Dieser Post ist Teil einer fortlaufenden Blog-Reihe, in der „Sichere Fakten“ (mit hoher Wahrscheinlichkeit eintreffende Vorhersagen) und „Vermutungen“ (mit geringerer Wahrscheinlichkeit eintreffende Vorhersagen) hinsichtlich der Cybersicherheit 2017 untersucht werden.

Das wird sich unserer Meinung nach 2017 in der Bedrohungslandschaft tun:

Sichere Fakten

Verlagerung des Ransomware-Geschäftsmodells auf neue Plattformen

Wie wir bereits in unserem Mai-Bericht erläutert haben, ist Ransomware kein Malware-Problem, sondern ein kriminelles Geschäftsmodell. Malware dient in der Regel als Mechanismus, mit dem Angreifer den Zugriff auf Systeme blockieren, und ist lediglich Mittel zum Zweck. Wie wir in unserem Bericht beschrieben haben, muss es Cyberkriminellen für einen Ransomware-Angriff gelingen, fünf Schritte erfolgreich ausführen:

  1. Übernahme der Kontrolle eines Systems oder Geräts: Dabei kann es sich um einen einzelnen Computer, ein Mobiltelefon oder ein beliebiges anderes System handeln, auf dem sich Software ausführen lässt.
  2. Blockierung des Zugriffs für den Besitzer: Dies ist durch Verschlüsselung, Sperrbildschirme oder selbst einfache Panikmache möglich, was später in dem Bericht beschrieben wird.
  3. Benachrichtigung des Besitzers, dass der Zugriff auf das Gerät blockiert wurde, unter Angabe der zu zahlenden Lösegeldsumme und der Zahlungsmethode: Obgleich dieser Schritt offensichtlich erscheinen mag, ist zu bedenken, dass Angreifer und Opfer häufig unterschiedliche Sprachen sprechen, in unterschiedlichen Ländern ansässig sind und äußerst unterschiedliche technische Möglichkeiten haben.
  4. Empfang der Lösegeldzahlung vom Besitzer des Geräts: Wenn der Angreifer das Lösegeld nicht unerkannt empfangen kann, war der Aufwand der ersten drei Schritte vergebens.
  5. Vollständige Freigabe des Geräts für den Besitzer nach Erhalt des Lösegelds: Natürlich könnte ein Angreifer die von ihm blockierten Geräte nach Erhalt des Lösegelds nicht wieder frei schalten. Damit würde jedoch die Methode auf lange Sicht wirkungslos. Niemand zahlt Lösegeld, wenn er nicht sichergehen kann, dass er seine Wertsachen zurückerhält.

Das Ransomware-Geschäftsmodell kann für jegliche Geräte, Systeme oder Daten genutzt werden, bei denen sich alle fünf Schritte ausführen lassen. Auf der im August 2016 abgehaltenen DEFCON 24 demonstrierten Forscher von Pen Test Partners die Übernahme eines über das Internet verbundenen Thermostats und das Blockieren der Steuerelemente. Anschließend zeigten sie auf dem Thermostat eine Nachricht mit einer Lösegeldforderung in Höhe eines Bitcoins an (Abbildung 1).

Abbildung 1: Lösegeldforderung auf einem mit dem Internet verbundenen Thermostat auf der DEFCON 24

Während es sich hierbei nicht um einen Live-Angriff handelte, wird es 2017 auf mit dem Internet verbundenen Geräten mit Sicherheit ähnliche Anzeigen geben. Ziel von Cyberkriminellen ist es, Geld zu machen. Wenn sie die Kontrolle über ein Gerät erlangen können, ist dies nur dann wirklich nützlich, wenn sie daran auch verdienen. Die Kontrollübernahme eines mit dem Internet verbundenen Kühlschranks wird wohl kaum profitable Daten bringen, aber auch das Blockieren der Kühlschrankfunktionen kann äußerst rentabel sein. Dies gilt für fast alle mit dem Internet verbundenen Geräte, solange sich damit alle der fünf oben aufgeführten Schritte ausführen lassen. Eine Lösegeldforderung über eine mit dem Internet verbundene Glühlampe zu kommunizieren, wäre hingegen schwierig, es sei denn, das Opfer kennt sich mit Morsezeichen aus.

