Tierney - stock.adobe.com
IT-Sicherheit 2021: KI, Ransomware, Fernarbeit und IoT
Der Faktor IT Security wird immer wichtiger, wenn es darum geht, den Geschäftsbetrieb eines Unternehmens aufrecht zu erhalten. Mit welchen Herausforderungen muss man 2021 rechnen?
Nun ist es ja nicht so, das Security-Teams in den Vorjahren richtig langweilig gewesen wäre, aber das Jahr 2020 hielt dann doch besondere Herausforderungen parat. IT-Strukturen und Arbeitsplätze mussten unter Zeitdruck an neue Gegebenheiten angepasst werden, sei es nun durch vermehrte Fernarbeit, beschleunigte Cloud-Migrationen oder gänzliche neue Abläufe.
Selbstredend sind die Bedrohungen, denen sich Unternehmen im Jahr 2021 ausgesetzt werden sehen, nicht gänzlich neuer Natur, sondern haben sich einfach weiterentwickelt oder an die veränderte Situation angepasst.
Ob nun durch vermehrte Cloud-Nutzung oder Arbeitsplätze im Home-Office, die Angriffsfläche von vielen Unternehmen hat sich schlicht vergrößert oder zumindest verändert. Und Angreifer sind sehr gut darin, sich an neue Gegebenheiten anzupassen und diese für ihre Zwecke auszunutzen. Bei all dem ist die Motivation häufig relativ banal – in vielen Fällen geht es schlicht ums Geld.
Werfen wir einen Blick auf die Security-Themen, die Unternehmen im Jahr 2021 beschäftigen werden und welche Einschätzungen renommierte Sicherheitsanbieter haben.
Fernarbeit, Home-Office und sichere Zugänge
Das Jahr 2020 hat die Arbeitssituation vielerorts deutlich umgekrempelt und zur Fernarbeit in bislang nicht dagewesenem Maße geführt. Und das Thema Remote Work wird Unternehmen weiterhin beschäftigen, inklusiver aller Security- und Datenschutzaspekte.
Dazu gehört sich an wichtiger Stelle die sichere Anbindung der Mitarbeiter. Dass immer mehr Unternehmen RDP- und VPN-Lösungen einsetzen, sorgt dafür, dass Angreifer dies als Ziele ausmachen. So rechnet Watchguard mit einer Verdoppelung derartiger Angriffe und betont, dass, wenn es Angreifern gelingt, ein VPN zu kompromittieren, der Sprung ins Unternehmensnetzwerk kaum aufzuhalten ist. Kein Wunder, dass jüngere Ansätze wie Zero Trust oder SASE (Secure Access Service Edge) hohe Aufmerksamkeit genießen.
Bei Forcepoint geht man davon aus, dass das Jahr 2021 zahlreiche Datenverluste offenbaren wird. Der ungeplante Umzug vieler Mitarbeiter im Home-Office im Jahr 2020 habe Unternehmen in Sachen Datensicherheit an ihre Grenzen gebracht. Die Unternehmen würden daher erst im Folgejahr registrieren, wie viele Daten sie dadurch verloren haben. Daher würde sie in 2021 dafür sorgen, dass ihre Daten überall geschützt sind und die Anwender ortsunabhängig sicher arbeiten können.
Im Home-Office ist der Anwender eines der Ziele von Angreifer. Demzufolge erkennen viele Unternehmen, dass gut geschulte Anwender in Aktivposten in Sachen Sicherheit sein können. Bei unserer Umfrage hinsichtlich der IT-Prioritäten stand das Thema Schulung von Endanwendern dann auch bei vielen Befragten weit oben auf der Prioritätenliste. So sind nach Aussage von Lucy Security die meisten erfolgreichen Cyberattacken auf Social Engineering zurückzuführen.
Für Unternehmen sei es daher noch wichtiger als bisher, die Mitarbeiter nicht nur fortlaufend zu sicherheitsrelevanten Themen zu schulen, sondern auch eine offene, wertschätzende Unternehmenskultur zu etablieren. Diese müsse von einem konstruktiven Umgang mit Fehlern geprägt sein.
Ransomware – die Bedrohung wächst und verändert sich
Schadsoftware, die beispielsweise Daten in erpresserischer Absicht verschlüsselt, gehört zu den Bedrohungen für Unternehmen, die seit Jahren eine der größten Gefahren darstellen. Nicht alle erfolgreiche Angriffe landen in den Medien, aber auch 2020 wurden zahlreiche Unternehmen in unterschiedlichsten Branchen in ihren Geschäftsbetrieb empfindlich durch Ransomware beeinträchtigt. Die Angriffe erfolgen immer gewiefter und gezielter, so dass es den Kriminellen gelingt, ein Einfallstor ins Unternehmen zu finden.
