schwachstellen schnell zu erkennen und die Cybersicherheit zu verbessern. Mit diesen Reports möchten wir Unternehmen vor neuen und immer ausgereifteren Bedrohungen warnen und ihnen die Techniken der Angreifer aufzeigen, mit denen sie Benutzer kompromittieren, Informationen stehlen und Unterbrechungen verursachen.

In unserem neuesten Report müssen wir eine noch deutlichere Warnung aussprechen. Die rasant steigende Geschwindigkeit der Veränderungen und die zunehmende Komplexität der Cyberbedrohungslandschaft gehören zu den größten Herausforderungen und Sorgen unserer Security-Experten. Die Unternehmen selbst verbessern zwar ihre Fähigkeit zur Aufspürung von Bedrohungen und Verhinderung von Angriffen und unterstützen Benutzer und andere Organisationen bei einer schnellen Behebung. Jedoch zeichnen sich zwei Trends ab, welche die hart erkämpften Erfolge der Unternehmen untergraben, weitere Fortschritte ausbremsen und ein neues Zeitalter von Cyberrisiken und -bedrohungen einläuten.

Die fatalen Folgen von SicherheitslückenUmsatzgenerierung ist immer noch das oberste Ziel der meisten Angreifer. Einige haben nun die Möglichkeit – und anscheinend auch das Verlangen – im Rahmen ihrer Angriffe Systeme zu sperren und Daten zu zerstören. Wie im Abschnitt „Einleitung“ im Cisco Midyear Cybersecurity Report 2017 auf Seite 7 erläutert, betrachten unsere Experten diese bedrohliche Aktivität als Vorstufe zu einer neuen und verheerenden Art von Angriff, die sich in naher Zukunft entwickeln könnte: Destruction of Service (DeOS).

Im Laufe des vergangenen Jahres konnten wir beobachten, dass IoT-Geräte bei DDOS-Angriffen eingesetzt werden. Botnet-Aktivitäten im IoT deuten darauf hin, dass hier der Grundstein gelegt werden soll für einen weitreichenden Angriff mit hohen Auswirkungen, die potenziell das gesamte Internet zum Stillstand bringen können.

Tempo und Umfang der TechnologieUnsere Bedrohungsexperten beobachten nun seit Jahren, wie Mobility, Cloud-Computing und andere technologische Neuerungen und Trends zu einer Ausweitung der Sicherheitsmaßnahmen und -bemühungen der Unternehmen führen. Wir erkennen heute auch viel besser, wie Cyberkriminelle aus dieser ständig

wachsenden Angriffsfläche ihren Nutzen ziehen. Die jüngsten Ransomware-Angriffe allein zeigen wie geschickt Gegner die Sicherheitslücken und Schwachstellen der einzelnen Geräte und Netzwerke für eine größtmögliche Wirkung nutzen.

Mangelnde Transparenz in dynamischen IT-Umgebungen, die Risiken durch die „Shadow-IT“, die ständige Flut von Sicherheitswarnungen und die Komplexität der IT-Sicherheitsumgebung. Dies sind nur einige Gründe, weshalb ressourcenschwache Sicherheitsteams damit kämpfen, den Überblick über die heute schwer erfassbaren und zunehmend wirkungsvollen Cyberbedrohungen zu behalten.

Inhalte des ReportsDer Cisco Midyear Cybersecurity Report 2017 erforscht die oben genannten dynamischen Trends anhand folgender Aspekte:

Taktiken der GegnerWir prüfen ausgewählte Methoden, die von Angreifern genutzt werden, um Benutzern zu schaden und in Systeme einzudringen. Für die Verteidiger ist es wichtig, die Veränderungen in den Taktiken der Gegner zu verstehen, sodass sie im Gegenzug ihre Sicherheitspraktiken anpassen und Benutzer schulen können. Zu den Themen in diesem Bericht zählen neue Entwicklungen in der Malware, Trends bei Web-Angriffsmethoden und Spam, die Risiken von potenziell unerwünschten Anwendungen (PUA) wie Spyware, kompromittierte Geschäfts-E-Mails (BEC bzw. CEO-Betrug), die sich verändernde Hackerwirtschaft und Kompromittierungen von medizinischen Geräten. Unsere Bedrohungsexperten stellen auch Analysen darüber vor, wie – und wie schnell – einige Gegner ihre Tools und Techniken weiterentwickeln. Darüber hinaus stellen sie ein Update zu den Bemühungen von Cisco vor, die Zeit bis zur Erkennung von Bedrohungen (Time to Detection, TTD) zu reduzieren.

4


Zusammenfassung

SchwachstellenIn diesem Report erhalten Sie einen Überblick über Schwachstellen und andere Sicherheitslücken, die Organisationen und Benutzer kompromittierbar oder angreifbar machen. Zu den erörterten Themen zählen schlechte Sicherheitspraktiken, wie unzureichend schnelle Bereitstellung von Patches für bekannte Schwachstellen, mangelnde Zugriffsbeschränkungen zu Cloud-Systemen und nicht verwaltete Infrastrukturen und Endpunkte. Ebenso im Fokus stehen Fragen, warum das expandierende IoT und die Konvergenz von IT und OT sogar noch mehr Risiken für Organisationen und ihre Nutzer sowie für Verbraucher erzeugen und was Verteidiger nun im Rahmen dieser Risiken unternehmen sollen, bevor diese nicht mehr zu beherrschen sind.

Chancen für VerteidigerDer Cisco Midyear Cybersecurity Report 2017 stellt weitere Erkenntnisse aus der neuesten Security Capabilities Benchmark Study von Cisco vor. Wir stellen umfangreiche Analysen der wesentlichen Sicherheitsbedenken in acht Branchen bereit: Service Provider, öffentlicher Sektor, Einzelhandel, Fertigung, Versorgungsunternehmen, Gesundheitswesen, Transport und Finanzen. Branchenexperten von Cisco sprechen Empfehlungen aus, wie diese Unternehmen ihren Sicherheitsstatus verbessern können und Services nutzen, um Wissens- und Talentlücken zu schließen, die Komplexität ihrer IT-Umgebung zu reduzieren und Automatisierungsprozesse einzuführen.

Der abschließende Teil dieses Reports enthält einen Aufruf an die Sicherheitsverantwortlichen, Führungskräfte und Vorstände in Diskussionen über Cybersicherheitsrisiken und Budgets einzubinden. Darüber hinaus macht der Bericht Vorschläge, wie mit solchen Gesprächen begonnen werden kann.

Danksagungen

Wir möchten unserem Team von Bedrohungsforschern und den anderen Fachexperten von Cisco sowie unseren Technologiepartnern danken, die zum Cisco Midyear Cybersecurity Report 2017 beigetragen haben. Ihre Forschung und Erkenntnisse sind für Cisco extrem wichtig, denn so können wir die Security-Community, andere Unternehmen und Benutzer dabei unterstützen, einen genauen Einblick in die Komplexität und das Ausmaß moderner, globaler Cyberbedrohungen zu erhalten und ihnen Best-Practices und weitere Tipps zur Verbesserung der Bedrohungsabwehr mitzuteilen.

Unsere Technologiepartner spielen ebenfalls eine entscheidende Rolle. Sie unterstützen unser Unternehmen bei der Entwicklung einer unkomplizierten, offenen und automatisierten Sicherheitsstrategie, die den Organisationen die Integration der Lösungen ermöglicht, die für den Schutz ihrer Umgebungen unerlässlich sind.

Eine vollständige Liste der Mitwirkenden am Cisco Midyear Cybersecurity Report 2017, die auch unsere Technologiepartner umfasst, finden Sie auf Seite 85.

5


Wichtigste Erkenntnisse

Wichtigste Erkenntnisse • E-Mail-Angriffe auf Unternehmen (Business Email

Compromise, BEC) sind mittlerweile eine äußerst lukrative Form der Bedrohung geworden. Laut dem Internet Crime Complaint Center (IC3) wurden von Oktober 2013 bis Dezember 2016 5,3 Milliarden US-Dollar durch BEC-Betrug entwendet. Im Vergleich dazu verursachten Ransomware-Angriffe im Jahr 2016 Schäden in Höhe von 1 Milliarde US-Dollar.

• Spyware, die sich in Form potenziell unerwünschter Anwendungen (PUA) maskiert, ist eine Form von Malware – und ein Risiko, das viele Organisationen unterschätzen oder komplett übersehen. Spyware kann jedoch Benutzer- und Unternehmensinformationen entwenden, den Sicherheitsstatus von Geräten schwächen und Malware-Infektionen erhöhen. Spyware-Infektionen sind ebenfalls weit verbreitet. Die Bedrohungsexperten von Cisco untersuchten drei ausgewählte Spyware-Familien und stellten in einer Stichprobe fest, dass 20 Prozent der 300 Unternehmen betroffen waren.

• Das Internet of Things (IoT) verfügt über ein viel versprechendes Potenzial für die Zusammenarbeit und Innovationen in Unternehmen. Aber mit steigendem Umfang des IoT nehmen auch die Sicherheitsrisiken zu. Mangelnde Transparenz ist ein Problem: Es fehlt das Wissen, welche IoT-Geräte genau mit dem Netzwerk verbunden sind. Um diese und weitere Hürden für die Sicherheit im IoT überwinden zu können, ist Schnelligkeit gefragt. Angreifer nutzen bereits die Sicherheitslücken von IoT-Geräten aus. Die Geräte dienen ihnen als eine Art Festung und ermöglichen, unbemerkt und relativ einfach in die einzelnen Netzwerke einzudringen.

• Cisco hat die durchschnittliche Zeit bis zur Erkennung (Time to Detection, TTD) seit November 2015 nachverfolgt. Seitdem ist die Tendenz allgemein rückläufig und von etwas mehr als 39 Stunden zu Beginn der Untersuchung auf etwa 3,5 Stunden für den Zeitraum November 2016 bis Mai 2017 gesunken.

• Cisco hat seit Mitte 2016 einen allgemeinen Anstieg des Spam-Volumens beobachtet, was sich mit einem deutlichen Rückgang bei der Exploit-Kit-Aktivität im gleichen Zeitraum zu decken scheint. Gegner, die sich für die Verbreitung von Ransomware bisher stark auf Exploit-Kits verlassen haben, greifen jetzt gehäuft auf Spam-Mails zurück. Diese E-Mails können z. B. Dokumente mit schädlichen Makros enthalten, die viele Sandboxing-Technologien überwinden können, weil sie eine Benutzerinteraktion erfordern, um Systeme zu infizieren und die Ransomware zu verbreiten.

• Durch Angriffe auf die Lieferkette kann sich Malware über eine einzige kompromittierte Seite gleich bei mehreren Organisationen verbreiten. RSA, ein Partner von Cisco, untersuchte z. B. einen Angriff, bei dem die

Download-Seite eines Softwareanbieters manipuliert wurde. So konnte sich die Infektion auf jedes Unternehmen ausbreiten, das die Software dieses Anbieters heruntergeladen hatte.

• Der dramatische Anstieg der Häufigkeit, Komplexität und Größe von Cyberangriffen im vergangenen Jahr lässt laut Radware, einem Cisco Partner, darauf schließen, dass eine Wende in der Welt der Hacker stattgefunden hat. Laut Radware profitiert die moderne Hacker-Community von einem schnellen und einfachen Zugriff auf eine Reihe nützlicher und kostengünstiger Ressourcen.

• Wenn es um die Unternehmenssicherheit geht, wird die Cloud oft ignoriert: Risiken durch Open Authorization und schlechtes Management der einzelnen privilegierten Benutzerkonten lassen Sicherheitslücken entstehen, die Gegner leicht ausnutzen können. Laut den Bedrohungsexperten von Cisco haben Hacker bereits die Cloud ins Visier genommen und arbeiten unermüdlich daran, in die Cloud-Umgebungen von Unternehmen einzudringen.

• Aktivitäten in Verbindung mit Exploit-Kits haben drastisch abgenommen. Innovationen stagnieren, seitdem Angler und andere führende Player verschwunden sind oder ihr Geschäftsmodell geändert haben. Diese Situation dürfte angesichts der bisherigen Muster in diesem Markt zeitlich begrenzt sein. Aber andere Faktoren, wie die erschwerte Nutzung von Schwachstellen in Dateien, die mit Adobe Flash-Technologie erstellt werden, bremsen u. U. ein Wiederaufleben dieses Problems.

• DevOps-Services, die nicht ordnungsgemäß bereitgestellt oder von berechtigten Benutzern absichtlich für einen bequemeren Zugriff offen gelassen wurden, stellen laut Untersuchung des Cisco Partners Rapid7 ein erhebliches Risiko für Organisationen dar. In der Tat wurden so schon viele erfolgreiche Ransomware-Angriffe durchgeführt.

• Eine ThreatConnect-Analyse von am gleichen Standort bereitgestellten Domains, die von Gegnern genutzt werden, welche mit der Cyberspionagegruppe Fancy Bear in Verbindung stehen, zeigte den Nutzen, der sich aus der Untersuchung der IP-Infrastrukturtaktiken von Cyberkriminellen ergibt. Durch die Untersuchung dieser Infrastruktur erhalten die Verteidiger eine größere Liste von Domains, IP-Adressen und E-Mail-Adressen, die proaktiv blockiert werden.

• Ende 2016 hatten die Bedrohungsexperten von Cisco bei Remote-Code-Ausführungen drei Schwachstellen in Memcached-Servern entdeckt und gemeldet. Ein Internet-Scan einige Monate später ergab, dass 79 Prozent der rund 110.000 gefährdeten Memcached-Server, die zuvor identifiziert wurden, nach wie vor diese drei Schwachstellen aufwiesen, weil sie nicht gepatcht wurden.

Einleitung

7


Einleitung

EinleitungDie Bedrohungslandschaft unterliegt einem ständigen Wandel. Die rasante Entwicklung der Bedrohungen und das Ausmaß der Angriffe, die von den Cisco Bedrohungsforschern und Technologiepartnern in der letzten Zeit beobachtet wurden, sind beunruhigend. Die Security-Community ist sich einig, dass hier der Grundstein gelegt werden könnte für eine Bedrohung, deren Ausmaß enorm sein wird und von der wir uns nur schwer erholen werden.

Die neue Strategie: Destruction of Service (DeOS)

Das neue Ziel der Angreifer ist das „Sicherheitsnetz“, das Organisationen zur Wiederherstellung von Systemen und Daten nach einer Malware-Infektion, Ransomware-Kampagne oder einem anderen Cyberangriff mit schwerwiegenden Betriebsstörungen nutzen. Die Entwicklung und das Erscheinungsbild der DeOS-Angriffe hängen von den eigentlichen Beweggründen der Angreifer und den Grenzen ihrer Kreativität und Fähigkeiten ab.

Sicher ist, dass das Internet of Things (IoT) und die damit einhergehende hohe Anzahl an Geräten und Systemen eine Reihe von Sicherheitsrisiken mit sich bringen, die von den Angreifern ausgenutzt werden können. Das hat eine entscheidende Rolle für die Ermöglichung und das Ausmaß dieser Angriffe. Sowohl für die Angreifer, als auch die Verteidiger, stellt dies ein neues Umfeld dar.

Im alten und vertrauten Umfeld unterdessen, bietet sich den Angreifern ein immer geringerer zeitlicher und räumlicher Handlungsspielraum. Um nicht erkannt zu werden, müssen sie ihre Strategien ständig ändern. Sie müssen immer wieder neue Wege finden, einen effektiven Angriff zu starten, so wie sie z. B. mit Bitcoin und Tor Ransomware effektiver gemacht haben. Da die Effektivität von Go-to-Tools zur Profitsteigerung, z. B. durch Exploit-Kits, von den Verteidigern oder fehlenden Innovationen am Markt verringert wird, wenden sich die Angreifer (wieder) Taktiken wie schädlichen E-Mails oder Social Engineering zu.

Die Lösung: eine weniger fragmentierte Sicherheitsstrategie

Auch wenn die Verteidiger immer wieder Erfolge erzielen, die Angreifer finden immer wieder Wege, um die Bedrohungsabwehr zu umgehen. Die Verteidiger verfügen bereits über die meisten Lösungen, die sie benötigen, um den Handlungsspielraum der Angreifer zu begrenzen und sie aufzuhalten. Das Problem ist, wie sie diese einsetzen. Sicherheitsexperten in allen Branchen berichten, dass sie viele verschiedene Tools von unterschiedlichen Anbietern nutzen, was einen komplexen Sicherheitsansatz darstellt. Die Lösung ist hier aber ein nahtloser und ganzheitlicher Ansatz.

Ein fragmentiertes und aus mehreren Produkten bestehendes Sicherheitskonzept behindert die Fähigkeit einer Organisation, Bedrohungen abzuwehren. Zudem erhöht sich dadurch auch die Anzahl der Sicherheitswarnungen und damit der Aufwand für die bereits knapp belegten Sicherheitsteams. Wenn die Anzahl der genutzten Anbieter reduziert und ein offener, integrierter und vereinfachter Sicherheitsansatz eingeführt werden kann, führt das zu einem besseren Schutz vor Bedrohungen. Darüber hinaus können sich die Organisationen so besser auf die Herausforderungen in puncto Sicherheit vorbereiten, die mit den schnellen Veränderungen des IoT einhergehen, und sie sind besser gerüstet für die Einführung und Anforderungen der für Mai 2018 geplanten Datenschutz-Grundverordnung (DSGVO).

Verhalten von Angreifern

9



Verhalten von AngreifernDieser Abschnitt bietet einen Überblick über Entwicklungstrends und Innovationen von Bedrohungen, die Gegner für Web- und E-Mail-basierte Angriffe einsetzen. Die Cisco Bedrohungsforscher und Technologiepartner präsentieren ihre Beobachtungen und Erkenntnisse, damit die Unternehmensleitung und ihre Sicherheitsteams besser verstehen, was in den kommenden Monaten im Zuge der Weiterentwicklung des IoT auf sie zukommen könnte. Wir bieten auch Empfehlungen zur Verbesserung der Sicherheit, die zur Reduzierung von Risiken für Unternehmen und Benutzer beitragen können.

Exploit-Kits: viele inaktiv, aber nicht alle

1 Cisco Midyear Cybersecurity Report 2016: cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html. 2 „Meet Paunch: The Accused Author of the Blackhole Exploit Kit“ von Brian Krebs, KrebsonSecurity-Blog, 6. Dezember 2013:

krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/. 3 „Connecting the Dots Reveals Crimeware Shake-Up“ von Nick Biasini, Talos-Blog, 7. Juli 2016: blog.talosintelligence.com/2016/07/lurk-crimeware-connections.html.

Im Jahr 2016 verschwanden plötzlich drei führende Exploit-Kits – Angler, Nuclear und Neutrino – von der Bildfläche.1 Angler und Nuclear sind nicht zurückgekehrt. Neutrino blieb nur vorübergehend verschwunden: Das Exploit-Kit ist noch aktiv, taucht aber immer nur für kurze Zeit wieder auf. Seine Programmierer vermieten es in exklusiven Abmachungen an ausgewählte Operator. So wird die Aktivität von Neutrino eingeschränkt, damit es sich nicht verbreitet und einfacher erkennbar ist.

Im Cisco Annual Cybersecurity Report 2017 haben wir erläutert, welche Möglichkeiten dieser grundlegende Wandel in der Exploit-Kit-Landschaft für kleinere Akteure und Neulinge eröffnet, die sich profilieren möchten. Seit Mitte 2017 scheint jedoch niemand diese Chancen zu ergreifen. Nur eine Handvoll von Exploit-Kits sind aktiv. RIG ist das aktuell führende Exploit-Kit. Es richtet sich bekanntermaßen gegen Schwachstellen in den Technologien von Adobe Flash, Microsoft Silverlight und Microsoft Internet Explorer.

Wie Abbildung 1 dargestellt, ist die Exploit-Kit-Aktivität seit Januar 2016 insgesamt drastisch zurückgegangen.

Dieser Trend spiegelt unsere Beobachtungen nach der Verhaftung des Programmierers und Vertreibers des Blackhole-Exploit-Kits in Russland wider.2 Die darauf folgende Einstellung der Blackhole-Aktivität hatte

enormen Einfluss auf den Exploit-Kit-Markt und es dauerte einige Zeit, bis neue Akteure ans Licht traten. Der große Gewinner dieses Rennens war Angler, das die Raffinesse von Exploit-Kits und Drive-By-Downloads auf ein neues Niveau anhob.3

Abbildung 1 Exploit-Kit-Aktivität

Quelle: Cisco Security Research

2016 Jan. März Mai

2017 Jan. März MaiJuli Sept. Nov.

Monat

0

2K

1K

3K

4K

5K

6K

Anz

ahl d

er B

lock

ieru

ngen

5799

40713650

Angler und Nuclear stellen Aktivität ein

Abbildung 1 Exploit Kit-Aktivität

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

http://cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html

http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/

http://blog.talosintelligence.com/2016/07/lurk-crimeware-connections.html

http://www.cisco.com/go/mcr2017graphics



10



Angler hatte viele Vektoren im Visier. Seine Programmierer waren innovativ und bei der Ausnutzung neuer Schwachstellen durch das Exploit-Kit schneller als alle anderen auf dem Markt. Sie haben die Messlatte für andere Akteure in diesem Umfeld in vielerlei Hinsicht angehoben – und den Daten- und Verfahrensdiebstahl zwischen anderen Kits zur Erhaltung der Wettbewerbsfähigkeit angetrieben. Jetzt, dass Angler von der Bildfläche verschwunden ist, haben die Innovationen bei den anderen Exploit-Kits anscheinend einen Einbruch erlitten.

Anglers Wegfall ist nur eine der wahrscheinlichen Ursachen für diese Stagnation. Eine andere ist, dass die Flash-Technologie schwieriger auszunutzen ist. Dank der Flash-Schwachstellen konnte der Exploit-Kit-Markt jahrelang wachsen und sich halten. Das erhöhte Bewusstsein über diese Schwachstellen und das schnellere Patching durch die Verteidiger haben die Ausnutzung der Software jedoch erschwert. Heutzutage müssen die Gegner häufig mehrere Schwachstellen gleichzeitig anvisieren, um ein System ausnutzen zu können.

Automatische Sicherheitsupdates in modernen Betriebssystemen und Webbrowsern vereinfachen die Abschirmung von Benutzern vor Exploit-Kit-Gefährdungen. Ein weiterer Trend: Cyberkriminelle haben sich wahrscheinlich als Reaktion auf die Veränderungen am Exploit-Kit-Markt dem E-Mail-Versand als schnelle und kosteneffiziente Übermittlungsmethode von Ransomware und sonstiger Malware zugewandt (oder sind zu dieser Methode zurückgekehrt). Zudem werden sie äußerst kreativ, wenn es darum geht, nicht erkannt zu werden. Die Bedrohungsforscher von Cisco haben beispielsweise eine Spam-Zunahme mit schädlichen Dokumenten festgestellt, die zahlreiche Makros enthalten, darunter

4 „Threat Spotlight: Mighty Morphin Malware Purveyors: Locky Returns via Necurs“ von Nick Biasini, Talos-Blog, 21. April 2017: blogs.cisco.com/security/talos/locky-returns-necurs.

Word-Dokumente, Excel-Dateien und PDF-Dateien. Diese können viele Sandbox-Technologien bezwingen, da für die Infizierung von Systemen und die Übermittlung von Payloads Benutzerinteraktionen erforderlich sind. 4

Entwickeln sich Exploit-Kits unbemerkt weiter?Angesichts der Tatsache, dass sich Crimeware zu einer milliardenschweren Branche entwickelt hat, gibt es wenig Zweifel daran, dass wir ein Wiederaufleben des Exploit-Kit-Markts sehen werden. Sobald sich ein neuer und einfach zu nutzender Angriffsvektor bietet, der auf viele Benutzer angewendet werden kann, wird auch die Popularität von Exploit-Kits wieder zunehmen – genau wie Innovationen und der Wettbewerb.

Verteidiger müssen also wachsam bleiben. Viele Exploit-Kits sind noch in Betrieb und nach wie vor effektiv, wenn es um die Beeinträchtigung von Benutzern und die Verbreitung von Malware in Endsysteme geht. Diese Bedrohungen können in jeder Umgebung jederzeit zuschlagen. Bereits eine Schwachstelle auf einem einzelnen System reicht aus. Organisationen, die Schwachstellen – vor solche in Webbrowsern und zugehörigen Browser-Plug-ins – stets mithilfe von Patches schnell beheben und weitreichende Verteidigungsstrategien nutzen, können dieses Risiko verringern. Das Risiko einer Exploit-Kit-Bedrohung kann erheblich reduziert werden, wenn sichergestellt ist, dass Benutzer sichere Browser nutzen, und unnötige Web-Plug-ins deaktiviert und entfernt werden.

http://blogs.cisco.com/security/talos/locky-returns-necurs

11



Der Einfluss des Verhaltens der Verteidiger auf die Nutzung anderer Angriffsstrategien

Das rechtzeitige Patchen von bekannten Schwachstellen in der Flash-Software durch die Verteidiger ist ein Faktor, der dazu beigetragen hat, das Wachstum und die Innovationen auf dem Exploit-Kit-Markt zu bremsen. Wie bereits in früheren Cisco Cybersecurity Reports erläutert, ist die Flash-Software seit langem ein attraktiver Web-Angriffsvektor für Gegner, die Systeme ausnutzen und kompromittieren möchten. Allerdings werden Exploits aufgrund der verbesserten Patching-Verfahren immer schwieriger.

Laut den Ergebnissen von Studien des Cisco Partners Qualys, einem Unternehmen für Netzwerksicherheit und Schwachstellenmanagement, haben Verteidiger den Zeitraum erheblich verkürzt,

Abbildung 2 Anzahl der Tage, die für das Patchen von 80 % der Flash-Schwachstellen erforderlich sind

Quelle: Qualys

2014

2015

2016

0Tage

365

73

146219

292

62Tage

Abbildung 2: Anzahl der Tage, die für das Patchen von 80 % der Flash-Schwachstellen erforderlich sind

der benötigt wird, um durchschnittlich 80 Prozent der bekannten Flash-Schwachstellen in ihrer Organisation zu patchen: von 308 Tagen im Jahr 2014 auf 144 Tage im Jahr 2015 bis zu 62 Tage im Jahr 2016 (siehe Abbildung 2). Die Untersuchung basiert auf Daten von mehr als 3 Milliarden Schwachstellenscans, die Qualys jährlich in seinem weltweiten Netzwerk durchführt.

Da die Verteidiger neue Schwachstellen in der Flash-Software inzwischen schneller mit Patches beheben, verlagern manche Exploit-Kit-Programmierer ihren Schwerpunkt möglicherweise auf die Ausnutzung älterer Schwachstellen, die zuvor unter Umständen übersehen wurden. Die Sicherheitsteams sollten sich daher die Zeit nehmen, um zu beurteilen, ob alle bekannten Flash-Schwachstellen behoben wurden. Außerdem sollten sie das Patching von kritischen Schwachstellen priorisieren, die ein Risiko für die Organisation darstellen.

Darüber hinaus werden einige Angreifer, die bisher Exploit-Kits verwendet haben, um Ransomware und sonstige Malware in Flash-Software einzuschleusen, zumindest kurzfristig wahrscheinlich auch vermehrt andere Verfahren einsetzen, damit sie ihre Umsatzziele erreichen.

Die Cisco Bedrohungsexperten haben beispielsweise einen Anstieg von Spam-E-Mails mit scheinbar harmlosen Anhängen verzeichnet, die jedoch schädliche Makros enthalten (siehe „Malware-Entwicklung: eine Halbjahres-Betrachtung“ auf Seite 23). Dieser Trend scheint mit dem jüngsten Rückgang der Exploit-Kit-Aktivität zusammenzufallen (Sie finden weitere Informationen zu diesem Thema unter „Exploit-Kits: viele inaktiv, aber nicht alle“ auf Seite 9).

12



Web-Angriffsmethoden entwickeln sich gemeinsam mit dem Internet

5 Hinweis: Im Cisco Annual Cybersecurity Report 2017 (verfügbar unter b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153) haben die Cisco Bedrohungsforscher gewarnt, dass schädliche Adware, die Ad Injectors, Hijacker von Browsereinstellungen, Dienstprogramme und Downloader enthalten, ein zunehmendes Problem darstellen. In diesem Bericht untersuchen wir auf Seite 14 die Risiken, die PUAs wie Spyware für Benutzer und Unternehmen darstellen.

Proxys gibt es schon seit den ersten Jahren des Web. Ihre Funktionalität ist gemeinsam mit dem Internet gereift. Heutzutage nutzen Verteidiger Proxys für die Inhaltsüberwachung, um mögliche Bedrohungen schneller erkennen zu können. So wird verhindert, dass die Angreifer anfällige Internet-Infrastruktur oder Schwachstellen im Netzwerk nutzen, um Zugriff auf die Computer von Benutzern zu erhalten, ins Unternehmensnetzwerk einzudringen und ihre Kampagnen durchzuführen. Diese Bedrohungen umfassen:

• Potenziell unerwünschte Anwendungen (PUAs), wie z. B. schädliche Browsererweiterungen

• Trojaner (Dropper und Downloader) • Links zu Web-Spam und Werbebetrug • Browserspezifische Schwachstellen, wie z. B.

JavaScript und Grafik-Rendering-Engines • Browserumleitungen, Clickjacking und andere

Methoden, mit denen Benutzer an schädliche Webinhalte umgeleitet werden

Abbildung 3 zeigt die am weitesten verbreiteten Malware-Typen, die von November 2016 bis Mai 2017 verwendet wurden. Für die Erstellung des Diagramms haben die Cisco Bedrohungsforscher die verwalteten Web-Sicherheitsprotokolle unseres Unternehmens herangezogen. Die Liste in Abbildung 3 enthält eine Auswahl von einigen der zuverlässigsten und kostengünstigsten Methoden für die Kompromittierung sehr vieler Benutzer und die Infizierung von Computern und Systemen. Dazu gehören:

• „First-Stage-Payloads“ wie Trojaner und Dienstprogramme, die die Erstinfektion des Computers eines Benutzers ermöglichen. (Ein Makrovirus in einem schädlichen Word-Dokument ist ein Beispiel für diese Art von Tool.)

• PUAs, die schädliche Browsererweiterungen enthalten. • Verdächtige Windows-Binärdateien, die Bedrohungen

wie Spyware und Adware übermitteln.5 • Facebook-Scams mit gefälschten Angeboten,

Medieninhalten und Umfrage-Scams. • Malware wie Ransomware und Keystroke-Recorder,

die Payloads an kompromittierte Hosts übermitteln.

Abbildung 3 Am häufigsten beobachtete Malware (Top-Blockierungen von schädlichem Code), November 2016 bis Mai 2017


DokumentierteAnzahl

Art der Bedrohung

Trojaner-Dropper32.737

Trojaner für Browserumleitung23.272

Trojaner für Browserumleitung (Downloader)

19.922

Malware23.979

Trojaner-Downloader17.635

Trojaner-Downloader (Heuristik)15.148

PUA und verdächtige Binärdateien12.510

Browserumleitung8428

Trojaner9070

Facebook-Malware4784

Trojaner für iFrame-Missbrauch3394

Phish-Malware4274

Gepackt3016

Virus2676

Heuristik2216

Malware für iFrame-Missbrauch2188

Abbildung 3: Am häufigsten beobachtete Malware (Top-Blockierungen von schädlichem Code), November 2016 bis Mai 2017

http://b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153

13



Alle der oben aufgeführten Einträge sind regelmäßig in unseren Listen der am häufigsten beobachteten Malware zu finden. Die Einheitlichkeit in der Aufstellung deutet darauf hin, dass das Internet an einem Punkt angelangt ist, an dem die Gegner ziemlich sicher sein können, welche Web-Angriffsmethoden für eine relativ leichte Kompromittierung

Abbildung 4 Weltweite Web-Blockierungen, November 2016 bis Mai 2017

von möglichst vielen Benutzern am effektivsten sind. Die Verwendung sicherer Browser und die Deaktivierung oder Entfernung von unnötigen Browser-Plug-ins sind nach wie vor die beiden wichtigsten Maßnahmen, die Benutzer ergreifen können, um ihre Anfälligkeit gegenüber gängigen webbasierten Bedrohungen zu verringern.

Weltweite Blockierungsaktivität im Web

Cisco verfolgt die Malware-basierte Blockierungsaktivität nach Land oder Region. Die Angreifer verlagern ihre Operationsbasis häufig und sind stets auf der Suche nach schwachen Infrastrukturen, die sie als Ausgangspunkt für ihre Kampagnen nutzen können. Der Umfang der Blockierungsaktivitäten im Verhältnis zum gesamten Internetverkehr liefert jedoch Hinweise darauf, wo die Ursprungsorte von Malware liegen.

Für die Auswahl der Länder wurde das jeweilige Volumen des Internet-Datenverkehrs zugrunde gelegt. Bei einer Blockierungsrate von 1,0 verhält sich die Anzahl der registrierten Blockierungen proportional zur Netzwerkgröße. In Ländern und Regionen mit aus unserer Sicht ungewöhnlich hohen Blockierungsraten ist von einer hohen Zahl an Webservern sowie zahlreichen Hosts auszugehen, bei denen Schwachstellen noch nicht behoben wurden. Die Grafik oben zeigt die weltweite Blockierungsaktivität im Web.

Kanada

Panama

Argentinien

Venezuela

Brasilien

Chile

Mexiko Jungferninseln, Britisch

Bermudas

USA

Malaysia

ChinaJapan

Kasachstan

Indien

Iran

Thailand

Hongkong

Vereinigtes Königreich

UkraineDeutschland

SchwedenRussland

Griechenland

6,8 2,1/ 3,5 0,8/

1,3 3,5/

0,7 0,5/

0,8 0,9/

1,0 1,5/

2,3 0,7/

0,8 0,5/1,8 1,3/0,8 0,5/

0,7 0,5/

1,4 0,6/

2,5 3,9/

0,8 0,7/

0,5 0,7/

1,0 0,7/

0,5 0,8/

0,5 0,7/

0,7 1,2/

0,4 0,7/

0,8 1,4/ 0,6 1,1/

1,1 0,8/

0,8 0,8/


Blockierungsverhältnis 2017

Blockierungsverhältnis 2016

Abbildung 4: Blockierungsverhältnisse im Web (weltweit)





14



Spyware ist wirklich so schlimm, wie sie klingt

Bei einem Großteil der heutigen Werbesoftware, die online als potenziell unerwünschte Anwendungen (PUAs) bekannt ist, handelt es sich um Spyware. Die Hersteller von Spyware bewerben ihre Software als legitime Tools, die nützliche Dienstleistungen bieten und sich an Endbenutzer-Lizenzvereinbarungen halten. Aber egal, wie sie es auch formulieren, Spyware ist nichts anderes als Malware.

Spyware, die als PUAs getarnt ist, erfasst und überträgt heimlich Informationen über die Aktivitäten auf dem Computer des Benutzers. Sie wird in der Regel ohne Wissen des Benutzers auf einem Computer installiert. In der vorliegenden Diskussion haben wir die Spyware in drei grobe Kategorien eingeteilt: Adware, Systemüberwachungsprogramme und Trojaner.

In der Unternehmensumgebung birgt Spyware eine Reihe von Sicherheitsrisiken. Beispielsweise ist Folgendes möglich:

• Sie kann Benutzer- und Unternehmensdaten stehlen, darunter personenbezogene Identifizierungsdaten (Personally Identifiable Information, PII) und andere sensible oder vertrauliche Informationen.

• Sie kann den Sicherheitsstatus der Geräte schwächen, indem sie deren Gerätekonfigurationen und Einstellungen verändert, zusätzliche Software installiert und Dritten Zugriff ermöglicht. Spyware kann möglicherweise auch die Remote-Codeausführung auf Geräten aktivieren, sodass Angreifer die volle Kontrolle über das Gerät erhalten.

• Sie kann zu vermehrten Malware-Infektionen führen. Sobald Benutzer mit PUAs wie Spyware oder Adware infiziert sind, sind sie anfällig für noch mehr Malware-Infektionen.

Zum besseren Verständnis der Spyware-Infektionen untersuchten Experten von Cisco von November 2016 bis März 2017 den Netzwerkverkehr von rund 300 Unternehmen, um festzustellen, welche Arten von Spyware-Familien in Organisationen und in welchem Umfang sie vorhanden sind.

Wir fanden heraus, dass im untersuchten Zeitraum mehr als 20 Prozent der Unternehmen in unserer Stichprobe durch drei Spyware-Familien angegriffen wurden: Hola, RelevantKnowledge und DNS Changer/DNS Unlocker. Die Infektionen wurden auf monatlicher Basis in mehr als 25 Prozent aller Organisationen in unserer Stichprobe ermittelt (siehe Abbildung 5).

Es gibt Hunderte von Spyware-Familien. Wir haben uns jedoch auf diese drei Familien konzentriert, da sie zwar nicht neu sind, allerdings in den von uns beobachteten Unternehmensumgebungen die am häufigsten vertretenen „Marken“ waren. In den folgenden Abschnitten werden diese drei Spyware-Familien näher beschrieben.

Abbildung 5 Prozentualer Anteil der Unternehmen, die durch ausgewählte Spyware-Familien beeinträchtigt waren, November 2016 bis März 2017

der monatlich befragten Unternehmen waren mit Hola, RelevantKnowledge oder DNS Changer/DNS Unlocker infiziert.25%

Abbildung 5: Prozentualer Anteil der Unternehmen, die durch ausgewählte Spyware-Familien beeinträchtigt waren, November 2016 bis März 2017


15



Hola VPNHola (Spyware und Adware) ist ein Freemium-Angebot einer im Web und Mobilbereich einsetzbaren Anwendung, die ihren Benutzern über ein Peer-to-Peer-Netzwerk eine Form von VPN bietet. Darüber hinaus nutzt sie Peer-to-Peer-Caching, was im Klartext bedeutet, dass Benutzer die von anderen Benutzern heruntergeladenen Inhalte „speichern“. Hola wird als clientseitige browserbasierte Anwendung verteilt. Die Software ist entweder als Browsererweiterung oder als eigenständige Anwendung verfügbar.

