Man kann die drei großen Cyberattacken in den letzten Wochen des alten Jahres getrost als Warnschuss für 2021 verstehen. Denn die Online-Angriffe auf die europäische Arzneimittelagentur EMA, mehrere US-Ministerien sowie den IT-Dienstleister Solarwinds demonstrierten exemplarisch die gefährlichsten Hackerstrategien, die Unternehmen, Behörden und Private im neuen Jahr auf dem Radar haben müssen.
Das sind die wichtigsten Cybersecurity-Trends, vor denen sich IT-Sicherheitsverantwortliche in Unternehmen und private Computer-, Smartphone- und Internetnutzer in 2021 schützen müssen:
Zweifele an Deinen Freunden
Die Netzwerkmanagement-Software Orion des amerikanischen IT-Dienstleisters SolarWinds ist ebenso nützlich wie beliebt: Zehntausende Unternehmen und Behörden weltweit setzen das Programm ein, um ihre IT-Systeme zu verwalten. Und weil SolarWinds als vertrauenswürdiger Hersteller gilt, installieren viele seiner Kunden Programmupdates ohne großen zusätzlichen Schutzaufwand auf ihren Rechnern und Routern. Genau diese Vertrauensseligkeit haben die Verursacher jenes Angriffs genutzt, der kurz vor den Weihnachtstagen in den USA bekannt wurde – vermutlich aber mindestens bereits seit März vergangenen Jahres lief.
Offenbar ist es den Angreifern gelungen, eigenen Schadcode in eines der Orion-Updates einzuschleusen und diesen dann – sozusagen huckepack mit den vermeintlich vertrauenswürdigen Updates – bei den Kunden von SolarWinds zu platzieren. Der inzwischen als „Sunburst“ bezeichnete Großangriff war so erfolgreich, dass sich Spuren davon in US-Institutionen wie dem Finanzministerium, der Telekommunikationsbehörde und selbst in den Rechnersystemen der US-Atomwaffenbehörde fanden.
Auch der Softwarekonzern Microsoft meldete inzwischen, dass Angreifer sogar in speziell geschützte Netzbereiche eingedrungen seien. Sie hätten dort den Quellcode von Microsoft-Anwendungen einsehen können. Dass die Angreifer die Programme auch verändert hätten, scheine aber eher unwahrscheinlich.
Derartige Umwegsangriffe heißen in der Szene „Supply-Chain-Attacken“, weil sie nicht direkt auf die eigentlich angepeilten Opfer zielen, sondern zunächst auf deren Zulieferer. Die sind häufig weniger gut geschützt. Wegen des großen Aufwands und des zeitlichen Vorlaufs gehen Experten davon aus, dass hinter solchen Attacken entweder staatliche Hacker oder von staatlichen Stellen oder kriminellen Organisationen unterstützte Cyberangreifer stecken.
Sie verfolgen oft konkrete Spionage- oder Sabotageziele. Wegen der enormen Streuwirkung dieser Angriffe öffnen sie mit etwas Zeitverzug auch anderen Angreifern den Zugang in eine Vielzahl von Firmennetzen. Denn ihr Wissen um die entsprechenden Schwachstellen und die Hintertüren in die IT-Systeme der übrigen Betroffenen versilbern auch die staatlichen Akteure oder die organisierten Cybergangster irgendwann auf dem Schwarzmarkt im Internet.
Schütze Dich vor den Pandemiefolgen im Netz
Erst nutzten Hacker die Coronapandemie nur für eine weitere Flut von Phishing-Attacken. E-Mails mit angeblichen Infektionswarnungen vor oder Behandlungstipps gegen das Virus fluteten millionenfach die elektronischen Postfächer mit dem Ziel, Passwörter, Nutzernamen oder Kontoverbindungen zu stehlen. Inzwischen aber begnügen sich die Kriminellen nicht mehr mit dem schlichten Diebstahl von Nutzerdaten.
Nicht nur, aber eben auch im Zusammenhang mit der Pandemie, setzen sie nun zunehmend auf zielgerichtete Attacken. Die sind zwar technisch aufwendiger, aber weit lukrativer. Und sie werden, auch dank der Professionalisierung und zunehmenden Arbeitsteilung in der digitalen Schattenwirtschaft, für die Angreifer immer billiger.
Attacken, wie jene auf die EU-Medikamentenbehörde EMA Anfang Dezember, belegen, dass es den Angreifern auch um konkrete Forschungs- und Studienergebnisse geht: Etwa bei der Entwicklung oder beim Test von Corona-Impfstoffen. Das rechnet sich auch dann, wenn die Angreifer nicht direkt im Auftrag von konkurrierenden Unternehmen handeln. Denn sowohl die Studiendaten als auch das sensible Firmenwissen lassen sich anschließend mit weit größerem Gewinn weiterverkaufen, als die bei ungerichteten Phishing-Attacken erbeuteten Nutzerdaten.
Auch im Fall der EMA, darauf deuten erste Ermittlungsergebnisse hin, dürfte es sich um eine gezielte Attacke gehandelt haben. Bei der haben die Angreifer mit großem Aufwand erst den Rechner eines Mitarbeiters im Homeoffice infiltriert und dann über diesen die internen IT-Systeme der Behörde erreicht.