Ein Ransomware-Trend für das Jahr 2021, das die Kriminellen hinsichtlich der Lösegeldforderungen zweigleisig fahren. Nunmehr sollen Unternehmen häufig nicht nur dafür bezahlen, dass sie wieder Zugriff auf ihre verschlüsselten Daten erhalten. Es wird zudem auch noch mit der Veröffentlichung sensibler Informationen gedroht, wenn keine Zahlung erfolgt – Stichwort Doxing.
Die Sicherheitsexperten von Sophos nennen in diesem Zusammenhang als Beispiele für derlei Schadsoftware die Ransomware-Familien Maze, RagnerLocker, Netwalker und REvil. Die Security-Forscher von Kaspersky gehen davon aus, dass sich die Beträge erhöhen, die potentielle Opfer als Gegenleistung für die Nichtveröffentlichung bezahlen sollen. Die Erpressungsversuche würden dabei sowohl per Ransomware als auch mittels DDoS-Angriffen erfolgen.
KI, maschinelles Lernen – Chancen und Risiken
Betrachtet man Umfragen, in denen Unternehmen zur Nutzung von künstlicher Intelligenz (KI) in ihrer Organisation befragt werden, dann fallen die Antworten meist sehr zurückhaltend aus. Zumindest im Bereich der eigenen IT-Sicherheit dürfte es kaum ein Unternehmen geben, dass keine Produkte verwendet, die mehr oder weniger künstliche Intelligenz oder maschinelles Lernen einsetzen.
Und das mit gutem Grund: Ohne derlei Technologien lässt sich der der Umgang mit der Anzahl der Bedrohungen kaum noch stemmen. Und auch die Erkennung neuer Gefahrenlagen bedarf dieser Techniken. Künstliche Intelligenz wird ein wichtiger Faktor bei der Prävention, der Erkennung und nicht zuletzt auch bei der richtigen Reaktion bei Sicherheitsvorfällen.
Nach Ansicht der Sicherheitsexperten von Fortinet aus den FortiGuard Labs wird die Hauptaufgabe des Menschen darin bestehen, dafür zu sorgen, dass die Sicherheitssysteme genügend Informationen erhalten. Damit könnten die Lösungen Angriffe nicht nur aktiv abwehren, sondern auch voraussehen und damit verhindern.
Cyberkriminelle sind traditionell sehr gut darin, sich Technologien für ihre wenig redlichen Zwecke zunutze zu machen. Da machen künstliche Intelligenz und maschinelles Lernen keine Ausnahme. Bei Angriffen werden diese Verfahren auf mannigfaltige Weise eingesetzt. Etwa für die Optimierung von Phishing-Kampagnen oder die Verbesserung und Anpassung von Schadsoftware.
Und auch der noch relativ jungen Bedrohung durch Deepfakes liegt KI-Technologie zugrunde. Hier steht zu befürchten, dass gezielte Angriffe mit Deepfakes, etwa Telefonanrufe mit der Stimme des Vorgesetzen, künftig zunehmen werden.
Und Angreifer wissen natürlich auch, das KI-basierte Lösungen in Unternehmen an unterschiedlichsten Stellen eingesetzt werden und greifen diese gezielt an. In diesem Fall wird versucht Daten zu „vergiften“. Dabei füttern Kriminelle KI- oder ML-Lösung mit unzulässigen Daten.
Das kann dazu führen, dass die Lösung falsche oder ungenaue Ergebnisse liefert. Sicherheitsexperten sprechen in diesem Fall auch von „Data Poisoning“.
Bei Netskope geht man davon aus, dass 2021 zunehmend KI/ML-spezifische Bedrohungen auftauchen werden. Dabei gehe es dann beispielsweise um die „Vergiftung“ von Trainingsdatensätzen und um die Korruption von Modellen.
Lösungen, die KI einsetzen, würden sich häufig Cloud-basierter Datensätze bedienen, daher sei Transparenz und Sicherheit außerhalb der traditionellen IT-Umgebung von großer Bedeutung. Wenn ein Unternehmen beispielsweise eine KI-basierte Lösung zur Betrugserkennung einsetzt, könnten Angreifer diesem Produkt Daten zuspielen, die es der Software unmöglich machen, die betrügerische Aktivität aufzuspüren. Nach Ansicht von ForgeRock könnte es im Jahr 2021 notwendig werden, eine separate KI zu verwenden, um Integritäts- und Sicherheitsprüfungen an Daten durchzuführen, die von der ursprünglichen KI-Software gesammelt wurden.