Der Screenshot der Hola-Website in Abbildung 6 zeigt, wie die Operator der Spyware diese kostenlosen, hilfreichen Service vermarkten, mit dem Benutzer auf jede Website zugreifen können. Sie behaupten auch, dass Hola von mehr als 121 Millionen Menschen auf der ganzen Welt verwendet wird.

Abbildung 6 Screenshot der Homepage von Hola VPN

Warum sie als Spyware gilt: Der Funktionsumfang von Hola umfasst unter anderem den Verkauf von Benutzerbandbreite durch einen Service namens Luminati, der auf den Systemen der Benutzer sein eigenes Zertifikat mit Codesignatur installiert. Daraufhin kann jede Datei mit der Option, die Virenschutzprüfung zu umgehen und Code remote auszuführen, heruntergeladen werden.

RelevantKnowledgeRelevantKnowledge (Spyware und Systemüberwachungsprogramm) sammelt enorme Mengen von Informationen zum Browsing-Verhalten im Internet sowie zur Demografie, zu Systemen und zu Konfigurationen. RelevantKnowledge kann direkt oder durch Software-Bundles installiert werden, manchmal auch ohne direkte Zustimmung des Benutzers.

Abbildung 7 Screenshot der RelevantKnowledge-Homepage

Wie bei Hola wird auch auf dieser Homepage (Abbildung 7) eine Bild vermittelt, das den Benutzern ein gutes Gefühl gibt, sodass sie sich gerne bei diesem Service anmelden. Beispielsweise behaupten die Spyware-Operator, dass sie der Kampagne „Trees for Knowledge“ für jedes Mitglied eine Spende zukommen lässt.

Warum sie als Spyware gilt: Wie bereits erwähnt, kann RelevantKnowledge Software ohne die Zustimmung des Benutzers installieren. Zudem sammelt sie Informationen zur Erstellung von Benutzerprofilen, die zu „Forschungszwecken“ an Dritte verkauft werden – anonym, entweder einzeln oder als Teil einer Datensammlung.

16



DNS Changer und DNS Unlocker

6 „DNSChanger Outbreak Linked to Adware Install Base“ von Veronica Valeros, Ross Gibb, Eric Hulse und Martin Rehak, Cisco Security-Blog, 10. Februar 2016: blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base.

DNS Changer und DNS Unlocker sind zwei Versionen der gleichen schädlichen Software. Bei der ersten Variante handelt es sich um einen Trojaner, der die DNS-Einstellungen auf dem infizierten Host verändert oder „entführt“.6 DNS Unlocker ist ein Adware-Service, der eine Deinstallationsoption bietet.

Die Spyware ersetzt die Namensserver durch eigene Namensserver, um HTTP-Anforderungen und andere Anfragen vom Host an eine Gruppe von Angreifern zu leiten, die den Datenverkehr des Hosts abfangen, prüfen und ändern können. Sie infiziert keine Browser, sondern Endgeräte. Mithilfe der objektorientierten Programmiersprache und interaktiven Befehlszeilen-Shell PowerShell für Microsoft Windows kann sie Befehle auf dem infizierten Host ausführen. Dies öffnet den Angreifern das Tor zum Remote-Zugriff.

Die Betreiber von DNS Unlocker bewerben die Spyware als einen Service, der Benutzern Zugriff auf geografisch eingeschränkte Inhalte wie z. B. Video-Streaming ermöglicht.

Abbildung 8 Screenshot der DNS Unlocker-Homepage

Warum sie als Spyware gilt: Neben den oben genannten Funktionen und sonstigen Fähigkeiten kann DNS Unlocker personenbezogene Identifizierungsdaten stehlen, Benutzerdatenverkehr umleiten und Benutzerinhalte während der Übertragung verändern, indem Inhalte in bestimmten Services wie der Online-Werbung eingefügt werden.

Die Untersuchung zeigt, dass DNS Unlocker vorherrschend ist Von den drei Familien, auf die wir uns in unserer Untersuchung konzentriert haben, ist DNS Unlocker am häufigsten vertreten. Diese Familie ist für mehr als 40 Prozent der monatlichen Spyware-Infektionen in den Unternehmen in unserer Stichprobe verantwortlich

Abbildung 9 Vergleich der betroffenen Benutzer pro Spyware-Familie


RelevantKnowledge HolaDNS Changer/Unlocker

Nov.2016

Jan.2017

Dez. Feb. März0

20

40

60

80

100

Pro

zent

satz

der

Nut

zer

Abbildung 9: Vergleich der betroffenen Benutzer pro Spyware-Familie

http://blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base

17



Abbildung 10 Spyware-Verteilung


RelevantKnowledge DNS Changer/UnlockerHola

Dat

um

Nov.2016

Jan.2017

Dez.

Feb.

März

0 10 20 30 40 50 60 70

Prozentuale Verteilung

Abbildung 10: Spyware-Verteilung

Wir haben festgestellt, dass Hola unter den drei Familien am weitesten verbreitet ist – sie beeinträchtigt im Monatsverlauf im Beobachtungszeitraum über 60 Prozent der Organisationen (siehe Abbildung 10). Diese Spyware-Familie breitet sich mit der Zeit immer mehr aus, wenn auch langsam.

DNS Unlocker betrifft hingegen mehr Benutzer insgesamt, allerdings über weniger Organisationen verteilt (Abbildung 10). Im Januar ist die Zahl der Infektionen im Zusammenhang mit dieser Spyware-Familie deutlich im Vergleich zu der Rate im November gestiegen. Seither ist sie jedoch unseren Forschern zufolge zurückgegangen.

7 Sie finden unsere früheren Erkenntnisse zu diesem Thema im Cisco Annual Cybersecurity Report 2017, der als Download unter folgender Adresse zur Verfügung steht: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.

8 Riskware ist eine rechtmäßige Software, die durch böswillige Akteure geändert und für schädliche Zwecke missbraucht werden kann.

Spyware-Infektionen müssen ernst genommen werdenSpyware-Infektionen sind zwar in vielen Organisationen weit verbreitet, gelten jedoch in der Regel nicht als erhebliches Sicherheitsrisiko. Spyware-Infektionen können Benutzer und Organisationen aber genau wie Adware-Infektionen, die wir bei 75 Prozent der von uns in einer anderen Untersuchung7 befragten Unternehmen festgestellt haben, dem Risiko böswilliger Aktivität aussetzen.

Die Betreiber mögen ihre Spyware zwar als Services anpreisen, die Benutzer schützen oder anderweitig unterstützen sollen, der wahre Zweck der Malware besteht jedoch in der Überwachung und Zusammenstellung von Informationen zu Benutzern und ihren Organisationen – häufig ohne direkte Zustimmung oder Wissen der Benutzer. Spyware-Unternehmen sind dafür bekannt, den Zugriff auf die von ihnen gesammelten Daten zu verkaufen oder bereitzustellen, sodass Dritte relativ anonym an Informationen gelangen. Mit diesen Informationen können kritische Ressourcen identifiziert, interne Infrastrukturen in Organisationen zugeordnet und gezielte Angriffe orchestriert werden.

Spyware-Infektionen auf Browsern und Endpunkten müssen schnell beseitigt werden. Sicherheitsteams dürfen die Fähigkeiten der Spyware niemals aus den Augen verlieren und müssen feststellen, welche Art von Informationen gefährdet ist. Sie sollten sich auch die Zeit nehmen, einen Leitfaden für die Behebung von Spyware-, Adware- und Riskware8-Infektionen auszuarbeiten und ihre Endbenutzer in Schulungen über das Risiko von PUAs aufzuklären. Bevor Benutzer eine Endbenutzer-Lizenzvereinbarung für eine PUA akzeptieren, sollten sie sich wenigstens die Zeit nehmen, die Abschnitte zu prüfen, in denen beschrieben wird, wie ihre Informationen erfasst, gespeichert und mit Dritten geteilt werden.

Wenn Spyware, die als PUAs getarnt ist, nicht als eine Form von Malware betrachtet wird, drohen weitere Infektionen und Sicherheitsrisiken. Das Spyware-Problem wird immer größer, da die Betreiber mehr bösartige Funktionen in ihre Software integrieren und weiterhin das Fehlen von Abhilfemaßnahmen in Organisationen nutzen.

http://cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html

18



Rückgang der Exploit-Kit-Aktivität wirkt sich wahrscheinlich auf globale Spam-Trends aus

9 Sie finden unsere früheren Erkenntnisse zu diesem Thema im Cisco Annual Cybersecurity Report 2017, der als Download unter folgender Adresse zur Verfügung steht: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.

10 „Necurs Diversifies Its Portfolio“ von Sean Baird, Edmund Brumaghin und Earl Carter mit Beiträgen von Jaeson Schultz, Talos-Blog, 20. März 2017: blog.talosintelligence.com/2017/03/necurs-diversifies.html.

11 „Jaff Ransomware: Player 2 Has Entered the Game“ von Nick Biasini, Edmund Brumaghin und Warren Mercer mit Beiträgen von Colin Grady, Talos-Blog, 12. Mai 2017: blog.talosintelligence.com/2017/05/jaff-ransomware.html.

Die Cisco Bedrohungsexperten haben von Januar bis Mai 2017 einen Anstieg bei IP-Verbindungsblockierungen aus dem chinesischen IP-Raum beobachtet. Das Spam-Gesamtaufkommen ist in der ersten Hälfte des Jahres zurückgegangen und hat sich gegenüber den Spitzenwerten des Spam-Volumens, die vor allem gegen Ende 2016 auftraten, stabilisiert.

Abbildung 11 IP-Blockierungen nach Land


Jan. Feb. März Apr. Mai

Anz

ahl d

er IP

-Blo

ckie

rung

en

Monat

US CN VN IN DE FR MX

0

50 Mio.

100 Mio.

150 Mio.

200 Mio.

Abbildung 11: IP-Blockierungen nach Land

Der Gesamtanstieg des Spam-Aufkommens, der von unseren Bedrohungsforschern seit August 20169 verzeichnet wurde, scheint mit dem deutlichen Rückgang der Exploit-Kit-Aktivität zusammenzuhängen, die etwa zur gleichen Zeit begann. Gegner haben sich zwischenzeitlich wieder anderen erprobten und bewährten Methoden wie dem E-Mail-Versand für die Verteilung von Ransomware und Malware und zur Umsatzgenerierung zugewandt (siehe „Exploit-Kits: viele inaktiv, aber nicht alle“ auf Seite 9).

Die Cisco Bedrohungsexperten gehen davon aus, dass das Spam-Volumen mit schädlichen Anhängen weiterhin steigen wird, während die Exploit-Kit-Landschaft sich immer mehr wandelt. E-Mails können direkt auf das Endgerät gelangen. Die Angreifer können auch auf die „Hilfe“ von ahnungslosen Benutzern zählen, die ihre Kampagnen über den Posteingang weiter verbreiten. Durch Social Engineering (Phishing oder gezielteres Spear-Phishing) können sie Benutzer leicht täuschen und schließlich ganze Organisationen gefährden.

Einige Gegner nutzen für die Einschleusung von Ransomware auch Spam-E-Mails mit schädlichen Dokumenten, die zahlreiche Makros enthalten. Diese Bedrohungen können viele Sandbox-Technologien bezwingen, weil sie eine

Art von bestätigender Interaktion des Benutzers erfordern, wie das Klicken auf „OK“ in einem Dialogfeld, um Systeme zu infizieren und Paylods zu übermitteln (siehe „Malware-Entwicklung: eine Halbjahres-Betrachtung“ auf Seite 23).

Botnets, die Spam versenden (vor allem das riesige Botnet Necurs), florieren ebenfalls und haben ihren Anteil an dem Gesamtanstieg des weltweiten Spam-Volumens. Anfang dieses Jahres sendete Necurs Pump-and-Dump-Spam, eine Form von Aktienbetrug mit gering kapitalisierten Titeln (Penny Stock). Dies war äußerst wirkungsvoll. Der Schwerpunkt lag also nicht mehr auf der Verbreitung von Spam mit ausgeklügelten Bedrohungen wie Ransomware.10 Abbildung 12, eine interne Grafik des SpamCop-Service von Cisco, zeigt ein Beispiel dieser Art von Aktivität bei Necurs. Die Tatsache, dass die Botnet-Eigentümer diese minderwertigen Spam-Kampagnen in hohem Maß einsetzen, deutet darauf hin, dass diese wenig ressourcenintensiven Anstrengungen erfolgreich Umsatz generieren.

Abbildung 12 „Pump-and-Dump“-Spam-Aktivität (über 24 Stunden)

Quelle: SpamCop

Gesendete BerichteÜbermittelter Spam

Anz

ahl d

er In

stan

zen

Stunden

40

20

0

60

80

100

120

140

Abbildung 12: Necurs „Pump-and-Dump“-Spam-Aktivität (über 24 Stunden)

12:00PM

12:00PM

00:00AM

00:00AM

Necurs-Botnet hat zwischen 3 Uhr und 5 Uhr morgens

138 Spam-Instanzen gesendet

Vor Kurzem sendete das Necurs-Botnet durch mehrere groß angelegte schädliche Spam-Email-Kampagnen eine neue Variante von Ransomware: Jaff. Die E-Mails enthielten einen PDF-Anhang mit einem eingebetteten Microsoft Word-Dokument, das als anfänglicher Downloader für die Jaff-Ransomware fungierte.11


http://cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html

http://blog.talosintelligence.com/2017/03/necurs-diversifies.html

http://blog.talosintelligence.com/2017/05/jaff-ransomware.html




19



Schädliche E-Mails: Ein genauerer Blick auf die Dateityp-Strategien von Malware-Programmierern

Nun, da sich immer mehr Cyber-Kriminelle E-Mails zuwenden bzw. diese wiederentdeckt haben, um sie als primären Vektor für die Verbreitung von Ransomware und sonstiger Malware zu nutzen, überwachen die Cisco Bedrohungsforscher die Dateitypen, die von diesen Top-Malware-Familien verwendet werden. Dieses Wissen hilft uns, die Erkennungszeit für bekannte Bedrohungen zu verkürzen sowie die unterschiedlichen Arten der Weiterentwicklung durch die Malware-Operator wie beispielsweise die Änderung der Datei-Erweiterungstypen zu überwachen (auf Seite 26 finden Sie weitere Informationen zur TTD; siehe auch „Trends bei der Weiterentwicklungszeit: Nemucod, Ramnit, Kryptik und Fareit“ auf Seite 28).

Abbildung 13 Am häufigsten erkannte Malware-Familien nach Anzahl


Adwind54.831

Fareit32.394

Donoff24.469

Doc 23.154

Valyria 19.954

Ag 18.610

Limitail 15.420

Docdl 12.189

Qjwmonkey 9340

Macro 9093

Nemucod41.960

MyWebSearch40.023

Abbildung 13: Am häufigsten erkannte Malware-Familien (nach Anzahl)

Wir haben von Januar bis April 2017 Malware-Erkennungen analysiert, um anhand der Anzahl die Top 20 der Malware-Familien in schädlichen E-Mail-Payloads während dieses Zeitraums zu identifizieren (siehe Abbildung 13).

Abbildung 14 zeigt die Anzahl der Erkennungen nach Familie, die eine Dateierweiterung mit einer schädlichen Payload enthielten (beispielsweise .zip oder .exe). Beachten Sie den deutlichen Anstieg bei Malware mit Makros im April, dem traditionellen Steuermonat in mehreren Ländern wie etwa in den USA und in Kanada (weitere Informationen zu Spam mit schädlichen Dokumenten, die viele Makros enthalten, finden Sie unter „Malware-Entwicklung: eine Halbjahres-Betrachtung“ auf Seite 23).

Abbildung 14 Muster der gängigsten Malware-Familien, 2017


Anz

ahl d

er In

stan

zen

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

0

10K

20K

Apr.Monate

Monate

Monate

Monate

Monate

Monate

Monate

Monate

Monate

Monate

Monate

Monate

Jan.

Apr.Jan.

Apr.Jan.

Apr.Jan.

Apr.Jan.

Apr.Jan.

Apr.Jan.

Apr.Jan. Apr.Jan.

Apr.Jan. Apr.Jan.

Donoff

Macro

Qjwmonkey Valyria

Limitail

Nemucod

Doc

Fareit

MyWebSearch

Docdl

Ag

Adwind

Apr.Jan.

10,8K

8,5K

8,2K

2,4K

15,2K

8,8K

9,5K

7,4K

3,4K 4,3K

10,4K

18,6K

Abbildung 14: Muster der gängigsten Malware-Familien, 2017





20



Wir haben auch die Zahlen der Payload-Anhänge untersucht und eine Liste der häufigsten schädlichen Dateierweiterungen in E-Mail-Dokumenten zusammengestellt (siehe Abbildung 15). Schädliche .zip-Dateien waren vorherrschend, gefolgt von Microsoft .doc-Erweiterungen.

Anschließend haben wir untersucht, wie sich die Beliebtheit dieser verschiedenen Erweiterungen im Laufe der Zeit verändert hat (siehe Abbildung 16).

Abbildung 15 Am häufigsten erkannte schädliche Dateierweiterungen nach Anzahl


192.097

72.254

55.193

25.646

16.155

12.328

10.478

8485

7425

7023

.zip

.doc

.jar

.gz

.xls

.rar

.pdf

.html

.7z

.arj

Abbildung 15: Am häufigsten erkannte bösartige Dateierweiterungen (nach Anzahl)

Abbildung 16 Muster der häufigsten schädlichen Dateierweiterungen, 2017


0

6K

12K

0

6K

12K

0

6K

12K

Anz

ahl d

er In

stan

zen

0

6K

12K

0

6K

12K

0

6K

12K

0

10K

20K

0

6K

12K

0

6K

12K

Apr.Jan.

Apr.Jan.

Apr.Jan. Apr.Jan.

Apr.Jan. Apr.Jan.

Apr.Jan.

Apr.Jan. Apr.Jan.

.pdf

Monate Monate

Monate Monate

Monate

Monate

Monate

Monate

Monate

.html

.doc

.ace

.jar .gz

.7z

.exe .arj

10,7K

18,1K

1,7K

6,2K

6,1K

3,5K

346

1,2K 1,9K

Abbildung 16: Muster der häufigsten bösartigen Dateierweiterungen, 2017

21



Beobachtete Dateityp-„Favoriten“ bei den gängigsten Malware-FamilienMit Blick auf die fünf häufigsten Malware-Familien in unserer Stichprobe sehen wir, dass jede Malware-Familie unterschiedliche Dateityp-Strategien verfolgt, aber auch einige Erweiterungen regelmäßig verwendet werden. Beispiele:

• Adwind, ein Remote-Zugriff-Trojaner (Remote-Access Trojan, „RAT“), nutzt häufig .jar-Dateien (Java-Archiv-Erweiterungen).

• Nemucod, ein als Downloader agierender Trojaner, der bekanntermaßen Ransomware einschleust, verwendet .zip als Go-to-Dateierweiterung.

• MyWebSearch, eine schädliche Adware, ist sehr wählerisch: Sie nutzt ausschließlich .exe-Dateierweiterungen und verwendet manchmal nur eine Art pro Monat.

• Fareit, ein weiterer RAT, verwendet eine Vielzahl von Dateitypen, scheint jedoch die Dateierweiterungen .zip und .gz zu bevorzugen. (Letztere ist eine Archivdateierweiterung.)

• Die Donoff-Malware, eine schädliche Ransomware, die Makros verteilt, verwendet vorwiegend Dateitypen von Microsoft Office-Dokumenten, vor allem .doc und .xls.

Abbildung 17 bietet eine andere Sicht auf die Muster schädlicher E-Mails: Die Beziehungen zwischen bestimmten Dateierweiterungen und verschiedenen Malware-Familien. Unsere Analyse zeigt, dass Dateitypen wie .zip und .doc, die in geschäftlichen Umgebungen weit verbreitet sind, regelmäßig von mehreren der Top-Malware-Familien genutzt werden, darunter auch Nemucod und Fareit.

Wir haben jedoch auch festgestellt, dass viele Malware-Familien auch unbekanntere und ältere Dateierweiterungstypen wie .jar und .arj verwenden. (Letztere ist eine Art von komprimierter Datei.)

Abbildung 17 Beziehungen zwischen Dateierweiterungen (.arj, .doc, .jar .zip) und Malware-Familien

38.198 Nemucod

18.610 Ag

9.755 Limitail

7.984 Macro

7.944 Fareit 5.081 Donoff4.347 Msil 4.242 Dldr

49.350 Adwind

3.327 Grat

845 Jrat

727 Kryptik

418 Maljava267 Jacksbot79 Uverat

66 Msil

21.899 Doc

14.980 Donoff

8.934 Valyria

6.973 Docl2.356 Fraud 2.312 Rtf1.794 Nemucod

1.714 Vba

1.758 Fareit

717 Limitail

480 Kryptik 402 Golroted382 Vbinject

309 Ponik273 Omaneat 266 Tepfer

.zip

.jar

.doc.arj

Abbildung 17 Beziehungen zwischen Dateierweiterungen (.arj, .doc, .jar .zip) und Malware-Familien





22



Ist Ransomware ein Thema, das Ihnen Sorgen bereitet? E-Mail-Angriffe könnten eine noch größere Bedrohung darstellen.

12 „Exclusive: Facebook and Google Were Victims of $100M Payment Scam“ von Jeff John Roberts, Fortune.com, 27. April 2017: fortune.com/2017/04/27/facebook-google-rimasauskas/.

13 „Business E-mail Compromise, E-Mail Account Compromise: The 5 Billion Dollar Scam“, Internet Crime Complaint Center (IC3) und das Federal Bureau of Investigation (FBI), 4. Mai 2017: ic3.gov/media/2017/170504.aspx.

14 „Ransomware Took In $1 Billion in 2016—Improved Defenses May Not Be Enough to Stem the Tide“ von Maria Korolov, CSOonline.com, 5. Januar 2017: csoonline.com/article/3154714/security/ransomware-took-in-1-billion-in-2016-improved-defenses-may-not-be-enough-to-stem-the-tide.html.

Im Security-Bereich wurde der Ransomware in letzter Zeit viel Beachtung geschenkt. Allerdings gibt es eine Bedrohung, die zwar nicht annähernd so sehr in der Öffentlichkeit steht, jedoch für ihre Initiatoren weitaus rentabler ist als Ransomware: E-Mail-Angriffe auf Unternehmen, auch als „BEC“ (Business Email Compromise) bekannt. Der Cisco Partner Flashpoint, ein Anbieter von Risk Intelligence, hat das BEC-Problem untersucht und festgestellt, dass es derzeit die lukrativste und profitabelste Methode ist, um hohe Geldbeträge aus einem Unternehmen abzuschöpfen. Hierbei handelt es sich um einen trügerisch simplen Angriffsvektor, der den Diebstahl mithilfe von Social Engineering auslöst.

In ihrer einfachsten Form beinhaltet eine BEC-Kampagne eine E-Mail (manchmal unter Verwendung von Spoofing, um den Anschein zu erwecken, sie würde von einem Kollegen stammen), die an Angestellte im Finanzwesen gesendet wird, die befugt sind, Banküberweisungen zu tätigen. Die Angreifer haben in der Regel die Unternehmenshierarchie und die Angestellten ausgekundschaftet, um die vermutliche Befehlskette nachvollziehen zu können. Hierfür nutzen sie beispielsweise Profile in sozialen Netzwerken. Die E-Mail scheint vom CEO oder einer anderen hochrangigen Führungskraft zu stammen. Der Empfänger wird darin gebeten, Geld an einen vermeintlichen Geschäftspartner zu überweisen oder einen Lieferanten zu bezahlen. Der Inhalt der Nachricht kann eine gewisse Dringlichkeit aufweisen, sodass sich der Empfänger gezwungen sieht, das Geld zu überweisen. Dieses landet in der Regel auf aus- und inländischen Bankkonten, die im Besitz von Cyberkriminellen sind.

BEC-Scams richten sich gegen große Ziele – und große Ziele sind ihnen tatsächlich bereits zum Opfer gefallen, auch wenn sich solche Organisationen normalerweise ausreichend mit Maßnahmen zur Bedrohungsabwehr und Schutzmechanismen vor Betrug schützen. Sowohl Facebook als auch Google wurden Opfer von BECs und Überweisungsbetrug.12 Da BEC-Nachrichten weder Malware noch verdächtige Links enthalten, können sie die Tools der Bedrohungsabwehr meist austricksen, es sei denn, es handelt sich um wirklich hochentwickelte Tools.

Wie ernst ist das BEC-Problem? Das Internet Crime Complaint Center (IC3) – eine Partnerstelle des Federal Bureau of Investigation, des US-amerikanischen Justizministeriums und des National White Collar Crime Center – meldet, dass zwischen Oktober 2013 und Dezember 2016 5,3 Milliarden US-Dollar durch BEC-Betrug gestohlen wurden, was durchschnittlich 1,7 Milliarden US-Dollar jährlich ausmacht 13 (siehe Abbildung 18). Zum Vergleich: Über Ransomware-Exploits wurde im Jahr 2016 etwa eine Milliarde US-Dollar erbeutet.14

Von Oktober 2013 bis Dezember 2016 wurden in den USA nahezu 22.300 Opfer von BEC-Betrugsfällen bekannt.

Abbildung 18 Höhe des Schadens durch BEC

Quelle: Internet Crime Complaint Center

Okt. 2013 Dez. 2016

$ 5,3 Milliarden

Abbildung 18: Höhe des Schadens durch BEC


http://fortune.com/2017/04/27/facebook-google-rimasauskas/

http://ic3.gov/media/2017/170504.aspx

http://csoonline.com/article/3154714/security/ransomware-took-in-1-billion-in-2016-improved-defenses-may-not-be-enough-to-stem-the-tide.html




23



Zur Bekämpfung des BEC-Betrugs müssen in der Regel eher die Geschäftsprozesse verbessert werden, nicht die Tools zur Bedrohungsabwehr. Flashpoint empfiehlt, die Benutzer entsprechend zu schulen: Sie können beispielsweise in Mitarbeiterschulungen lernen, außergewöhnliche Anforderungen von Finanztransfers zu erkennen, beispielsweise wenn Geld an das ausländische Konto eines Unternehmens fließen soll, das im Inland tätig ist. Außerdem können Organisationen von den Mitarbeitern verlangen, Banküberweisungen mithilfe eines anderen Mitarbeiters beispielsweise telefonisch zu prüfen, sodass sie keine Opfer von gefälschten E-Mails werden.

15 „Threat Spotlight: Mighty Morphin Malware Purveyors: Locky Returns via Necurs“ von Nick Biasini, Talos-Blog, 21. April 2017: blogs.cisco.com/security/talos/locky-returns-necurs.

Wie bei den Tools zur Bedrohungsabwehr können SPF-Verteidigungsmechanismen (SPF = Sender Policy Framework) bei der Blockierung von E-Mails mit gefälschten Adressen hilfreich sein. Diese Funktion wird in den Organisationen allerdings mitunter nur zögerlich eingesetzt, da SPF auch rechtmäßige E-Mails (wie Marketing-Nachrichten oder Newsletter) blockieren kann, wenn die Funktion von der IT nicht ordnungsgemäß verwaltet wird.

Unter dem Strich bedeutet das, dass Unternehmen mit einer Online-Präsenz – von Giganten wie Facebook und Google bis hin zu Unternehmen mit nur wenigen Dutzend Mitarbeitern – mögliche Ziele des BEC-Betrugs sind. Diese Betrugsmasche ist für Kriminelle kostengünstig und bringt hohe Gewinne. Daher wird sie als Bedrohungsvektor künftig wahrscheinlich an Bedeutung gewinnen.

Malware-Entwicklung: eine Halbjahres-Betrachtung

Die Cisco Security-Experten haben die Entwicklung von Malware im ersten Halbjahr 2017 beobachtet. Dabei haben sie verschiedene Trends festgestellt, die Aufschluss darüber geben, was für die Malware-Programmierer bei der Ausarbeitung ihrer Strategien im Vordergrund steht – nämlich Einschleusung, Verschleierung und Ausweichung.

Trend 1: Die Gegner verwenden Systeme für die Malware-Verteilung, bei denen die Benutzer eine Art von bestätigender Maßnahme ergreifen müssen, um die Bedrohung zu aktivieren

Wir haben eine Zunahme der schädlichen E-Mail-Anhänge beobachtet, die automatisierte Systeme zur Malware-Erkennung umgehen können. Wenn sie in einer Sandbox-Umgebung platziert werden, liefern diese Anhänge keinerlei Anzeichen für ihre böswillige Absicht und werden daher an den Benutzer weitergeleitet, der dann unter Umständen Folgendes erhält:

• ein kennwortgeschütztes schädliches Dokument (wobei ihm das Kennwort praktischerweise im Textteil der E-Mail genannt wird)

• ein schädliches Dokument, bei dem der Benutzer in einem Dialogfeld um die Erlaubnis gebeten wird, eine bestimmte Aktion ausführen zu dürfen (möglicherweise muss der Benutzer auf „OK“ klicken)

• schädliche OLE-Objekte in einem Word-Dokument • schädliche Word-Dokumente, die in PDF-Dateien

eingebettet sind15

Trend 2: Gegner nutzen die Ransomware-Codebasis zu ihrem Vorteil

Böswillige Akteure schaffen es mithilfe einer Open-Source-Codebasis wie Hidden Tear und EDA2, die Ransomware-Code zu „Aufklärungszwecken“ öffentlich bereitstellt, Malware schnell, einfach und kostengünstig zu entwickeln. Die Gegner optimieren den Code, sodass er sich vom Original unterscheidet, und stellen dann die Malware bereit. Viele „neue“ Ransomware-Familien, die von den Cisco Bedrohungsforschern in den letzten Monaten beobachtet wurden, basieren auf Open-Source-Code einer aufklärerischen Codebasis.

Trend 3: RaaS-Plattformen (Ransomware-as-a-Service) nehmen rasant zu

RaaS-Plattformen wie Satan eignen sich ideal für arbeitsscheue Angreifer, die am Ransomware-Markt teilhaben und eine erfolgreiche Kampagne starten möchten, ohne sich mit der Codierung bzw. Programmierung zu befassen oder Ressourcen für die Entwicklung innovativer Taktiken aufwenden zu müssen. Die Betreiber dieser immer häufiger zu verzeichnenden Plattformen erhalten einen Anteil an den Gewinnen der Angreifer. Einige stellen sogar die Ransomware bereit und bieten zusätzliche Dienstleistungen an, beispielsweise die Überwachung des Fortschritts der Kampagnen ihrer Kunden.

http://blogs.cisco.com/security/talos/locky-returns-necurs

24



Trend 4: Dateilose oder „speicherresidente“ Malware wird immer häufiger

Diese Art von Malware infiziert inzwischen Systeme auf der ganzen Welt. Sie stützt sich auf PowerShell oder WMI, damit die Malware vollständig im Speicher ausgeführt wird, ohne Elemente in das Dateisystem oder die Registrierung zu schreiben, es sei denn, der Angreifer möchte anhaltende Mechanismen implementieren.16 Dadurch wird die Erkennung der Malware erschwert. Auch forensische Untersuchungen und die Reaktion auf Vorfälle werden schwieriger.

Trend 5: Angreifer setzen zur Verschleierung von Befehlen und Kontrolle vermehrt auf eine anonymisierte und dezentrale Infrastruktur

Die Cisco Bedrohungsforscher haben eine zunehmende Nutzung von Bridging-Services zur Erleichterung des Zugangs zu Malware und Command-and-Control-Services

16 Mehr zu diesem Thema finden Sie unter „Covert Channels and Poor Decisions: The Tale of DNSMessenger“ von Edmund Brumaghin und Colin Grady, Talos-Blog, 2. März 2017: blogs.cisco.com/security/talos/covert-channels-and-poor-decisions-the-tale-of-dnsmessenger.

17 Weitere Informationen zu diesem Thema finden Sie unter „Go RAT, Go! AthenaGo Points ‘TorWords’ Portugal“ von Edmund Brumaghin mit Beiträgen von Angel Villegas, Talos-Blog, 8. Februar 2017: blog.talosintelligence.com/2017/02/athena-go.html.

beobachtet, die im Tor-Netzwerk gehostet werden. Ein Beispiel ist Tor2web, ein Proxy-Dienst, mit dem Systeme im Internet auf Dinge zugreifen können, die in Tor gehostet werden, ohne dass die Installation einer lokalen Tor-Clientanwendung erforderlich ist.17

Im Wesentlichen erleichtert Tor2web den Gegnern die Verwendung von Tor, da sie weder ihren Malware-Code ändern noch einen Tor-Client in ihre Malware-Payload einbinden müssen. Da ein Angreifer einen Tor2web-Proxy-Server auf einer beliebigen Domäne seiner Wahl konfigurieren kann, ist es schwieriger, die Malware bei ihrer Implementierung zu blockieren.

Threat-Intelligence von Talos: Auf den Spuren der Angriffe und Schwachstellen

Die Cisco Talos-Website (blog.talosintelligence.com) dient als Quelle für die Erforschung von Schwachstellen und Trends in der Bedrohungslandschaft. Die Erforschung von Schwachstellen ist besonders wichtig, weil sie den Kampf zwischen Angreifern und Verteidigern im Laufe der Zeit unterstreicht.

Angreifer haben in der Regel einen Vorteil, da sie die Zeit auf ihrer Seite haben, während Verteidiger benachteiligt sind, weil ihnen genau diese Zeit fehlt. Verteidiger befinden sich im Nachteil, da sie wertvolle Zeit für die Begrenzung des Schadens aufwenden müssen, der durch die Angreifer entstanden ist. Durch die Erforschung von Schwachstellen gelingt es den Verteidigern, wunde Punkte auszuräumen, bevor diese von den Angreifern ausgenutzt werden können. Forscher können dazu beitragen, diese Lücke zu schließen. Hierfür müssen sie Zero-Day-Schwachstellen identifizieren und gemeinsam mit den Software-Herstellen sicherstellen, dass Patches entwickelt und verteilt werden.

Die Bekämpfung von Ransomware wird immer effektiver. Die Exploit-Kit-Aktivität ist zurückgegangen, sodass die Talos-Forscher andere Bedrohungen untersuchen können. Wir verstehen jetzt besser, wie Ransomware funktioniert, und können neue Ransomware-Varianten schneller identifizieren.

Ein weiterer wichtiger Trend, der im Talos-Blog diskutiert wird, ist der Wechsel der Gegner von Exploit-Kits zu E-Mail-basierten Bedrohungen. Seit das früher vorherrschende Exploit-Kit Angler im Jahr 2016 von der Bildfläche verschwand, haben die Bedrohungsforscher genau beobachtet, ob ein anderer Akteur die Rolle des Marktführers eingenommen hat – oder ob sonstige wichtige Trends entstehen (siehe „Exploit-Kits: viele inaktiv, aber nicht alle“ auf Seite 9). Gleichzeitig verzeichnen die Forscher einen Rückgang von Bedrohungen, die Flash- oder Java-Software attackieren; da die Browserentwickler jetzt die entsprechenden Plug-ins blockieren, werden diese von den Gegnern weniger wahrscheinlich als Angriffsvektoren genutzt.

http://blogs.cisco.com/security/talos/covert-channels-and-poor-decisions-the-tale-of-dnsmessenger

http://blog.talosintelligence.com/2017/02/athena-go.html

http://blog.talosintelligence.com/

25



Im Folgenden werden aktuellere Talos-Blog-Beiträge aufgelistet, die die Forschungsergebnisse zu bestimmten Bedrohungen hervorheben und einen Einblick darin bieten, wie Angreifer zu Innovationen gezwungen werden, um den Verteidigern einen Schritt voraus zu sein:

Player 3 Has Entered the Game: Say Hello to ‘WannaCry’: Dieser Beitrag bietet eine Einführung in die Ransomware-Variante WannaCry, die in der Öffentlichkeit große Beachtung fand. Hier werden Vorschläge für den Schutz der Netzwerke vor dieser Bedrohung angeboten.

MBRFilter: Can’t Touch This!: In diesem Beitrag haben die Talos-Forscher MBRFilter veröffentlicht. Dabei handelt es sich um einen Festplattenfilter, mit dem verhindert wird, dass Malware Daten in den Sektor 0 auf Festplattengeräten schreibt, die an ein System angeschlossen sind. Das ist eine Taktik, die Ransomware-Varianten wie Petya verwenden: Die Malware versucht, den Master Boot Record (MBR) eines infizierten Systems zu überschreiben und den Bootloader durch einen schädlichen Loader zu ersetzen.

Sundown EK: You Better Take Care: Dieser Beitrag befasst sich mit dem Exploit-Kit Sundown. Die zugehörige Kampagne wird lediglich von einer Handvoll von IP-Adressen aus betrieben, aber die Talos-Forscher haben über 80.000 schädliche Unterdomänen von mehr als 500 Domänen gefunden, bei denen verschiedene Registrierungskonten verwendet wurden. Dieser Ansatz bedeutet, dass das Exploit herkömmliche Blacklist-Lösungen umgehen kann.

Without Necurs, Locky Struggles: Die Talos-Forscher haben den Rückgang bei der Aktivität für die Locky-Ransomware-Variante skizziert, ein Ergebnis davon, dass das Necurs-Botnet vorübergehend offline ging. Die Forscher haben ein wachsames Auge auf das Necurs-Botnet: Wenn es aktiv ist, hat es das Potenzial, unglaubliche Mengen von Spam sowohl mit Locky als auch mit der Dridex-Banking-Malware zu verteilen.

Go RAT, Go! AthenaGo Points “TorWords” Portugal: In diesem Beitrag identifizieren die Talos-Forscher AthenaGo, eine Malware-Kampagne, die durch schädliche Word-Dokumente verteilt wird und auf Opfer in Portugal abzielt. Nach Aussage der Forscher hatte diese Kampagne eine besondere Note. AthenaGo nutzte einen Remote-Access-Trojaner (RAT) mit der Fähigkeit, weitere Binärdateien herunterzuladen und auf infizierten Systemen auszuführen. Die Malware wurde in der Programmiersprache Go geschrieben, was eine eher unübliche Taktik ist. Zudem stützt sich die Command-and-Control-Kommunikation, die von der Malware verwendet wird, auf Tor2web-Proxys, die von den Malware-Programmierern genutzt werden, um einer Erkennung zu ergehen.