Offenlegung politischer Informationen als neue Normalität

Ein Blick auf die Schlagzeilen 2016 macht deutlich, dass die Offenlegung politischer Informationen in den USA beträchtliche Auswirkungen auf die Vereinigten Staaten hatte. Wenn auch die US-Wahlen vorüber sind, werden derartige Sicherheitsverletzungen meiner Meinung nach auch in Zukunft auf der ganzen Welt auftreten.

An die Öffentlichkeit gelangende politische Informationen können mitunter für staatliche Akteure wünschenswert sein, aber für die Wählerschaft zur Gefahr werden. Bedenken Sie Folgendes:

  1. Aufgrund von jahrelangen Veröffentlichungen durch WikiLeaks und andere Quellen geht die Öffentlichkeit mittlerweile davon aus, dass derartige Informationen generell wahr sind. Während die bislang veröffentlichten Daten vermutlich authentisch waren, könnten missgünstige Akteure dies in Zukunft ausnutzen, um vertrauensvolle Wähler zu beeinflussen.
  2. Wenn manipulierte Informationen offengelegt werden, hat die verletzte Partei mitunter keine Möglichkeit, die Fälschung nachzuweisen. Während mit einer digitalen Signatur die Authentizität eines Dokuments belegt werden kann, bedeutet eine fehlende digitale Signatur nicht automatisch, dass ein Dokument nicht authentisch ist.
  3. Eine Regierungseinrichtung oder von der Regierung geförderte Organisation kann ausspionierte Informationen unter dem Deckmantel eines Hacktivisten veröffentlichen, ohne selbst mit der negativen Stimmungsmache in Verbindung gebracht zu werden. Selbst in Fällen, in denen stichhaltige Beweise dafürsprechen, dass eine Regierung hinter der Veröffentlichung der Informationen steckt, lässt sich dies häufig glaubhaft bestreiten.

Nehmen wir als Beispiel die Existenz privater Dokumente, in denen es um Verhandlungen zwischen den Nationen A und B geht, die von Nation C nicht befürwortet werden. Wenn Nation C ein offizielles Dokument mit den Details der Verhandlungen erhält und dieses in geänderter Form veröffentlicht, sodass Nation A erheblich bevorteilt wird, kann dies unter den Wählern in Nation C für eine derartige Empörung sorgen, dass die Verhandlungen scheitern. Um diese Angaben zu widerlegen, müssten die Nationen A und B die tatsächlichen Dokumente veröffentlichen, was die Verhandlungen ebenfalls erschweren könnte.

Ungeachtet Ihrer politischen Überzeugung oder Ihrer Meinung zur Transparenz der Regierungsarbeit ist es wichtig zu verstehen, wie bestimmte Parteien die gegenwärtige Lage missbrauchen können. Das Offenlegen politischer Informationen stellt eine Form von Informationsoperation dar, die Meinungsmacher wirkungsvoll nutzen können, ohne Gefahr zu laufen, dafür belangt zu werden. Die Vorkommnisse von 2016 werden mit hoher Wahrscheinlichkeit zur neuen Normalität.

Vermutungen

Starke Verbreitung sicherer Nachrichten-Apps infolge massiver E-Mail-Datenverluste

Nutzer sollten aus den 2016 erfolgten Datenverlusten und -offenlegungen zumindest folgende Lehre ziehen:

Schreiben Sie nichts in eine E-Mail, was Sie nicht auf der Titelseite der Zeitung sehen möchten.

Dies ist eine schwierig zu verinnerlichende Lektion, da E-Mails für die asynchrone Kommunikation heute fast weltweit gang und gäbe sind. Dennoch sollten wir uns die Erkenntnis zu Herzen nehmen.

