Keine IT-Umgebung ist unantastbar

bei

 / 18. October. 2019

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Unternehmen müssen sich die Bedeutung von durchdachter IT-Sicherheit stärker ins Bewusstsein rufen und aktuelle Malware-Trends beobachten

Wer als Verantwortlicher in einem Unternehmen glaubt, dass ihn nur ein Teil der Bedrohungen interessieren muss, die im Internet unterwegs sind, der irrt sich gewaltig. Es gibt keinen Zweig der IT-Sicherheit, der für sich alleine dasteht und isoliert betrachtet, sowie behandelt werden kann. Ebenso wenig reicht es aus, ein Schutzprogramm alleine hochzufahren, um einen Bereich abzudecken, der besonders empfindlich erscheint und die restlichen zu vernachlässigen, als wären sie unantastbar. Keine IT-Umgebung ist immun gegen Angriffe von kriminellen Kräften. Kein Angriffsweg ist der einzige gefährliche und keine Methode die allein bedrohliche. Natürlich kann ein Unternehmen sagen: „Was gehen mich die Cloud-Bedrohungen an? Ich betreibe ja nicht mal eine.“ Das bedeutet aber nicht, dass die IT-Sicherheit daher vernachlässigt werden darf, nur weil sich derzeit viel in der öffentlichen Debatte auf Angriffe gegen Cloud Computing konzentriert. Malware wird für alle möglichen Varianten von Angriffswegen geschrieben und Angriffswege können sich allen möglichen Gegebenheiten von Netzwerkaufbau und Speicherort der Daten anpassen. Sie schlagen dort zu, wo sie können – egal ob auf dem Server in der Firma, im Rechenzentrum, auf dem Mobiltelefon oder eben in der Cloud.

Der Mid Years Report von Check Point für das erste Halbjahr 2019 belegt deutlich, dass altbekannte Bedrohungen weiterentwickelt werden, während gleichzeitig neue Schadprogramme auf den Markt kommen. Die Kriminellen passen sich der Situation an, sie machen den digitalen Wandel mit und die IT-Sicherheit muss nachlegen, falls die Unternehmen nicht sehr bald den Kürzeren ziehen wollen.

Banken-Trojaner auf dem Vormarsch

Der Bericht deckt besonders auf, dass Banken-Trojaner zunehmend beliebter werden. Im Vergleich zum Vorjahr haben sich Angriffe dieser Art von Schädlingen um 50 Prozent erhöht. Mittlerweile ist Banken-Malware in der Lage, gezielt Zahlungsdaten, Anmeldeinformationen und Gelder zu stehlen. Neue Versionen stehen bereit für eine massive Verbreitung – und zwar durch jeden, der für sie auf dem Schwarzmarkt bezahlt. Interessant dabei ist vor allem, dass die drei häufigsten Banken-Trojaner schon den Großteil der Angriffe abdecken: Ramnit traf 28 Prozent der Unternehmen, Trickbot kam auf 21 Prozent und Ursnif bedrohte noch stattliche 10 Prozent der Firmen weltweit – die Top-3 sind bereits verantwortlich für 59 Prozent aller Angriffe mittels Banken-Trojaner.

Dieses Ergebnis führt uns deutlich vor Augen, wie moderne IT-Sicherheit aussehen muss: Kein Rundumschlag ins Blaue, keine Hoffnung auf die Unantastbarkeit irgendeiner Umgebung, oder der Glaube, dass man zu unwichtig sei, um ins Visier zu geraten; stattdessen eine gezielte Verteidigung, die so viel wie möglich abdeckt, aber besonders die Schadprogramme abwehrt, die am bekanntesten sind. Die Angreifer nämlich gehen sehr überlegt vor: In Italien kam Ramnit gezielt zum Einsatz, als die jährliche Steuerbescheinigung bevorstand und richtete große Schäden an. Die IT-Sicherheit muss darum ebenfalls durchdacht implementiert und ausgebaut werden. Letzten Endes ist nichts ärgerlicher, als das Opfer eines Cyber-Angriffes geworden zu sein und sich dabei eingestehen zu müssen, dass die Attacke über diesen speziellen Angriffsweg eigentlich leicht zu verhindern gewesen wäre: Weil die Malware und ihre Häufigkeit bekannt, sowie die Umstände, warum sie gerade jetzt zuschlug, einladend waren.