Covert Channels and Poor Decisions: The Tale of DNSMessenger: Die Talos-Forscher haben ihre Analyse einer Malware-Stichprobe kurz umrissen, die mithilfe von DNS-TXT-Datensätzen Abfragen und Antworten für die Erstellung eines bidirektionalen Command-and-Control-Kanals verwendet hat. Dies ist eine unübliche und schwer greifbare Taktik, die von Angreifern eingesetzt wird, um während ihrer Aktionen in den anvisierten Umgebungen unerkannt zu bleiben.

Necurs Diversifies Its Portfolio: In diesem Beitrag diskutieren die Forscher die neue Aktivität des riesigen Necurs-Botnets, das seine Spam-Einschleusung diversifiziert hat, um auch Pump-and-Dump-Meldungen unterzubringen.

Threat Spotlight: Mighty Morphin Malware Purveyors: Als das Necurs-Botnet nach der vorübergehenden Einstellung seiner Aktivität wieder zum Leben erwachte, haben die Forscher eine neue explosionsartige Aktivität von Locky verzeichnet: eine Spam-Kampagne im großen Stil.

https://blogs.cisco.com/security/talos/wannacry

http://blog.talosintelligence.com/2016/10/mbrfilter.html

http://blog.talosintelligence.com/2016/10/sundown-ek.html

http://blog.talosintelligence.com/2017/01/locky-struggles.html

http://blog.talosintelligence.com/2017/02/athena-go.html

http://blog.talosintelligence.com/2017/03/dnsmessenger.html

http://blog.talosintelligence.com/2017/03/dnsmessenger.html

http://blog.talosintelligence.com/2017/03/necurs-diversifies.html

http://blog.talosintelligence.com/2017/04/locky-returns-necurs.html

26



Beschleunigte Bedrohungserkennung: Das Tauziehen zwischen Angreifern und Verteidigern wird knapper

Cisco hat die durchschnittliche Zeit bis zur Erkennung (Time to Detection, TTD) seit November 2015 nachverfolgt. Seitdem ist die Tendenz allgemein rückläufig und von etwas mehr als 39 Stunden zu Beginn der Untersuchung auf etwa 3,5 Stunden für den Zeitraum November 2016 bis Mai 2017 gesunken (siehe Abbildung 19).

Abbildung 19 TTD-Median nach Monat


MärzJan.Nov.Sept.JuliMai MaiMärzJan.Nov.2016 2017

Monate

10

5

0

15

20

25

30

35

40

Stu

nden

39,2

6,7

18,2

8,1

2,6

8,56,9

Abbildung 19: Mittlere TTD nach Monat

Ausschläge des TTD-Medians nach oben markieren Zeiträume, in denen Angreifer neue Bedrohungen ins Feld führten. Niedrige Werte wurden in Zeiträumen beobachtet, in denen Verteidiger bekannte Bedrohungen schnell ermitteln konnten. Seit Sommer 2016 verläuft das ständige Tauziehen zwischen Angreifern und Verteidigern nicht mehr ganz so dramatisch. Letztere gewinnen nach jedem Versuch der Angreifer, die Oberhand zu gewinnen und zu behalten, schnell wieder an Boden.

Cisco definiert die Bedrohungs-Erkennungszeit (auch „Time-to-Detection“, TTD) als die Zeitspanne vom Auftreten einer Kompromittierung bis zu deren Erkennung als Bedrohung. Für die Ermittlung der TTD ziehen wir Sicherheitstelemetrie heran, die von Cisco Security-Produkten weltweit erfasst wird. Durch kontinuierliche Analysen dieser Daten können wir dann feststellen, zu welchem Zeitpunkt ein bislang unbekannter Schadcode auf einem Endgerät ausgeführt wurde, und zu welchem Zeitpunkt dieser Code als Bedrohung klassifiziert wurde.





27



Vor allem in den letzten sechs Monaten zeigen die Entwicklungen in der Bedrohungslandschaft, dass Cyber-Kriminelle unter größerem Druck stehen und ihre Bedrohungen ständig weiterentwickeln müssen, um einer Erkennung zu entgehen. Sie müssen sich laufend neue Techniken aneignen.

In Abbildung 20 ist die mittlere TTD der 20 aktivsten Malware-Familien (nach prozentualer Erkennungsrate) dargestellt, die unsere Forscher im Zeitraum vom November 2016 bis April 2017 beobachtet haben. Bei vielen Malware-Familien, die von den Cisco Produkten innerhalb unserer mittleren TTD von 3,5 Stunden erkannt werden, handelt es sich um industrialisierte Bedrohungen, die sich schnell übertragen und daher weit verbreitet sind. Auch alte und häufige Bedrohungen werden in der Regel in weniger als der mittleren TTD erkannt.

Abbildung 20 Mittlere TTD der 20 aktivsten Malware-Familien

Bei zahlreichen Malware-Familien kann die Identifizierung durch die Verteidiger selbst dann lange dauern, wenn sie der Security Community eigentlich bekannt sind. Der Grund hierfür ist, dass die Akteure hinter diesen Bedrohungen verschiedene Verschleierungstaktiken nutzen, um ihre Malware aktiv und rentabel zu halten. Im nächsten Abschnitt befassen wir uns damit, wie vier bestimmte Malware-Familien mithilfe von gezielten Strategien versuchen, den Verteidigern immer einen Schritt voraus zu sein. Im Einzelnen handelt es sich dabei um Fareit (einen Remote-Access-Trojaner, auch „RAT“ genannt), Kryptik (einen RAT), Nemucod (einen Downloader-Trojaner) und Ramnit (einen Banking-Trojaner).

Ihre Methoden sind effektiv: Abbildung 20 zeigt, dass all diese Familien aus dem Zeitfenster der 3,5 Stunden für die mittlere TTD gefallen sind – Kryptik sogar erheblich. Selbst Nemucod, der am häufigsten erkannte Trojaner unter den aktivsten Familien, kann aufgrund seiner hohen Dynamik nicht so schnell identifiziert werden.

Pro

zent

satz

der

Erk

ennu

ngen

TTD-Median Stunden

0

5 %

10 %

15 %

20 %

25 %

30 %

35 %

0 20 40 60 80 100 120 140 160 180

HckpkPacker

Mittlere TTD insges. = 3,5 Std.

Nemucod

Dealply

BrowsefoxAdwind

Docdl

InsightDonoffLockyMydoom

Ramnit

AdnelDridex

MabezatKryptik

NymaimMsil

Bayrob

Fareit


Abbildung 20: Mittlere TTD der 20 aktivsten Malware-Familien

28



Trends bei der Weiterentwicklungszeit: Nemucod, Ramnit, Kryptik und Fareit

Cisco überwacht genau, wie die Programmierer von Malware die Art und Weise, wie ihre Payloads eingeschleust werden, weiterentwickeln. Im Fokus steht auch die Geschwindigkeit der Generierung neuer Dateien, mit denen sie Erkennungsmethoden, die ausschließlich Hash-basiert agieren, aushebeln möchten. Das ist noch nicht alles: Ihr Einsatz von Domänen-Generierungs-Algorithmen (DGAs) zur Wahrung der Aktualität und Effektivität ihrer Malware, mit der sie Benutzer und Systeme angreifen, wird ebenfalls eingehend untersucht. Einige Malware-Familien generieren enorme Mengen an DGA-Domänen, die alle geringfügig von einem bestimmten Domänennamen abweichen. So möchten sie ihren Datenverkehr tarnen und einer Erkennung entgehen (Sie finden weitere Informationen zu DGA-Domänen unter „Längere Lebensdauer – und Überschneidung – von DGA-Domänen“ auf Seite 33).

Wir analysieren Webangriffsdaten aus verschiedenen Cisco Quellen, darunter Webproxydaten, Daten von Produkten zum Schutz vor fortschrittlicher Malware (sowohl von Cloud-basierten als auch von endgerätebasierten Produkten) und Daten von kombinierten Malwareschutz-Engines. Die resultierenden Daten unserer Analyse erlauben uns die Messung der Weiterentwicklungszeit (TTE, Time to Evolve): Wir haben also ermittelt, wie lange die Angreifer brauchen, um die Auslieferungsart einer Malware zu ändern, und wie viel Zeit zwischen den verschiedenen Taktikanpassungen vergeht.

Der Einblick in die individuellen Weiterentwicklungsmuster der einzelnen Malware-Familien und wie sie mithilfe von neuen und alten Tools sowie Taktiken versuchen, den Verteidigern einen Schritt voraus zu sein, erleichtert uns die Optimierung unserer Sicherheitsverfahren und -technologie. So können wir die Bedrohungs-Erkennungszeit (Time-to-Detection, TTD) kontinuierlich verbessern (weitere Informationen zur TTD finden Sie unter „Beschleunigte Bedrohungserkennung: Das Tauziehen zwischen Angreifern und Verteidigern wird knapper“ auf Seite 26).

Von November 2016 bis Mai 2017 haben wir unsere Analyse auf vier altbekannte Malware-Familien konzentriert – Nemucod, Ramnit, Kryptik und Fareit. Konkret haben wir uns dafür interessiert, ob und wie häufig sich die Dateierweiterungen der zur Malware-Einschleusung verwendeten Dateien und die von den Benutzersystemen verzeichneten Datei-Inhaltstypen (MIME-Typen) änderten. Für jede Malware-Familie haben wir jeweils die Muster sowohl bei Web- als auch bei E-Mail-basierten Einschleusungsmethoden untersucht.

Abbildung 21 zeigt die Anzahl der eindeutigen Vektoren für Webangriffe, die während des Untersuchungszeitraums von jeder der vier Malware-Familien verwendet wurden.

Abbildung 21 Anzahl der eindeutigen Vektoren bei Webereignissen, aufgeschlüsselt nach Monat

0

5

10

15

20

25

30

35

40

Dez. Feb. März MaiApr.Nov.2016

Jan.2017

Anz

ahl d

er e

inde

utig

en V

ekto

ren

Kryptik Ramnit Nemucod Fareit

Abbildung 21 Anzahl der eindeutigen Vektoren bei Webereignissen, aufgeschlüsselt nach Monat


29

38

29



Abbildung 22 zeigt die Anzahl der eindeutigen Vektoren jeder Familie, die während des Untersuchungszeitraums für E-Mail-Angriffe eingesetzt wurden. Hinweis: Die Ramnit-Malware-Familie wurde von der Analyse ausgeschlossen, da unsere Forscher nur einige wenige Ereignisse (Blockierungen) im Zusammenhang mit Ramnit-Dateien ermittelt haben.

Unsere TTE-Analyse umfasst die Untersuchung des Alters der Hashes, die von einer Malware-Familie zum Zeitpunkt der Blockierung verwendet wurden (pro Monat). Dadurch können wir besser feststellen, wie oft und wie schnell die Malware weiterentwickelt werden muss, um einer Hash-basierten Erkennung zu entgehen.

Es folgt eine Übersicht über unsere wichtigsten Ergebnisse im Hinblick auf die vier Malware-Familien unserer Untersuchung.

Abbildung 22 Anzahl der eindeutigen Vektoren bei E-Mail-Ereignissen (pro Monat)

0

5

10

15

20

25

30

35

40

2016 2017

Anz

ahl d

er e

inde

utig

en V

ekto

ren

Dez. Feb. März MaiApr.Nov. Jan.

33

43

Kryptik Nemucod Fareit

Abbildung 22: Anzahl der eindeutigen Vektoren bei E-Mail-Ereignissen (pro Monat)


18 „Visualizing 2016’s Top Threats“ von Austin McBride und Brad Antoniewicz, Cisco Umbrella-Blog, 8. Februar 2017: umbrella.cisco.com/blog/blog/2017/02/08/visualizing-2016s-top-threats/.

TTE-Analyse: KryptikKryptik-Malware (auch bekannt als GozNym) ist das Ergebnis einer Kombination aus einem ausgeklügelten Banking-Trojaner, dessen Quellcode in der Öffentlichkeit durchgesickert war, und einem Downloader.18 Bei etwa einem Drittel (35 Prozent) der in unserer kürzlich erfolgten TTE-Untersuchung festgestellten Webereignisse, die von der Kryptik-Malware-Familie ausgingen, war JavaScript im Spiel, während bei weiteren 26 Prozent eine Datei mit der Erweiterung *.php verwendet wurde. Zu den von uns identifizierten MIME-Typen zählten MS Word, octet-stream oder HTML. Die meisten E-Mail-Ereignisse beim Kryptik-RAT traten im Zusammenhang mit Dateien mit der Erweiterung *.zip, *.js oder mit ausführbaren Dateien auf.

Zudem haben wir festgestellt, dass die Kryptik-Malware-Familie im beobachteten Zeitraum Hashes unterschiedlichen Alters eingesetzt hat (siehe Abbildung 23).

Der in Abbildung 23 dargestellte TTD-Trend für Kryptik veranschaulicht, dass die Malware-Erkennung nach wie vor schwierig ist, obwohl die Produkte von Cisco in den letzten Monaten schneller in der Lage waren, die Bedrohung zu identifizieren. Ende April 2017 betrug unsere mittlere TTD für den Kryptik-RAT ungefähr das Doppelte der insgesamt verzeichneten mittleren TTD von 3,5 Stunden (Sie finden weitere Einzelheiten zur TTD-Berechnung auf Seite 26). Diese Zahl liegt jedoch immer noch deutlich unter den 21,5 Stunden, die wir im November 2016 für Kryptik gemessen haben.

Abbildung 23 TTD und Alter der Hashes bei der Kryptik-Malware-Familie pro Monat


Monate

Proz

entu

ale

Vert

eilu

ng

Dez.2016Nov. MaiApr.MärzFeb.

2017Jan.

0 %

100 %

50 %

75 %

25 %

15,3

20,1

6,805

10152025

MaiMärz Apr.Feb.Jan.Dez.Nov.

Stu

nden

Über 90 Tage31-90 Tage

3-10 Tage1-2 Tage0 Tage alt

11-30 Tage

Abbildung 23 TTD und Alter der Hashes bei der Kryptik-Malware-Familie pro Monat

http://umbrella.cisco.com/blog/blog/2017/02/08/visualizing-2016s-top-threats/

30



TTE-Analyse: NemucodAuch 2017 ist Nemucod unter den häufigsten Malware-Familien zu finden. Angreifer verteilen mithilfe dieser Downloader-Malware Ransomware und andere Bedrohungen wie Backdoor-Trojaner, die für den Diebstahl von Anmeldedaten oder Klickbetrug genutzt werden. Über einige Varianten von Nemucod wird auch die Nemucod-Malware-Payload übermittelt.

Die Art und Weise der Weiterentwicklung von Nemucod hat wahrscheinlich viel mit seinem anhaltenden Erfolg zu tun. Abbildung 24 zeigt, dass Nemucod konsequent 15 oder mehr Kombinationen von Dateierweiterungen und Dateiinhaltstypen verwendet. Beispielsweise war an 70 Prozent der von uns beobachteten Nemucod-Webereignisse JavaScript beteiligt; bei den Ereignissen wurden auch Dateien mit der Erweiterung *.php (16 Prozent) oder *.zip (9 Prozent) festgestellt. Darüber hinaus waren an Nemucod-Ereignissen im Zusammenhang mit E-Mail-Blockierungen in erster Linie Dateien mit den Erweiterungen *.zip, *.wsf (Windows-Skriptdatei) oder *.js beteiligt.

In Abbildung 24 wird deutlich, dass sich Nemucod vorwiegend auf Hashes stützt, die weniger als einen Tag alt sind. So soll der Vorsprung vor den Verteidigern gewahrt bleiben.

In den letzten Monaten wurden allerdings auch vermehrt ältere Hashes in der Malware eingesetzt. Dies kann bedeuten, dass die Security Community bei der Erkennung neuer Instanzen von Nemucod effektiver wird, sodass die Programmierer von Malware wieder auf ältere Hashes zurückgreifen, die sich als wirksam erwiesen haben. Unabhängig davon zeigt Abbildung 24, dass sich die TTD für Nemucod im März und April erhöht hat, ein weiteres Indiz für das unermüdliche Kräftemessen zwischen Angreifern und Verteidigern. Ganz gleich, ob dies damit zusammenhängt, wie Angreifer die Hash-Zyklen durchlaufen, oder mit ihren Übermittlungs- oder sonstigen Verschleierungstaktiken – anscheinend haben die Programmierer von Nemucod Übermittlungsmechanismen entwickelt, die schwieriger zu erkennen waren.

Abbildung 24 TTD und Alter der Hashes bei der Nemucod-Malware-Familie pro Monat


Stu

nden

05

10152025


Monate


2017Jan.

Proz

entu

ale

Vert

eilu

ng

0 %

100 %

50 %

75 %

25 %



11-30 Tage

Abbildung 24: TTD und Alter der Hashes bei der Nemucod-Malware-Familie pro Monat

16,3

3,76,9





31



TTE-Analyse: RamnitRamnit tauchte ursprünglich im Jahr 2010 als selbstreplizierender Wurm auf. Seine Entwickler haben nachträglich Funktionen für Datendiebstahl und sonstige Erweiterungen hinzugefügt. Dabei wurde ein zugänglicher Quellcode des berüchtigten Zeus-Trojaners genutzt. Heutzutage gilt Ramnit als einer der hartnäckigsten unter den bekannten Banking-Trojanern.

In unserer neuesten TTE-Untersuchung fanden wir heraus, dass nahezu jedes Webereignis (99 Prozent) im Zusammenhang mit Ramnit-Malware einen Text- oder HTML-MIME-Typ aufwies. Die Dateierweiterungen waren vielfältig, in erster Linie wurde jedoch HTML (41 Prozent) verwendet.

Unsere Forschungsergebnisse zeigen auch, dass Ramnit mehrere Monate lang den Verteidigern erfolgreich ausweichen konnte. Dies gelang durch den Einsatz von Hashes, die größtenteils 90 Tage oder älter waren (Abbildung 25).

Abbildung 25 zeigt jedoch auch, dass Ramnit bis zum April vor allem neue Hashes verwendet haben – mehr als die Hälfte davon war weniger als einen Tag alt. Dies ist wahrscheinlich darauf zurückzuführen, dass die Verteidiger bei der Erkennung von Ramnit-Instanzen mit den älteren Hashes immer erfolgreicher wurden. Tatsächlich sank unsere mittlere TTD für Ramnit von knapp über 21 Stunden im März auf etwa fünf Stunden Anfang Mai.

Abbildung 25 TTD und Alter der Hashes bei der Ramnit-Malware-Familie pro Monat


05

10152025

Stu

nden

21,316,9

5,815,89



2017Jan.

0 %

100 %

50 %

75 %

25 %

Proz

entu

ale

Vert

eilu

ngMonate



11-30 Tage

Abbildung 25: TTD und Alter der Hashes bei der Ramnit-Malware-Familie pro Monat

32



TTD-Analyse: FareitFareit ist eine weitere bekannte und weit verbreitete Malware-Familie. Der Fareit-RAT stiehlt Anmeldeinformationen und verteilt mehrere Arten von Malware. Laut unserer Recherche wurde bei fast allen (95 Prozent) der an Webangriffen beteiligten Malware-Varianten von Fareit die DLL-Dateierweiterung verwendet. 84 Prozent beinhalteten ein MS-DOS-Programm oder den msdownload-MIME-Typ. Die Fareit-Dateierweiterungen bei E-Mails standen meist mit Word-Dokumenten, ausführbaren ACE-Dateien (Komprimierungsarchiv) oder .zip-Dateien in Zusammenhang.

Ähnlich wie die Kryptik-Malware ändert auch Fareit die Hashes häufig, um einer Erkennung zu entgehen (Abbildung 26). Die mittlere TTD für Fareit wies im Februar und März deutliche Spitzenwerte auf. Während dieser Zeit setzte die Malware etwas vermehrt auf neue Hashes, setzte aber auch einige wesentlich ältere (90 Tage oder älter) in ihrer Mischung ein.

Abbildung 26 TTD und Alter der Hashes bei der Fareit-Malware-Familie pro Monat


4,8 7,9

18,3

Stu

nden

05

10152025


Monate


2017Jan.

Proz

entu

ale

Vert

eilu

ng

0 %

100 %

50 %

75 %

25 %



11-30 Tage

Abbildung 26: TTD und Alter der Hashes bei der Fareit-Malware-Familie pro Monat

Domänenaktivität: Nemucod und Ramnit

Die Forschungsgruppe von Cisco hat die Domänenaktivität in Bezug auf die beiden Malware-Familien in unserer neuesten TTE-Untersuchung analysiert: Nemucod und Ramnit. Damit wollte sie mehr darüber erfahren, wie diese Malware-Familien Domänen für die Übermittlung ihrer Malware einsetzen.

Während des Beobachtungszeitraums (November 2016 bis März 2017) haben wir bei

Nemucod eine Vielzahl von kompromittierten Webseiten verzeichnet – mehr als bei Ramnit.

Ramnit hingegen schien Hunderte von Domänen-Generierungs-Algorithmen (DGAs) zu verwenden (Sie finden weitere Informationen zu DGA-Domänen und den Gründen, weshalb sie von Malware-Entwicklern verwendet werden, unter „Längere Lebensdauer – und Überschneidung – von DGA-Domänen“ auf Seite 33).

33



Längere Lebensdauer – und Überschneidung – von DGA-Domänen

Viele führende Malware-Familien verlassen sich bei der schnellen Generierung von pseudozufälligen Domänennamen, mit denen sie einer Erkennung entgehen möchten, auf Domänen-Generierungs-Algorithmen (DGAs). DGA-Domänen sind in der Regel kurzlebig, können aber auch manchmal für Monate bestehen. Dies erschwert den Verteidigern eine heuristische Blockierung.

Anomali, ein Cisco Partner und Anbieter von Threat-Intelligence, verfolgt die Lebensdauer vermuteter DGA-Domänen im Zusammenhang mit einer breiten Palette

von verschiedenen Malware-Familien. Dem Anomali Bedrohungsforschungsteam zufolge wiesen die meisten DGA-Domänen vor fünf Jahren eine Lebensdauer von höchstens drei Tagen auf. Seit damals hat sich die durchschnittliche Lebensdauer der DGA-Domänen deutlich verlängert, und zwar in manchen Fällen sogar auf bis zu etwa 40 Tage (siehe Abbildung 27). Einige lagen sogar jenseits dieser Marke.

Hinweis: Die Stichprobe umfasste ca. 45 verschiedene Malware-Familien.

Abbildung 27 DGA-Lebensdauer

Die durchschnittliche Lebensdauerhat sich in manchen Fällen bis

auf 40 Tage verlängert

0 %

1 %

2 %

3 %

4 %

5 %

0 10 20 30 40 50 60 70 80 90 100

Lebensdauer der Domänen verschiedener DGAs (Tage)

Proz

ents

atz

der D

omai

ns

Abbildung 27: DGA-Lebensdauer

Quelle: Anomali





34



Dieser Trend ist wahrscheinlich darauf zurückzuführen, dass Angreifer unter Druck stehen und die Bedrohungen immer schneller weiterentwickeln müssen. Nur so können Sie Blockierungen entgegenwirken und länger unerkannt in den Organisationen verbleiben, die sie bereits kompromittiert haben (Sie finden weitere Informationen zu diesem Thema unter „Trends bei der Weiterentwicklungszeit: Nemucod, Ramnit, Kryptik und Fareit“ auf Seite 28). Die Programmierer von Malware müssen schnell genug sein, um Blockierungslisten zu umgehen, dürfen aber nicht so schnell sein, dass die Verteidiger die Oberhand durch die Blockierung aller neuen Domänen gewinnen.

In den meisten Fällen verändern die Algorithmen hinter der Malware, die DGA-Domänen generieren, bei der Domänenerstellung nur zwei Elemente: die Länge des Domänennamens und die möglichen verwendbaren

19 Sie finden weitere Informationen unter „How the ThreatConnect Research Team Used the Platform to Investigate Incidents, Identify Intelligence, and Conduct Pertinent Analysis Regarding Fancy Bear“: threatconnect.com/blog/how-to-investigate-incidents-in-threatconnect/.

übergeordneten Domänen. (Hinweis: Fast alle Algorithmen verwenden unterschiedliche Ansätze, um die Buchstaben in der Domäne der zweiten Ebene nach dem Zufallsprinzip auszuwählen.)

Diese Einschränkungen, kombiniert mit der Notwendigkeit, ständig neue DGA-Domänen zu generieren, führen häufig zu Überschneidungen bei den Bemühungen der Malware, DGA-Domänen zu generieren und zu registrieren. Dies kann dazu führen, dass sie sich in stark genutzten Kombinationen, wie beispielsweise bei acht- bis zehnstelligen Domänen mit der Endung .com, auf Kollisionskurs befinden. In diesen überbelegten Bereichen kann eine DGA-Domäne aufgrund der Nutzung einer ähnlichen DGA-Domäne durch einen Konkurrenten, die von den Verteidigern bereits identifiziert wurde, in einer Blockierungsliste landen.

Infrastrukturanalyse schafft weitere Kenntnisse über Angreifertools

Wie in der Security Capabilities Benchmark-Studie, die sich auf vertikale Märkte konzentriert, erläutert (siehe Seite 77), haben viele Sicherheitsteams damit zu kämpfen, die Tausende von Sicherheitswarnungen zu verstehen, die sie täglich erhalten. Die Registrierungs- und Hosting-Taktiken der Angreifer (insbesondere die Infrastruktur, in der sie agieren), können es Sicherheitsexperten ermöglichen, die Gefahrenquellen einzukreisen und diese zu blockieren.

In einer von der Fancy Bear-Gruppe für Internetspionage verwendeten Infrastrukturanalyse hat das Forschungsteam von ThreatConnect (einem Cisco Partner und Anbieter der branchenweit einzigen erweiterbaren, Intelligence-gesteuerten Sicherheitsplattform) möglicherweise schädliche Domänen, IP-Adressen und Aliasnamen entdeckt. Dadurch können Verteidiger bereits vor dem Eindringen von Angreifern in Netzwerke entsprechende

Gegenmaßnahmen einleiten.19 Dieser Ansatz ist nicht nur proaktiv, sondern auch unter Umständen prädiktiv, da er den Anbietern ermöglicht, im Vorfeld wertvolle Informationen zu Gegnern zusammenzustellen.

Die analysierten Domänen und IP-Adressen standen im Zusammenhang mit Spear-Phishing-Angriffen auf Bellingcat, eine investigative Bürgervereinigung, die Ziel des Advanced Persistent Threat (APT) von Fancy Bear war. ThreatConnect vertrat die Theorie, dass einige Angreifer aufgrund ihres Zugriffs auf eine begrenzte IP-Infrastruktur mehr als eine ihrer Domänen in der von ihnen kontrollierten Infrastruktur betreiben. Durch die Untersuchung dieser Domänen am gleichen Standort können Sicherheitsexperten zusätzliche Infrastruktur (wie Domänen und IP-Adressen) identifizieren, die möglicherweise von Angreifern kontrolliert werden, und diese vorbeugend blockieren oder in ihre Verteidigungsstrategien einbinden.

http://threatconnect.com/blog/how-to-investigate-incidents-in-threatconnect/

35



Wie in der ThreatConnect-Analyse erläutert, wurden bei diesem Prozess die folgenden Schritte ausgeführt:

• Bellingcat hat E-Mail-Header von Spear-Phishing-Nachrichten bereitgestellt, die vermutlich von Hackern stammen, die vom russischen Staat gefördert werden. ThreatConnect machte sich dann die Erkenntnisse aus früheren Fancy Bear-Operationen zunutze und kam zu dem Schluss, dass Fancy Bear höchstwahrscheinlich Operationen ausführte, die sich gegen Bellingcat richteten.

• ThreatConnect ermittelte mithilfe von WHOIS-Registrierungsinformationen, wann eine Domäne aus den Spear-Phishing-Nachrichten registriert wurde. Außerdem wurde die E-Mail-Adresse festgestellt, über welche die Domäne registriert wurde. So wurde ein Zeitrahmen für die Untersuchung geschaffen.

• Über Passive DNS wurden IP-Adressen identifiziert, die die Domäne nach ihrer ersten Registrierung gehostet haben. Somit konnten IP-Adressen festgestellt werden, die möglicherweise mit böswilligen Akteuren in Verbindung stehen.

• Danach ermittelte das Forschungsteam erneut unter Verwendung von Passive DNS, welche IP-Adressen weniger als eine bestimmte beliebige Anzahl von Domänen gehostet haben. Dies diente dem Ausschluss von IPs, die möglicherweise mehrere Domänen für mehrere Kunden hosten.

• Mit WHOIS und Passive DNS identifizierte ThreatConnect die Teilmenge dieser IP-Adressen, die wahrscheinlich dem Angreifer zugeordnet waren. So wurde die Liste der IP-Adressen eingegrenzt, die vermutlich dem APT zugeschrieben werden konnten.

• Auf Basis dieser Teilmenge von IP-Adressen ermittelte ThreatConnect dann mithilfe von Passive DNS andere Domänen, die unter der gleichen IP-Adresse zur gleichen Zeit wie die ursprüngliche Domäne gehostet wurden. (Wenn sich die Domänen gemeinsam mit der ursprünglichen Domäne unter der gleichen IP-Adresse befinden, werden diejenigen identifiziert, die möglicherweise von demselben APT gesteuert werden.)

• ThreatConnect hat zudem weitere Domänen identifiziert, die mit der E-Mail-Adresse registriert wurden, die auch für die Registrierung der ursprünglichen Domäne verwendet wurden. Wenn eine E-Mail-Adresse verwendet wird, um eine mit einer APT-Aktivität verbundene Domäne zu registrieren, könnten andere Domänen, die mit dieser E-Mail-Adresse registriert wurden, ebenfalls Teil der APT-Aktivitäten sein.

• ThreatConnect verwendete neu identifizierte Domänen – sowohl diejenigen am Standort der ursprünglichen Domäne als auch diejenigen, die mit derselben E-Mail-Adresse registriert wurden – für nachfolgende Iterationen der Analyse.

• Anschließend ermittelte ThreatConnect mit Passive DNS bekannte Unterdomänen für die identifizierten Domänen. Diese Informationen können helfen, Mailserver oder andere Unterdomänen zu identifizieren, die nicht an denselben IPs wie die identifizierte Domäne gehostet wurden. Dadurch eröffnen sich noch mehr Möglichkeiten für die weitere Forschung.

Abbildung 28 Colocation-Methodik

Quelle: ThreatConnect

WHOIS

Passive DNS

Registrie-rungs-Domains

Domains am gleichen Standort

Erforderlicher Input Ermittlung der

Erstellungstermine und Registrierungen für Input-Domains

Domain oder Sub-Domain

Domain-Colocation-Toleranz (n)

Ermittlung der übrigen Domains, die unter diesen IPs in demselben Zeitrahmen wie die angegebene Domain gehostet wurden

Ermittlung, welche dieser IP-Adressen keine Sinkholes oder nicht dedizierte Infrastrukturen sind

Ermittlung der IP-Adressen, unter denen die Domain direkt nach dem Erstellungsdatum gehostet wird, und des Zeitrahmens dieses Hostings

Ermittlung dieser IP-Adressen, die (n) Domains oder weniger in demselben Zeitrahmen wie die Input-Domain gehostet haben

1

2

3

4

5

Ermittlung der Registrierungen für die Input-Domain und Domains am gleichen Standort

6

ipdf.com

192.168.22

05-17-2017

192.168.22

Abbildung 28: Colocation-Methodik





36



Analytikmethoden wie in Abbildung 28 können helfen, eine exponentiell größere Gruppe von E-Mail-Adressen, IP-Adressen und Domänen zu identifizieren, die mit einer aufgetretenen Aktivität in Verbindung stehen und als verdächtig angesehen werden könnten. Die oben beschriebene Untersuchung begann mit sechs Domänen, fünf IP-Adressen und drei E-Mail-Registrierungen, die in den von Bellingcat zur Verfügung gestellten E-Mail-Headern gefunden wurden.

Mit dem oben erläuterten Verfahren wurden 32 E-Mail-Adressen und Aliasnamen, mehr als 180 Domänen und mehr als 50 IP-Adressen identifiziert, die wahrscheinlich mit der APT-Aktivität von Fancy Bear in Zusammenhang standen. Abbildung 29 zeigt eine Teilmenge der Zuordnungen unter den Domänen, E-Mail-Adressen und IP-Adressen. Sie sehen, wie sie sich zu den Spear-Phishing-Vorfällen bei Bellingcat zurückverfolgen lassen.

Organisationen, die eine ähnliche Analyse durchführen, können Domänen, IP-Adressen und E-Mail-Adressen, die möglicherweise die Angriffsquelle darstellen, proaktiv blockieren. Durch die Erforschung und Identifizierung der Infrastruktur können Organisationen Folgendes ermitteln: Die taktische Intelligenz, die bei dem fortlaufenden Prozess der Reaktion auf Vorfälle genutzt werden muss; die von den Gegnern verwendete Infrastruktur, bevor sie gegen die Organisation eingesetzt werden kann; und den historischen Kontext oder die Zuordnungen zwischen Infrastruktur und Angreifern.

20 Sie finden nähere Einzelheiten zu dieser Untersuchung im RSA-Bericht „Kingslayer—A Supply Chain Attack“: rsa.com/en-us/resources/kingslayer-a-supply-chain-attack.

Abbildung 29 Verbindungen in der von der ATP-Gruppe verwendeten Infrastruktur

Angriffe auf die Lieferkette: Bereits ein kompromittierter Vektor kann viele Organisationen beeinträchtigen

Wie jedes Unternehmen, das Zeit und Geld sparen möchte, suchen auch Angreifer nach Möglichkeiten, um ihren Betrieb effizienter zu gestalten. Der Cisco Partner RSA hat festgestellt, dass Angriffe auf die Lieferkette bei wenig Aufwand seitens der Verbrecher maximale Schlagkraft besitzen. In dem von RSA untersuchten Fall haben die Gegner einen Trojaner in legitime Software eingeschleust, die normalerweise von Systemadministratoren in Unternehmen für die Analyse der Windows-Systemereignisprotokolle herangezogen wird.20

Die kompromittierte Software stand zusammen mit Updates auf der Website des Herstellers für den Download zur Verfügung. Dies bedeutete, dass nur ein kompromittierter Vektor (nämlich die Website des Herstellers) die Bedrohung an zahlreiche weitere Unternehmensnetzwerke verbreiten konnte, und zwar lediglich über die angebotene Software und die automatischen Updates.

RSA hat die kompromittierte Software im Rahmen seiner Forschung aufgespürt. Dort wurde die Gruppe der böswilligen Akteure als „Kingslayer“ bezeichnet.

Dies gelang nach der Beobachtung eines nicht identifizierten Beaconings, das gegen eine URL gerichtet war, die in eine IP-Adresse aufgelöst wurde. Diese wurde wiederum in eine bekanntermaßen schädlich Domäne aufgelöst. Bei der Verfolgung der Ursprünge der in der Domäne gefundenen Malware (eine Variante von PGV_PVID) hat das RSA-Team eine Organisation ermittelt, die anscheinend damit infiziert war, und festgestellt, dass die Malware aus der Systemadministrationssoftware stammte.

RSA hat herausgefunden, dass die Download-Seite für die Software und auch die Anbieterseite für Software-Updates erfolgreich angegriffen wurden (siehe Abbildung 30 auf der nächsten Seite). Dies bedeutete, dass Unternehmen, die zuvor die einwandfreie Version der Software heruntergeladen hatten, dennoch gefährdet waren, falls sie sich für den Erhalt automatischer Updates registriert hatten, da die Malware auch durch spätere Updates eingeschleust werden konnte.

http://rsa.com/en-us/resources/kingslayer-a-supply-chain-attack

37



Die Angriffswelle wurde bereits nach etwa zwei Wochen erkannt. Da der Anbieter die Benutzer jedoch erst Monate später über die kompromittierte Software informierte, war die Malware installiert, bis sie von den Organisationen selbst bemerkt wurde oder Gegenmaßnahmen ergriffen wurden.

Für Unternehmen, die Bedrohungen der Lieferkette abblocken möchten, stellt die Erkennung eine große Herausforderung dar. Die Endpunktsicherheit ist wahrscheinlich die beste Verteidigungsstrategie, da sie Sicherheitsteams warnen kann, wenn ein Bereich der Software mit einem anderen kommuniziert. Eine Echtzeitüberwachung kann ebenfalls bei der Feststellung verdächtiger Aktivität hilfreich sein.

Abbildung 30 Infektionskette des Kingslayer-Angriffs

Quelle: RSA

Signierte Event Log Analyzer-

Anwendung mit heruntergeladenem

Trojaner

Event Log Analyzer-

Anwendungs-Site

SchädlicheUmleitung

SekundärePayload „K2“

Unterneh-mensnetzwerk

Vom bösartigenAkteur kontrollierte

Website94.242.xx.xxx

System-administrator

Netzwerk mitkompromittierten

Produkten

2A.Systemadminis-trator klickt auf

Link auf der Hersteller-

Website oder ...

2B.(Automatisch)

Analyzer-Anwendung wird

automatisch aktualisiert

1.Im Netzwerk

implementierte kompromittierte

Herstellerprodukte

3.Verbindung mit

Anwendungs-Site

4.Schädliche .htaccess-Umleitung

5A.Download der

unterwanderten MSI und/oder ...