Und wie Forcepoint zu Bedenken gibt, treffen IT-Sicherheitslösungen auf Basis von KI-Algorithmen automatisierte Entscheidungen. Diese Algorithmen agierten aber als eine Art Black Box, so dass sich Entscheidungen nur sehr schwer bis gar nicht verifizieren lassen. Daher müssten Machine Learning und Data Analytics genau geprüft und gesellschaftlich diskutiert werden.
Wie erwähnt, unterstützen KI-basierte Lösungen Sicherheitsteams, die allein der Flut der Bedrohungen nicht mehr Herr werden können. Der Bedarf an Security-Fachleuten ist nach wie vor hoch und das Angebot wird allgemein als überschaubar betrachtet. Das führt zwangsläufig dazu, dass Unternehmen, wann immer es sinnvoll möglich ist, danach streben, Aufgaben zu automatisieren und entsprechende Lösungen einzusetzen. Jede Aufgabe, die selbständig von einem System erledigt werden kann, entlastet die IT-Abteilung ein Stück weit.
Cloud-Sicherheit hat Nachholbedarf
Die veränderte Situation hat dafür gesorgt, dass die Verlagerung von Anwendungen und Daten in die Cloud vermutlich vielerorts beschleunigt wurde. Damit geht selbstredend eine Veränderung für die Sicherheitsstrategie einher, denn Daten und Anwendungen wollen entsprechend geschützt werden. So ist es nach Ansicht des TÜV Süd unabdingbar, dass die Sicherheit der Cloud-Lösungen mit Penetrationstests regelmäßig auf Schwachstellen abgeklopft werden.
Laut Netskope wird künftig die Inventarisierung von in der Cloud-verwalteten Anwendungen der Infrastruktur automatisiert werden. Dadurch würden gleichfalls die Datensicherheit und der Datenschutz automatisiert.
Ein Allheilmittel zur Absicherung der Cloud dürfte noch nicht gefunden sein. Aber viele jüngere Ansätze versprechen IT-Abteilungen zu unterstützen. Cloud Access Security Broker (CASB), Cloud Security Posture Management (CSPM) und Cloud Workload Protection (CWPP) sind drei vielversprechende Konzepte, um den Schutz der Cloud zu verbessern.
Vernetzung, IoT und Lieferketten im Visier der Angreifer
Gerade in der produzierenden Industrie werden viele Geräte vernetzt, die nicht zum traditionellen IT-Segment gehören, meist unter den Begriffen IoT beziehungsweise IIoT zusammengefasst. Das dies die Angriffsfläche der Unternehmen signifikant vergrößert, da es um die Sicherheit der entsprechenden Lösungen meist sehr unterschiedlich bestellt ist, stellt für IT-Abteilungen eine andauernde Herausforderung dar.
Nach Ansicht des TÜV Süd gelte es die Entwicklung und Absicherung zu standardisieren. Die zunehmende Vernetzung findet nicht nur technisch ab, sondern auch Prozesse laufen dann darauf sehr verzahnt, beispielsweise bei Lieferketten.
Auch hier genügt meist ein kleines Einfallstor, um für den Geschäftsbetrieb erhebliche negative Folgen zu riskieren. Fortinet geht davon aus, dass Cyberkriminelle erhebliche Ressourcen aufbringen werden, um neu entstehende Edge-Umgebungen anzugreifen, auch im Bereich OT (Operational Technology). Laut Fortinet sei es einer der größten Vorteile für Cyberkriminelle, dass viele Unternehmen die zentrale Sicherheit und einheitliche Kontrolle zugunsten von Leistung und digitaler Transformation geopfert hätten.
Tenable geht davon aus, dass es künftig keine OT ohne IT geben werde. Dementsprechend sei der Schutz der konvergierten Umgebungen entscheidend. Die IT sei zunehmend das Einfallstor für Angriffe auf sensibel OT-Umgebungen und umgekehrt. Wenn im Jahr 2021 voraussichtlich 5G-fähige-Geräte in größerer Anzahl in der Fläche in Betrieb genommen werden, dürfte das Thema der Security der Vernetzung um eine weitere Variable mit Handlungsbedarf erweitert werden.