Regionale Eigenheiten

Der europäische Raum wurde besonders stark durch Krypto-Miner getroffen – obwohl Coinhive, einer der verbreitetsten Schädlinge, bereits im Frühjahr eingestellt wurde. Sie machten 19 Prozent aller Angriffe aus. Auf den vorderen Plätzen rangieren im Gebiet EMEA (Europe, Middle East, Africa) die Schadprogramme Cryptoloot mit 6,3 Prozent, Coinhive mit 6,0 Prozent und JSEcoin mit 5,3 Prozent. Bei ihnen handelt es sich um Malware, die einen Rechner infiziert und seine Leistung missbraucht, um heimlich Krypto-Währung wie BitCoin und Monero zu generieren. Das mag anfangs noch harmlos klingen, weil es keine Unternehmens-Daten gefährdet. Doch je mehr der Miner arbeitet, desto mehr Leistungs des Rechners nimmt das Schürfen in Anspruch, desto mehr Strom verbraucht der Computer und umso stärker sinkt die Rechenkapazität, die dem Unternehmen noch zur Verfügung steht. Ein Computer mag da verkraftbar sein; wenn sich aber der Miner im Netzwerk verbreitet und ein Bot-Netz von Minern aufbaut, dann lassen sich die Auswirkungen leicht absehen: Der Stromverbrauch und damit die Kosten steigen ins Unermessliche, die Mitarbeiter können ihre Rechner kaum zur Arbeit nutzen – und es liegt wohl eine Hintertür im System offen, denn irgendwie kam der Krypto-Miner hinein.

Dieses Schlupfloch können auch wesentlich gefährlichere Schädlinge ausnutzen – oder aber ein solcher hat sie geschaffen und befindet sich bereits auf den Firmen-Computern. Ein gutes Beispiel ist der Trojaner Emotet, der in Deutschland über viele Monate die Top-Malware-Rangliste von Check Point angeführt hatte, weil er die meisten Unternehmen hierzulande traf. Ursprünglich als Banken-Trojaner programmiert, wurde er nach einiger Zeit modifiziert und ist nun in der Lage – und vor allem dazu gedacht – Hintertüren für andere Malware zu öffnen. Dabei beherrscht die Malware außerdem eine Vielzahl von Ausweichfähigkeiten, um einer Entdeckung oder Entfernung möglichst lange zu entgehen. Emotet selbst prescht also vor, schlägt heimlich eine Bresche in das Sicherheitsnetz und macht den Weg frei für Krypto-Miner, Ransomware, Spionage-Programme und andere Bedrohungen.

Den größten Anteil an Angriffen macht aber in allen Regionen der Welt die Kategorie ‚Mobile‘ aus. Im Raum EMEA fallen 25 Prozent der Angriffe in diesen Sektor. Der gefährlichste Schädling ist hier Triada mit 38 Prozent. Dabei handelt es sich um eines der fortschrittlichsten Schadprogramme gegen Android-Smartphones. Im Jahr 2018 wurde Triada sogar auf einigen Smartphones als bereits ab Werk installiert entdeckt. Google veröffentlichte einen Bericht dazu, aus dem hervorging, dass Triada während des Produktionsprozesses der Mobilgeräte durch eine dritte Partei eingeschleust wurde.

Malware stirbt nicht aus

Was der Halbjahresbericht besonders hervorhebt: Eine Angriffsmethode taucht nicht auf, schlägt eine Zeit lang zu und verschwindet für immer von der Bildfläche. Die Bedrohungslandschaft erweitert sich täglich, sie schrumpft nicht. Alte Bekannte, wie DNS-Angriffe, DdoS-Attacken und klassische Remote-Access-Trojaner sind weiterhin im Einsatz und kommen in modifizierten Varianten erneut auf den Schwarzmarkt. Verschiedene Malware-Arten können also eine Zeit lang ruhen und plötzlich wieder auftauchen. Es wäre daher eine gefährliche Fehlannahme, zu glauben, dass eine Bedrohungsart erledigt wäre und in den Sicherheitsplanungen keine Rolle mehr spielen muss. Kein digitaler Schädling verschwindet endgültig. Das beweist unter anderem Emotet oder die neue Ransomware-Welle, die keineswegs nach der großen Attacke durch WannaCry besiegt wurde. Unternehmen müssen also neben aktuellen Patches, Updates und Überprüfungen der Richtlinien auch dafür sorgen, dass sie ein durchdachtes und dichtes Netz aus Sicherheitslösungen um ihre wertvollen Daten ziehen. Sie müssen gegen Angriffe auf Mobilgeräte ebenso gewappnet sein, wie gegen Attacken auf eine Cloud oder ein klassisches Server-Zentrum. Dabei kann keine Malware-Art – ob Ransomware, Spionage, Banken-Trojaner – priorisiert behandelt oder ein IT-Bereich vernachlässigt werden. Denn keine vernetzte Umgebung ist immun gegen kriminelle Attacken.

Dietmar Schnabel ist seit Januar 2013 Regional Director bei Check Point Software Technologies für den Raum Zentral-Europa. Er blickt auf mehr als 25 Jahre Berufserfahrung in führenden Positionen bei renommierten IT-Unternehmen zurück.