5B.(Automatisch) Download des

Backdoor-Updates

6.App mit Backdoor

installiert

7.Erhält sekundäre

Payload „K2“

8.C2 des Systems im Unternehmen mit der sekundären

Payload „K2“

Abbildung 30: Infektionskette des Kingslayer-Angriffs

Den RSA-Analysten ist zwar nicht bekannt, wie viele Organisationen die kompromittierte Anwendung installiert hatten, bevor RSA den Anbieter über das Malware-Problem informierte. Auf der Website des Anbieters sind jedoch die Kunden aufgelistet, die den Portal-Service des Anbieters für Ereignisprotokollinformationen abonniert haben. Die Liste der Kunden und somit gefährdeten Organisationen umfasste zumindest folgende:

• 4 große Telekommunikationsanbieter • Mehr als 10 Militärorganisationen • Mehr als 24 Fortune 500-Unternehmen • 5 wichtige Rüstungskonzerne • Mehr als 24 Banken und Finanzinstitute • Mehr als 45 Hochschulen

Obwohl die RSA-Ermittler das letztendliche Ziel der Kingslayer-Akteure nicht kennen, stellen die Kunden des Anbieters aufgrund ihrer Größe und ausgereiften Technologie auf jeden Fall äußerst lukrative Ziele dar. Es wäre denkbar, dass es die Gegner bei den Finanzdienstleistern auf die Anmeldedaten der Kunden abgesehen haben oder Nationalstaaten unterwandern möchten.

Die Strategie des Lieferkettenangriffs verdient aus mehreren Gründen die Aufmerksamkeit der Verteidiger. Die Angreifer müssen nur einen einzigen kompromittierten Vektor einsetzen, können damit aber viele Ziele infizieren. Darüber hinaus finden diese Angriffe naturgemäß absolut im Verborgenen statt, sodass wertvolle Zeit verstreicht, bis die Angreifer entdeckt werden. Auch wenn die angegriffene Software in erster Linie von System-, Netzwerk- oder Sicherheitsadministratoren genutzt wird, erhöhen Angreifer damit die Chancen, dass sie eine ideale Bereitstellungsumgebung für die systematische Ausbeutung von Großunternehmen gefunden haben.





38



Infrastruktur-Harvesting zielt auf akademische Netzwerke ab

21 Sie finden weitere Informationen über das Schoolbell-Botnet und das Infrastruktur-Harvesting im Beitrag „Schoolbell: Class Is in Session“ von Kent Backman und Kevin Stear, RSA vom 13. Februar 2017: blogs.rsa.com/schoolbell-class-is-in-session/.

Im Kingslayer-Fall besteht die gegnerische Strategie des Infrastruktur-Harvestings darin, sich in legitimer Hardware zu verstecken. So haben die Softwarebenutzer den Eindruck, dass sie ein sauberes Produkt bekommen, noch bevor sie es in ihrem Netzwerk eingesetzt haben. Beim Schoolbell-Botnet21 verwenden die Gegner die Infrastruktur als eine Art Sprungbrett, da die Netzwerkressourcen selten oder nie einen schlechten Ruf haben und sich an einem scheinbar ungefährlichen Ort befinden. In beiden Fällen nutzen die böswilligen Akteure den guten Namen des Herstellers und den Standort.

Durch die Endpunktsicherheit und Echtzeitüberwachung können Organisationen nicht nur wie oben beschrieben Angriffe auf Lieferketten vermeiden, sondern auch schneller einen Prozess erkennen, den RSA als „Infrastruktur-Harvesting“ bezeichnet. Bei dieser Art des Angriffs versuchen Gegner, die Kontrolle über die Infrastruktur einer Organisation zu gewinnen. Sie setzen ihre Hoffnung auf eine Ausbeute im ganz großen Stil.

Das Schoolbell-Botnet, das seinen Namen erhalten hat, weil es sich gegen eine akademische Infrastruktur richtet, ist ein Beispiel für diese gegnerische Strategie. Zu Spitzenzeiten verzeichnete RSA nahezu 2.000 eindeutige Infektionen in der Schoolbell-Botnet-Infrastruktur (siehe Abbildung 31).

Die Strategie mit Schoolbell-Botnets und Infrastruktur-Harvesting sollte allen Organisationen eine Warnung sein, die glauben, dass sie keine Ziele von Cyberangriffen sind, weil sie keine lukrativen Daten besitzen. Akademische Organisationen sehen die Netzwerksicherheit häufig entspannter als andere Organisationen ähnlicher Größe in anderen Branchen (z. B. im Bereich der Finanzdienstleistungen). Daher können akademische Netzwerke attraktive Ziele für Angreifer sein, die auf ein einfaches „Einfallstor“ hoffen und in Ruhe unbemerkt agieren möchten. Die akademische Welt kann also ein ideales Ziel für Angreifer darstellen, die auf weitere Infrastrukturressourcen aus sind.

Abbildung 31 Weltweite Infektion mit Schoolbell-Malware

Quelle: RSA

Anzahl der von diesen Malware-Familien betroffenen akademischen Infrastrukturen

Rekaf Derusib RAT

CustomTCP PGV_PVID

Abbildung 31: Weltweite Infektion mit Schoolbell-Malware

http://blogs.rsa.com/schoolbell-class-is-in-session/

39



Das Internet of Things (IoT) nimmt gerade erst Fahrt auf, aber die IoT-Botnets sind bereits zur Stelle

22 „KrebsOnSecurity Hit with Record DDoS“ von Brian Krebs, KrebsOnSecurity-Blog, 21. September 2016: krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/. 23 „150,000 IoT Devices Abused for Massive DDoS Attacks on OVH“ von Eduard Kovacs, SecurityWeek, 27. September 2016:

securityweek.com/150000-iot-devices-abused-massive-ddos-attacks-ovh. 24 „DDoS Attack on Dyn Came from 100,000 Infected Devices“ von Michael Kan, IDG News Service, für ComputerWorld, 26. Oktober 2016:

computerworld.com/article/3135434/security/ddos-attack-on-dyn-came-from-100000-infected-devices.html. 25 „Source Code for IoT Botnet ‘Mirai’ Released“ von Brian Krebs, KrebsOnSecurity-Blog, 1. Oktober 2016: krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/.26 „BusyBox Botnet Mirai—the Warning We’ve All Been Waiting For?“ von Pascal Geenens, Radware, 11. Oktober 2016: blog.radware.com/security/2016/10/busybox-botnet-mirai/.

2016 wurde eine lange gefürchtete DDoS-Bedrohung Wirklichkeit: Die über mehrere vernetzte Geräte gestarteten Cyber-Angriffe verwandelten sich in Botnets. Im September richtete sich ein 665-Gbit/s-Angriff gegen den Blogger Brian Krebs, der sich mit sicherheitsrelevanten Themen beschäftigt.22 Kurz darauf wurde ein 1-Tbit/s-Angriff auf das französische Hosting-Unternehmen OVH verübt.23 Und im Oktober litt DynDNS unter den Folgen eines Angriffs, der einen Ausfall von Hunderten beliebter Websites verursachte – dies war der weitreichendste Angriff unter den drei DDoS-Angriffen auf das IoT.24

Diese Angriffe haben uns in das 1-Tbit/s-DDoS-Zeitalter katapultiert. Sie haben die herkömmlichen DDoS-Schutzparadigmen erschüttert und bewiesen, dass die DDoS-Botnet-Bedrohung des IoT nicht nur ein bloßes Schreckensszenario ist – und dass sich Organisationen entsprechend dagegen wappnen müssen.

Der Cisco Partner Radware hat vor Kurzem die Aktivität von drei groß angelegten IoT-Botnets (Mirai, BrickerBot und Hajime) untersucht und die nachfolgenden Analysen bereitgestellt:

Allgemeine Merkmale von IoT-Botnets

• Sie lassen sich schnell und einfach einrichten, sogar in nur einer Stunde.

• Sie verbreiten sich schnell. Der wiederholte Infizierungsmechanismus bewirkt einen exponentiellen Anstieg der Botnet-Größe. Tatsächlich können Täter ein Botnet mit mehr als 100.000 infizierten Geräten innerhalb von 24 Stunden aufbauen.

• Die Malware hat eine niedrige Erkennungsrate. Es ist sehr schwierig, Proben abzurufen, da der Schadcode im Gerätespeicher angesiedelt ist und ausgelöscht wird, sobald das Gerät neu gestartet wird.

MiraiDas Mirai-Botnet, das für den DynDNS-Angriff verantwortlich war, hat Hunderttausende von IoT-Geräten infiziert und sie in eine „Zombie-Armee“ verwandelt, die in der Lage ist, mächtige und weitreichende DDoS-Angriffe zu starten. Sicherheitsexperten schätzen, dass Millionen von anfälligen IoT-Geräten aktiv an diesen koordinierten Angriffen beteiligt sind. Der Quellcode für die Mirai-Malware wurde Ende 2016 veröffentlicht.25

Funktionsweise

1. Mirai verbindet sich durch einen Brute-Force-Angriff auf Telnet-Server mit infizierten Computern und nutzt mehr als 60 werksseitige Standard-Anmeldeinformationen der BusyBox-Software.

2. Jedes infizierte Gerät sperrt sich selbst gegen weitere Bots.

3. Mirai sendet die IP- und die Anmeldeinformationen des Opfers an einen zentralen ScanListen-Service.26

4. Das neue Opfer wird dann zum Gehilfen bei der Gewinnung neuer Bots und bringt selbstreplizierende Muster hervor.

Weitere Informationen zu MiraiNeben der Generierung eines Datenverkehrsvolumens von mehr als einem TBit/s verfügt Mirai zudem über eine Auswahl von zehn vordefinierten Angriffsvektoren (siehe Abbildung 32). Einige der Vektoren haben sich beim Abbau der Infrastruktur von Service-Providern und Cloud-Scrubbern als wirksam bewährt, indem sie die jeweiligen Schutzmechanismen angegriffen haben.

Abbildung 32 Angriffsvektoren von Mirai

Unter den zehn Vektoren sind extrem ausgeklügelte Angriffsvektoren wie GRE-Floods, TCP-STOMP und Water Torture-Angriffe zu finden. Die DDoS-Angriffe von Mirai verdeutlichen die Herausforderungen, vor denen Organisationen stehen, wenn es darum geht, eine Einsicht in die Legitimität des GRE-Datenverkehrs oder von rekursiven DNS-Abfragen zu erlangen.

Quelle: Radware

http://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

http://securityweek.com/150000-iot-devices-abused-massive-ddos-attacks-ovh

http://computerworld.com/article/3135434/security/ddos-attack-on-dyn-came-from-100000-infected-devices.html

http://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

http://blog.radware.com/security/2016/10/busybox-botnet-mirai/

40



BrickerBot

27 Mehr zu diesem Thema finden Sie unter „BrickerBot PDoS Attack: Back With A Vengeance“, Radware, 21. April 2017: security.radware.com/ddos-threats-attacks/brickerbot-pdos-back-with-vengeance/.

28 Weitere Informationen zu diesem Thema finden Sie im Beitrag „Hajime – Sophisticated, Flexible, Thoughtfully Designed and Future-Proof“ von Pascal Geenens, Radware, 26. April 2017: blog.radware.com/security/2017/04/hajime-futureproof-botnet/.

PDoS-Angriffe (PDoS = Permanent Denial of Service) sind schnelle Bot-Angriffe, die entwickelt wurden, um Störungen der Gerätehardware zu verursachen. Diese Form des Cyberangriffs wird immer beliebter.27

Die PDoS-Angriffe, die in manchen Kreisen auch als „Phlashing“ bekannt sind, schädigen die Systeme so schwer, dass die Hardware neu installiert oder ersetzt werden muss. Durch die Ausnutzung von Sicherheitslücken oder Fehlkonfigurationen können PDoS-Angriffe die Firmware und grundlegenden Systemfunktionen zerstören.

BrickerBot kann: • Geräte beeinträchtigen: Die PDoS-Angriffe von

BrickerBot verletzen die Geräte von Benutzern mithilfe von Brute-Force-Angriffen auf Telnet, sie nutzen also denselben Exploit-Vektor wie Mirai.

• Geräte beschädigen: Nach dem erfolgreichen Zugriff auf ein Gerät führt BrickerBot mehrere Linux-Befehle aus, die letztlich zu einem beschädigten Speicher führen. Danach werden Befehle abgesetzt, mit denen die Internetverbindung und Geräteleistung beeinträchtigt und sämtliche Dateien auf dem Gerät gelöscht werden.

Abbildung 33 zeigt die genaue Abfolge der von BrickerBot ausgeführten Befehle.

HajimeHajime ist eine faszinierende Erscheinung und Threat-Intelligence-Forscher überwachen es äußerst genau. Und zwar deshalb, weil es noch keine Aktionen auf den Hunderttausenden von Geräten ausgeführt hat, die es bisher infiziert hat. Es ist sehr groß angelegt und gibt daher Anlass zur Sorge. Der Betreiber von Hajime behauptet, ein White Hat-Hacker zu sein (Abbildung 34).

Abbildung 33 Befehlsfolge von BrickerBot.1

Abbildung 34 Nachricht von den Programmierern von Hajime

FunktionsweiseHajime ist ein ausgeklügeltes, flexibles, durchdachtes und zukunftsorientiertes IoT-Botnet. Es kann sich selbst aktualisieren und weitet mit hoher Effizienz und Geschwindigkeit umfangreichere Funktionen auf seine Mitglieds-Bots aus. Wie viele andere IoT-Botnets durchsucht Hajime das Internet, um neue Opfer aufzuspüren und zu infizieren. Dabei hält es Ausschau nach offenen Ports vom Typ TCP 23 (Telnet) und TCP 5358 (WSDAPI). Es setzt Brute-Force-Angriffe ein, um sich anzumelden und die Gerätekontrolle zu übernehmen.

Interessanterweise kann Hajime das Gerät, das es infizieren möchte, von Malware befreien. Danach kann es das Gerät vor künftiger Kontamination schützen, indem es dessen Telnet-Kommunikation kontrolliert. Auf diese Weise wird das Gerät wieder neutral, auch wenn der Entwickler von Hajime nach wie vor darauf zugreifen kann.

Sicherheitsexperten haben beobachtet, dass Hajime Geräte bereinigt, die mit Mirai infiziert waren.28 (BrickerBot zerstört hingegen Geräte, die mit Mirai oder Hajime infiziert sind.)

Quelle: Radware

Quelle: Radware

http://security.radware.com/ddos-threats-attacks/brickerbot-pdos-back-with-vengeance/

http://blog.radware.com/security/2017/04/hajime-futureproof-botnet/

41



Erpressung im Cyberspace: Ransom Denial of Service (RDoS)

29 An dieser weltweiten Umfrage, die für Radware von einem Drittanbieter-Marktforschungsunternehmen durchgeführt wurde, waren etwa 600 Befragte beteiligt.30 Ibid.31 „Greek Banks Face DDoS Shakedown“ von Mathew J. Schwartz, BankInfoSecurity.com, 2. Dezember 2015: bankinfosecurity.com/greek-banks-face-ddos-shakedown-a-8714.

Im Jahr 2016 erlebte fast die Hälfte aller Unternehmen (49 Prozent) mindestens einen Cyber-Lösegeldvorfall – entweder einen Ransomware-Angriff (39 Prozent) oder einen RDoS-Angriff (RDoS = Ransom Denial of Service) (17 Prozent).29 Abbildung 35 zeigt den prozentualen Anteil der Unternehmen in bestimmten Regionen der Welt, die einem Cyber-Lösegeldvorfall im Jahr 2016 ausgesetzt waren.30

Abbildung 35 Verteilung von Cyber-Lösegeldangriffen nach Land, 2016

Quelle: Radware

Nordamerika35%

Europa49%

Asien/Pazifik39%

Abb. 35: Verteilung von Cyber-Ransom-Angriffen nach Land, 2016

Laut Radware war für die meisten bislang verübten RDoS-Angriffe eine Bande von Cyberkriminellen verantwortlich, die als Armada Collective bekannt ist. Ihre typische Lösegeldforderung beträgt 10 bis 200 Bitcoins

(das entspricht bei den aktuellen Kursen etwa 3.600 bis 70.000 US-Dollar). Die Lösegeldforderung wird in der Regel von einem kleinen „Demo“- oder „Teaser“-Angriff begleitet. Wenn die Zahlungsfrist abgelaufen ist, machen die Angreifer die Rechenzentren des Ziels mit einem Datenverkehrsaufkommen, das in der Regel mehr als 100 Gbit/s beträgt, unbrauchbar.

Der Name Armada Collective wird inzwischen auch von Nachahmern verwendet. Eine Taktik aus den Anfangstagen war beispielsweise die versuchte Erpressung von etwa 7,2 Millionen US-Dollar von drei griechischen Banken.31 Diese Leute schreiben gefälschte Erpresserbriefe und hoffen auf das schnelle Geld bei minimalem Einsatz. Mit diesen nützlichen Tipps können Sie eine gefälschte Lösegeldforderung erkennen:

1. Nehmen Sie die Forderung unter die Lupe. Armada Collective fordert in der Regel 20 Bitcoins. Bei anderen Kampagnen wurden Forderungen oberhalb und unterhalb dieses Betrags gestellt. Tatsächlich lässt sich feststellen, dass Lösegeldforderungen von weniger Bitcoins höchstwahrscheinlich von falschen Gruppen stammen, da sie hoffen, dass ihr Preis so niedrig angesetzt ist, dass jemand bereit ist, ihn zu zahlen.

2. Prüfen Sie das Netzwerk. Echte Hacker übermitteln ihre Lösegeldforderung in Form eines kleinen Angriffs. Wenn Sie eine Änderung bei der Netzwerkaktivität feststellen, sind das Schreiben und die Bedrohung wahrscheinlich echt.

3. Achten Sie auf eine gewisse Struktur. Echte Hacker sind gut organisiert. Bei Trittbrettfahrern fehlen hingegen Links zu einer Website und offizielle Konten.

4. Prüfen Sie andere Ziele. Echte Hacker-Gruppen haben möglicherweise viele Unternehmen in einem bestimmten Sektor im Visier. Erkundigen Sie sich bei anderen Branchenkonzernen, ob diese ebenfalls Drohungen erhalten haben.

http://bankinfosecurity.com/greek-banks-face-ddos-shakedown-a-8714

42



Neue Methoden der Hacker

Der dramatische Anstieg in puncto Häufigkeit, Komplexität und Umfang von Cyberangriffen im vergangenen Jahr deutet darauf hin, dass eine Wende im Hackerumfeld stattgefunden hat. Radware stellt fest, dass die moderne Hacker-Community von folgenden Faktoren profitiert:

• Schneller und einfacher Zugang zu einer Reihe von nützlichen und günstigen Ressourcen (siehe Abbildung 36)

• Ein dramatischer Anstieg von hochwertigen und immer anfälligeren Ziele, die immer noch mehr wertvolle Informationen online stellen

• Die Ausgereiftheit der Shadow-Economy und des Internets, das Angreifern mehr Effizienz, Sicherheit und Anonymität bietet

Hinweis: Einige der in Abbildung 36 dargestellten Ressourcen sind nicht mehr aktiv.

Ransomware-Angriffe auf medizinische Geräte

32 „#WannaCry Hits Medical Devices in US“ von Tara Seals, InfoSecurity Magazine, 18. Mai 2017: infosecurity-magazine.com/news/wannacry-hits-medical-devices-in-us/.

Um in der modernen zunehmend vernetzten Welt effektiv agieren zu können, müssen viele Branchen – darunter auch das Gesundheitswesen – ihre IT und OT integrieren. Angesichts der vermehrten Verflechtung einzelner Prozesse stellen bekannte Sicherheitslücken in Geräten und Systemen, die früher voneinander „abgeschirmt“ waren, inzwischen jedoch eine noch größere Gefahr für Organisationen dar. Mithilfe bewährter Taktiken wie Phishing-E-Mails können Gegner beispielsweise in ein Netzwerk eindringen, sich in einem Gerät mit veraltetem Betriebssystem einnisten und sich von dort aus lateral im Netzwerk bewegen, um Daten zu stehlen, den Grundstein für eine Ransomware-Kampagne zu legen und vieles mehr.

Der jüngste WannaCry-Ransomware-Angriff verdeutlicht, wie die zunehmende Vernetzung der Gesundheitssysteme und schwache Sicherheitsverfahren sowohl Organisationen als auch Patienten einem Risiko aussetzen. Dies war nicht der erste Ransomware-Angriff, der sich anscheinend gegen den Sektor des Gesundheitswesens richtete.

Allerdings ist diese Kampagne besonders hervorzuheben, da die Windows-basierten Radiologiegeräte in zwei US-amerikanischen Krankenhäusern davon betroffen waren.32

Die Bedrohungsforscher bei TrapX Security, einem Cisco Partner, der auf Täuschungen basierende Verteidigungsstrategien für die Cybersicherheit entwickelt, warnen, dass sich der Einsatz von Ransomware und sonstiger Malware gegen medizinische Geräte immer mehr verbreitet. Es bezeichnet diesen Angriffsvektor als MEDJACK (medical device hijack bzw. die Entführung medizinischer Geräte).

Die möglichen Auswirkungen liegen auf der Hand, wenn man bedenkt, dass ein durchschnittliches kleines bis mittelgroßes Krankenhaus mit fünf oder sechs chirurgischen Abteilungen etwa 12.000 bis 15.000 Geräte besitzt. Laut TrapX sind von diesen Geräten etwa 10 bis 12 Prozent über IPs vernetzt.

Quelle: Radware

Abbildung 36 Beispiele für Tools und Foren zu Cyber-Angriffen

http://infosecurity-magazine.com/news/wannacry-hits-medical-devices-in-us/

43



Wie bei vielen anderen modernen IoT-Geräten stand und steht die Sicherheit bei ihrer Entwicklung und Fertigung nicht im Vordergrund. Sie werden häufig mit alten Systemen ohne Patches ausgeführt und nur selten vom IT-Personal des Krankenhauses überwacht. Auch wenn Sicherheitsteams Schwachstellen kennen, sind sie möglicherweise nicht in der Lage, Gegenmaßnahmen zu ergreifen, da nur der Hersteller Zugang zu diesen Produkten hat. In anderen Fällen müssen Sicherheitsteams das Patching zurückstellen, weil das Unternehmen es sich einfach nicht leisten kann, kritische Ausrüstung offline zu nehmen – und sei es auch nur für einen kurzen Zeitraum – oder zu riskieren, die Effektivität eines Geräts zu behindern. Manchmal müssen der Hersteller und anderen Parteien wie etwa Regierungsbehörden Änderungen an diesen Geräten genehmigen. Dies kann mitunter Jahre dauern. Die Kosten für die Unterstützung medizinischer Geräte können zudem sehr hoch sein.

Viele Cyberkriminelle haben es auf medizinische Geräte abgesehen. Nach Meinung der Forscher bei TrapX ist dies inzwischen ein wichtiger Drehpunkt für Angreifer, die sich lateral in Krankenhausnetzwerken bewegen möchten. Außerdem wissen die Gegner natürlich, dass sie wahrscheinlich große Gewinne aus Ransomware-Kampagnen abschöpfen können, wenn ihre Lösegeldforderungen lebensrettende medizinische Geräte betreffen. Skrupellose Akteure könnten möglicherweise auch die Kontrolle über diese Geräte (beispielsweise implantierbare Geräte) übernehmen, um den Patienten Schaden zuzufügen.

Die Forscher bei TrapX untersuchten vor Kurzem die Ausbeutung eines Onkologiesystems mit bekannten Sicherheitslücken in Windows XP. Die Angreifer hatten drei Geräte infiziert (eines davon war ein Steuerungssystem für einen leistungsstarken Laser). Eines davon wurde in einen Botnet-Master verwandelt, der Malware (eine Variante von Conficker) im gesamten Krankenhausnetzwerk verteilte (siehe Abbildung 37).

Abbildung 37 Ausbeutung eines Onkologie-Systems

Quelle: TrapX

BackdoorStrahlung Onkologiesystem

Positions-MGMT Atemwege

Fluoroskopie – Röntgensystem

Trap

Trap

SwitchSwitch Switch

Internet

Angreifer

Backdoor

Backdoor

Firewall

Abbildung 37 Onkologiesystem – Exploit


Ein weiterer MEDJACK-Vorfall, der von TrapX vor Kurzem untersucht wurde, bezog sich auf ein kompromittiertes MRT-System. Auch hier wurde eine Sicherheitslücke in Windows XP genutzt. Die Angreifer fanden Patientendaten auf dem System und erkannten schnell, dass die Möglichkeit bestand, die Kontrolle über die Bildarchivierungs- und

Kommunikationssysteme des Krankenhauses zu erlangen. (Mit diesen Systemen werden Patientenakten sowie sonstige wichtige Informationen zentralisiert und archiviert.) Eine genaue Überprüfung des Angriffs zeigte, dass die Gegner im Netzwerk des Krankenhauses über zehn Monate lang tätig waren.



44



Abbildung 38 Ausbeutung eines MRT-Systems

Quelle: TrapX

Attacker

Druckerserver

Remote-Client

PACSPACS PACS PACS

CT-ScanMRI C-Arm RöntgenUltraschall

Internet

Switch

Firewall

Interner Client

PACS PACS PACS PACSPACS-ServerPACS-Server

DicomTrapTrap

Abbildung 38 MRI-System – Exploit

Windows XP ist ein primäres zugrunde liegendes System für Betriebstechnologie im Gesundheitswesen, im Energiesektor, in der Fertigung und in anderen Branchen. Die Gegner wissen, dass das Betriebssystem eine Schwachstelle ist, da es nicht mehr aktiv von Microsoft unterstützt wird und es äußerst schwierig und kostspielig für die Unternehmen ist, geschäftskritische Geräte zu aktualisieren, auf denen XP ausgeführt wird. Das macht diese Geräte zu einem besonders verlockenden Ziel für Angreifer, die Ransomware nutzen: Sie wissen, dass viele Unternehmen lieber ein Lösegeld zahlen, als zu riskieren, dass das Gerät offline ist oder gar vollständig unbrauchbar wird.

Frontales Angehen der HerausforderungDie Forscher bei TrapX empfehlen Organisationen die folgenden Schritte zur Verringerung der Wahrscheinlichkeit und Auswirkungen eines Ransomware-Angriffs, der auf medizinische Geräte und sonstige kritische OT-Technologie abzielt:

• Verschaffen Sie sich einen genauen Überblick darüber, welche und wie viele medizinische Anlagen in Ihrer Umgebung per IP-Verbindung vernetzt sind.

• Aktualisieren Sie Verträge mit Anbietern und stellen Sie sicher, dass diese ihre Versprechen in den betreffenden Verträgen in puncto Aktualisierung oder Austausch von Software, Geräten und Systemen auch tatsächlich erfüllen.

• Besprechen Sie dieses Problem mit dem leitenden Management und der Vorstandsebene, um deren Aufmerksamkeit und Unterstützung für den Prozess zu gewinnen.

• Stellen Sie Technologie-Tools bereit, die einen Einblick in das Netzwerk ermöglichen, und automatisieren Sie die Bedrohungserkennung und -behebung.





Schwachstellen

46


Schwachstellen

SchwachstellenIn diesem Abschnitt erhalten Sie einen Überblick über Schwachstellen und andere Sicherheitslücken, die Organisationen und Benutzer kompromittierbar oder angreifbar machen. Zu den erörterten Themen zählen schlechte Sicherheitspraktiken, wie unzureichend schnelle Bereitstellung von Patches für bekannte Schwachstellen, mangelnde Zugriffsbeschränkungen zu Cloud-Systemen und nicht verwaltete Infrastrukturen und Endpunkte. Ebenfalls untersucht wurde, wie Trends in der geopolitischen Landschaft neue Herausforderungen aber auch neue Chancen für Technologieanbieter und Unternehmen bieten.

Geopolitisches Update: WannaCry-Angriff unterstreicht das Risiko der Ansammlung von Informationen über ausnutzbare Schwachstellen

Bereits vor dem massiven WannaCry-Ransomware-Angriff Mitte Mai wurden vermehrt weltweite Diskussionen über Cybersicherheit geführt, und dies in einem deutlich ernsteren Ton. WannaCry verdeutlicht nun, wie viel Arbeit noch vor der Weltgemeinschaft liegt, wenn es um die Eindämmung der Bedrohung und Auswirkung von künftigen böswilligen Angriffen durch Cyberkriminelle und nationalstaatliche Akteure geht.

Cisco zieht drei wichtige Schlussfolgerungen aus diesem jüngsten globalen Angriff:

1. Behörden müssen den Anbietern Softwareschwachstellen rechtzeitig melden und dafür sorgen, dass die Informationen entsprechend verschlüsselt für eine unabhängige Kontrolle und Überprüfung weitergegeben werden.

Nur indem wir mehr Transparenz schaffen, was die Schwachstellen betrifft, können wir das Auftreten und die globale Auswirkung von Angriffen verringern. Behörden sollten auf einen gut strukturierten und unterbrechungsfreien Prozess setzen, der ihnen erlaubt, risikobasierte Entscheidungen hinsichtlich der Handhabung und des Zeitpunkts zu treffen, an dem die Technologieentwickler und die Öffentlichkeit über ausnutzbare Schwachstellen informiert werden.

2. Technologieentwickler sollten über öffentlich zugängliche, risikobasierte Mechanismen verfügen, um Informationen hinsichtlich Verfügbarkeit – oder Nichtverfügbarkeit – bekannter Schwachstellen, Patches, Schutzmaßnahmen und Problemumgehungen empfangen, verarbeiten und weitergeben zu können.

Neben der Gewährleistung der Sicherheit im Rahmen des natürlichen Produktlebenszyklus sollten die Technologieentwickler die Öffentlichkeit darüber informieren

wie, warum und wann Schwachstellen behandelt werden. Darüber hinaus sollte mehr Transparenz hinsichtlich entsprechender einhergehender Entwicklungsprozesse geschaffen werden. Die Benutzer sollten zudem genau wissen, an wen sie sich wenden müssen, um Schwachstellen zu melden, damit diese öffentlich bekanntgegeben und behoben werden können.

3. Die Unternehmensführung muss der Cybersicherheit oberste Priorität zuweisen.

Schon lange fordert Cisco IT-Führungskräfte in Unternehmen dazu auf, die Geschäftsleitung und den Vorstand rechtzeitig über die Risiken schädlicher Angriffe auf das Unternehmen, die Mitarbeiter, die Kunden und den Ruf des Unternehmens zu informieren. Diese Botschaft muss geteilt, gehört und entsprechend darauf reagiert werden: Die Geschäftsleitung muss sich auf die Cybersicherheit konzentrieren und deren Bedeutung in der gesamten Organisation deutlich hervorheben. Zudem muss dafür gesorgt werden, dass die IT-Infrastruktur der Organisation auf dem neuesten Stand ist und regelmäßig aktualisiert wird. Dafür ist auch ein ausreichendes Budget erforderlich (Sie finden weitere Informationen zu diesem Thema unter „Cybersicherheit muss einen festen Platz in der Agenda der Geschäftsführung einnehmen“ auf Seite 83).

Es muss eine legitime Debatte darüber geführt werden, wie und wann Behörden Informationen zu Schwachstellen mit der Welt teilen. Wie uns allerdings die Erfahrung mit WannaCry, Shadow Brokers, WikiLeaks Vault 7 und Year Zero gelehrt hat, erzeugen Behörden, die ausnutzbare Schwachstellen nicht sofort beseitigen, den Nährboden für weitere undichte Stellen. Das bietet Cyberkriminellen und nationalstaatlichen Akteuren enorme Chancen.

47


Schwachstellen

Wir sehen bereits, wie schnell die Gegner im neuen Umfeld des Internet of Things (IoT) Fuß fassen, da es viele bekannte aber auch unbekannte Schwachstellen aufweist. Die Behörden haben jetzt die Chance, die Technologieentwickler beim Aufbau eines sicheren IoT-Umfelds zu unterstützen. Dazu müssen Sie aber Ihre aktuellen Verfahren überdenken und mehr Transparenz ermöglichen.

33 Cisco Annual Security Report 2015: cisco.com/web/offer/gist_ty2_asset/Cisco_2015_ASR.pdf.34 „Cisco Coverage for Shadow Brokers 2017-04-14 Information Release“, Cisco Talos-Blog, 15. April 2017: blog.talosintelligence.com/2017/04/shadow-brokers.html.35 „Operation Cloud Hopper: China-Based Hackers Target Managed Service Providers“ von Kevin Townsend, SecurityWeek.com, 6. April 2017:

securityweek.com/operation-cloud-hopper-china-based-hackers-target-managed-service-providers.36 „The WikiLeaks Vault 7 Leak – What We Know So Far“ von Omar Santos, Cisco Security Blog, 7. März 2017: blogs.cisco.com/security/the-wikileaks-vault-7-leak-what-we-know-so-far.

Technologieentwickler sollten unterdessen mit Nachdruck die Einrichtung von Berichtsmechanismen verlangen, die dafür sorgen, dass entsprechende Angriffe nicht nur registriert sondern Informationen dazu auch schnellstens weitergeleitet werden.

Auch den Benutzern selbst kommt hier eine wichtige Aufgabe zu: Sie müssen proaktiv dafür sorgen, dass ihre Software stets mit Patches und Updates aktualisiert wird, und nicht mehr unterstützte Produkte ein Upgrade erhalten.

Veröffentlichung von Schwachstellen führt zu vermehrten Angriffen

Die Zahl der Offenlegung von wichtigen Schwachstellen, die in früheren Cisco Security Reports Thema waren, z. B. OpenSSL-Schwachstellen,33 blieb in den letzten Monaten stabil (siehe Abbildung 39). Die Forschungsergebnisse von Cisco zeigen jedoch eine hohe Schwachstellenaktivität im Zusammenhang mit wichtigen Enthüllungen, wie z. B. der Veröffentlichung von Schwachstellen in Bezug auf Microsoft Windows durch die Shadow Brokers-Gruppe,34 die Operation Cloud Hopper-Kampagne mit Phishing-Angriffen auf Anbieter von Managed-Services35 und die WikiLeaks Vault 7-Veröffentlichung von US-amerikanischen

Geheimdienstdokumenten, mit der erläutert werden sollte, wie gängige Softwarelösungen und Betriebssysteme kompromittiert werden können.36

Eine Schwachstelle kann auch existieren und ausgenutzt werden, ohne dass dies der Öffentlichkeit bewusst ist. Beispielsweise bestanden die von Shadow Brokers offen gelegten Schwachstellen bereits jahrelang. Durch die Bekanntgabe der Schwachstellen wurden diese auch mehr ausgenutzt. Aber auch die Verteidiger wussten so, wie sie sich vor einem Angriff schützen.

Abbildung 39 Wichtige Hinweise, November 2016 bis Mai 2017


07.03.17

21.03.17

29.03.17

06.04.17

08.04.17

11.04.17

24.05.17

14.03.17

Samba Insecure Library Loading CVE-2017-7494

Microsoft Office CVE-2017-0199 (Dridex Exploiting)

Shadow Brokers Group Disclosure of Equation Group Exploits

Operation Cloud Hopper Sustained Global Campaigns

Microsoft Internet Information Services (IIS) WebDav CVE-2017-7269

Network Time Protocol

Microsoft Windows Graphics CVE-2017-0108

WikiLeaks Vault 7 Release

10.11.16

22.11.16

03.01.17

18.01.17

26.01.17

06.02.17

06.03.17

04.11.16

Apache Struts2 Remote Code Execution Vulnerability CVE-2017-5638

OpenSSL-Schwachstellen CVE-2017-3733

OpenSSL-Schwachstellen

Oracle CPU Oracle OIT-Schwachstellen (Talos)

PHPMailer Arbitrary Command Injection CVE-2016-10033 CVE-2016-10045

Network Time Protocol

BlackNurse – ICMP DOS

Mobile OAuth 2.0 – Implementierungsprobleme

Datum Ereignis Datum Ereignis

Abbildung 39 Wichtige Hinweise, November 2016 bis Mai 2017

http://cisco.com/web/offer/gist_ty2_asset/Cisco_2015_ASR.pdf

http://blog.talosintelligence.com/2017/04/shadow-brokers.html

http://securityweek.com/operation-cloud-hopper-china-based-hackers-target-managed-service-providers

http://blogs.cisco.com/security/the-wikileaks-vault-7-leak-what-we-know-so-far

48


Schwachstellen

Bei der Prüfung der von WikiLeaks veröffentlichten Schwachstellen zeigten sich die Verteidiger besorgt darüber, dass sie keine Kenntnis über die Exploits bei Regierungsbehörden besaßen und daher die relevanten Schwachstellen nicht kannten. Die Verteidiger fragen sich zu Recht, welche weiteren Schwachstellen bestehen, die nicht bekannt gegeben wurden.

Zur Liste in Abbildung 39 ist anzumerken, dass die für Microsoft Office enthüllten Schwachstellen sofort vom Dridex-Botnet ausgenutzt wurden.37 Wie Cisco bereits berichtete wurde eine Ausnutzung der Microsoft-Schwachstelle in Form von E-Mail-basierten Angriffen mit schädlichen Anhängen beobachtet. Zudem wurde die Apache Struts2-Schwachstelle schnell ausgenutzt.38

Anstieg bei Client-/Server-SchwachstellenWie im Cisco Midyear Cybersecurity Report 2016 erläutert, ist ein Anstieg bei den serverseitigen Schwachstellen zu verzeichnen: Die Gegner haben erkannt, dass sie einen umfangreicheren Zugang zu Unternehmensnetzwerken erhalten, wenn sie Schwachstellen in der Serversoftware ausnutzen.39 In den ersten Monaten des Jahres 2017 scheinen die serverseitigen Schwachstellen gegenüber 2016 auf einen Anstieg von 36 Prozent zuzusteuern; die clientseitigen Schwachstellen zeigen einen wahrscheinlichen Anstieg von 35 Prozent gegenüber 2016 (siehe Abbildung 40).

Ein Grund für die Zunahme der serverseitigen Schwachstellen ist, dass für Schwachstellen der Software von Drittanbietern ein manuelles Patching erforderlich ist. Wenn das manuelle Patching nicht rechtzeitig erfolgt,

37 „Cisco Coverage for CVE-2017-0199“ Cisco Talos-Blog, 14. April 2017: blog.talosintelligence.com/2017/04/cve-2017-0199.html. 38 „Content-Type: Malicious - New Apache Struts2 0-Day Under Attack“ von Nick Biasini, Cisco Talos-Blog, 8. März 2017:

blog.talosintelligence.com/2017/03/apache-0-day-exploited.html.39 „Adversaries See Value in Server-Based Campaigns“, Cisco Midyear Cybersecurity Report 2016: cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

ist das Zeitfenster zur Ausnutzung dieser serverseitigen Schwachstellen groß. Bei den clientseitigen Schwachstellen ist zwar ebenfalls ein Anstieg zu verzeichnen, diese können jedoch mit automatischen Updates behoben werden, was hilft, das Zeitfenster der möglichen Ausnutzung sehr schnell zu schließen.