Auch fernab von Coronaimpfstoffen oder Pandemiebekämpfung aber gilt: Dass die Hacker-Taktik zielgerichteter Angriffe immer mehr Unternehmen bedroht, ist auch eine Folge der Viruspandemie. Schließlich hat der damit verbundene Umzug von Millionen Bürobeschäftigten ins Homeoffice die Rechnernetze vieler Konzerne, Mittelständler und Behörden höchst anfällig für Cyberattacken gemacht. Denn klassische IT-Sicherheitsstrategien, die primär darauf abzielten, Firmennetze gegen Eindringlinge zu sichern, Schadprogramme aus E-Mails zu filtern, oder Externen schlicht den Zugriff auf interne Rechner zu verwehren, sind in Coronazeiten überholt.
In dem Maße, wie Homeoffice und mobiles Arbeiten die Grenzen der abgeschotteten Firmen-IT gesprengt haben, müssen Firmenverantwortliche nun ihre Sicherheitskonzepte ans dezentrale Arbeiten anpassen. Sie müssen neue Schutzstrategien etablieren, die weit früher ansetzen als erst bei der Firewall im internen Rechenzentren.
Denn auch hier passt die Corona-Analogie: Unternehmen, die bei der Cyberhygiene schludern, sind den Hackern und der digitalen Pandemie schutzlos ausgeliefert.
Und nicht bloß dort.
Traue keinem Algorithmus
Viele können das Kürzel „KI“ kaum mehr hören: Als Megatrend der Digitalisierung hat die „Künstliche Intelligenz“ genauso Konjunktur, wie als Marketing-Schlagwort in den Werbebotschaften von Unternehmen. Wer etwas auf sich hält, macht in KI. Und das gilt auch unter Cyberkriminellen.
Immer öfter stoßen IT-Sicherheitsforscher bei der Analyse von Online-Angriffen auf Schadprogramme, die beispielsweise selbstständig in der Lage sind, Schutz-Software auszuschalten oder zu stören. Ende 2020 etwa veröffentlichte der Sicherheitsdienstleister Trend Micro eine gemeinsam mit Fachleuten der UN und von Europol erarbeitete Analyse, die zeigt, wie Cyberkriminelle KI schon heute nutzen. Und sie zeigt auch, welche künftigen Einsatzmöglichkeiten sich für Hacker bereits abzeichnen.
Als eine der größten Bedrohungen gilt die Manipulation von Algorithmen, die Unternehmen in immer mehr digitalen Geschäftsprozessen nutzen. Das reicht von der Bonitätsprüfung beim E-Commerce und der Kalkulation von Versicherungspolicen bis zur Vergabe von Krediten. Oftmals trainieren sich die Programme selbst, sodass kaum mehr nachvollziehbar ist, auf Basis welcher mathematischen Modelle die Software einzelne Entscheidungen trifft.
Damit wächst nicht bloß das Risiko, dass sich die Programme unerwünschte Strategien antrainieren, wie etwa Frauen oder Ausländer bei Bewerbungen systematisch zu benachteiligen. Hacker können die Algorithmen gezielt manipulieren und sich so beispielsweise Vorteile bei der Vergabe von Aufträgen oder günstigere Konditionen beim Einkauf verschaffen. 2021 wird das Jahr, in dem KI und maschinelles Lernen zum Alltagswerkzeug von Cyberkriminellen werden und KI-basierende Softwareschädlinge im Netz zum Allgemeingut.
Schütze Dich vor Erpressern
Behörden, Maschinenbauer, Kanzleien, Versorger – die Liste der Firmen, die Opfer von Erpressungsprogrammen wurden, ist 2020 ungebremst gewachsen. Zuletzt traf es im Dezember die Funke Mediengruppe, deren wichtigste Zeitung, die Westdeutsche Allgemeine Zeitung (WAZ) mehrere Tage nur im Notbetrieb produziert werden konnte. Laut dem jüngst veröffentlichten Ransomware Report des Sicherheitsdienstleisters Datto haben sich alleine die Kosten durch Systemausfälle gegenüber 2019 knapp verdoppelt und gegenüber 2018 sogar versechsfacht.
Auch hier schlägt sich das Coronavirus, zumindest indirekt, in der Statistik nieder: Ganz besonders gefährdet, so die Analyse, sei der Gesundheitssektor. Denn speziell in Krankenhäusern könnten IT-Ausfälle nach Erpressungsangriffen nicht bloß ökonomische, sondern sogar lebensbedrohliche Folgen haben. Aber auch in anderen Branchen meldeten Unternehmen zusätzliche IT-Risiken durch Corona: So habe die Zunahme von Arbeit im Homeoffice bei mehr als der Hälfte der befragten Firmen zu einem merklichen Anstieg von Angriffen mit Erpressungssoftware geführt.
Zwar wächst inzwischen auch die Sensibilität für Attacken. Und zumindest bei Nachrichten unbekannter Herkunft und zweifelhaften Inhalts klicken immer weniger Menschen blindlings auf jeden (potenziell verseuchten) Dateianhang.
Andererseits sind die Cyberkriminellen zunehmend in der Lage, selbst Massen-E-Mails mit Erpressungsprogrammen mit der korrekten Anrede oder Adresse zu versehen, oder den Versand der Nachrichten durch einen Bekannten vorzutäuschen. Möglich wird das durch die Masse der inzwischen auf den Darknet-Marktplätzen im Netz kursierenden Personendaten. Durch diese Personalisierung der Angriffe steigt die Wahrscheinlichkeit wieder, dass die Empfänger auf die Erpressertricks hereinfallen.
Der Dauerbrenner Ransomware bleibt für Firmen und Privatleute also auch 2021 eine digitale Dauerbedrohung.
Mehr zum Thema: Digitalkonzerne stehen im Ruf, ihre Belegschaft nur aus Programmierern zu besetzen. Seit Kurzem aber holen sie zudem Geisteswissenschaftler an Bord. Kann das gut gehen?
