Trend Micro: Cloud, IoT, 5G und Co. bieten immer mehr Angriffsfläche
Der IT-Security-Spezialist Trend Micro rechnet für 2020 mit immer komplexeren Cyberbedrohungen. Sicherheitslücken in der Cloud, in den digitalen Lieferketten sowie in IoT- und 5G-Welten würden Kriminellen noch mehr in die Hände spielen als bisher.
Neue Geschäftsmodelle zu entwickeln, steht heute ganz oben auf der Wunschliste von Unternehmen. Zum Beispiel in die Cloud gehen, DevOps und agile Methoden für sich entdecken oder neue Technologien wie das Internet of Things (IoT), Künstliche Intelligenz (KI), 5G und Container-Lösungen implementieren. Diese bergen aber alle mehr oder weniger große Sicherheitslücken. Cyberkriminelle würden mit Hochdruck daran arbeiten, daraus ihrerseits Geschäftsmodelle zu entwickeln, so eine der Kernbotschaften von Trend Micro in den Prognosen für 2020 zum Jahresausklang. Angreifer werden, Trend Micro zufolge, zunehmend versuchen, an Unternehmensdaten in der Cloud zu gelangen und dabei auf Deserialisierungs-Bugs, Cross-Site-Scripting und SQL-Injection zurückgreifen.
Neue Vertriebswege und Partnerschaften
Enterprise Sales Director Hannes Steiner sieht auf Trend Micro sowie auf andere Unternehmen und Partner immer komplexere Cyberbedrohungen, aber auch große Herausforderungen zukommen. Dazu gehöre der anhaltende Fachkräftemangel. Dieser werde zum Teil durch KI aufgefangen, ohne die es bei den eigenen XDR-Services für Detection und Response gar nicht mehr geht. Außerdem seien Unternehmen auch durch neue agile und Applikation-getriebene Infrastrukturveränderungen ausgesetzt, wobei die Infrastruktur selbst immer mehr in den Hintergrund tritt.
Der Trend gehe mehr und mehr zu hybriden Cloud. In dem Segment wurde sein Unternehmen gerade erst von den Analysten IDC als Security-Marktführer gekürt. Trend Micro würde in dem Bereich künftig verstärkt mit dem „Security by Design“-Konzept auftreten. Das werde aber nicht nur zu neuen Vertriebswegen führen, sondern auch neue Vertriebspartnerschaften nötig machen. Trend Micro Business Consultant, Richard Werner nennt dabei später unter anderem Managed Service Provider.
Immer komplexer, exponierter, fehlkonfigurierter
Er und sein Kollege, Security Evangelist Udo Schneider, übernehmen die Präsentation der Sicherheitsvorsagen von Trend Micro für 2020. Die Themenfelder, die Trend Micro dabei anspricht, beschreiben eine immer komplexere, exponiertere und fehlkonfiguriertere, aber auch wehrhaft scheinende Zukunft der Systeme und IT-Security-Felder. Schneider sieht unter anderem die Gefahr, dass Cyberkriminelle sich zum Zweck der Spionage oder Erpressung auf IoT-Geräte stürzen würden. Denn die dafür in der Industrie eingesetzte Raspberry PI oder kurz RasPi genannten Einplatinencomputer seien keineswegs kleine, schwache Devices, sondern hätten in etwa die Rechenleistung eines Laptops von vor zehn oder zwölf Jahren. Auf der Hardware-Plattform könne man auch durchaus eine SQL-Datenbank laufen lassen und mit praktisch jedem „Webentwickler von der Straße“ moderne Tools entwickeln.
Das Problem dabei sei, dass der Stack bekannt ist und in der Hacker- oder Underground-Szene schon diskutiert wird, wie man daraus skalierbare Geschäftsmodelle machen kann. Es geht ihnen längst nicht mehr darum, die Heizungssteuerung im Smart Home bei Erika und Max Mustermann zu stören. Aber schon der Rauchmelder oder der Smart-TV mit eingebautem Mikrofon oder Gesichtserkennung könne für Unternehmen zur Gefahr werden. Zum Beispiel wenn der Fernseher im Konferenzraum dazu benutzt wird, unbemerkt eine Vorstandssitzung zu bespitzeln.
SDN im Stack macht 5G verletzbar
Ein anderes neues Feld, in dem Schneider eine potenzielle Bedrohung sieht, ist die 5G-Technologie, die im Software-Stack automatisch softwaredefinierte (SDN) und virtuelle Netzwerke verankere. Bei Trend Micro mache man sich Sorgen, dass diese Komplexität unterschätzt wird und Angreifer in die Lage versetzt werden, über SDN das Netzwerk selbst zu kontrollieren und so über unbekannte Knoten an Informationen zu gelangen. Um beim internationalen 5G-Rennen die Nase vorn zu haben, gehen Geschwindigkeit und Preis meist vor Sicherheit.