Abbildung 40 Client-/Server-Schwachstellen


2015 2016 2017

0

3,5K

4K

3K

2,5K

2K

1,5K

1K

0,5K

Server-Schwachstellen

Client-Schwachstellen

Netzwerk-schwachstellen

Anz

ahl d

er S

chw

achs

telle

n

Auf dem Weg zu einem jährlichen Anstieg von 36 %



Abbildung 40 Client-/Server-Schwachstellen


http://blog.talosintelligence.com/2017/04/cve-2017-0199.html

http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html

http://cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html




49


Schwachstellen

Exploit-Kit-Aktivität deutlich verringertDie Exploit-Kit-Aktivität in Verbindung mit Schwachstellen ist im Zuge des allgemeinen Rückgangs beim Exploit-Kit-Einsatz deutlich gesunken (siehe Seite 9). Da die Softwarehersteller vor allem bei Web-Browsern die Verwendung von gängigen Bedrohungsvektoren wie mit Adobe Flash und Java erstellte Inhalte blockiert haben, setzen Gegner vermehrt auf einfachere Taktiken wie Ransomware, DDoS- und E-Mail-Angriffe auf Unternehmen (Business Email Compromise, BEC) (siehe Seite 22).

Schwachstellenkategorien: Buffer-Fehler bleiben an der SpitzeBei der Untersuchung der in der Common Weakness Enumeration (CWE) festgehaltenen Bedrohungskategorien zeigt sich, dass Buffer-Fehler nach wie vor die häufigste Art von Codierungsfehlern darstellen, die von Kriminellen ausgenutzt werden (siehe Abbildung 41). Dieser Codierungsfehler wird immer wieder von Softwareentwicklern gemacht. Um diesen Fehler zu vermeiden, sollten die Entwickler sicherstellen, dass Buffer beschränkt werden, sodass sie nicht missbraucht werden können.

Abbildung 41 Kategorien der häufigsten Bedrohungen, November 2016 bis Mai 2017


0

53

468

11

125

605

24

129

621

34

145

635

37

232

1027

CWE-16: Configuration

CWE-287:Authentifizierungsprobleme

CWE-20: Input Validation

CWE-59: Link Following

CWE-22: Path Traversal

CWE-200: Information Leak/Disclosure

CWE-78: OS Command Injections

CWE-89: SQL Injection

CWE-264: Permissions, Privileges, and Access Control

CWE-310:Verschlüsselungsprobleme

CWE-352: Cross-SiteRequest Forgery (CSRF)

CWE-79: Cross-SiteScripting (XSS)

CWE-94: Code Injection

CWE-399: ResourceManagement Errors

CWE-119: Buffer Errors

Abbildung 41 Top-Bedrohungskategorien, November 2016 bis Mai 2017

50


Schwachstellen

Setzen Sie Ihr Geschäft keinem Risiko durch DevOps-Technologien aus

40 „After MongoDB, Ransomware Groups Hit Exposed Elasticsearch Clusters“ von Lucian Constantin, IDG News Service, 13. Januar 2017: pcworld.com/article/3157417/security/after-mongodb-ransomware-groups-hit-exposed-elasticsearch-clusters.html.

Im Januar 2017 haben Angreifer erstmals öffentliche MongoDB-Instanzen verschlüsselt und für die Entschlüsselung der Schlüssel und Software Lösegeldforderungen gestellt. Seither haben die Angreifer ihre Ziele von serverbezogener Ransomware auf andere Datenbanken wie CouchDB und Elasticsearch ausgeweitet.40 Diese DevOps-Services sind häufig anfällig, weil sie entweder unsachgemäß bereitgestellt oder absichtlich zugänglich gemacht wurden, damit berechtigte Benutzer schneller darauf zugreifen können.

Rapid7, ein Cisco Partner und Anbieter von Sicherheitsdaten- und Analytiklösungen, klassifiziert Angriffe auf MongoDB, CouchDB und Elasticsearch als „DevOps-Ransomware-Angriffe“. Das Unternehmen schließt auch Technologien wie Docker, MySQL und MariaDB sowie weitere beliebte DevOps-Komponenten in seine Definition ein.

Seit Januar 2017 durchsucht Rapid7 regelmäßig das Internet nach diesen Technologien und katalogisiert sowohl offene Instanzen als auch freigekaufte Instanzen. Ausgehend von den Namen der im Internet zugänglichen Tabellen können einige dieser DevOps-Services personenbezogene Identifizierungsdaten (Personally Identifiable Information, PII) enthalten.

Es folgt eine Übersicht über einige ausgewählte Erkenntnisse aus den Suchvorgängen von Rapid7.

CouchDBEtwa 75 Prozent der CouchDB-Server können als weit offen kategorisiert werden (ohne Authentifizierung über das Internet verfügbar). Knapp ein Viertel erfordern eine Authentifizierung (zumindest einige Anmeldeinformationen). Etwa zwei bis drei Prozent wurden wahrscheinlich freigekauft. Das klingt nicht dramatisch, es muss jedoch bedacht werden, dass etwa zwei Prozent der von Rapid7 gefundenen CouchDB-Server anscheinend personenbezogene Daten enthalten. Diese personenbezogenen Daten umfassen Informationen aus klinischen Arzneimittelstudien, Kreditkartennummern und persönliche Kontaktinformationen.

Abbildung 42 Verteilung des CouchDB-Status

Quelle: Rapid7

Wahrscheinlich freigekauft

Authentifizierung erforderlich

Weit offenes CouchDB

25

0 %

50

75

100

Anz

ahl d

er e

ntde

ckte

n In

stan

zen

pro

Sca

nPr

ozen

tual

e Ve

rtei

lung

0

5K

10K

Apr.MärzFeb.Jan.

Neue CouchDB-Serverentdeckt

Abbildung 42 Verteilung des CouchDB-Status

ElasticsearchWie bei CouchDB können auch bei den Elasticsearch-Servern mehr als 75 Prozent als weit offen kategorisiert werden. Etwa 20 Prozent wurden wahrscheinlich freigekauft. Die gute Nachricht ist, dass gemäß der Analyse von Rapid7 vermutlich nur ein sehr geringer Prozentsatz dieser Server personenbezogene Daten enthält.

http://pcworld.com/article/3157417/security/after-mongodb-ransomware-groups-hit-exposed-elasticsearch-clusters.html

51


Schwachstellen

Abbildung 43 Verteilung des Elasticsearch-Status

Quelle: Rapid7

has_pii open_es freigekauft

Proz

entu

ale

Vert

eilu

ngA

nzah

l der

ent

deck

ten

Inst

anze

n pr

o S

can

0 %

25

50

75

100

0

10K

20K

Apr.MärzFeb.Jan.

Die Situation verbessert sich (überraschenderweise)

Abbildung 43 Verteilung des Elasticsearch-Status

MongoDBUngeachtet des Ransomware-Angriffs vom Januar, der auf Tausende von MongoDB-Server abzielte, müssen Personen und Organisationen, die diese Server verwenden, weiterhin an der Verbesserung ihrer Sicherheitsverfahren arbeiten. Nahezu 100 Prozent der Server, die von Rapid7 im Rahmen der Suche gefunden wurden, können als weit offen kategorisiert werden. Die gute Nachricht ist, dass anscheinend nur sehr wenige dieser Server vertrauliche Informationen enthalten.

Abbildung 44 Verteilung des MongoDB-Status

Quelle: Rapid7

is_pii is_pwnd open_mon

0

30K

60K

Anz

ahl d

er e

ntde

ckte

n In

stan

zen

pro

Sca

n

25

0 %

50

75

100

Proz

entu

ale

Vert

eilu

ng

Apr.MärzFeb.Jan.

Abbildung 44 Verteilung des MongoDB-Status

Rapid7 hat zudem festgestellt, dass sich viele der MongoDB-Server, die wahrscheinlich Opfer von Ransomware wurden, im End-of-Life-Stadium befanden. Ein beträchtlicher Teil war jedoch neuer und unterstützte nach wie vor Versionen, die wahrscheinlich in der letzten Zeit weder aktualisiert noch gepatcht wurden, falls dies überhaupt jemals der Fall war (siehe Abbildung 45 auf der nächsten Seite).

52


Schwachstellen

Abbildung 45 MongoDB-Versionen

Quelle: Rapid7

3,53,43,33,23,13,02,82,72,62,52,42,32,22,12,01,81,61,5

End-of-Life

Weiterhin unterstützt

Nicht kompromittiert/freigekauftKompromittiert/freigekauft

2016

2014

2010

2012Veröffen

tlichungsjahr

7899 (80,3 %) 1942 (19,7 %)

606 (88,1 %)

1101 (91,8 %)

759 (36,2 %)

971 (17,9 %)

972 (14,8 %)

541 (7,6 %)

5 (6 %)

3 (100 %)17 (81 %) 4 (19 %)

4 (80 %) 1 (20 %)

1 (100 %)

82 (11,9 %)8 (80 %)

148 (91,4 %)78 (94 %)1 (100 %)

2 (20 %)99 (8,2 %)

14 (8,6 %)

4 (80 %) 1 (20 %)

27 (23,1 %)90 (76,9 %)

35 (94,6 %) 2 (5,4 %)

1337 (63,8%)

4463 (82,1 %)

5585 (85,2 %)

6554 (92,4 %)

Abbildung 45 MongoDB-Versionen

Abbildung 46 zeigt die Anzahl der öffentlichen Tabellen auf den MongoDB-Servern, die Rapid7 in seiner Untersuchung ermittelt hat. Die meisten davon haben weniger als zehn Tabellen und sind wahrscheinlich Server, die zu Experimentierzwecken eingerichtet wurden. Einige Server

verfügen jedoch über 20 Tabellen oder mehr, was darauf hinweist, dass es sich um reale Produktionssysteme handelt. Ein Server, der im Internet zugänglich war, wies über 2.200 Tabellen auf.

Abbildung 46 Größenverteilung der MongoDB-Datenbank nach Anzahl der veröffentlichten Tabellen, Januar – April 2017

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 17 18 19 20 21 22 24 26 28 29 30 34 39 45 47 49 57 58 59 2253Anzahl der offengelegten Tabellen

Anz

ahl d

er S

yste

me

0

500

1000

Reale Produktionssysteme

Am ehesten für Experimente eingerichtete Systeme

Unbekannte Systeme

72 148

Abbildung 46 MongoDB-Datenbankgröße – Verteilung nach Anzahl offengelegter Tabellen, Januar bis April 2017

Quelle: Rapid7





53


Schwachstellen

DockerRapid7 untersuchte auch Docker, ein Orchestrierungs-Framework, bei dem man von Anfang an sehr sicherheitsorientiert vorging. Laut Analyse von Rapid7 stehen trotz aller Bemühungen jedoch mehr als 1000 Docker-Instanzen weit offen. Die meisten identifizierten Docker-Instanzen wurden in den USA oder China (siehe Abb. 47) gefunden.

Viele der offenen Docker-Instanzen sind möglicherweise aufgegebene oder vergessene Testsysteme. Aber 245 der 1000 offenen Instanzen verwenden einen zugewiesenen Arbeitsspeicher von mindestens 4 GB und sind möglicherweise Live-Produktionssysteme (siehe Abb. 48 auf der nächsten Seite).

Abbildung 47 Verteilung der Docker-Instanzen nach Land, Januar – April 2017


Quelle: Rapid7

100 200 300

USA

China

Frankreich

Deutschland

Niederlande

Japan

SingapurVereinigtesKönigreich

Russland

Kanada

Irland

Korea, Republik

Hongkong

Israel

Italien

Taiwan

Polen

Australien

Weißrussland

Brasilien

Ungarn

Slowenien

Schweden

Vietnam

Argentinien

Belgien

Bulgarien

Griechenland

Abbildung 47 Verteilung von Docker-Instanzen nach Land, Januar bis April 2017




54


Schwachstellen

Abbildung 48 Verteilung des gesamten zugewiesenen Arbeitsspeichers für die Verwendung von Docker, Januar – April 2017

Quelle: Rapid7

10

0

20

30

40

50

Anz

ahl d

er In

stan

zen

150 200 250100504

Gesamtgröße des Arbeitsspeichers (GB)

Wahrscheinlich Test/Vergessen/Keine Produktionssysteme

245 Instanzen verwenden einen zugewiesenen Arbeitsspeicher von 4 GB oder mehr und sind möglicherweise reale Produktionssysteme

Abbildung 48 Verteilung des gesamten zugewiesenen Arbeitsspeichers für die Verwendung von Docker, Januar bis April 2017

Darüber hinaus stellte Rapid7 fest, dass bei 199 der weit offenen Docker- Instanzen mindestens drei aktive Container ausgeführt wurden. Bei einigen sogar bis zu 160 (Abb. 49). Organisationen, die diese ungesicherten Produktionssysteme nutzen, sind enorm gefährdet. Gegner könnten u. U. eine Shell-Verbindung im Internet zu jedem dieser Systeme herstellen und die Kontrolle über diese Systeme übernehmen.

41 „MongoDB Databases Actively Hijacked for Extortion“, von Ionut Arghire, SecurityWeek, 4. Januar 2017: securityweek.com/mongodb-databases-actively-hijacked-extortion.

Abbildung 49 Verteilung aller ausgeführten Container pro Instanz, Januar – April 2017

Quelle: Rapid7

0

10

20

30

Anz

ahl d

er In

stan

zen

160 200120 140 18080 10040 6020

3 Anzahl der Container

Wahrscheinlich Test/Vergessen/Keine Produktionssysteme

Bei 199 Instanzen – möglicherweise reale Produktionssysteme – wurden mehr als 3 aktive Container ausgeführt.

Abbildung 49 Verteilung aller ausgeführten Container pro Docker-Instanz, Januar bis April 2017

Organisationen, die öffentliche Internet-Instanzen dieser und anderer DevOps-Technologien verwenden, müssen nun Maßnahmen ergreifen, um keine Risiken einzugehen. Security-Teams sollten:

• solide Standards für eine sichere Bereitstellung von DevOps-Technologien erstellen

• ein aktives Bewusstsein der öffentlichen Infrastruktur bewahren, die im Besitz des Unternehmens ist

• DevOps-Technologien mit Patches auf dem neuesten Stand halten

• Prüfungen auf Schwachstellen durchführen

Organisationen führen Patches für bekannte Schwachstellen von Memchached-Servern nicht schnell genug durch

Cyberkriminelle suchen zur Kompromittierung, für Datendiebstahl und Erpressungsversuche mit Lösegeldforderung aktiv über das Internet nach ungesicherten Datenbanken. Die letzte Methode hat seit dem Ransomware-Angriff im Januar rasch an Boden gewonnen. Damals waren Tausende von MongoDB-Datenbanken betroffen.41

Services wie MongoDB waren nie zur Nutzung in nicht vertrauenswürdigen Umgebungen gedacht und verfügen in der Regel über nicht genügend starke (oder gar keine) Authentifizierung. Bedrohungsforscher von Cisco haben Schwachstellen in ähnlichen Services untersucht. Beispielsweise haben wir Ende 2016 ein Code-Audit zur Beurteilung der Sicherheit von Memcached-Cache-Servern durchgeführt. Organisationen verwenden Memcached, um die Geschwindigkeit und Leistung ihrer Web-Services und Anwendungen zu verbessern.

http://securityweek.com/mongodb-databases-actively-hijacked-extortion

55


Schwachstellen

Im Rahmen dieser Untersuchung haben wir bei Remote-Code-Ausführungen drei Schwachstellen entdeckt.42 Eine der Sicherheitslücken wurde beim Mechanismus der Serverauthentifizierung gefunden; d. h. selbst Server mit einer aktiven Authentifizierung können noch ausgenutzt werden. Die Cisco Bedrohungsforscher meldeten die Schwachstellen beim Anbieter, der daraufhin rasch einen Patch bereitstellte.

Wenige Monate nach Meldung der Sicherheitslücken führten wir internetweite Suchen durch, um den Status der Patch-Bereitstellung zu überprüfen. Obwohl der Anbieter die Fehler schnell behoben hatte und umgehend Updates für Linux-Distributionen veröffentlicht wurden, mussten wir feststellen, dass 79 Prozent der rund 110.000 Memcached-Server weiterhin Schwachstellen bei der Remote-Code-Ausführung aufwiesen, über die wir berichtet hatten (siehe Abb. 50).

Darüber hinaus wurde die Authentifizierung nur bei 22 Prozent der Server aktiviert. Und praktisch alle Server, die eine Authentifizierung erfordern, wiesen weiterhin Schwachstellen auf (23.707 von 23.907, siehe Abb. 50). Die Server in unserer Studie befinden sind über den gesamten Globus verteilt. Die meisten liegen jedoch in den Vereinigten Staaten und China. Zum Zeitpunkt unserer letzten Prüfung im März lag ein Großteil der anfälligen Server ebenfalls in diesen beiden Ländern (siehe Abb. 51).

Das Ergebnis: Obwohl laut den Bedrohungsexperten von Cisco keiner der Server aufgrund dieser drei Schwachstellen kompromittiert wurde, ist es wahrscheinlich nur noch eine Frage der Zeit, bis dieser Fall eintritt. Informationen über die Schwachstellen und den Patch sind seit Monaten öffentlich bekannt.

Abbildung 50 Schwachstellen: Memcached

42 Weitere Informationen finden Sie in den 2016 Talos Vulnerability Reports: „Memcached Server Append/Prepend Remote Code Execution Vulnerability“, talosintelligence.com/vulnerability_reports/TALOS-2016-0219; „Memcached Server Update Remote Code Execution Vulnerability“, talosintelligence.com/vulnerability_reports/TALOS-2016-0220; und „Memcached Server SASL Authentication Remote Code Execution Vulnerability“. talosintelligence.com/vulnerability_reports/TALOS-2016-0221.

Die in der Shadow-Economy zunehmenden Angriffe auf Datenbanken und andere über das Internet erreichbare Infrastrukturen machen Patches für diese bekannten Schwachstellen dringender als je zuvor. Trotz Authentifizierung stellen DevOps-Services weiterhin ein Risiko dar, weshalb sie von vertrauenswürdigen Umgebungen isoliert sein sollten (weitere Informationen zu diesem Risiko finden Sie unter „Setzen Sie Ihr Geschäft keinem Risiko durch DevOps-Technologien aus“, Seite 50).

Abbildung 51 Memcached-Server nach Land, Februar – März 2017

36.937

18.878

5452

3698

5314

3607

3287

3464

3901

1939

29.660

16.917

4713

3047

3209

3003

2556

2460

2266

1820

USA

China

Vereinigtes Königreich

Deutschland

Frankreich

Japan

Niederlande

Indien

Russland

Hongkong

Land Anfällige Server Gesamtanzahl Server


Abbildung 51 Memcached-Server nach Land, Februar bis März 2016

79%aller Server sind anfällig

Server mit gültigen Antworten insgesamt: 107.786

Nur22%der Server

erfordern eineAuthentifizierung

99%weiterhin anfällig

Davon sind

Gesamtzahl der Server mit Memcached-Schwachstellen

99 % der Server, die eine Authentifizierung erfordern, sind weiterhin anfällig


Abbildung 50 Schwachstellen: Memcached

https://talosintelligence.com/vulnerability_reports/TALOS-2016-0219

https://talosintelligence.com/vulnerability_reports/TALOS-2016-0219

http://talosintelligence.com/vulnerability_reports/TALOS-2016-0220

http://talosintelligence.com/vulnerability_reports/TALOS-2016-0221

56


Schwachstellen

Hacker wenden sich der Cloud zu, um attraktive Ziele schneller zu attackieren

Die Cloud stellt ein ganz neues Terrain für Hacker dar, die das Potenzial der Cloud ernsthaft als Angriffsvektor erkunden. Ihnen ist klar geworden, dass Cloud-Systeme heute für viele Organisationen geschäftskritisch sind. Auch haben sie erkannt, dass sich vernetzte Systeme schneller infiltrieren lassen, indem sie in die Cloud-Systeme eindringen.

Seit Ende 2016 hat Cisco einen Anstieg von Hacker-Aktivitäten beobachtet, die es mithilfe ausgereifter Angriffe auf Cloud-Systeme abgesehen haben.

Unsere Forscher entdeckten im Januar 2017 Hacker, die es auf gültige kompromittierte Unternehmensidentitäten abgesehen haben. Unter Verwendung von Brute-Force-Angriffen erstellten die Hacker eine Bibliothek verifizierter Anmeldeinformationen von Unternehmensanwendern (Benutzernamen und Kennwörter), möglicherweise mit bekannten Listen kompromittierter Konten im Web. Sie versuchten, sich bei mehreren Unternehmens-Clouds anzumelden, und nutzten Server mit 20 hochverdächtigen IP-Adressen.

Mit Verhaltensanalysen und anderen Tools analysierten unsere Forscher ab Dezember 2016 bis Mitte Februar 2017 Tausende von unternehmenseigenen Cloud-Umgebungen unserer Kunden. Wir identifizierten vergleichbare Muster von verdächtigen Anmeldeversuchen, die mehr als 17 Prozent der Organisationen unserer Studie ins Visier nahmen. Die Hacker verwendeten die 20 IP-Adressen wiederholt nach dem Zufallsprinzip, um unentdeckt zu bleiben.

Wir machten die Kunden auf das Problem aufmerksam und setzten die verdächtigen IP-Adressen auf die schwarze Liste. Wozu die Hacker die Bibliothek der geprüften Anmeldeinformationen von Unternehmensanwendern verwenden wollten, ist nicht bekannt. Die Vorbereitung für Spear-Phishing- oder Social-Engineering-Angriffe ist ein mögliches Szenario. Eventuell wollten die Cyberkriminellen die gültigen Kombinationen von Benutzernamen und Kennwort auch verkaufen oder sie selbst verwenden, um sensible Daten zu entwenden oder bestimmten Personen zu schaden. Bekannt ist aber, dass die meisten Anmeldeinformationen, die bei den Hacker-Versuchen für den Zugriff auf die unternehmenseigenen Cloud-Systeme verwendet wurden, mit den Unternehmenskonten verknüpft waren, die bereits bei früheren Sicherheitsverletzungen kompromittiert wurden.

OAuth unterstützt die Cloud, stellt aber auch ein Risiko darIm Cisco Annual Cybersecurity Report 2017 untersuchten wir das Risiko vernetzter Cloud-Anwendungen von Drittanbietern, die von Mitarbeitern in das Unternehmen eingeführt wurden. Diese Anwendungen kommen mit der Infrastruktur des Unternehmens in Berührung und können ungehindert mit dessen Cloud- und SaaS-Plattformen kommunizieren, sobald der Nutzer Zugriff gewährt hat.

Wie aus Abbildung 52 ersichtlich wird, ist die Zahl der einzelnen vernetzten Cloud-Anwendungen pro Organisation unseren Recherchen zufolge seit 2014 drastisch gestiegen. Heute zählt ein durchschnittliches Unternehmen mehr als 1000 verschiedene Anwendungen in seiner Umgebung und mehr als 20.000 verschiedene Installationen dieser Anwendungen.

Abbildung 52 Anzahl der einzelnen vernetzten Cloud-Anwendungen pro Organisation


0

200

400

600

800

1000

2014 2015 2016

Dur

chsc

hnitt

liche

Anz

ahl u

nter

schi

edlic

her A

pps

Jahr

1050

Abbildung 52 Anzahl verschiedener verbundener Cloud-Apps pro Organisation

2017





57


Schwachstellen

Die jüngste Phishing-Kampagne mit Google Mail-Nutzern als Ziel, bei der die OAuth-Infrastruktur angegriffen wurde, verdeutlicht das OAuth-Sicherheitsrisiko.43 Die Angreifer wollten die Kontrolle über die E-Mail-Konten der Nutzer erhalten und den Phishing-Wurm über ihre Kontakte verbreiten. Laut Google waren etwa 0,1 Prozent der 1 Milliarde Nutzer von diesem Angriff betroffen.44 Konservativen Schätzungen der Cisco Bedrohungsforscher zufolge wurden mehr als 300.000 Unternehmen mit dem Wurm infiziert.45

Die Cloud als ignorierter Bedrohungsvektor: große Gefahr durch einzelne Cloud-Nutzer mit bestimmten BerechtigungenEinige der bis heute größten Sicherheitslücken entstand mit der Kompromittierung und missbräuchlichen Verwendung eines einzelnen Benutzerkontos mit bestimmten Berechtigungen. Mit dem Zugang auf ein solches privilegiertes Konto erhalten Hacker praktisch einen Schlüssel und die Fähigkeit zur Durchführung großflächigen Datendiebstahls mit erheblichem Schaden. Die meisten Organisationen schenken diesem Risiko jedoch nicht genügend Beachtung.

Um den Umfang dieses Sicherheitsproblems besser einschätzen zu können, haben die Bedrohungsforscher von Cisco bei 495 Unternehmen 4.410 privilegierte Benutzerkonten geprüft und festgestellt, dass sechs von jeweils 100 Endbenutzern pro Cloud-Plattform ein privilegiertes Benutzerkonto haben (siehe Abb. 53). Allerdings führten in den meisten Organisationen durchschnittlich nur zwei privilegierte Benutzer den größten Teil der administrativen Aufgaben durch (88 Prozent). Ebenso konnten wir feststellen, dass Organisationen bei 75 Prozent ihrer Admin-Konten „super Admin“-Privilegien mit wenigen oder ohne geschäftliche Auswirkungen entziehen konnten.

43 „Google Docs Phishing Attack Underscores OAuth Security Risks“, von Michael Kan, IDG News Service, 5. Mai 2017: pcworld.com/article/3194816/security/google-docs-phishing-attack-underscores-oauth-security-risks.html.

44 „A Massive Google Docs Phish Hits 1 Million Gmail Accounts—UPDATED“, von Thomas Fox-Brewster, Forbes, 3. Mai 2017: forbes.com/sites/thomasbrewster/2017/05/03/massive-google-gmail-phish-many-victims/#219602e142a1.

45 Die Schätzung von Cisco basiert auf der Zahl der Unternehmen, die für die Cloud-basierten Produktivitätstools von Google bezahlen (siehe „More than 3M businesses now pay for Google’s G Suite“, von Frederic Lardinois, TechCrunch, 26. Januar 2017: techcrunch.com/2017/01/26/more-than-3m-businesses-now-pay-for-googles-g-suite/), sowie auf der Anzahl der Kunden, welche die Cisco Cloud Access Security Broker (CASB)-Lösungen verwenden und von den gezielten Phishing-Angriffen auf Gmail-Nutzer (ca. 10 Prozent) betroffen waren.

Abbildung 53 Inflation von privilegierten Benutzerkonten


6/100Endbenutzer pro Cloud-Plattform haben ein privilegiertes Benutzerkonto

Abbildung 53a Inflation von privilegierten Benutzerkonten


der Privilegien können von Admin-Konten mit wenigen oder keinen Auswirkungen auf Geschäftsprozesse entfernt werden

75%

Abbildung 53c Inflation von privilegierten Benutzerkonten


88%der Admin-Aufgaben werden von 2 privilegierten Benutzern durchgeführt

Abbildung 53 Inflation von privilegierten Benutzerkonten


http://pcworld.com/article/3194816/security/google-docs-phishing-attack-underscores-oauth-security-risks.html

http://forbes.com/sites/thomasbrewster/2017/05/03/massive-google-gmail-phish-many-victims/#219602e142a1

http://techcrunch.com/2017/01/26/more-than-3m-businesses-now-pay-for-googles-g-suite/




58


Schwachstellen

Unseren Recherchen zufolge loggen sich rund 82 Prozent der privilegierten Benutzer über lediglich eine oder zwei IP-Adressen pro Monat ein (Abbildung 54). Aktivitäten außerhalb dieser normalen Muster sollten untersucht werden.

Zudem stellten wir fest, dass sich 60 Prozent der privilegierten Benutzer nie von aktiven Sitzungen abmelden, wodurch es für nicht autorisierte Benutzer einfacher ist, unentdeckt einen Zugang zu finden (Abbildung 55). Benutzer sollten sich für ihre administrativen Aufgaben täglich anmelden und sich nach erledigter Arbeit wieder abmelden.

Abbildung 54 Privilegierte Benutzeraktivitäten (monatliche Anmeldung von IP-Adressen)

Mitverantwortung für die Sicherheit in der Cloud übernehmenDa Unternehmen die Cloud zunehmend nutzen möchten, müssen sie verstehen, welche Rolle sie für die Erhaltung der Sicherheit in der Cloud einnehmen. Cloud-Service Provider sind für die physische, rechtliche, operative und infrastrukturbezogene Sicherheit der von ihnen angebotenen Technologie verantwortlich. Die Unternehmen sind jedoch für die sichere Nutzung der zugrunde liegenden Cloud-Services verantwortlich. Dieselben Best-Practices, die für die Sicherheit in der Umgebung der eigenen Geschäftsräume gelten, können erheblich dazu beitragen, nicht autorisierte Zugriffe auf Cloud-Systeme zu verhindern.

Abbildung 55 60 % der privilegierten Benutzer melden sich nie von aktiven Sitzungen ab


Abbildung 55 60 % der privilegierten Benutzer melden sich nie von aktiven Sitzungen ab


Netzwerkzugriff

82%1 oder 2 IPs

Abbildung 54 Privilegierte Benutzeraktivität (monatliche Anmeldung von IP-Adressen)

59


Schwachstellen

Nicht verwaltete Infrastrukturen und Endpunkte stellen Risiken für Organisationen dar

Die heutigen dynamischen Netzwerke bieten aufgrund neuer Sicherheitsrisiken und Lücken sowie reduzierter Transparenz eine größere Angriffsfläche. Die Cloud ist ein wichtiger Faktor, der zu diesem Problem beiträgt. Ebenso auch defekte und sogenannte Shadow-IT Geräte und -Anwendungen. Netzwerke und Endpunkte, die im Vergleich zu den Netzwerk- und Asset-Management-Lösungen ihre maximale Lebensdauer erreicht haben, können ebenso unbekannte und nicht verwaltete Sicherheitslücken darstellen.

Viele Unternehmen unterschätzen das Risiko (und die Anzahl) von toten Winkeln in ihrem Unternehmensnetzwerk, ihren Endpunkten und ihrer Cloud-Infrastruktur. Laut einer Untersuchung von Lumeta, einem Cisco Partner und Anbieter der Cyber Situational Awareness-Technologie, können durchschnittlich 20 bis 40 Prozent der Netzwerk- und Endpunkt-Infrastruktur durch mangelnde Transparenz unbekannt bleiben bzw. lassen sich von der Organisation nicht verwalten. Dieses Problem betrifft Unternehmen verschiedener Branchen, u. a. Gesundheitswesen, Finanzdienstleister und Technologiesektor aber auch Regierungen.

Nicht verwaltete Netzwerkinfrastrukturen und Endpunkte können von Angreifern einfach kompromittiert werden, die sich einschleusen wollen, um sich in der gesamten Organisation auszubreiten und dort zielorientiert

einzudringen. Sie können für Datendiebstahl oder für einen nicht autorisierten Tor-Verkehr genutzt werden oder aber Teil eines Botnets werden. Selbst ein einfacher Router, eine Netzwerk-Firewall oder fehlkonfigurierte Segmentierung können einem Angreifer die Möglichkeit bieten, in eine Infrastruktur einzudringen und auf sensible Daten zuzugreifen.

Für mehr Transparenz benötigen Organisationen Zugang zu kontextbezogener Security-Intelligence in Echtzeit. Ohne Lösungen für eine Überwachung und Leak-Pfad-Erkennung in Echtzeit können sich Angreifer ungehindert und unentdeckt in einem Netzwerk bewegen. Darüber hinaus sollten Organisationen ihre Segmentierungsrichtlinien überarbeiten und robuste Tools einsetzen, um deren Wirksamkeit testen können.

Geräte und Systeme, die mit dem Netzwerk verbunden sind, müssen erfasst werden. Wenn Sicherheitsteams nur begrenzte Ansichten oder alte Listen von verwalteten Geräten haben, können sie bis zu 20 Prozent der mit dem Netzwerk fest verdrahteten Geräte übersehen. Diese Bestände sollten regelmäßig und automatisch geführt werden, da sich Unternehmensnetzwerke, Endpunkte und Cloud-Infrastrukturen ständig ändern und vom Sicherheitspersonal allein nicht wirksam überwacht werden können.

Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger

61



Herausforderungen in puncto Sicherheit und Möglichkeiten für VerteidigerIn diesem Abschnitt untersuchen wir anhand mehrerer kurzer Anwenderberichte branchenspezifische Ergebnisse der neuesten Cisco Security Capabilities Benchmark Study. Ebenso präsentieren wir Daten, die darauf hindeuten, dass Organisationen ihre Sicherheit durch die Reduzierung ihrer Sicherheitsanbieter erhöhen können. Darüber hinaus stellen wir die Frage, inwieweit die Größe eines Unternehmens die Sicherheit beeinträchtigen kann. Zuletzt untersuchen wir die Möglichkeit für Sicherheitsbeauftrage, sich in Gespräche zur Cybersicherheit einzubinden und auf Führungsebene mitzudiskutieren.

Security Capabilities Benchmark Study: Fokus auf verschiedenen Branchen

46 Cisco Annual Cybersecurity Report 2017, S. 49: b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153. 47 „Renault-Nissan Is Resuming Production After a Global Cyberattack Caused Stoppages at 5 Plants“, von Laurence Frost und Naomi Tajitsu, BusinessInsider.com, 15. Mai 2017:

businessinsider.com/renault-nissan-production-halt-wannacry-ransomeware-attack-2017-5.

Anhand der Daten aus der Studie 2017 haben wir mehrere Branchen untersucht.46 Die Ergebnisse sind an wichtige Herausforderungen gebunden, denen sich diese Schlüsselindustrien stellen müssen, u. a. Schutz von Kundendaten, Umgang mit gesetzlichen Auflagen und Integration neuer vernetzter Systeme in ältere Software.

Obwohl jede Branche mit seinen eigenen Herausforderungen in puncto Sicherheit konfrontiert ist – und trotz unterschiedlicher Sicherheitsreife der einzelnen Branchen – lassen sich gemeinsame Bedenken feststellen. Sicherheitsexperten in jeder Branche sind sich über die zunehmende Ausgereiftheit der Bedrohungen bewusst, sowie über die Notwendigkeit, den Gegnern einen Schritt voraus zu sein. Viele Organisationen haben öffentliche Sicherheitslücken erfahren. Schadensminderung (z.B. Kundenverlust) und Verhinderung ähnlicher Sicherheitslücken stehen somit auf der Sorgenliste ganz oben.

Für viele dieser Branchen ist die Integration der Informationstechnologie (IT) und der Betriebstechnik (OT) von entscheidender Bedeutung – und vor allem, der Schutz dieser integrierten Systeme. Der jüngste WannaCry-Ransomware-Angriff hatte zur Folge, dass die Renault-Nissan-Automobilwerke in Europa abgeschaltet wurden… ein gutes Beispiel, das zeigt, wie vernetzte Systeme einem Angriff ausgeliefert sind. Wenn Netzwerkverbindungen nicht sicher und in koordinierter Form gewährleistet werden, können sogar ungezielte Angriffe mit Ransomware OT-Systeme betreffen.47

In der Vergangenheit arbeiteten diese Technologien und ihre entsprechenden Teams separat voneinander: Die OT-Mitarbeiter verwalteten die Maschinen und den Betrieb, während die IT-Abteilung für die Unternehmensanwendungen zuständig war. Heute erfolgt der Zugriff auf viele OT-Sensoren und -Systeme von Seiten des Unternehmens. Beispielsweise suchen Manufacturing Execution Systeme (MES) nun die Telemetriedatenströme dieser Sensoren, um den Betrieb zu optimieren und besser voraussehen zu können.

Da in der OT nun vernetzte Systeme eingesetzt werden, kann sie nicht weiter von der IT abgeschottet werden. Die beiden Bereiche können voneinander profitieren, indem sie ihre Daten für Analysezwecke teilen, um die Sicherheit und Produktqualität verbessern zu können. Sie können auch zusammenarbeiten, um Cyberbedrohungen gemeinsam abzuwehren. Aber dazu müssen sie ihre Fähigkeiten zur umfassenden Verteidigung vor Bedrohungen weiterentwickeln. Denn getrennte Systeme und isolierte Systeme bieten keinen umfassenden Überblick IT und OT.

Im Cisco Whitepaper IT/OT Convergence: Moving Digital Manufacturing Forward erfahren Sie mehr über die Konvergenz von IT und OT.

http://b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153

http://businessinsider.com/renault-nissan-production-halt-wannacry-ransomeware-attack-2017-5

http://www.cisco.com/c/dam/en_us/solutions/industries/manufacturing/ITOT-convergence-whitepaper.pdf

http://www.cisco.com/c/dam/en_us/solutions/industries/manufacturing/ITOT-convergence-whitepaper.pdf

62



Unternehmensgröße hat Einfluss auf den Sicherheitsansatz

Wenn Angreifer in Netzwerke eindringen und Daten stehlen, sind kleine und mittelständische Unternehmen (KMUs) im Umgang mit den Auswirkungen weniger belastbar als größere Unternehmen. Wenn eine öffentliche Sicherheitslücke einer Marke schadet und Kunden deshalb gezwungen sind, zu einem Mitbewerber zu wechseln, kann ein größeres Unternehmen die Auswirkungen besser verkraften als ein kleines. Angesichts der erhöhten Risiken einer Betriebsunterbrechung können KMUs ihre Position stärken, wenn sie Sicherheitsprozesse und -tools einsetzen, mit denen die Auswirkungen der Bedrohungen und Sicherheitslücken minimiert werden.