Die nachträgliche Einführung der 5G-Sicherheit wird angesichts der oft übereilten Migration und schlechten Konfiguration allerdings zur großen Herausforderung. Zumal mehr Dienste von der Technologie abhängig werden, heißt es in der Studie des sino-japanischen IT-Security-Spezialisten. Bei der dynamischen Bereitstellung von Netzwerkdiensten über Network Function Virtualization (NFV) und Application Virtualization müsse außerdem auch die Sicherheit mit der Anwendungsbereitstellung Schritt halten können.
Geld ist kein Thema für politisch Motivierte
Dann kommt Schneider auf kritische Infrastrukturen (KRITIS) zu sprechen, die 2020 immer mehr zur Zielscheibe für Angreifer werden. Ransomware ist dabei immer noch die erste Wahl. Erpressern fehle zwar meist noch das zu Geld zu machen, aber es gebe ja auch politisch Motivierte. Denen sei Geld nun mal egal, so der Security Evangelist. In dem Zusammenhang erinnert er an den Computerwurm Stuxnet, der 2010 auf ein Überwachungs- und Steuerungssystem von Siemens angesetzt wurde, tatsächlich aber den Iran treffen sollte.
Unter das Themenfeld Fehlkonfiguration fallen für Trend Micro verstärkte Angriffsflächen durch DevOps und Container sowie durch Serverless Plattformen. DevOps-Teams würden in ihrem Drang nach Agilität oft den Sicherheitsaspekt vernachlässigen. Cloud-Anbieter, einschließlich der großen für die Private Cloud und solche für virtuelle Private-Cloud-Lösungen, versprechen zwar, in der App schon für die ausreichende Sicherheit zu sorgen. Aber wie Schneider betont, steigen dadurch auch die Abhängigkeiten, was zum Beispiel Patches angeht. Fehlkonfigurierte Cloudspeicher könnten zur größten Bedrohung werden. Hinzu komme der wachsende Einsatz von Third-Party-Codes durch Unternehmen mit DevOps Kultur und damit einhergehend ein erhöhtes Risiko für die Firmen.
Mit KI & Co. wird die Zukunft immer komplexer
Business Consultant Werner weist im Part „Die Zukunft scheint komplex“ auf die Gefahren von KI als Waffe von Cyberkriminellen hin. Emotet-Angriffe, die 2018 immer wieder auftraten, lassen sich in deutschen Fake-E-Mails noch, Betonung auf noch, relativ einfach entlarven, weil KI bei der Rückübersetzung das englische you als Du übersetzt. Aber die Systeme werden immer intelligenter. Aufgeschreckt sind viele Unternehmen durch ein Voice Deepfake mit Imitation der Stimme des CEO, durch den im Spätsommer ein britischer Energieversorger um 243.000 Dollar „erleichtert“ wurde. Staatlich gesponsorte Attacken wie der von den USA und Großbritannien als russisch lancierten Sandwurm NotPetya, der die halbe Ukraine lahmgelegt hat, nähmen auch immer mehr zu. Dagegen habe WannyCry 2017 zwar viel Aufmerksamkeit erregt, aber kaum wirklich Schaden angerichtet. Dabei war NotPetya allerdings nur auf die Ukraine beschränkte gewesen, weil sich die Angreifer eine Hintertür in der Steuersoftware eines lokalen Unternehmens namens Medoc zunutze gemacht haben.
Qualitative und quantitative Zunahme von Angriffen
Das Problem sei, dass die Angriffe sowohl qualitativ als auch quantitativ immer mehr zunehmen. Die Cyberkriminellen würden immer mehr über die Supply Chain, einschließlich der wachsenden Zahl von Third-Party-Anbietern wie Service und Managed Service Provider, angreifen. Der Hacker-Angriff auf das Stuttgarter Staatstheater im Frühjahr 2019 kam über ein IT-Fernwartungssystem. Mit AV (Antiviren-Programmen) sei dem nicht beizukommen, im Gegenteil, „AV sucks“, so Werner, denn strikt nach den Compliance-Vorschriften gehend würden sich die Unternehmen auf die versprochene Sicherheit zu sehr ausruhen. EDR oder XDR von Trend Micro könne Angriffe auch nicht alle abwehren, aber frühzeitig erkennen und beheben. Schutz alleine reiche nun mal nicht, es müsse auch die sofortige Response folgen.
Trend Micro allein habe 2018 rund 40 Milliarden Angriffe geblockt. Ein Problem, das viele hippe Unternehmen gar nicht erkennen oder wahrhaben wollen, sind Einfallstore durch Homeoffice. Ein anderes ist die rasante Zunahme von sogenannten Fileless Threats, dateilosen oder „Tarnkappen“-Angriffen, die mit traditionellen AV-Lösungen gar nicht aufzuspüren sind, weil sie im RAM-Speicher stattfinden. Einer der bekanntesten war wohl „Operation Cobalt Kitty“ der angeblich in Vietnam gegründeten OceanLotus Group 2017. Laut BR soll dieser es im Auftrag von Hanoi im Frühjahr 2019 auch gelungen sein, mit einem „Cobalt Strike“ in das Netzwerk von BMW einzudringen.
Quelle Titelbild: iStock / gremlin