Infolge der Datenuntersuchung aus der Security Capabilities Benchmark Study 2017 weisen KMUs (Unternehmen mit 250 bis 499 Mitarbeitern) im Vergleich zu größeren Organisationen in ihrer Abwehr Defizite auf. Den KMUs stellt sich die Aufgabe, ihre Organisation mit weniger Ressourcen und begrenztem Fachwissen abzusichern. Demnach erkennen sie auch eher die hohen Risiken, die hinter bestimmten Bedrohungen oder Funktionen stecken. Gefragt nach den Bereichen, die ihrer Meinung nach mit hohen Risiken für die Organisation verbunden sind, nennen 29 Prozent der KMUs Ransomware. Bei Unternehmen mit mehr als 10.000 Mitarbeitern sind es nur 21 Prozent. 30 Prozent der KMUs betrachten die Einhaltung gesetzlicher Vorschriften als hohes Risiko, während nur 20 Prozent der größten Unternehmen diese Meinung teilen (siehe Abb. 56).

Abbildung 56 Wahrgenommenes Bedrohungsrisiko nach Größe der Unternehmen

Quelle: Cisco Security Capabilities Benchmark Study 2017

28

25

25

33

25

29

28

30

34

29

29

26

24

34

25

25

21

20

30

21

Zunehmende Verbreitung von BYOD und intelligenten Geräten

Realisierbarkeit von Disaster Recovery und Geschäftskontinuität

Einschränkungen durch gesetzliche Bestimmungen

Advanced Persistent Threats

Ransomware

Risiko: Welche der folgenden Risiken betrachten Sie für Ihr Unternehmen als HOHE Sicherheitsrisiken – wenn überhaupt?

UnternehmensgrößeProzentsätze

250-499

500-999

1.000-9.999

Über10.000

Abbildung 56 Wahrgenommenes Bedrohungsrisiko nach Größe der Unternehmen

Da KMUs über kleinere Budgets und geringere Fachkompetenzen verfügen, richten sie vermutlich eher selten zentrale Abwehrmaßnahmen ein. Beispielsweise sorgen nach eigenen Angaben nur 34 Prozent der KMUs für die Sicherheit ihrer E-Mail-Systeme. Bei den Großunternehmen sind es 45 Prozent (siehe Abb. 57). 52 Prozent der Großunternehmen und 40 Prozent der KMUs setzen Abwehrsysteme zur Prävention von Datenverlusten ein.

Abbildung 57 Wahrscheinliche Nutzung wichtiger Bedrohungsabwehrsysteme nach Größe der Unternehmen


43

35

41

38

37

28

39

35

40

33

34

39

36

26

37

32

47

42

45

49

45

32

44

40

52

39

45

52

45

35

45

42

Schutz vor Datenverlust

DDoS-Abwehr

E-Mail-/Messaging-Sicherheit

Verschlüsselung/Datenschutz

Endpunktsicherheit/Antivirus, Anti-Malware

Patching- und Konfigurationsmanagement

Web-Sicherheit

Sicherer Wireless-Zugriff

Komplexität: Welche dieser Bedrohungsabwehrsysteme wird in Ihrem Unternehmen derzeit verwendet – wenn überhaupt?

UnternehmensgrößeProzentsätze

250-499

500-999

1.000-9.999

Über10.000

Abbildung 57 Wahrscheinliche Nutzung wichtiger Bedrohungsabwehrsysteme nach Größe der Unternehmen

Größere Organisationen verfügen eher über schriftliche, formelle Strategien als kleinere und mittelständische Unternehmen (66 Prozent gegenüber 59 Prozent). Sie verlangen von Ihren Anbietern auch eher ISO 27018-Zertifizierungen als KMUs (36 Prozent im Vergleich zu 30 Prozent).

Kleine und mittelständische Unternehmen, die ihren Sicherheitsstatus verbessern wollen, können den Schwerpunkt auf die Verbesserung von Sicherheitsrichtlinien und -prozessen legen sowie auf eine allgemeine, weiter ausgedehnte Bedrohungsabwehr, um das Risiko schädlicher Auswirkungen von Angriffen zu mindern. Durch die Nutzung externer Sicherheitsservices kann das erforderliche Fachwissen erlangt werden, das für die Implementierung einer effektiven, formellen Sicherheitsstrategie notwendig ist. So können Best-Practices entwickelt und die Fachkenntnisse der Mitarbeiter zur Überwachung und Reaktion auf Vorfälle erweitert werden.

Für die Einführung einer Sicherheitsinfrastruktur, die an die Geschäftsanforderungen und Budgets angepasst ist, sollten die Sicherheitsteams mit den Anbietern zusammenzuarbeiten. Nur so kann eine Lösung bereitgestellt werden, welche das Management der Sicherheitsumgebung vereinfacht und effizienter macht. Ebenso können wachsende Organisationen Standards wie das NIST Cybersecurity Framework befolgen, um ihre Sicherheit zu stärken. Ein ganzheitlicher Sicherheitsansatz bietet Unternehmen jeder Größe einen wirksameren Schutz vor fortschreitenden Bedrohungen.





63



Wissens- und Talentlücken mit Services schließen

In Sicherheitsabteilungen gibt es eine andauernde Debatte darüber, welcher Abwehransatz besser ist: Best-in-Class-Lösungen oder eine integrierte Architektur? Sicherheitsteams stehen jedoch vor einer weiteren Herausforderung, die alle Sicherheitsentscheidungen betrifft: der Mangel an interner Sicherheitskompetenz. Da sich Bedrohungen weiterentwickeln und die Technologieauswahl immer größer wird, sollten Organisationen auf Sicherheitsservices setzen, um Talentlücken zu schließen.

Der Kampf zur Anbindung qualifizierter neuer Talente hat ebenso Einfluss auf die Sicherheitsteams. Laut den Ergebnissen der Security Capabilities Benchmark Study gilt in vielen Branchen der Mangel an geschultem Personal als großes Hindernis für die Einführung erweiterter Sicherheitsprozesse und -technologien. In der Tat ist der Mangel an Talenten ein globales Problem. Auch hier können wieder externe Services die Talentlücke schließen.

Laut Experten von Cisco Security-Services fehlt es in der Verteidigungsstrategie von Unternehmen oft an ausreichendem Wissen über die Sicherheitslandschaft. Die Fachkenntnisse von Sicherheitsexperten mit langjähriger Erfahrung ermöglichen Analysen, die nicht einmal die besten automatisierten Lösungen bieten können.

Die Flut an ist ein andauerndes Problem für firmeninterne Sicherheitsteams. Wie bereits in vielen der branchenorientierten Artikel der Security Capabilities Benchmark Study 2017 erörtert wird, ist ein großer Teil des Sicherheitspersonals deutlich mehr täglichen Warnungen ausgesetzt als es untersuchen kann, wodurch potenziell schwerwiegende Bedrohungen bestehen bleiben. Werden viele Low-Level-Warnungen generiert, können sie automatisiert werden. Eine Möglichkeit, die viele Organisationen nicht nutzen – vielleicht nur aufgrund

mangelnder Ressourcen oder Fähigkeiten. Durch die Automatisierung möglichst vieler Low-Level-Warnungen können sich Organisationen auf Belange höherer Priorität konzentrieren, die eher größere Auswirkungen auf die restliche Umgebung des Unternehmens haben.

Die Ursachen einer solchen Flut an Warnhinweisen sind vielseitig. Isolierte Systeme können doppelte Warnhinweise generieren. Die Teams können keine Warnungen mit niedriger Priorität von Warnungen mit hoher Priorität oder Fehlalarmen unterscheiden. Es können auch Tools zu Audit-Zwecken fehlen, mit denen die Quelle potenzieller Bedrohungen bestimmt werden kann. Hier können die kreativen Denkweisen externer Servicedienstleister die Flut beenden, indem sie eine differenzierte Beratung zur Reaktion auf Bedrohungen bieten.

Auch ein Mangel an Produktkenntnissen kann die Sicherheitsteams davon abhalten, den größtmöglichen Nutzen aus ihren Technologieanschaffungen zu ziehen. Produkte werden oft von Produktspezialisten und nicht von Sicherheitsspezialisten implementiert. Die Sicherheitsteams verstehen möglicherweise nicht, wie sie Produkte integrieren können, um eine ganzheitliche Sicht über die Bedrohungen zu erhalten – eine zentrale Konsole, die ein getreues Bild der Effektivität der Sicherheitslösungen liefert. Erfahrene Managed-Security-Teams können auch Sicherheitsexperten beim Management von Cloud-Lösungen unterstützen, sowie bei den Erkenntnissen darüber, wie ihre Daten geschützt werden (oder nicht). Cloud-Anbieter verwenden möglicherweise keine Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung; Experten können Organisationen helfen, SLAs und Verträge genau zu betrachten, um die Abwehrfunktionen der Cloud-Anbieter genau zu erfassen.

64



Outsourcing von Services und Daten zu Bedrohungswarnhinweisen nach Land

Die Untersuchung der Nutzung von outgesourcten Services nach Land zeigt, dass KMUs in bestimmten Ländern eher auf outgesourcte Services zurückgreifen als Großunternehmen. Z. B. nutzen in Australien 65 Prozent der KMU outgesourcte Incident-Response-Services, verglichen zu 41 Prozent bei den Großunternehmen. In Japan nutzen 54 Prozent der KMUs outgesourcte Monitoring-Services, im Vergleich zu 41 Prozent der Großunternehmen (siehe Abb. 58).

Beim Vergleich von untersuchten und behobenen Warnmeldungen nach Region und Unternehmensgrößte weisen KMUs in Indien, Brasilien und den USA die niedrigsten Prozentsätze auf. Hinsichtlich der Anzahl behobener Warnungen, weisen KMUs in China, Russland und Großbritannien die höchsten Prozentsätze auf (siehe Abb. 59).

49

51

43

54

34

43

14

47

48

46

44

34

40

15

40

48

43

44

26

33

7

44

56

32

38

21

37

13

41

45

45

38

45

38

6

47

49

41

41

42

40

15

45

40

61

50

32

44

2

44

44

42

39

23

36

10

43

49

45

46

30

29

11

51

48

40

41

34

42

20

63

39

65

47

38

54

5

52

30

41

36

28

34

14

50

28

32

33

46

28

20

57

44

42

35

47

42

12

56

43

53

42

44

50

6

62

50

55

51

43

60

5

60

35

69

54

40

41

1

59

25

55

41

28

31

6

58

57

39

44

12

36

5

63

64

41

46

24

38

5

46

37

37

34

31

39

6

50

43

35

44

50

39

7

52

44

54

51

34

43

2

51

56

42

57

35

45

5

48

44

49

49

36

45

10

50

50

45

50

45

42

11

Beratung und Consulting

Audit

Incident-Response

Überwachung

Behebung von Vorfällen

Threat-Intelligence

Keiner der genannten werden ausgelagert

Beratung und Consulting

Audit

Incident-Response

Überwachung

Behebung von Vorfällen

Threat-Intelligence

Keiner der genannten werden ausgelagert

Hinsichtlich der Sicherheit, welche der folgenden Services werden teilweise oder vollständig an Drittanbieter outgesourct?

USA BR DE IT GB AU CN

IN JP MX RU FR CA

Kleine und mittelgroße Unternehmen (299-500 Mitarbeiter) Großunternehmen (mehr als 1.000 Mitarbeiter)Unternehmensgröße


Abbildung 58 Von KMUs und größeren Unternehmen genutzte Outsourcing-Services nach Land (in Prozent)Abbildung 58 Von KMUs und Großunternehmen genutzte outgesourcte Services nach Land (in Prozent)

59,7 62,8 61 65,5

30,6 25,7 27,1 26,2

44,4 52

20,2 28,2

45,8 61,3

22,8 15,2

47,4 44,2

26,3 23

55,6 60,8

27,2 28,6

44,8 42,5

30,6 44,5

40,9 45,3 35,4 46,3 43,7 50,4 34,8 40,9 47,3 45,6 40,6 46,2 53,5 67,9

45,8 48,3 44,3 38,4 43,8 48,6 47,3 60,5 41,6 52,4

60,5 65,1 50,6 58,1 59,1 60,6 59,3 65,9 49,1 51,3 49,3 48,8

37,1 39,7 25,4 33,8 27,8 20,5 23,4 33,2 21,8 25,5 22,2 23,8

35,8 37,6

Wie viele aller Warnungen werden im Durchschnitt (in Prozent) untersucht?

Wie viele aller Warnungen werden im Durchschnitt (in Prozent) untersucht?

Wie viele dieser untersuchten Warnungen sind legitime Vorfälle (in Prozent)?

Wie viele dieser legitimen Warnungen werden behoben (in Prozent)?

Wie viele dieser untersuchten Warnungen sind legitime Vorfälle (in Prozent)?

Wie viele dieser legitimen Warnungen werden behoben (in Prozent)?

USA BR DE IT GB AU CN

IN JP MX RU FR CA

Kleine und mittelgroße Unternehmen (299-500 Mitarbeiter) Großunternehmen (mehr als 1.000 Mitarbeiter)Unternehmensgröße


Abbildung 59 Durchschnittliche Warnungen nach LandAbbildung 59 Durchschnittliche Warnungen nach Land

65



IoT-Sicherheitsrisiken: Vorbereitung auf das Jetzt und die Zukunft

Das Internet of Things (IoT) ist laut Definition von Cisco die Vernetzung physischer Geräte, Fahrzeuge, Gebäude und anderer Gegenstände (auch „vernetzte Geräte“ und „internetfähige Geräte“ genannt), in die Elektronik und Software sowie Sensoren, Steuerelemente und Netzwerkanbindung integriert werden, über die Daten gesammelt und ausgetauscht werden können. Laut Cisco besteht das Internet of Things aus drei Hauptbestandteilen: Informationstechnologie (IT), Betriebstechnik (Operational Technology, OT) und Verbrauchertechnologie (Consumer Technology, CT).

Das Industrial Internet of Things (IIoT) bezieht sich unterdessen speziell auf vernetzte Geräte innerhalb eines industriellen Kontrollnetzwerks im Gegensatz zu einem unternehmenseigenen IT-Netzwerk oder einem Rechenzentrum.

Das IoT verfügt über ein viel versprechendes Potenzial für die Zusammenarbeit und Innovationen in Unternehmen. Aber je mehr es an Größe zunimmt, desto größer wird auch das Sicherheitsrisiko für Organisationen und Benutzer.

Ein Problem ist die mangelnde Transparenz. Die meisten Verteidiger wissen nicht, welche IoT-Geräte an ihr Netzwerk angeschlossen sind. Bei der Entwicklung von IoT-Geräten, wie z. B. Kameras, Thermostaten oder intelligenten Messgeräten, steht die Sicherheit für gewöhnlich nicht im Vordergrund. Viele dieser Geräte hinken Desktop-Sicherheitsfunktionen deutlich hinterher und weisen Sicherheitslücken auf, die erst nach Monaten oder Jahren geschlossen werden können. Darüber hinaus werden bei ihnen in der Regel:

• kaum oder keine CVE-Nummern aktualisiert bzw. vergeben

• spezielle Architekturen verwendet • für die Anwendungen keine Patches bereitgestellt oder

die Anwendungen sind veraltet und somit anfällig, wie zum Beispiel Windows XP

• nur selten Patches bereitgestellt

Darüber hinaus können die direkten Eigentümer nicht oder nur schwer auf die IoT-Geräte zugreifen, sodass eine Problembehebung schwierig bis unmöglich wird, wenn Systeme kompromittiert werden. Kurzum, diese Geräte können Gegnern als eine Art Festung dienen (siehe Beispiele unter „Ransomware-Angriffe auf medizinische Geräte” auf Seite 42).

Erschwerend kommt hinzu, dass die Verteidiger Schwierigkeiten haben, die Art der von diesen Geräten stammenden Warnungen zu verstehen. Darüber hinaus ist es nicht immer klar, wer in der Organisation im Falle einer Kompromittierung verantwortlich ist. Die Teams, die die Implementierung dieser Technologien durchführen, verlassen nach Abschluss des Projekts für gewöhnlich die Organisation.

Die Verteidiger müssen ihr Augenmerk auf potenzielle IoT-Schwächen legen, denn die Angreifer haben es mit ihren Ransomware-Kampagnen auf sensible Informationen abgesehen. Die IoT-Geräte stellen also ein anfälliges Ziel dar und werden von den Angreifern gern ausgenutzt.

Ein Großangriff dieser Art kann in Unternehmen, Regierungen und sogar dem Internet enorme Störungen hervorrufen. DDoS-Angriffe mit IoT-Geräten sind bereits aufgetreten und die rasante Entwicklung von IoT-Botnets (siehe Seite 39) deutet darauf hin, dass die Angreifer bereits an groß angelegten Kampagnen in beispiellosem Ausmaß arbeiten.

Das IoT bietet eine stetig wachsende und schwer zu überwachende und verwaltende Angriffsfläche. Um die damit verbundenen Herausforderungen bewältigen zu können, müssen die Verteidiger:

• ältere Signaturen aktiviert halten • IoT-Geräte mit IPS-Abwehrfunktionen ausstatten • den Netzwerkverkehr genau überwachen (besonders

in IIoT-Umgebungen, wo die Netzwerksverkehrsmuster sehr vorhersehbar sind)

• verfolgen, wie IoT-Geräte mit dem Netzwerk und anderen Geräten interagieren (z. B. wenn ein IoT-Gerät ein anderes Gerät prüft, auf dem möglicherweise schädliche Aktivitäten stattfinden)

• rechtzeitig Patches implementieren • mit Anbietern zusammenarbeiten, die grundlegende

Sicherheit und entsprechende Beratungsservices bieten

In der Welt des Internet of Things sind ein proaktiver und dynamischer Sicherheitsansatz und eine mehrstufige Verteidigungsstrategie die Schlüssel für den Schutz der IoT-Geräte vor Infektionen und Angriffen. Kommt es doch zur Kompromittierung, werden die Auswirkungen so auf ein Minimum reduziert.

66



Security Capabilities Benchmark Study: Fokus auf ausgewählte Branchen

Service ProviderDie größten Bedenken der BrancheDer Service-Provider-Markt ist laut Umfrage von Cisco ein vielfältiger Bereich mit Unternehmen aus den Bereichen Telekommunikation, Cloud-/Web-Infrastruktur und -Hosting, Medien und Software-as-a-Service-Anwendungsmodelle (SaaS). Die Service-Provider verkaufen zudem häufig Managed Security Services: 71 Prozent der befragten Service-Provider gaben an, Sicherheitsservices für Endkunden bereitzustellen.

Sie haben mit etlichen Herausforderungen zu kämpfen, wie z. B. dem Schutz der IT- und Produktionsinfrastruktur sowie der Kundendaten. 59 Prozent der Sicherheitsexperten dieser Service-Provider setzen nach eigenen Angaben die Sicherheit ihrer eigenen Rechenzentren oder Produktionsnetzwerke an erste Stelle.

Diese Herausforderungen werden mit zunehmendem Geschäftsumfang der Service-Provider noch einmal verschärft. Sicherheitsexperten sind besorgt, dass der Umfang ihrer Organisationen und die zunehmend größere Angriffsfläche dafür sorgen, dass die Angreifer möglicherweise den Geschäftsbetrieb und somit die Servicebereitstellung an die Kunden unterbrechen. In einer Branche mit hoher Kundenabwanderung können öffentliche Sicherheitslücken dem Geschäftsergebnis schaden: 34 Prozent der Service-Provider mussten eigenen Angaben zufolge Umsatzverluste aufgrund von Angriffen im vergangenen Jahr einstecken.

Abbildung 60 Service-Provider, die Produkte bzw. Lösungen von sechs oder mehr Anbietern nutzen (in Prozent)

Die zentrale Herausforderung für viele Service-Provider liegt in der richtigen Integration von effektiven Security-Tools und Prozessen und einer allgemeinen Reduzierung der eingesetzten Tools und Services.

Wenn sie nicht in Form von Managed-Services bereitgestellt wird, verursacht die Sicherheit Kosten anstatt Gewinne. Gleichzeitig herrscht jedoch ein hoher Wettbewerbsdruck und die Anzahl der Bedrohungen nimmt zu, was dazu führt, dass die Sicherheit zum zentralen Thema wird.

Herausforderungen aufgrund der Größenordnung der Service-ProviderWie in jeder Branche stellt die zunehmende Anzahl der Sicherheitsanbieter und -Tools ein Problem dar. Die Lösungen werden oft nicht integriert und bieten auch keine nützliche Übersicht, über die aktuellen Bedrohungen. Im Service-Provider-Bereich wird dieses Problem durch den reinen Marktumfang noch einmal verstärkt. Zwei Drittel der Sicherheitsexperten von Service-Providern nutzen nach eigenen Angaben sechs oder mehr Anbieter; 38 Prozent nutzen sogar mehr als 10 Anbieter (Abb. 60).

Auf die Frage nach den genutzten Produkten gaben 70 Prozent an, mindestens 6 Sicherheitsprodukte zu nutzen. Die Hälfte davon nutze sogar mehr als 10 Produkte. Den Experten von Cisco zufolge lassen sich diese Produkte meist nicht integrieren. Je mehr Sicherheitsprodukte also im Einsatz sind, desto komplexer wird die Umgebung.


Zwei Drittel der Service Provider wenden sich an 6 oder mehr Anbieter, davon 38 % an mehr als 10

70 % nutzen 6 oder mehr Produkte, davon die Hälfte mehr als 10

38%66%

ServiceProvider

Produkte

70%

50%

6 undmehr

10 undmehr

6 undmehr

10 undmehr

Anbieter

ServiceProvider

Abbildung 60 Service Provider, die Lösungen von 6 oder mehr Anbietern und Produkte nutzen (in Prozent)





67



Sicherheitslücken können Kundenabwanderung fördernMehr als die Hälfte (57 Prozent) der Service-Provider gaben an, dass ein Sicherheitsvorfall in ihrem Unternehmen schon einmal an die Öffentlichkeit gelangt sei. Bei der Hälfte der Provider, die mit einer öffentlichen Sicherheitslücke konfrontiert wurden, führte diese Lücke laut eigenen Angaben zu einer umfangreichen Verbesserung der Sicherheit. 90 Prozent gaben eine mindestens mäßige Verbesserung an. Die Sicherheitsexperten der Service-Provider scheinen daraus schnell ihre Lehren zu ziehen.

34 Prozent der Service-Provider meldeten Umsatzverluste durch Angriffe im vergangenen Jahr; etwa 30 Prozent berichteten über Kundenverluste oder verpasste Geschäftsmöglichkeiten aufgrund von Angriffen (siehe Abb. 61). Service-Provider gaben an, dass die Bereiche Betrieb, Markenreputation und Kundenbindung den größten Schaden durch eine öffentlich gemachte Sicherheitsverletzung erlitten.

Der Service-Provider-Markt ist groß und wettbewerbsorientiert, somit kann eine Sicherheitsverletzung weitreichende Folgen haben. Die Möglichkeiten für die Kunden sind vielfältig. Sollten sie den Eindruck haben, dass ihre Daten oder die ihrer Kunden nicht ausreichend geschützt sind, wenden Sie sich anderen Anbietern zu.

Hohe Akzeptanz von StandardsService-Provider scheinen anderen Branchen um einiges voraus zu sein, wenn es um die Anwendung von Standards geht. Das könnte an ihren allgemeinen Management- und Skalierungsfertigkeiten liegen. Etwa zwei Drittel haben nach eigenen Angaben formelle Sicherheitsstrategien schriftlich verfasst und folgen standardisierten Informationssicher-heitsrichtlinien. Darüber hinaus stimmen nahezu alle befragten Service-Provider zu, dass die Sicherheitsprozesse und -verfahren in ihrer Organisation klar und gut verständlich sind.

Abbildung 61 Umsatzverluste durch Angriffe

der Service Provider berichten über Umsatzverluste

aufgrund von Angriffen im vergangenen Jahr

34% Ca. 30%berichteten, Kunden oder Geschäftsmöglichkeiten

aufgrund von Angriffen verloren bzw. verpasst zu haben


Abbildung 61 Umsatzverluste durch Angriffe





68



Öffentlicher SektorDie größten Bedenken der BrancheAufgrund unterschiedlicher Einschränkungen neigen Organisationen des öffentlichen Sektors eher zu einem reaktiven als proaktiven Sicherheitsansatz. Begrenzte Budgets, der Kampf um neue Talente und mangelnde Einblicke in die Bedrohungen – alle diese Faktoren wirken sich auf die Fähigkeit aus, Netzwerke vor Angreifern zu schützen.

Der öffentliche Sektor ist zudem noch an Regulierungen gebunden, die ein besonders hohes Augenmerk auf das Cyberrisiko-Management erfordern – mehr als bei den meisten Unternehmen im privaten Sektor. So unterliegen US-Bundesbehörden in den Vereinigten Staaten z. B. dem Federal Information Security Management Act (FISMA) zum Schutz der Vertraulichkeit und Integrität geschäftskritischer IT-Systeme. Auf staatlicher und lokaler Ebene gibt es ähnliche Anforderungen. So gilt für staatliche und lokale Versorgungsunternehmen abhängig von den bereitgestellten Services eine verwirrende Vielfalt neuer und alter Regulierungen.

Der Übergang zur Cloud ist durch weitere entsprechende Bestimmungen ebenfalls eine schwierige Aufgabe für Organisationen des öffentlichen Sektors. Auf nationaler Ebene schreibt das Federal Risk and Authorization Management Program (FedRAMP) Standards für die Nutzung von Cloud-Produkten und -Services vor; nationale und regionale Behörden dürfen zudem für die Speicherung von staatlichen Daten nur mit zertifizierten Cloud-Anbietern zusammenarbeiten.

Datenmanagement in der CloudDie Umstellung auf die Cloud bietet eine Reihe von Vorteilen, aber auch Herausforderungen für Organisationen des öffentlichen Sektors, die sich konsequent und kontinuierlich vor Bedrohungen schützen müssen. Ein Drittel gab an, dass gezielte Angriffe, APTs und interner Datendiebstahl hohe Sicherheitsrisiken darstellen. Darüber hinaus sind die Sicherheitsexperten des öffentlichen Sektors der Meinung, dass der Public Cloud-Speicher und die Cloud-Infrastruktur die schwierigsten Elemente sind, die es gegen Angriffe zu schützen gilt.

Das Problem, so die Sicherheitsexperten von Cisco, die für den öffentlichen Sektor zuständig sind, sei die Tatsache, dass der Cloud-Speicher eine Reihe verschiedener Tools für den Datenschutz bietet, wodurch die Sicherheitsteams neu überdenken müssen, wie sie die Tools und Prozesse konfigurieren müssen, um die Daten zu schützen. Beispielsweise lassen sich die Features des NetFlow-Analysetools nicht genau auf die Analysetools in Cloud-Diensten übertragen, sodass Prozesse und Ergebnisse nicht zwangsläufig identisch sind.

Engpässe bei Budget und Talenten, die sich auf Bedrohungsanalysen auswirkenBudget, Talente und regulatorische Einschränkungen können innerhalb des öffentlichen Sektors ebenfalls den Zielen im Bereich Sicherheit im Wege stehen. Zum Beispiel übernehmen Organisationen bestimmte Tools möglicherweise nur langsam, weil sie für die Implementierung dieser Tools und die Ergebnisanalyse fachkundiges Personal brauchen. Nur 30 Prozent der Sicherheitsexperten im öffentlichen Sektor erklärten, dass ihre Organisation Penetrationstests und Netzwerk- und Endpunktforensiktools einsetzt (siehe Abb. 62). Diese Tools gelten als Säulen einer tiefengestaffelten Verteidigungsstrategie. Also bietet die mangelnde Einführung dieser Tools Anlass zur Sorge. Organisationen ohne diese in Sicherheit eingebundenen Dienste können immer wieder mit Sicherheitslücken in ihren Netzwerken rechnen.

Abbildung 62 Organisationen im öffentlichen Sektor mit verschiedenen Abwehrsystemen (in Prozent)


Nur rund 30 % nutzen Penetrationstests und Endpunkt-

oder Netzwerkforensiktools

30%Nur

Abbildung 62 Organisationen im öffentlichen Sektor mit verschiedenen Abwehrsystemen (in Prozent)

Advanced Persistent Threats

Advanced Persistent Threats oder APTs, sind Angriffe, die dem Gegner einen hohen Handlungsspielraum ermöglichen. Sie sorgen dafür, dass der Angreifer für eine längere Zeit in einem Netzwerk unentdeckt bleibt, in der Regel mit der Absicht, Daten zu entwenden.

69



Organisationen des öffentlichen Sektors können bei der Untersuchung von Bedrohungen zudem ohne ausreichende Sicherheitsexperten an ihrer Seite u. U. nicht mithalten. Rund 40 Prozent der Organisationen des öffentlichen Sektors berichten, dass von den Tausenden Warnmeldungen täglich lediglich 65 Prozent untersucht werden. Von diesen untersuchten Bedrohungen werden 32 Prozent als legitime Bedrohung identifiziert, aber nur 47 Prozent dieser legitimen Bedrohungen werden im Endeffekt behoben.

Aus der Anzahl der nicht untersuchten Bedrohungen wird der Bedarf an Tools deutlich, mit denen Informationen zu Warnungen mitgeteilt und Analysen erhalten werden. Solche Tools sorgen bei Warnungen für Struktur und Verständnis (wodurch sie wertvoller werden), sodass Mitarbeiter feststellen können, für welche Warnungen sofort Maßnahmen ergriffen werden müssen. Darüber hinaus kann die Automatisierung helfen, einige der Bedrohungen zu beheben und so die Sicherheitsteams zu entlasten.

Um eine große Anzahl täglicher Warnungen wirklich zu prüfen, braucht eine Organisation im öffentlichen Sektor laut Sicherheitsexperten von Cisco möglicherweise Dutzende von Sicherheitsmitarbeitern. Sie verfügt aber nur selten über diesen Personalbestand. 35 Prozent der Organisationen im öffentlichen Sektor sagen aus, weniger als 30 Mitarbeiter zu haben, die sich ausschließlich der Sicherheit widmen. Darüber hinaus sind 27 Prozent der Meinung, dass ein Mangel an geschultem Personal ein großes Hindernis sei, um erweiterte Sicherheitsprozesse und -technologien einzuführen. Dies ist ein weiterer Grund, weshalb Automatisierungstools für den Aufbau eines Sicherheitsabwehrsystems unentbehrlich sein können, um die Anzahl der täglich generierten Bedrohungswarnungen zu bearbeiten.

Sicherheitslücken führen zu verbesserter SicherheitDer Mangel an Mitarbeitern und geprüften Sicherheitstools im öffentlichen Sektor wirkt sich auf Sicherheitslücken aus. 53 Prozent der Organisationen im öffentlichen Sektor gaben an, dass ein Sicherheitsvorfall schon einmal an die Öffentlichkeit gelangte. Es ist davon auszugehen, dass Sicherheitslücken auftreten, und Organisationen nicht einfach Glück haben und von Angriffen verschont bleiben. Ein Problem in diesem Zusammenhang ist, dass die Reaktion auf Angriffe für die akute Sicherheit wichtiger ist als die Erstellung eines ganzheitlichen Ansatzes. Auf eingehende Bedrohungen zu reagieren ist mit einem so großen Aufwand verbunden, dass keine Ressourcen für langfristige Planungen übrig bleiben.

Organisationen im öffentlichen Sektor geben an, dass Sicherheitsteams aus den Erfahrungen mit vergangenen Sicherheitslücken lernen: 46 Prozent erklären, dass Sicherheitslücken in hohem Maße zu Verbesserungen in der Sicherheit beitragen. Um solche Lücken besser schließen zu können, muss in die entsprechende Technologie investiert werden, damit Risiken minimiert und das Sicherheitssystem besser verwaltet werden kann.

Outsourcing erzeugt höheren Nutzen, verbessert aber nicht die Fachkenntnisse der internen MitarbeiterDas Outsourcing stellt eine Schlüsselstrategie für Organisationen im öffentlichen Sektor dar, die mehr Ressourcen benötigen. Mehr als 40 Prozent erklärten, Services vollständig oder teilweise auszulagern, wie beispielsweise die Überwachung und Audits. Unter den Organisationen, die Sicherheitsservices auslagern, nennen rund die Hälfte objektive Einblicke, Kosteneffizienz und zeitnahe Reaktion auf Vorfälle als Hauptgründe (siehe Abb. 62).

Penetrationstests und andere Prüfungsleistungen sollten von einer externen Organisation durchgeführt werden. Aber es gibt auch eine Kehrseite, wenn man sich vollständig auf ausgelagerte Dienstleistungen verlässt: Die internen Mitarbeiter im öffentlichen Dienst können auf Dauer keine Fachkenntnisse erlangen. Diese intern gewonnenen Kenntnisse sind für die Abwehr komplexer Angriffe auf Netzwerke von entscheidender Bedeutung. Automatisierte Lösungen können kostengünstig sein und zeitnah reagieren. Dennoch sollte hier ein Mittelweg zwischen ausgelagerten Services und internen Experten gefunden werden, um umfassende Einblicke und Analysen zu ermöglichen.

Abbildung 63 Outsourcing erfordert zusätzliche Services


40%

Objektive Einblicke, Kosteneffizienzund zeitnahe Reaktion auf Vorfälle

50%

Service-Outsourcing

Abbildung 63 Outsourcing erfordert zusätzliche dringend benötigte Services





70



EinzelhandelDie größten Bedenken der BrancheSicherheitslücken im Einzelhandel gelangen schnell an die Öffentlichkeit. Da Angriffe auf Einzelhändler oft Enthüllungen von Finanzdaten oder anderen persönlichen Kundendaten mit sich ziehen, erregen sie die Aufmerksamkeit der Medien und erfordern eine verbrauchernahe Öffentlichkeitsarbeit. Ein Angriff oder Datendiebstahl im Einzelhandel hat Einfluss auf die Markenreputation, und das deutlich konkreter als in anderen Branchen wie z. B. im Gesundheitswesen oder bei Versorgungsunternehmen. Im Einzelhandel steht den Kunden eine Vielzahl an Anbietern zur Verfügung. Ist ein Einzelhändler nachlässig, was die Sicherheit betrifft, können sie problemlos zu einem anderen Anbieter wechseln.

Angriffe von großem öffentlichen Interesse auf große Einzelhändler, z. B. Kreditkartendatendiebstahl durch Malware, bereiten Sicherheitsexperten große Sorgen, da sie nicht möchten, dass ihrer Organisation dasselbe Schicksal droht. Es ist jedoch nicht ersichtlich, dass sich genügend Einzelhändler die Botschaft zu Herzen genommen haben. Auch führende Anbieter in diesem Bereich glauben, dass der einfache Schutz von Kreditkartendaten über die interne Firewall ausreichend sei. Aber werden diese Daten unverschlüsselt an Banken oder andere Partner übermittelt, greift der Schutz im Netzwerk des Einzelhändlers nicht mehr.

Die wahrgenommene Sicherheit kann ein Anzeichen von Selbstüberschätzung seinEinzelhändler blicken bei ihren Sicherheitsmaßnahmen in gewisser Weise durch eine rosa Brille – nicht ausreichend, bedenkt man die Anzahl der aufgedeckten Sicherheitslücken, über die in den Medien nahezu täglich berichtet wird. Beispielsweise sind 61 Prozent der Sicherheitsexperten im Einzelhandel der Überzeugung, die PCI-Compliance-Anforderungen vollständig zu erfüllen. 63 Prozent sind der Ansicht, dass vertrauliche Kundendaten während des gesamten Lebenszyklus in der Organisation sicher bleiben.

Um Datensicherheit zu gewährleisten, sollten Einzelhändler für Kunden, die mit Kredit-und Debitkarten zahlen, vollständig auf die Chip- und PIN-Technologie setzen – vor allem in den Vereinigten Staaten, wo diese Technologie nur langsam akzeptiert wird. Nun, da Banken und Anbieter von Kreditkarten Rückerstattungen betrügerischer Kontobelastungen nur für Einkäufe mit Chip- und PIN-Systemen garantieren, müssen die Einzelhändler die Einführung dieser Zahlungstechnologie möglicherweise beschleunigen – oder sie werden für diese Belastungen haftbar gemacht.48

48 „New Credit Card Chips Shift Liability to Retailers“, von Andrew Cohn, Insurance Journal, 7. Dezember 2015: insurancejournal.com/news/national/2015/12/07/391102.htm.

Gezielte Angriffe und interner Datendiebstahl sind die größten BedenkenMit Blick auf die Bedenken hinsichtlich Umsatzverlust und Schaden am Markenimage sind die Sicherheitsexperten im Einzelhandel der Meinung, dass gezielte Angriffe (38 Prozent) und interner Datendiebstahl (32 Prozent) die größten Sicherheitsrisiken für ihre Organisationen darstellen (siehe Abb. 64). Sie sind zu Recht besorgt: Oft beginnen Angriffe innerhalb einer Organisation. Das bedeutet, dass die Sicherheit mit einer Prüfung der Gefährdungsindikatoren (Indicators of compromise, IOCs) nicht ausreicht. Organisationen brauchen auch Tools für die Untersuchung der Indikatoren von Angriffen.

Um anspruchsvolle gezielte Angriffe wie APTs oder Phishing-Angriffe zu erkennen, müssen Einzelhändler normale von abnormalen Verkehrsmustern unterscheiden können, die je nach Tag, Woche oder Shopping-Saison schwanken können.

Abbildung 64 Gezielte Angriffe und interner Datendiebstahl sind die größten Bedenken


38%

32%

gezielte Angriffe

Insider Exfiltration

Einzelhandel

Abbildung 64 Gezielte Angriffe und interner Datendiebstahl sind die größten Bedenken

http://insurancejournal.com/news/national/2015/12/07/391102.htm

71



Lücken in der Personalausstattung schließenEinzelhändler geraten in die Klemme, wenn es um den Ausbau ihrer Sicherheitsressourcen geht – sowohl in Bezug auf Mitarbeiter als auch auf Tools. 24 Prozent der Sicherheitsexperten im Einzelhandel betrachten nach eigenen Angaben den Mangel an geschultem Personal als Haupthindernis für die Einführung erweiterter Sicherheitsprozesse und -technologien. Neben Personalmangel beobachten die Einzelhändler auch einen stetigen Strom von Sicherheitswarnungen, auf die sie nicht in vollem Umfang reagieren können: 45 Prozent sehen mehrere Tausend täglicher Warnungen, von denen aber nur 53 Prozent untersucht werden. 27 Prozent der Warnungen gelten als legitim und nur 45 Prozent der legitimen Warnungen werden behoben.

Wenn die Stellenbesetzung ein Problem darstellt, werden automatisierte Sicherheitslösungen zunehmend wichtiger. Eine Automatisierung kann helfen, die durch Personalmangel verursachte Lücke zu schließen – zum Beispiel mit Lösungen, die eine automatische Segmentierung eines infizierten Geräts unter Quarantäne ermöglichen. Auf diese Weise kann sich die Infektion nicht ausbreiten. Das Gerät hat keinen Zugang mehr zu vertraulichen Informationen.

Automatisierungsfunktionen können auch helfen, das Problem der verteilten Umgebungen zu lösen, eine einzigartige Herausforderung im Einzelhandel – wie z. B. die Reduzierung der Anzahl von Sicherheitswarnungen, auf die Mitarbeiter reagieren müssen. Physische Standorte (und somit Daten) sind geografisch weit verstreut. Sicherheitsverantwortliche müssen voraussetzen (oder hoffen), dass auch an diesen Standorten die Sicherheits-Best-Practices am Firmensitz eingehalten werden. Ohne eine permanente Kommunikation mit entfernten Standorten könnten Sicherheitslösungen im Einsatz sein, für die jahrelang keine Patches bereitgestellt werden oder die schon lange veraltet sind.

Einzelhändler können Services outsourcen, um die Lücke im Personalmangel – mindestens zum Teil – zu schließen. Nahezu die Hälfte der Sicherheitsexperten im Einzelhandel lagern Beratungs- und Consulting-Leistungen zumindest teilweise aus; 45 Prozent erklärten, die Audit-Services teilweise auszulagern. Unter den Organisationen im Einzelhandel, die Dienstleistungen auslagern, nennt rund die Hälfte objektive Einblicke, Kosteneffizienz und zeitnahe Reaktion auf Vorfälle als Hauptgründe.

Umsatz und Markenreputation leiden durch öffentliche SicherheitslückenEinzelhändler sind sich bewusst, dass Sicherheitslücken reale Auswirkungen auf ihr Unternehmen haben. Im vergangenen Jahr waren laut Sicherheitsexperten im Einzelhandel Betrieb, Finanzen und Markenreputation die Geschäftsbereiche, die am härtesten von Sicherheitslücken betroffen waren. Bei 54 Prozent ist ein Sicherheitsvorfall im Unternehmen schon einmal an die Öffentlichkeit gelangt. Darüber hinaus sprachen 32 Prozent von Umsatzverlusten aufgrund von Angriffen im vergangenen Jahr (siehe Abb. 65). Etwa ein Viertel gab an, Kunden oder Geschäftsmöglichkeiten durch Angriffe verloren zu haben.

Sicherheitslücken führen u. U. zu einer entscheidenden Wende hinsichtlich der Veränderungen des Sicherheitsstatus der Einzelhändler. Während nur 29 Prozent aussagten, dass Sicherheitslücken „in hohem Maße“ zur Verbesserung der Sicherheit beigetragen haben, waren 90 Prozent der Meinung, dass sie Verbesserungen in einem zumindest „bescheidenem Maße“ zur Folge hatten.

Abbildung 65 Organisationen, die mit verschiedenen Konsequenzen von Datensicherheitsverletzungen konfrontiert wurden (in Prozent)


mussten Sicherheitsvorfälle bewältigen, die an die Öffentlichkeit

gelangten

verloren Einnahmen

aufgrund von Angriffen im

vergangenen Jahr

verloren Kunden oder Geschäftsmöglichkeiten aufgrund von Angriffen

54% 32% 25%

Abbildung 65 Organisationen, die mit verschiedenen Konsequenzen von Datensicherheitsverletzungen konfrontiert wurden (in Prozent)

72



FertigungDie größten Bedenken der Branche80 Prozent der Fabriken in den USA sind älter als 20 Jahre.49 Es gibt also Anlass zur Sorge, ob sie mit aktuellen Abwehrsystemen ausgestattet sind. Da Anlagen oft phasenweise über einen längeren Zeitraum eingeführt werden – im Gegensatz zu Bürosystemen – können unbekannte Schwachstellen für Jahre unerkannt bleiben und erst viel später aktiv werden. Da Hersteller an diese veralteten Maschinen zusätzlich vernetzte Geräte anschließen, befürchten Sicherheitsexperten, dass Angreifer u. U. die passende Kombination finden, um in das Netzwerk einzudringen.

Anfällige Systeme könnten zu Ausfallzeiten in den Werkshallen führen, eine andere große Sorge für Automatisierungsexperten. Die Hersteller wollen ungeplante Ausfallzeiten um jeden Preis vermeiden, ebenso wie Probleme bei der Produktqualität, die durch kompromittierte Maschinen verursacht werden, weil sie nicht ordnungsgemäß funktionieren.

Für Sicherheitsexperten in der Fertigung stellt sich die Herausforderung, veraltete Systeme nachzurüsten, damit Angreifer nicht einfach eindringen können, sowie Technologien wie IIoT-Systeme zu integrieren. Die gute Nachricht ist, dass die Hersteller einfache Maßnahmen ergreifen können, um ihre Sicherheit zu verbessern: ein Prozess, der schrittweise durchgeführt werden sollte, statt sich mit allen Bedrohungen auf einmal zu beschäftigen. Zum Beispiel kann eine schriftliche Sicherheitsrichtlinie den Rahmen für Verbesserungen bilden. Laut einer Umfrage von Cisco haben jedoch 40 Prozent der Sicherheitsexperten in der Fertigung weder eine formelle Sicherheitsstrategie, noch folgen sie in der Praxis einer standardisierten Informationssicherheitsrichtlinie wie ISO 27001 oder NIST 800-53. Bei diesen Best-Practices besteht noch ein hohes Verbesserungspotenzial.

Einfachere Systeme sind gefragtUm zu verstehen, wo Fertigungssysteme aktualisiert und integriert werden, müssen Hersteller das Problem der komplexen Beschaffenheit von Sicherheitslösungen lösen. 46 Prozent der Sicherheitsexperten in der Fertigung greifen eigenen Angaben zufolge auf sechs oder mehr Sicherheitsanbieter zurück; 20 Prozent auf mehr als zehn Anbieter (siehe Abb. 66). Speziell nach Produkten befragt, nutzen 63 Prozent der Sicherheitsexperten sechs oder mehr Produkte und 30 Prozent mehr als zehn Produkte.

49 „America Is Aging in More Ways Than One“, von Sho Chandra und Joran Yadoo, Bloomberg, 6. Oktober 2016: bloomberg.com/news/articles/2016-10-06/america-is-aging-in-more-ways-than-one.

Abbildung 66 Hersteller, die Lösungen von sechs oder mehr Anbietern verwenden (in Prozent)


20 %

46 %

Fertigung

6 undmehr

10 undmehr

Anbieter

Abbildung 66 Hersteller, die Lösungen von 6 oder mehr Anbietern verwenden (in Prozent)

Die Vielzahl von Produkten und Anbietern in der Fertigung sorgt bei den Sicherheitsexperten für ein verwirrendes Bild. Aus der Komplexität ergibt sich die Notwendigkeit für IT-und OT-Teams, den Schwerpunkt stärker auf Sicherheitsbedrohungen zu legen – und beispielsweise nur solche Produkte zu verwenden, welche die dringendsten Bedenken beseitigen. Hersteller könnten die Implementierung einer tiefgreifenden Verteidigungsstrategie ins Auge fassen, mit einfachen Schutzmaßnahmen für Sachwerte wie z.B. gesperrter Zugriff auf Ports in Unmanaged Switches oder Managed Switches in der Netzwerkinfrastruktur ihrer Werke.


http://bloomberg.com/news/articles/2016-10-06/america-is-aging-in-more-ways-than-one




73



Kombiniertes Fachwissen von IT- und OT-TeamsDie Aufstellung des Sicherheitsteams kann möglicherweise auch eine Hürde sein, die zum Schutz der Fertigungsanlagen überwunden werden muss. Wenn Experten mit Fachkenntnissen in der Fertigung herstellerspezifischer Systeme in den Ruhestand treten, werden u. U. keine Nachfolger eingestellt. Somit wandert auch wertvolles Fachwissen ab. Nahezu 60 Prozent der Fertigungsunternehmen haben laut eigenen Angaben weniger als 30 Mitarbeiter, die eigens für die Sicherheit zuständig sind (siehe Abb. 67). Darüber hinaus gaben 25 Prozent an, dass mangelndes geschultes Personal für die Einführung erweiterter Sicherheitsprozesse und -technologien ein großes Hindernis darstellt.

Neben der Aufstockung der firmeninternen Sicherheitsexperten müssen IT und OT ihr Wissen mit dem Unternehmen teilen. In der Regel endete die Einbindung von IT in der Werkshalle, wo dann die OT das Kommando übernahm. Konflikte sind alltäglich. Beispielsweise könnten Patching-Prozesse der IT versehentlich Anlagen in älteren, proprietäre Netzwerken abschalten, was Ausfallzeiten zur Folge hätte und der OT immense Kopfschmerzen bereiten würde. Zukunftsorientierte Hersteller arbeiten härter, um IT- und OT-Teams miteinander zu verbinden, damit Sicherheitsbedrohungen besser verstanden und Best-Practices für den Umgang mit neueren Technologien wie dem Internet of Things und vernetzten Geräten unterstützt werden.

Abbildung 67 Anzahl geschulter Sicherheitsmitarbeiter in Fertigungsunternehmen

50 „Life in the Digital Vortex: The State of Digital Disruption in 2017“, Global Center for Digital Business Transformation: imd.org/dbt/digital-business-transformation.

Verbesserte Wettbewerbsposition durch vermiedene SicherheitslückenAngesichts der in der Industrie eingesetzten und in die Jahre gekommenen Systeme sind sich die Hersteller bewusst, dass sie diese Systeme nicht nur aus Sicherheitsgründen verbessern und nachrüsten müssen, sondern auch weil sie ihre Wettbewerbsposition stärken müssen. Laut einer Studie des Global Center for Digital Business Transformation werden50 vier von zehn Herstellern in den nächsten fünf Jahren eine Zerrüttung des Marktes erleben, teilweise, weil sie nicht modernisieren und nicht mit den Angeboten fortschrittlicherer Mitbewerber mithalten können. Sicherheit spielt eine entscheidende Rolle bei der Erlangung von Wettbewerbsvorteilen, weil sie helfen kann, die Markenreputation zu erhalten und Umsatz- sowie Kundenverluste zu vermeiden.

Öffentliche Sicherheitslücken können laut Umfrageergebnissen von Cisco Herstellermarken schaden. Bei 40 Prozent der Fertigungsunternehmen war ein Sicherheitsvorfall in ihrem Unternehmen schon einmal an die Öffentlichkeit gelangt. 28 Prozent der Befragten mussten Umsatzverluste aufgrund von Angriffen im vergangenen Jahr einstecken. Diese Sicherheitslücken können jedoch den Anreiz bieten, der für eine Verbesserung der Sicherheit notwendig ist: 95 Prozent der Sicherheitsexperten in der Fertigung sind der Meinung, dass öffentliche Sicherheitslücken Verbesserungen vorangetrieben haben, zumindest in einem bescheidenem Maße.

der Fertigungsunternehmen haben laut eigenen Angaben

weniger als 30 Mitarbeiter,die eigens für die Sicherheit zuständig sind

60%Nahezu


Abbildung 67 Anzahl geschulter Sicherheitsmitarbeiter in Fertigungsunternehmen

http://imd.org/dbt/digital-business-transformation

74



Versorgungsunternehmen

51 „Ukraine’s Power Grid Gets Hacked Again, a Worrying Sign for Infrastructure Attacks“, von Jamie Condliffe, MIT Technology Review, 2. Dezember 2016: technologyreview.com/s/603262/ukraines-power-grid-gets-hacked-again-a-worrying-sign-for-infrastructure-attacks/.

52 „Revised Critical Infrastructure Protection Reliability Standards”, US Federal Energy Regulatory Commission: ferc.gov/whats-new/comm-meet/2016/072116/E-8.pdf.

Die größten Bedenken der Branche2016 griffen russische Hacker das ukrainische Stromnetz an. Dies hat verdeutlicht, welchen Herausforderungen Versorgungseinrichtungen beim Schutz kritischer Infrastruktur gegenüberstehen.51 Versorgungsunternehmen betreiben keine geschlossenen Supervisory Control and Data Acquisition- (SCADA) Netzwerke mehr. Dieselben Workstations der Kontrollzentren, welche die Anlagen für die Stromerzeugung, den Transport und die Verteilung des Stroms überwachen und steuern, sind gleichzeitig mit Unternehmensnetzwerken und IT-Systemen verbunden. Diese OT-Systeme, die physische Prozesse überwachen und steuern, geraten aufgrund ihrer bekannten Schwachstellen und der durch Kompromittierung verursachten physischen Schäden ins Visier der Angreifer.

Im Juni 2017 entdeckten Forscher, dass für diesen Angriff Tools eines ganz neuen Kalibers eingesetzt. Die Angreifer nutzten spezielle Module, welche die Steuerungsprotokolle direkt verwendeten. Bei früheren Angriffen erfolgte die Fernbedienung von Steuerungswerkzeugen manuell. Mit diesen neuen Erweiterungen können Angriffe völlig autonom geplant und durchgeführt werden.

Die umfassende Netzwerkanbindung und komplexe Beschaffenheit moderner IT- und OT-Systeme, zusammen mit Sicherheitslücken in den bereitgestellten OT-Firmwares und -Softwares, erhöhen die zu schützende Angriffsfläche. Da Versorgungsunternehmen beabsichtigen, ihre Geschäftsabläufe zu digitalisieren, übernehmen sie zunehmend neuere Software-Technologien, um physische Prozesse zu erfassen, zu überwachen und ohne Benutzereingriff in Gang zu setzen. Diese cyber-physische Konvergenz – die Integration von Software und eingebetteten Systemen in physische Geräte – erhöht die Herausforderungen für Sicherheitsexperten.

Die Bedenken hinsichtlich der Sicherheit im Rahmen der cyber-physischen Konvergenz reichen bis zur Supply Chain. Die Federal Energy Regulatory Commission (FERC) wies vor Kurzem die North American Energy Reliability Corporation (NERC) an, neue Standards für den Schutz kritischer Infrastrukturen zu entwickeln, die sich speziell an die Lieferkette der Versorgungsunternehmen richten. Die Standards sollen das Risikomanagement der Lieferkette für Hard- und Software und für die Computing- und Netzwerkdienste zusammen mit Abläufen des BES-Systems (Bulk Electric System) abdecken.52

Gezielte Angriffe und APTs sind die größten BedenkenGezielte Angriffe stehen bei den Sicherheitsexperten von Versorgungs- bzw. Energieunternehmen ganz oben auf der Sorgenliste. Laut Sicherheitsexperten stellten gezielte Angriffe (42 Prozent) und Advanced Persistent Threats bzw. APTs (40 Prozent) die kritischsten Sicherheitsrisiken für ihre Unternehmen dar (Abb. 68). Darüber hinaus nennen sie mobile Geräte, Nutzerverhalten, öffentliche Cloud-Datenspeicher, und Kundendaten als größte Herausforderungen für ihre Verteidigungsstrategien.

APTs sind deswegen problematisch, weil sie in kritischen Netzwerken für längere Zeit unentdeckt bleiben können und dadurch der von den Angreifern verrichtete Schaden größer wird. Durch die Konvergenz der Datennetze und die zunehmende Anzahl vernetzter Geräte ist das Potenzial für Schäden – wie die Abschaltung eines Versorgungsunternehmens – größer denn je.

Da Versorgungsunternehmen im Fokus der Öffentlichkeit stehen, sind sich die Sicherheitsteams dieser Organisationen ganz besonders über die Bedrohungstechnologien auf dem Markt bewusst. Sie benötigen aber Orientierungshilfen, um diese Technologien richtig zu integrieren und sich gegen APTs und gezielte Angriffe effektiv zu schützen. Sie verstehen, warum Sicherheit so wichtig ist. Sie wissen aber nicht genau, wie sie diese umsetzen sollen. Dafür benötigen sie Anbieter von Sicherheitsservices. Diese implementieren einen mehrstufigen Sicherheitsansatz, der auch Elemente wie die physische Sicherheit und Cybersecurity-Standards enthält.

Aufgrund der komplexen Beschaffenheit ihrer Netzwerke müssen Versorgungs- bzw. Energieunternehmen auch die Auswirkungen von Bedrohungswarnungen beurteilen und entscheiden, wie viele Ressourcen zur Minderung notwendig sind. Rund die Hälfte der Sicherheitsexperten in Versorgungs- und Energieunternehmen erklären, dass von den Tausenden täglichen Warnungen nur 63 Prozent untersucht werden. Unter den untersuchten Warnungen gelten 41 Prozent als legitime Bedrohungen. Bei 63 Prozent dieser Bedrohungen werden die Probleme behoben.

Abbildung 68 Gezielte Angriffe und APTs sind die größten Bedenken



42%

40%

gezielte Angriffe

Advanced-Persistent-Threats

Versor-gungsunter-

nehmen

Abbildung 68 Gezielte Angriffe und APTs sind die größten Bedenken

http://technologyreview.com/s/603262/ukraines-power-grid-gets-hacked-again-a-worrying-sign-for-infrastructure-attacks/

http://ferc.gov/whats-new/comm-meet/2016/072116/E-8.pdf




75



Auch wenn der Eindruck entsteht, nur ein Bruchteil der legitimen Warnungen würde untersucht, werden unter den verschiedenen befragten Branchen die meisten Warnungen bei den Versorgungs- und Energieunternehmen eingedämmt. Darüber hinaus ist eine Warnung nicht zwangsläufig eine Bedrohung. Sicherheitsexperten können Ressourcen dahingehend steuern, nur die Bedrohungen zu mindern, die sich gravierend auf die Netzwerksicherheit auswirken können.

Strikte Budgeteinschränkungen können den Einsatz von outgesourcten Services fördernDa Versorgungs- und Energieunternehmen strengen Regulierungen unterliegen, können sie kein zusätzliches Budget für die Sicherheit veranschlagen. Die Genehmigung zusätzlicher Gelder ist oft sehr kompliziert und zeitaufwendig. Das erklärt der Umfrage zufolge eventuell, warum immer mehr outgesourcte Sicherheitsservices in Anspruch genommen werden. Über 60 Prozent der Sicherheitsexperten in Versorgungsunternehmen lagern Services teilweise aus. Darüber hinaus gab rund die Hälfte an, die Überwachungs- und Threat-Intelligence-Services an externe Anbieter auszulagern. Wiederum über die Hälfte der Sicherheitsexperten in diesen Unternehmen nannten Kosteneffizienz und objektive Einblicke als wichtigste Gründe für das Outsourcing.

Da strenge behördliche Auflagen erfüllt werden müssen, werden in den Versorgungseinrichtungen wahrscheinlich formelle Sicherheitsrichtlinien und standardisierte Prozesse befolgt. Nahezu zwei Drittel der Sicherheitsexperten in Versorgungsunternehmen halten ihre Sicherheitsstrategie in einem formellen Regelwerk fest und folgen einem Informationssicherheitsstandard wie ISO 27001 oder NIST 800-53.

Öffentliche Sicherheitslücken treiben Verbesserungen voranWenn in Versorgungsunternehmen Sicherheitslücken öffentlich werden, sorgt dies für große Aufmerksamkeit. Der Öffentlichkeit wird bewusst, dass die Versorgungsunternehmen Teil einer kritischen Infrastruktur sind und dass Sicherheitslücken ein enormes Risiko darstellen. Bei 61 Prozent der Versorgungsunternehmen ist ein Sicherheitsvorfall schon einmal an die Öffentlichkeit gelangt.

Das Gute daran ist, dass solche Sicherheitslücken ein verändertes Sicherheitsbewusstsein zur Folge haben können: 91 Prozent der Sicherheitsexperten erklärten, dass Sicherheitslücken zumindest in einem bescheidenem Maße zu Verbesserungen führten (siehe Abb. 69). Ein Sicherheitsvorfall kann wertvolle Einblicke darüber bieten, wie die Angreifer ins Netzwerk gelangt sind. So zeigen sich den Sicherheitsbeauftragten die Eintrittspunkte und sie können die Sicherheitsmaßnahmen entsprechend platzieren.

Ein Angriff auf das Netzwerk kann sich auch negativ auf den Umsatz und die Kundenbindung auswirken. 29 Prozent der Sicherheitsexperten in Versorgungsunternehmen verzeichneten aufgrund von Angriffen im vergangenen Jahr Umsatzeinbußen. 21 Prozent verloren dadurch Kunden. Weil viele Verbraucher keine Vergleichsmöglichkeiten haben,

da es in ihrer Region nur ein Versorgungsunternehmen gibt, sind die Kundenabgänge (und somit Umsatzverluste) nicht so erheblich wie in anderen Branchen, in denen Geschäftsentscheidungen vom Wettbewerb bestimmt werden.

Abbildung 69 Sicherheitsexperten, die sagen, dass Sicherheitslücken zu Verbesserungen geführt haben (in Prozent)


Nicht besonders

0%Einigermaßen9%

Eine beträchtliche Menge

46%In hohem Maße

45%

Überhaupt nicht

0%

Abbildung 69 Anzahl der Sicherheitsexperten, die sagen, dass Sicherheitslücken Verbesserungen antreiben (in Prozent)

Angriffssimulationen und Übungen sind an der TagesordnungLaut Sicherheitsexperten führen Versorgungsunternehmen regelmäßig Übungen und Simulationen zur Aufdeckung von Schwachstellen in ihrer Sicherheitsinfrastruktur durch. 92 Prozent erklärten, halbjährliche oder jährliche Übungen durchzuführen, oder Übungen, um Incident-Response-Pläne zu testen. 84 Prozent der Organisationen binden bei diesen Übungen ihre Sicherheitspartner mit ein.

Darüber hinaus simulieren 78 Prozent mindestens einmal im Quartal Angriffe auf ihre Organisationen. Bei etwas weniger als der Hälfte der Unternehmen (45 Prozent) erklärten Sicherheitsexperten, dass Angriffssimulationen geholfen hätten, Verbesserungen in hohem Maße voranzutreiben – z. B. Änderungen bei Sicherheitsrichtlinien, Prozessen und Technologien. Die hohe Zahl der Organisationen, die Angriffe simulieren, kann u. U. darauf hinweisen, dass Sicherheitsexperten mehr automatisierte Tools einsetzen, mit denen sie Simulationen schneller und mit weniger Arbeitsaufwand durchführen können.

Versorgungsunternehmen sind mit den komplexesten Herausforderungen im Bereich der Cybersicherheit konfrontiert. Dennoch gehören sie zu einer der führenden Branchen hinsichtlich der Nutzung von Cybersicherheits-Methodologien, Verfahren und Kontrollsystemen für die Gerätesicherheit. Die Bedrohungen entwickeln sich stetig weiter. Ebenso müssen sich die Anbieter kritischer Infrastruktur weiterentwickeln, damit Sicherheitsvorfälle identifiziert, verhindert, aufgespürt, behandelt und behoben werden können.





76



GesundheitswesenDie größten Bedenken der BrancheIm Gesundheitswesen werden die meisten sicherheitsrelevanten Entscheidungen von der Patientensicherheit bestimmt, abgesehen von den gesetzlichen Anforderungen und dem Schutz der Unternehmensanlagen. Leiter von Organisationen im Gesundheitswesen befürchten, die Angriffe geschäftskritischer Geräte könnten das Leben der Patienten gefährden. Auch sind sie besorgt darüber, dass der Datenfluss in kritischen Systemen durch Sicherheitsmaßnahmen zur Überwachung des Netzwerkverkehrs und zur Erkennung von Bedrohungen gebremst werden könnte. Das könnte wiederum die Fähigkeit der medizinischen Fachleute zur Diagnose und Behandlung der Patienten beeinträchtigen. Neben dem Gesichtspunkt der Intensivmedizin erkennen Organisationen im Gesundheitswesen auch, dass sie bei den Sicherheitssystemen den Schwerpunkt auf den Datenschutz der Patienten legen müssen – wie zum Beispiel in den Vereinigten Staaten im Rahmen des Health Insurance Portability and Accountability Act (HIPAA) verlangt wird.

Die Vernetzung in Gesundheitseinrichtungen nimmt immer mehr zu. Sicherheitsverantwortliche haben deshalb auch Bedenken, was die Sicherheit konvergenter Netzwerke betrifft. In der Vergangenheit wurden komplexe medizinische Geräte, wie Bildarchivierungs- und Kommunikationssysteme (PACS), Infusionspumpen und Geräte zur Patientenüberwachung, in der Regel mit Datennetzwerken bereitgestellt, die von Anbietern verwaltet wurden. Damit waren die Geräte physisch von anderen Netzwerken getrennt. Da uns heute reichlich Bandbreite zur Verfügung steht, sind die Gesundheitseinrichtungen der Meinung, dass alle Daten ganz einfach über ein gemeinsames Netzwerk laufen. Unter Verwendung logischer Segmentierung wird der Datenverkehr in unterschiedliche Typen eingeteilt, z. B. für klinische Geräte, Verwaltung oder Gast-Wi-Fi. Wenn diese Segmentierung jedoch nicht ordnungsgemäß durchgeführt wird, steigt das Risiko, dass Angreifer Zugriff auf kritische Daten oder Geräte erhalten.

Sicherheitsteams im Gesundheitswesen fühlen sich durch gezielte Angriffe bedrohtRansomware-Angriffe haben auch im Gesundheitswesen bereits Schäden angerichtet. Gesundheitseinrichtungen sind ein attraktives Ziel für Cyberkriminelle, da sie wissen, dass die Sicherheit der Patienten um jeden Preis geschützt werden muss. Laut der Studie von Cisco stellen gezielte Angriffe für 37 Prozent der Unternehmen im Gesundheitswesen ein sehr hohes Risiko dar (siehe Abb. 70). Gezielte Cyberangriffe seien zudem noch beunruhigender als Sicherheitslücken, im Zusammenhang mit Geräteverlust und -diebstahl. Sie erfordern einen präziseren Ansatz für die Erkennung und Eindämmung von Bedrohungen.

Abbildung 70 Gezielte Angriffe sind ein hohes Sicherheitsrisiko


37%von Organisationen im Gesundheitswesen sind der Meinung, dass gezielte Angriffe hohe Sicherheitsrisiken für sie darstellen

Gesundheitswesen

Abbildung 70 Gezielte Angriffe stellen hohes Sicherheitsrisiko dar

Leider gibt es weit mehr Bedrohungen als Zeit und Personal, diese zu untersuchen. Und das trifft auf viele Branchen zu. Mehr als 40 Prozent der Organisationen im Gesundheitswesen sind täglich mit Tausenden von Sicherheitswarnungen konfrontiert, nur 50 Prozent davon werden auch untersucht (siehe Abb. 71 nächste Seite). Unter den von Sicherheitsteams im Gesundheitswesen untersuchten Warnungen sind 31 Prozent legitime Bedrohungen – aber bei nur 48 Prozent dieser legitimen Vorfälle wird das Problem behoben.

Laut Sicherheitsexperten von Cisco ist es wahrscheinlich, dass weit weniger Warnungen untersucht werden als die Sicherheitsbeauftragten im Gesundheitswesen glauben. Es kann auch der Fall sein, dass eine bloße Blockierung der Bedrohung vor dem Eintritt ins Netzwerk fälschlicherweise als Behebung der Bedrohung betrachtet wird. Es überrascht nicht, dass nur ein Bruchteil dieser Warnhinweise näher verfolgt wird. Würden Sicherheits- und IT-Teams eine so hohe Anzahl von Hinweisen bearbeiten, bliebe nicht mehr viel Zeit für andere Aktivitäten, was sich wiederum auf andere Geschäftsbereiche auswirken könnte.

77



Abbildung 71 Tausende Warnhinweise, aber nur weniger als die Hälfte wird beseitigt


untersuchte Warnungen

legitime Bedrohungen

behoben

50%

31%

48%

Organisationen im Gesundheitswesen erhalten täglich Tausende Sicherheitswarnungen

Abbildung 71 Tausende von Warnungen treten auf, aber weniger als die Hälfte werden behoben

Herausforderungen für das Management: zu wenig geschultes Personal, zu komplexe LösungenViele Organisationen im Gesundheitswesen reagieren auf Sicherheitsprobleme mit einem komplexen Lösungsmix. Nahezu 60 Prozent gaben an, dass ihre Organisationen Lösungen von mehr als sechs Anbietern nutzen, während 29 Prozent auf Lösungen von mehr als zehn Anbietern zurückgreifen. Darüber hinaus gaben zwei Drittel der Sicherheitsexperten an, dass sie sechs oder mehr Sicherheitsprodukte verwenden, während 41 Prozent mehr als zehn Produkte einsetzen.

Die scheinbare Fülle von Anbietern und Produkten, auf die Sicherheitsexperten im Gesundheitswesen zurückgreifen, ist möglicherweise auf die Verwirrung oder mangelnde Transparenz bei der Frage zurückzuführen, welche Tools genau verfügbar sind. Wie sich aus der Security Capabilities Benchmark Study ergibt, haben Chief Information Security Officer (CISOs) und Security Operations Manager oft eine unterschiedliche Sicht auf die verwendeten Sicherheitstools. Sicherheitsverantwortliche auf Führungsebene, die sich nicht mit dem alltäglichen Sicherheitsmanagement beschäftigen, haben vielleicht kein so umfassendes Verständnis über alle Tools in ihren Netzwerken.

Die Bewältigung alltäglicher Bedrohung und das Management verschiedener komplexer Lösungen ist für Gesundheitseinrichtungen eine noch größere Herausforderung, da es oft an geschultem Personal fehlt. Etwa die Hälfte der Sicherheitsexperten gab an, dass weniger als 30 Mitarbeiter für die Sicherheit verantwortlich sind; 21 Prozent sagten, dass der Mangel an geschultem Personal ein großes Hindernis für die Einführung erweiterter Sicherheitsprozesse und -technologien sei.

Große Sicherheitsteams findet man in Gesundheitseinrichtungen nur selten. Laut den Experten von Cisco kann die Definition eines Sicherheitsmitarbeiters von Organisation zu Organisation unterschiedlich sein. Das kann die Auffassung darüber, wie groß das Sicherheitsteam sein sollte, beeinflussen. Zum Beispiel kann IT-Personal als Teil des Sicherheitsteams betrachtet oder aber nur vorübergehend eingebunden werden.

Der Nutzen der DatenverkehrssegmentierungDa es hier um die Gesundheit und Sicherheit von Patienten geht, müssen bestimmte Systeme oder Geräte sich an unterschiedliche Sicherheitsprotokolle halten. Es entstehen also Ausnahmen. Medizinische Geräte sind teuer und sollen für mehrere Jahre erhalten bleiben. Daher werden ihre Software und Betriebssysteme oft nicht so häufig aktualisiert. Dennoch müssen sie zuverlässig funktionieren. Laut Sicherheitsexperten ist es für Gesundheitseinrichtungen besser, den Datenverkehr zwischen Netzwerk und kritischen Geräten zu trennen und zu segmentieren. Auch eine Verbesserung der Sicherheitsinfrastruktur und Netzwerksegmentierung kann den Umgang mit solchen Ausnahmen und den einhergehenden alternativen Kontrollmechanismen erleichtern.

Gesundheitseinrichtungen verfügen im Durchschnitt über 34 signifikante administrative Ausnahmen; 47 Prozent davon erfordern alternative Kontrollmechanismen. Im Idealfall sollte es so wenig Ausnahmen und alternative Kontrollmechanismen wie möglich geben, denn dies kann zu Schwachstellen in der Bedrohungsabwehr führen.

78



Transport- und VerkehrswesenDie größten Bedenken der BrancheDie Technologie-Infrastruktur im Transport- und Verkehrswesen baute ursprünglich auf geschlossenen, proprietären Systemen auf. Auch diese Branche wechselt zu einem moderneren Netzwerk. Die Sicherheitsverantwortlichen fürchten jedoch, dass sie während dieser Übergangsphase anfälliger für Angriffe sind. Dennoch, der Wandel hin zu vernetzten IP-Systemen ist aufgrund der steigenden Wartungskosten und Komplexität der bestehenden Systeme unumgänglich.

Die Anforderungen der Verbraucher steigen zudem. Ihr Wunsch nach neuen Sicherheits- und Mobilitätsservices kann mit der bestehenden Kommunikationsinfrastruktur nicht erfüllt werden. Der Wunsch nach einer umfassenden Vernetzung und Interaktion ist groß: Flughäfen, Fluggesellschaften, Schienenverkehr (Personen und Güter), Straßennetze, vernetzte Fahrzeugflotten, Social-Media-Auftritte von Verkehrsbetrieben, Ticketkauf über Mobilgeräte oder der Einsatz von mobilen Apps in Fahrzeugen... alles ist vernetzt. Diese vernetzten Systeme sollen aber auch einfach zu benutzen sein, und je mehr Millenials in diesen Organisationen einsteigen, desto wichtiger wird der Aspekt der Benutzerfreundlichkeit.

Starke Bedrohung durch Advanced-Persistent-Threat und vernetzte GeräteDa Transportunternehmen komplexe und vernetzte Infrastrukturen nutzen und die Auswirkungen der zunehmenden Netzwerkfläche beobachten, kommen unterschiedliche Bedrohungen ans Licht. Mehr als ein Drittel der Sicherheitsexperten im Transport- und Verkehrswesen sind der Überzeugung, dass Advanced-Persistent-Threat und die Verbreitung von BYOD sowie intelligenten Geräten hohe Sicherheitsrisiken für ihre Unternehmen darstellen. Darüber hinaus zählen für 59 Prozent der Sicherheitsexperten die Cloud-Infrastruktur und mobile Geräte zu den Risiken mit den größten Herausforderungen hinsichtlich der Bedrohungsabwehr (siehe Abb. 72).

Abbildung 72 Bedrohungsabwehr in der Cloud-Infrastruktur und bei mobilen Geräten am schwierigsten


der Sicherheitsexperten sind der Meinung, dass Cloud-Infrastruktur und mobile Geräte zu den größten Herausforderungen in der Abwehr von Angriffen zählen

59%

Abbildung 72 Cloud-Infrastruktur und mobile Geräte sind am schwersten zu schützen

Laut den Sicherheitsteams im Transport- und Verkehrswesen müssen die Daten am Netzwerkübergang sitzen und in Echtzeit zur Verfügung gestellt werden, wenn die Anforderungen an den Datenzugriff erfüllt werden sollen. Ein kontrollierter Datenzugriff und die Bereitstellung dieser Daten an berechtigte Nutzer ist für die Sicherheitsverantwortlichen eines der größten Probleme.

Ein Problem, das mit der Abschaffung geschlossener, proprietärer Systeme noch größer wird. Außerdem wird davon ausgegangen, dass nicht nur immer mehr, sondern auch immer komplexere Bedrohungen bewältigt werden müssen. 35°Prozent der Sicherheitsexperten im Transport- und Verkehrswesen werden täglich mit Tausenden von Warnungen konfrontiert. Nur 44 Prozent davon werden untersucht. Unter den untersuchten Warnungen gelten 19 Prozent als legitime Bedrohungen. Nur bei 33 Prozent dieser Bedrohungen wird das Problem behoben.

Talentmangel treibt Service-Outsourcing anErfahrene Sicherheitsexperten könnten die Herausforderungen im Transport- und Verkehrswesen bewältigen. Die Frage ist nur, ob diese Organisationen auch die richtigen Talente an sich binden können. Mehr als die Hälfte der Sicherheitsexperten im Transport- und Verkehrswesen geben an, dass weniger als 30 Mitarbeiter für die Sicherheit zuständig sind. 29 Prozent betrachten den Mangel an geschultem Personal als Haupthindernis für die Einführung erweiterter Sicherheitsprozesse und -technologien.

Die Sicherheitsfunktionen werden immer ausgereifter und spezifischer. Daher sinkt auch die Wahrscheinlichkeit, dass Organisationen im Transport- und Verkehrswesen die richtigen Talente an sich binden können. Zur Absicherung der kritischen nationalen und lokalen Infrastruktur müssen die Verkehrsbetriebe entsprechend geschulte und fähige Mitarbeiter einstellen und diese auch halten.

Da das interne Fachwissen oft fehlt, wenden sich viele Unternehmen im Transport- und Verkehrswesen an externe Anbieter. Fast die Hälfte gab an, dass sie einige oder alle Sicherheitsaufgaben outsourcen. Kosteneffizienz (52 Prozent) und objektive Einblicke (44 Prozent) sind dabei die Hauptgründe für die Auslagerung der Sicherheitsservices.

Sicherheitsstandards wie ISO 27001 oder NIST 800-53 können Organisationen im Transport- und Verkehrswesen helfen, wichtige Sicherheits-Benchmarks zu erfüllen. 54 Prozent der Sicherheitsexperten im Transport- und Verkehrswesen folgen standardisierten Informationssicherheitsrichtlinien, während zwei Drittel schriftlichen formellen Sicherheitsstrategien folgen (siehe Abb. 73).





79



Zudem gibt es Anzeichen dafür, dass die Unternehmen im Transport- und Verkehrswesen erkennen, warum eine flächendeckende und integrierte Sicherheit so wichtig ist und dass nicht einfach nur viele Einzellösungen angeschafft werden sollten. 75 Prozent der Organisationen im Transport- und Verkehrswesen verfügen über ein Security Operations Center (SOC) und 14 Prozent planen zumindest die Erstellung eines SOC. Darüber hinaus geben fast 90 Prozent der Sicherheitsexperten an, dass ihr Unternehmen an einer Sicherheitsnormungsinstitution oder einem Branchenverband wie PT-ISAC oder ST-ISAC mitwirken.

Abbildung 73 Sicherheitsexperten im Transport- und Verkehrswesen, die Sicherheitsstandards befolgen (in Prozent)

der Sicherheitsexperten im Transportwesen befolgen in der

Praxis eine standardisierte Informationssicherheitsrichtlinie

54% 2/3der Sicherheitsexperten im Transportwesen befolgen

schriftliche formelle Sicherheitsstrategien


Abbildung 73 Sicherheitsexperten im Transportwesen, die standardisierte Praktiken verfolgen (in Prozent)

Angriffssimulationen führen zu VerbesserungenDie Tatsache, dass das Transportwesen wie auch andere streng regulierte Branchen als kritische Infrastruktur betrachtet wird, kann Entscheidungen in puncto Sicherheit vorantreiben. Beispielsweise führen fast 80 Prozent der Sicherheitsexperten im Transport- und Verkehrswesen mindestens alle drei Monate Angriffssimulationen in ihren Organisationen durch. Darüber hinaus erklärt rund die Hälfte, dass die Ergebnisse der Angriffssimulationen zu deutlichen Verbesserungen der Sicherheitsrichtlinien, -prozessen und -technologien geführt haben.

Auch öffentliche Sicherheitslücken können Änderungen bewirken. Bei 48 Prozent der Sicherheitsexperten im Transport- und Verkehrswesen ist ein Sicherheitsvorfall schon einmal an die Öffentlichkeit gelangt. Während nur 34 Prozent aussagten, dass Sicherheitslücken „in hohem Maße“ zur Verbesserung der Sicherheit beigetragen haben, waren 83 Prozent der Meinung, dass sie Verbesserungen in einem zumindest „bescheidenem Maße“ zur Folge hatten.

Eine Sicherheitsverletzung kann auch langfristige Auswirkungen auf die gesamte Branche haben, die über die reinen Bemühungen zur Risikominimierung hinausgehen. 31 Prozent der Sicherheitsexperten sagten aus, dass ihre Organisationen im vergangenen Jahr Umsatzeinbußen aufgrund von Angriffen einstecken mussten. Der durchschnittliche Umsatzverlust lag bei 9 Prozent. 22 Prozent haben aufgrund eines Angriffs Kunden verloren, 27 Prozent sprechen von verlorenen Geschäftsmöglichkeiten.

80



FinanzwesenDie größten Bedenken der BrancheFinanzdienstleister sind für Cyberkriminelle lukrative Ziele. Die Fülle der Kundenfinanzdaten sowie der Zugang zu Benutzernamen und Kennwörtern von Kundenkonten sind ein verlockender Anreiz für einen Angriff. In der Tat wurden einige Malware-Typen speziell für die Kompromittierung von Finanzdienstleisternetzwerken entwickelt. Beispiele sind die Malware Dridex (Diebstahl von Anmeldedaten) und der53 Trojaner Zeus.54

Sicherheitsexperten aus dem Finanzwesen wissen, dass sie einen wirksamen Schutz vor der ausgereiften Malware der Angreifer benötigen. Sie wissen aber auch, dass ein komplizierter Anbieter- und Produktmix die Komplexität erhöht, was dazu führt, dass Bedrohungen sogar noch verschleiert werden. Auch die Integration älterer Anwendungen in neue Technologien, ohne dass Sicherheitslücken entstehen, gehört zu den schwierigen Aufgaben der Sicherheitsteams.

Da einige Finanzdienstleister mit Fintech-Unternehmen (Finanztechnologie) zusammenarbeiten, nimmt ihrer Meinung nach die Angriffsfläche potenziell zu und wird immer komplexer. Wie kann bei solchen Partnerschaften ein angemessener Schutz der Kundendaten sichergestellt werden? Wie können Finanzdienstleister bei der Zusammenarbeit mit externen Unternehmen die strengen regulatorischen Anforderungen einhalten? Und wie will die Branche die Herausforderungen im Bereich der Sicherheit der kommenden Jahre bewältigen?

Finanzdienstleister müssen nicht nur die Sicherheit, sondern auch die Compliance gewährleisten. In vielen stark regulierten Branchen gibt es die Tendenz, zu glauben, dass sich Sicherheitsprobleme durch die Erfüllung der Compliance-Anforderung lösen lassen. Compliance-Anforderungen, wie z. B. die Netzwerksegmentierung, helfen sicherlich, Daten zu schützen, aber sie sind nur Teil einer Lösung, die Sicherheitslücken verhindern und Bedrohungsanalysen durchführen soll.

Multivendor-Umgebung schafft mehr Verwirrung als KlarheitBei Finanzdienstleistern ist eine Multivendor-Umgebung geläufig. 57 Prozent der Finanzdienstleister nutzen Lösungen von mindestens sechs Anbietern, während 29 Prozent sogar auf mehr als zehn Anbieter zurückgreifen (siehe Abb. 74). Zwei Drittel der Finanzdienstleister nutzen sechs Sicherheitsprodukte und 33 Prozent mehr als zehn.

53 „Dridex Attacks Target Corporate Accounting“, von Martin Nystrom, Cisco Security Blog, 4. März 2015: blogs.cisco.com/security/dridex-attacks-target-corporate-accounting.54 „Zeus Trojan Analysis“, von Alex Kirk, Cisco Talos Blog: talosintelligence.com/zeus_trojan.

Abbildung 74 Finanzdienstleister, die Lösungen von sechs oder mehr Anbietern verwenden (in Prozent)


29 %

57 %

Finanzdienstleister

6 undmehr

10 undmehrAnbieter

Abbildung 74 Finanzdienstleister, die Lösungen von 6 oder mehr Anbietern verwenden (in Prozent)

Laut Sicherheitsexperten von Cisco ist es in dieser Branche üblich, innerhalb eines Unternehmens Produkte von mehr als 30 Anbietern einzusetzen. Um auf neue Bedrohungen schnell und effektiv reagieren zu können, sollten sich diese Organisationen darauf konzentrieren, ihre Sicherheitsarchitekturen zu vereinfachen: weniger Tools, mehr Integration. Sind mehrere Produkte im Einsatz, werden diese meist separat voneinander betrieben. Einzeln betrachtet sind diese Produkte zwar effektiv, aber wenn sie nicht integriert sind, können sie keine Informationen teilen und korrelieren, was dazu führt, dass die Sicherheitsteams widersprüchliche Warnhinweise und Berichte erhalten.

Eine hohe Anzahl an Produkten hat auch Einfluss auf die Fähigkeit der Bedrohungserkennung. 46°Prozent der Sicherheitsexperten im Finanzwesen werden täglich mit Tausenden von Warnungen konfrontiert. Nur 55 Prozent davon werden untersucht. 28 Prozent der untersuchten Bedrohungen gelten als legitim – doch bei nur 43 Prozent werden die Probleme behoben.

Die hohe Anzahl der Warnmeldungen lässt sich möglicherweise auf die vielen nicht integrierten Produkte unterschiedlicher Anbieter zurückführen. Die Incident-Response-Teams können eventuell auch nur schwer erkennen, welche Warnungen mehrfach vorhanden oder von niedriger Priorität sind. Ohne Integration ist die Fähigkeit der Sicherheitsteams zur Korrelation und Analyse von Bedrohungen eingeschränkt.

http://blogs.cisco.com/security/dridex-attacks-target-corporate-accounting

http://talosintelligence.com/zeus_trojan

81



Die Digitalisierung ermöglicht VerbesserungenDurch die Zusammenarbeit der Finanzdienstleister mit Fintech-Unternehmen entdecken sie neue Strategien zur Verbesserung der Sicherheit, wie z. B. die formelle Festlegung der Verantwortlichkeiten für den Datenschutz. Nahezu die Hälfte der Finanzdienstleister ist der Meinung, dass die Unternehmensdigitalisierung einen großen Einfluss auf die Sicherheit hat. Rund 40 Prozent gaben an, dass Fintech, DevOps und bimodale IT die Sicherheit in hohem Maße beeinflussen (siehe Abb. 75).

So muss ein Finanzdienstleister, der mit einem Fintech-Partner zusammenarbeitet, festlegen, wie Kundendaten geschützt bleiben, insbesondere in einer Cloud-Umgebung. Die Partner müssen auch gemeinsame Prozesse zur Vermeidung von Sicherheitsvorfällen bestimmen. Wenn sich dann ein Vorfall ereignet, müssen beide Parteien reagieren.

Abbildung 75 Der Einfluss der Digitalisierung auf die Sicherheit


Die Digitalisierung beeinflusst die

Sicherheit in hohem Maße.

FinTech, DevOps und bimodale IT

beeinflussen die Sicherheit in hohem

Maße.

50% 40%

Abbildung 75 Auswirkungen des Digital Business

Einführung von Standards und Normen sollte sich beschleunigenWenn die Finanzdienstleister die digitalen Anforderungen der Kunden auf sichere Weise erfüllen möchten, müssen Sie neue Richtlinien und Prozesse schneller einführen. Bisher haben 63 Prozent der Finanzunternehmen formelle schriftliche Sicherheitsstrategien verfasst. Nur 48 Prozent befolgen IT-Sicherheitsnormen wie ISO 27001 oder NIST 800-53. Die Finanzbranche ist eine konservative Branche. Sicherheits- und IT-Verantwortliche in diesem Bereich sind, was die Einführung neuer Standards und deren Integration in die aktuelle Sicherheitsstrategie betrifft, sehr langsam.

Ein weiterer Bereich, in dem Finanzdienstleister Verbesserungen erzielen können, ist die Aufgabe, dass auch die Anbieter sich an etablierte Geschäftspraktiken halten. Nur 37 Prozent verlangen von ihren Anbietern für eine Zusammenarbeit die Einhaltung des Standards ISO 27001.

Laut Sicherheitsexperten von Cisco hat die Ausgereiftheit des Sicherheitsstatus eines Unternehmens Einfluss darauf, wie strikt die Anforderungen für die Anbieter sind. Große, etablierte Finanzdienstleister sind dazu womöglich besser in der Lage als kleinere Unternehmen.





Fazit

83


Fazit

FazitSeit fast einem Jahrzehnt veröffentlicht Cisco zweimal pro Jahr einen Cybersecurity Report. In erster Linie sollen diese Berichte die Sicherheitsteams sowie die Unternehmen, die sie unterstützen, über bekannte und neue Bedrohungen und Schwachstellen informieren. Sie erhalten zudem Informationen darüber, wie sie ihre Unternehmen besser vor Cyberangriffen schützen können.

Die Vielfalt der Informationen, die unsere Bedrohungsforscher und Technologiepartner im letzten Bericht präsentiert haben, spiegelt die Komplexität der modernen Bedrohungslandschaft wider. Ein Großteil der Untersuchungen zeigt auch, dass die Verteidiger nicht nur Boden gegenüber den Angreifern gewonnen haben, sondern mittlerweile auch viel besser verstehen, wie und wo Cyberkriminelle tätig sind.

Da das Ausmaß des IoT stetig zunimmt, gehen jedoch davon aus, dass es kein leichter Kampf für die Verteidiger werden wird. Wie in der Einleitung zu diesem Bericht bereits beleuchtet wurde, gibt es Anzeichen für eine neue Art von Angriffen, die bedrohlicher und zerstörerischer als die Kampagnen der Vergangenheit sein werden. Die Angriffe sind immer besser durchdacht und bergen ein enorm hohes Auswirkungspotenzial. Ziel ist es, Organisationen, egal ob groß oder klein, völlig lahmzulegen. Die Gegner wissen, dass kein Unternehmen über Krisenpläne verfügt, die genau festlegen, wie IT oder OT von Grund auf wiederhergestellt werden können. Und sie sind fest entschlossen, diese Schwachstelle zu ihren Gunsten auszunutzen.

Darum sollte die Cybersicherheit unbedingt oberste Priorität erhalten. Unternehmen müssen in Automatisierungs-Tools investieren, mit denen die Sicherheitsteams Warnhinweise effektiv verwalten, wichtige Einblicke in die dynamischen Netzwerke erhalten und diese managen sowie tatsächliche Bedrohungen schnell aufspüren und eindämmen können. Außerdem müssen sie Zeit und Ressourcen aufwenden, um stets einen genauen Überblick über die IT-Umgebung zu haben und alle darin enthaltenen Elemente sicher bereitstellen und aktualisieren zu können.

Unterdessen muss auch die Security-Community weiter denken und einen Dialog darüber eröffnen, wie ein offenes Ecosystem geschaffen werden kann. Ein System, das es den Kunden ermöglicht, speziell an ihre Unternehmen angepasste Sicherheitslösungen zu implementieren, mit denen sie zudem ihre vorhandenen Investitionen weiter nutzen können. In diesem System können alle Sicherheitslösungen miteinander kommunizieren und zusammenarbeiten, um Benutzer und Unternehmen zu schützen. Die Verteidiger müssen gemeinsam gegen die Bedrohungen des IoT-Zeitalters vorgehen, die eine verheerende Auswirkung auf alle Unternehmen haben.

84


Fazit

Cybersicherheit muss einen festen Platz in der Agenda der Geschäftsführung einnehmen

55 Daten, Informationen und Inhalte stammen direkt und mit freundlicher Genehmigung aus der Public Company Governance Umfrage 2016–2017 der National Association of Corporate Directors (NACD). Die Studie kann auf der Website der NACD unter nacdonline.org/Resources/publicsurvey.cfm?ItemNumber=36843 heruntergeladen werden.

56 Society for Information Management IT Trends Study, Kappelman, L. A., et al. (2017). Die Studie kann auf der Website der SIM unter simnet.org/members/group_content_view.asp?group=140286&id=442564 heruntergeladen werden.

57 Ibid.

Laut der neuesten Cisco Security Capabilities Benchmark Study hat Sicherheit auf der Führungsebene vieler Organisationen einen hohen Stellenwert. Die Sicherheitsverantwortlichen sind überzeugt, dass die Führungsteams Sicherheitsthemen weiterhin weit oben auf der Liste der wichtigsten Unternehmensziele sehen. Der Aussage, dass die Unternehmensleitung der Sicherheit eine hohe Priorität beimisst, stimmten im Jahr 2016 jedoch nur 59 Prozent der Sicherheitsverantwortlichen vollständig zu – ein leichter Rückgang von den im Jahr 2015 gemessenen 61 Prozent und den im Jahr 2014 ermittelten 63 Prozent.

Dieser Vertrauensverlust ist aber vielleicht unberechtigt. Vor allem den Chief Information Security Officers (CISOs) ist möglicherweise nicht klar, dass das leitende Management und der Vorstand Cybersicherheit nicht nur als höchste Priorität betrachten, sondern auch gerne mehr darüber erfahren möchten. Sie wünschen womöglich bessere und mehr Informationen.

Laut der Public Company Governance Umfrage 2016–2017 der National Association of Corporate Directors (NACD)55 ist rund ein Viertel der Vorstände mit der Berichterstattung des Managements zur Cybersicherheit unzufrieden. Mit den erhaltenen Informationen ist kein effektives Benchmarking möglich und die Informationen über Probleme sind nicht transparent und zudem schwer zu interpretieren. In demselben Bericht waren nur 14 Prozent der Befragten der Meinung, dass ihr Vorstand ein hohes Maß an Verständnis von Cyberrisiken hat.

Laut Sicherheitsexperten der SAINT Corporation, ein Cisco Partner und Anbieter von Sicherheitslösungen, haben CISOs eine klare Chance, diese Wissenslücke zu füllen. Dazu müssen jedoch einige Voraussetzungen erfüllt sein:

• Sie müssen Informationen auf sinnvolle und nützliche Weise bereitstellen. Berichte über Cyberrisiken oder Sicherheitsanforderungen der Organisation sollten nicht übermäßig technisch sein. Sie müssen versuchen, die Gespräche zum Thema Cybersicherheit auf klassische Risiken auszurichten, denen das Unternehmen ausgesetzt ist, und die geschäftlichen Prioritäten und gewünschten Ergebnisse daran ausrichten.

Sie müssen betonen, dass die Cybersicherheit ein Wachstumsfaktor und Alleinstellungsmerkmal für das Unternehmen sein kann.

• Wenn Sie das Management oder den Vorstand über einen Cyberangriff informieren, dann erklären Sie klar und deutlich, welche Auswirkungen das Unternehmen zu erwarten hat, (zum Beispiel, wie viele Mitarbeiter oder Kunden betroffen sind, welche wertvollen Informationen kompromittiert wurden), welche Maßnahmen das Sicherheitsteam ergreift, um die Bedrohung unter Kontrolle zu halten und zu untersuchen, und wie lange es dauern wird, bis der normale Betrieb wieder aufgenommen wird.

• Versuchen Sie, andere Führungskräfte einzubinden, auch außerhalb der Technologieabteilung. Durch eine regelmäßige Zusammenarbeit mit verschiedenen Führungskräften im Unternehmen – dem Chief Information Officer, Chief Technology Officer, Chief Audit Executive und Chief Risk Officer, um nur einige zu nennen – erhalten CISOs einen direkten Kontakt zum leitenden Management und dem Vorstand. Dadurch besteht auch eine bessere Möglichkeit, sich einen Platz am Tisch der Geschäftsführung zu sichern, um Sicherheitsstrategien zu besprechen und dazu beizutragen, ein umfassendes Sicherheitsprogramm für die Organisation aufzustellen.

CISOs fällt es oft schwer, ausreichend Mittel für ihre Sicherheitsinitiativen aufzutreiben. Es ist möglich, dass sie nicht realisieren, dass sich jetzt der ideale Zeitpunkt bieten könnte, um mit der Geschäftsführung über eine Budgeterhöhung zu sprechen. Laut der IT-Trends-Studie der Society for Information Management (SIM) von 2017 ist Cybersicherheit heute der drittgrößte Bereich, in den Unternehmen investieren.56 Im Jahre 2013 belegte sie noch Platz 14 dieser Liste. Laut SIM-Umfrage stand die Cybersicherheit bei den Befragten (IT-Leiter) zudem an zweiter Stelle unter den IT-Bereichen, die größere Investitionen erhalten sollten, und an erster Stelle auf der Liste der Informationstechnologien, die ihnen persönlich den größten Anlass zur Sorge bereiten.57

https://www.nacdonline.org/Resources/publicsurvey.cfm?ItemNumber=36843

http://simnet.org/members/group_content_view.asp?group=140286&id=442564

http://simnet.org/members/group_content_view.asp?group=140286&id=442564

Informationen zu Cisco

86



Informationen zu CiscoCisco bietet intelligente Lösungen für die IT-Sicherheit und verfügt über das branchenweit umfangreichste Portfolio an Systemen für eine fortschrittliche Bedrohungsabwehr, die unterschiedlichste Angriffsvektoren abdecken. Durch seinen bedrohungsorientierten und operationalisierten Ansatz verringert Cisco die Komplexität und verhindert die Fragmentierung von Sicherheitstools. Dies ermöglicht ein hohes Maß an Transparenz, konsistente Kontrollen und einen intelligenten Bedrohungsschutz vor, während und nach einem Angriff.

Die Forschungsgruppe des Collective Security Intelligence (CSI) Ecosystem ermittelt Entwicklungen in der Bedrohungslandschaft anhand von Telemetriedaten aus zahllosen Geräten und Sensoren, öffentlichen Feeds sowie der Open-Source-Community. Dazu werden jeden Tag mehrere Milliarden Internetanfragen sowie Millionen von E-Mails, Malware-Stichproben und Netzwerk-Zugriffsversuche analysiert.

Eine hochmoderne Infrastruktur, unterstützt durch branchenführende Systeme, wertet die Telemetriedaten aus. Dies ermöglicht maschinelles Lernen, es können Bedrohungen für Netzwerke, Rechenzentren, Endpunkte, Mobilgeräte, virtuelle Systeme, das Internet, den E-Mail-Verkehr und die Cloud nachverfolgt sowie Ursachen ermittelt und Outbreaks analysiert werden. Die so gewonnenen Informationen fließen direkt in den Echtzeitschutz der Produkte und Services ein, die bei Cisco Kunden weltweit im Einsatz sind.

Mitwirkende am Cisco Midyear Cybersecurity Report 2017

Cisco CloudLockCisco CloudLock bietet Cloud Access Security Broker (CASB)-Lösungen, die Unternehmen bei der sicheren Nutzung der Cloud unterstützen. CloudLock bietet Transparenz und Kontrolle für alle Benutzer, Daten und Anwendungen in Software-as-a-Service (SaaS)-, Platform-as-a-Service (PaaS)- und Infrastructure-as-a-Service (IaaS)-Umgebungen mithilfe von aussagekräftigen Daten zur Cybersicherheit, die von Datenanalysten seines CyberLabs erfasst und durch Sicherheitsanalytik von Crowdsourcing-Quellen ergänzt werden.

Cisco Computer Security Incident Response Team (CSIRT)Cisco CSIRT ist Teil der Ermittlungsabteilung des Cisco Corporate Security Programme Office und bietet Cisco maßgeschneiderte Sicherheitsüberwachungsdienste an, um Cisco vor Cyberangriffen und dem Verlust seiner geistigen Vermögenswerte zu schützen. CSIRT ist das interne Team für Cyber-Untersuchungen und -Forensik von Cisco. Die vorrangige Aufgabe von CSIRT ist, sicherzustellen, dass Unternehmen, System und Daten durch umfassende Untersuchungen der Sicherheitsvorfälle geschützt werden. Es soll zudem dazu beizutragen, dass solche Vorfälle durch eine proaktive Bedrohungsanalyse, geplante Eindämmung, Trendanalysen von Vorfällen und eine Überprüfung der Sicherheitsarchitektur verhindert werden.

Cisco Security Incident Response Services (CSIRS)Das Cisco Security Incident Response Services Team (CSIRS) unterstützt Cisco Kunden durch umfassendes Know-how, Security-Lösungen der Enterprise-Klasse, hochmoderne Response-Techniken und seit langem bewährte Verfahren zur Abwehr von Cyberangriffen dabei, Angriffe proaktiv zu vereiteln, im Ernstfall schnell zu reagieren und den Geschäftsbetrieb zügig wiederherzustellen.

Cognitive Threat AnalyticsCisco Cognitive Threat Analytics ist ein Cloud-basierter Dienst, der Sicherheitsverletzungen, Aktivitäten von Malware in geschützten Netzwerken und andere Bedrohungen mittels statistischer Analysen des Netzwerkdatenverkehrs erkennt. Der Dienst identifiziert die Symptome von Malware-Infektionen oder Datenschutzverletzungen anhand von Verhaltensanalysen und Anomalie-Erkennung und schließt so die Lücken von Abwehrsystemen am Perimeter. Neben fortschrittlichen statistischen Modellen bringt Cognitive Threat Analytics maschinelles Lernen zum Einsatz. So können neue Bedrohungen selbständig erkannt und der Schutz laufend optimiert werden.

Weitere Informationen zum bedrohungsorientierten Sicherheitsansatz von Cisco finden Sie unter www.cisco.com/web/DE/products/security/index.html.

http://www.cisco.com/web/DE/products/security/index.html

http://www.cisco.com/web/DE/products/security/index.html

87



Commercial West Sales Commercial West Sales konzentriert sich auf den Dialog mit Cisco Kunden zum Thema Sicherheit, die Durchführung von SAFE Workshops für Kunden und die Beratung der Sicherheitsverantwortlichen der Kunden zum besseren Schutz ihrer Organisation und zur Minderung der allgemeinen Risiken.

Global Government AffairsCisco engagiert sich auf verschiedenen Regierungsebenen für die Gestaltung von wachstums- und innovationsfreundlichen Regelwerken, die Wirtschaft, Politik und Zivilgesellschaft voranbringen. Im engen Austausch mit Interessenvertretern und Branchengruppen ist Cisco dabei auf globaler und nationaler ebenso wie auf regionaler Ebene tätig. Das Team von Global Government Affairs vereint die umfangreiche Erfahrung von ehemaligen Mandatsträgern, Parlamentariern, Behördenvorständen, Beamten der US-Regierung und anderen Experten für wirtschafts- und gesellschaftspolitische Belange, die auf ein gemeinsames Ziel hinarbeiten: Die Förderung von Wohlstand durch die sichere Nutzung von Technologie.

Global Industrial Marketing Das Cisco Global Industrial Marketing Team konzentriert sich auf die Fertigungsbranche, Versorgungsunternehmen und die Öl-und Gasindustrie. Das Team ist verantwortlich für branchenspezifische Thought Leadership, einschließlich individueller Nutzenversprechen, Lösungen und Markteinführungskampagnen, um die Kunden bei der digitalen Transformation ihrer Unternehmen zu unterstützen. Es arbeitet zudem mit Kunden, Kollegen, Kundenteams, Analysten, der Presse und andere externen und internen Zielgruppen zusammen und nutzt Echtzeitanalysen für branchenspezifische Strategien, Markteinführungsstrategien, Pläne und gezielte Botschaften.

IPTG Connected Car Das IPTG Connected Car Team bietet Erstausrüstern in der Automobilbranche (Original Equipment Manufacturers, OEMs) Unterstützung bei der Verbindung, Konvergenz, Sicherung und Digitalisierung der fahrzeuginternen Netzwerke.

IoTDie Security Technology Group entwickelt Tools, Prozesse und Inhalte zur Identifizierung und Minderung von Bedrohungen in vernetzten Umgebungen.

Portfolio Solutions Marketing TeamDas Portfolio Solutions Marketing Team konzentriert sich auf die Erstellung und Bereitstellung von Botschaften und Inhalten, mit denen das Cisco Security-Portfolio als integrierte End-to-End-Security-Lösung beworben wird.

U.S. Public Sector OrganizationDie Cisco U.S. Public Sector Organization widmet sich dem Schutz der Vereinigten Staaten. Wir kommunizieren mit der US-Regierung, den US-Landes- und -Bundesbehörden und dem Bildungsmarkt. Wir verbinden Menschen und Technologie, wir schaffen Innovationen in allen Bereichen. Wir kennen die geschäftlichen Herausforderungen unserer Kunden und können unsere Lösungen an ihre individuellen Anforderungen anpassen. Wir bauen Beziehungen auf, wir vereinfachen Technologie und wir unterstützen Kunden auf der ganzen Welt bei der Erfüllung ihrer Mission.

Security Business Group Technical Marketing Das Security Business Group Technical Marketing Team bietet fundiertes Fachwissen und Branchenkenntnisse und somit Unterstützung bei allen Managemententscheidungen hinsichtlich der Cisco Security-Produkte. Das Expertenteam unterstützt zahlreiche Cisco Teams aus den Bereichen Engineering, Marketing, Vertrieb und Services bei der Erklärung und Bewältigung komplexer Technologien und Prozesse, welche die Sicherheit der Cisco Kunden gewährleisten. Aufgrund Ihrer tiefgreifenden Fachkenntnisse, sind Ihre Publikationen und Vorträge in Branchenkreisen sehr gefragt.

Security Research and Operations (SR&O)Die Security Research and Operations (SR&O) sind für das Bedrohungs- und Schwachstellenmanagement aller Produkte und Services von Cisco verantwortlich und koordinieren die Aktivitäten des branchenführenden Product Security Incident Response Team (PSIRT). Auf Veranstaltungen wie Cisco Live und Black Hat bieten die SR&O in Zusammenarbeit mit Cisco Partnern und anderen Branchenvertretern eine Anlaufstelle bei Fragen bezüglich aktueller Entwicklungen in der Bedrohungslandschaft. Daneben sind die SR&O an der Bereitstellung von neuen Services wie Cisco Custom Threat Intelligence (CTI) beteiligt, mit der Indicators-of-Compromise erkannt werden können, die anderen Sicherheitsinfrastrukturen entgangen sind.

88



Security and Trust OrganizationDie Security and Trust Organization ist für den Schutz der Kunden von Cisco aus dem öffentlichen und privaten Sektor verantwortlich. Der Fokus liegt dabei nicht nur auf der konsistenten Anwendung der Grundsätze der Cisco Secure Development Lifecycle and Trustworthy Systems über das gesamte Produkt- und Serviceportfolio von Cisco hinweg, sondern auch auf dem Schutz von Cisco vor den komplexen Bedrohungen von heute. Sicherheit und Vertrauen schließen bei Cisco Menschen und Richtlinien ebenso wie Prozesse und Technologien ein. Denn erst auf dieser Basis können Informationssicherheit, vertrauenswürdige Technik, Datenschutz und Privatsphäre, Cloud-Sicherheit, Transparenz und Nachvollziehbarkeit sowie Zuverlässigkeit

gegenüber Kunden umfassend sichergestellt werden. Weitere Informationen finden Sie unter trust.cisco.com.

Talos Security Intelligence & Research GroupTalos ist die Threat-Intelligence-Organisation von Cisco. Die Talos Forschungsgruppe ermittelt unter Einsatz hochmoderner Systeme wichtige Daten aus der Bedrohungslandschaft, die es den Produkten von Cisco ermöglichen, bekannte und neue Bedrohungen zu erkennen, zu analysieren und abzuwehren. Das Team von Talos aktualisiert die offiziellen Regelsätze von Snort.org, ClamAV und SpamCop und liefert seine Forschungsergebnisse an das Cisco CSI Ecosystem.

Cisco Midyear Cybersecurity Report 2017 Technologiepartner

Die Threat-Intelligence-Lösungen der Anomali-Suite unterstützen Organisationen bei der aktiven Erkennung und Untersuchung von sowie der Reaktion auf Cyberbedrohungen. Die preisgekrönte Threat Intelligence-Plattform ThreatStream bündelt und optimiert Millionen von Bedrohungsindikatoren. So hat sich mittlerweile eine „Cyber-No-Fly-Liste“ gebildet. Anomali wird in die interne Infrastruktur integriert, um neue Angriffe zu identifizieren. Die Lösung führt seit Jahren forensische Analysen bestehender Sicherheitslücken durch und ermöglicht Sicherheitsteams, Bedrohungen schnell zu verstehen und einzudämmen. Anomali bietet zudem STAXX an, ein kostenloses Tool, mit dem Threat-Intelligence gesammelt und geteilt wird, sowie Anomali Limo, ein kostenloser, sofort einsetzbarer Intelligence-Feed. Um mehr zu erfahren, besuchen Sie anomali.com und folgen Sie uns auf Twitter: @anomali.

Flashpoint bietet Business Risk Intelligence (BRI) an, damit die Geschäftsbereiche bessere Entscheidungen treffen und Risiken mindern können. Durch die einzigartigen Daten aus dem Deep & Dark Web, das Know-how und die Technologie des Unternehmens können Kunden Threat-Intelligence sammeln, die über Gefahren informieren und den Betrieb schützen. Weitere Informationen finden Sie auf unter flashpoint-intel.com.

Lumeta will Sicherheits- und Netzwerkteams bei der Verhinderung von Sicherheitslücken unterstützen, indem es wertvolle Einblicke bietet. Lumeta erkennt bekannte, unbekannte, Shadow- und nicht autorisierte Infrastrukturen. Es bietet Netzwerk- und Endpunktüberwachung in Echtzeit sowie Segmentierungsanalytik für dynamische Netzwerkelemente, Endpunkte, virtuelle Systeme und cloudbasierte Infrastrukturen. Weitere Informationen finden Sie unter lumeta.com.

Qualys, Inc. (NASDAQ: QLYS) ist ein Pionier und führender Anbieter von Cloud-basierten Sicherheits- und Compliance-Lösungen mit mehr als 9.300 Kunden in über 100 Ländern, darunter einen Großteil der Forbes Global 100- und Fortune 100-Unternehmen. Die Cloud-Plattform von Qualys und dessen integrierte Lösungs-Suite unterstützen Unternehmen bei der Vereinfachung der Sicherheitsprozesse und Senkung der Compliance-Kosten, z. B. durch die Bereitstellung kritischer Security-Intelligence nach Bedarf, die Automatisierung des gesamten Audit-Prozesses sowie die Gewährleistung von Compliance und Schutz der IT-Systeme und Webanwendungen. Qualys wurde 1999 gegründet und hat strategische Partnerschaften mit führenden Anbietern von Managed-Services und Consulting-Services weltweit aufgebaut. Weitere Informationen finden Sie unter qualys.com.

Radware (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sorgt für eine zuverlässige Quality of Service unternehmenskritischer Anwendungen, von der mehr als 10.000 Enterprise- und Carrier-Kunden weltweit profitieren. Weitere Expertenressourcen und -informationen aus dem Security-Bereich erhalten Sie im Online Security Center von Radware, wo Sie eine umfassende Analyse von DDoS-Angriffs-Tools, Trends und Bedrohungen finden: security.radware.com.

https://www.cisco.com/c/en/us/about/trust-transparency-center/overview.html

http://anomali.com/

https://twitter.com/anomali?lang=en

http://flashpoint-intel.com/

http://www.lumeta.com/

http://qualys.com/

http://security.radware.com/

89



Rapid7 (NASDAQ: RPD) wird von IT- und Sicherheitsexperten auf der ganzen Welt eingesetzt, um Risiken zu bewältigen, die IT-Komplexität zu verringern und Innovationen voranzutreiben. Mit der Analytik von Rapid7 werden die zahlreichen Sicherheits- und IT-Daten umgewandelt in verwertbare Informationen, mit denen ausgereifte IT-Netzwerke und Anwendungen sicher entwickelt und betrieben werden können. Die Forschungsergebnisse, Technologien und Services von Rapid7 treiben Schwachstellenmanagement, Penetrationstests, Anwendungssicherheit, Ereigniserkennung und Reaktion sowie Protokollmanagement für mehr als 6.300 Organisationen in über 120 Ländern voran, darunter 39 Prozent der Fortune 1000-Unternehmen. Weitere Informationen finden Sie unter rapid7.com.

Die Lösungen von RSA unterstützen Kunden umfassend und schnell bei der Reaktion auf Sicherheitsvorfälle mit geschäftlichem Zusammenhang und dem Schutz ihrer Daten. Die preisgekrönten Lösungen ermöglichen eine beschleunigte Bedrohungserkennung, identitätsbasierten Zugriff, Schutz vor Verbraucherbetrug und effektives Risikomanagement. So können die Kunden von RSA auch in einer unsicheren, risikoreichen Umgebung sicher wachsen. Weitere Informationen finden Sie unter rsa.com.

SAINT Corporation, ein führender Anbieter integrierter Schwachstellen-Managementlösungen der nächsten Generation, hilft Unternehmen und Institutionen des öffentlichen Sektors, Risiken auf allen Ebenen der Organisation zu identifizieren. SAINT ermöglicht, dass ein effektiver Zugriff sowie ein hohes Maß an Sicherheit und Datenschutz gewährleistet werden. Der Anbieter stärkt die InfoSec-Abwehr und senkt gleichzeitig die Gesamtbetriebskosten. Weitere Informationen finden Sie unter saintcorporation.com.

ThreatConnect® bietet Organisationen leistungsstarken Schutz vor Cyberbedrohungen. ThreatConnect basiert auf der branchenweit einzigen Intelligence-gesteuerten, erweiterbaren Sicherheitsplattform. Es bietet eine Reihe von Produkten, mit denen die Anforderungen der Sicherheitsteams hinsichtlich der Sammlung, Analyse und Automatisierung von Threat-Intelligence erfüllt werden können. Mehr als 1.600 Unternehmen und Behörden weltweit stellen die ThreatConnect-Plattform bereit, um ihre Sicherheitstechnologien, Teams und Prozesse mit aussagekräftiger Threat-Intelligence zu verbinden. So reduzieren sie ihre Reaktionszeit und verbessern den Schutz. Weitere Informationen finden Sie unter threatconnect.com.

TrapX Security bietet ein automatisiertes Sicherheitsnetz, das Echtzeit-Bedrohungen abfängt und gleichzeitig verwertbare Informationen anbietet, um Angreifern abzuwehren. Mit TrapX DeceptionGrid™ können Unternehmen Zero-Day-Malware erkennen, eindämmen und analysieren, die von den weltweit effektivsten APT-Organisationen eingesetzt werden. Ganze Branchen verlassen sich auf TrapX zum Ausbau ihres IT-Ecosystems und der Reduzierung von kostspieligen Kompromittierungen, Sicherheitslücken und Verstößen gegen die Compliance-Anforderungen. Die TrapX-Abwehrfunktionen sind in die Netzwerk- und unternehmenskritische Infrastruktur eingebettet. Es werden keine Agents oder Konfigurationen benötigt. Durch modernste Malware-Erkennung, Threat-Intelligence, forensische Analysen und Funktionen zur Behebung in einer einzigen Plattform werden Komplexität und Kosten reduziert. Weitere Informationen finden Sie unter trapx.com.

http://rapid7.com/

http://rsa.com/

http://saintcorporation.com/

http://threatconnect.com/

http://trapx.com/

Veröffentlicht im Juli 2017

© 2017 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.

Cisco und das Cisco Logo sind Marken oder eingetragene Marken von Cisco und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken finden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)

Adobe, Acrobat und Flash sind eingetragene Marken bzw. Marken von Adobe Systems Incorporated in den Vereinigten Staaten und/oder anderen Ländern.

Hauptgeschäftsstelle Nord- und SüdamerikaCisco Systems, Inc.San Jose, CA

Hauptgeschäftsstelle Asien-Pazifik-RaumCisco Systems (USA) Pte. Ltd.Singapur

Hauptgeschäftsstelle EuropaCisco Systems International BV Amsterdam,Niederlande

Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern finden Sie auf der Cisco Website unter www.cisco.com/go/offices.

Grafiken zum Download

Alle Grafiken aus diesem Report können Sie hier herunterladen: cisco.com/go/mcr2017graphics.

Aktualisierungen und Korrekturen

Aktualisierungen und Korrekturen zu diesem Projekt finden Sie hier: cisco.com/go/errata.

http://www.cisco.com/go/trademarks

http://www.cisco.com/cisco/web/siteassets/contacts/index.html

http://cisco.com/go/mcr2017graphics

http://cisco.com/go/errata

Documents

Cisco Midyear Cybersecurity Report 2017 - cco.chcco.ch/data/documents/Cisco_2017_Security-Report_German.pdf · Inhalt Zusammenfassung Veröffentlichung von Schwachstellen führt