Das Übertragen von Nachrichten per E-Mail, die nur für bestimmte Personen gedacht sind, ist mit zahlreichen Problemen verbunden. Die Nachrichten werden am Ziel oft automatisch unverschlüsselt angezeigt. Und selbst wenn sie verschlüsselt sind, hat der Absender in der Regel keine Kontrolle über die Sicherheit des Empfängersystems. Der Empfänger kann die E-Mail entschlüsseln und als einfachen Text speichern oder seine Verschlüsselungsschlüssel offenlegen. In den meisten Fällen werden die Nachrichten automatisch sortiert, katalogisiert und indexiert, sodass Benutzer mit nur temporärem Zugang vertrauliche Informationen per Schlüsselwort abrufen und an unbekannte Dritte weiterleiten können.

Vielleicht fragen Sie sich jetzt, ob Sie wieder zu den guten alten Telefonaten zurückkehren sollten, um private Nachrichten zu teilen. Dies ist keine schlechte Idee, wobei heute mittlerweile jeder Teenager cleverere Technologielösungen nutzt. Der besondere Clou von Snapchat ist beispielsweise, dass sich Nachrichten automatisch löschen, nachdem der Empfänger sie gelesen hat. Benutzer können auf diese Weise Nachrichten senden, ohne sich groß Sorgen machen zu müssen, dass sie mit anderen geteilt werden könnten. Es gibt mittlerweile zahlreiche sicherheitsorientierte Nachrichtensysteme wie TelegramWickrSignal und Allo mit End-to-End-Verschlüsselung und selbstlöschenden Nachrichten. Und obgleich noch immer die Möglichkeit besteht, Screenshots der Nachrichten zu erstellen, sind die Dienste dennoch oft erheblich sicherer als E-Mails.

Ob sie sich 2017 tatsächlich durchsetzen, ist eine Vermutung, da viele Benutzer noch immer die gewohnte E-Mail-Kommunikation bevorzugen. Wem die umfassenden Datenverluste und -offenlegungen der Vergangenheit jedoch eine Lehre waren, der wird nach alternativen Austauschmöglichkeiten seiner privaten Gedanken Ausschau halten.

Wie sehen Ihre Prognosen zur Cybersicherheit hinsichtlich unserer Bedrohungslandschaft aus? Teilen Sie Ihre Meinung mit uns und bleiben Sie auf dem Laufenden. In unserem nächsten Post dieser Reihe geht es um Vorhersagen zur Netzwerksicherheit.


Empfohlen

Produktübersicht

Übersicht der Plattformspezifikationen und Funktionen

  • 1539

Datenblatt PA-5200 Series

Die Palo Alto Networks® PA-5200 Series der Next-Generation Firewall-Appliances umfasst die Modelle PA-5280, PA-5260, PA-5250 und PA-5220. Sie eignet sich perfekt für Hochgeschwindigkeits-Rechenzentren, Internetgateways und Bereitstel- lungen von Dienstanbietern. Die PA-5200 Series stellt durch dedizierte Verarbeitung und Speicherung bis zu 68 Gbit/s Durchsatz für die wesentlichen Funktionsbereiche Netzwerk, Sicherheit, Threat Prevention und Management bereit.

  • 6084

Traps: Advanced Endpoint Protection

Palo Alto Networks Traps ersetzt traditionelle Antivirussoftware durch einen multimethodischen Schutzansatz. Dabei werden Endpunkte vor bekannten und unbekannten Malware-Angriffen und Exploits geschützt, bevor diese Schaden in einem System anrichten können. Mit Traps werden Sicherheitsverletzungen und Ransomware-Angriffe von vorne herein vermieden und nicht erst erkannt und behoben, nachdem bereits wichtige Ressourcen beschädigt wurden.

  • 16267

PA-800 Series

Die innovativen Firewalls der PA-800 Series von Palo Alto Networks umfassen die Modelle PA-820 und PA-850. Sie wurden zum Schutz von Zweigniederlassungen und mittelständischen Unternehmen entwickelt.

  • 5987

Datenblatt PA-3200 Series

Die Palo Alto Networks® PA-3200 Series der Next-Generation Firewalls umfasst die Modelle PA-3260, PA-3250 und PA-3220. Sie alle sind für die Bereitstellung mit Hochgeschwindigkeits-Internetgateways ausgelegt. Die PA-3200 Series schützt den gesamten Datenverkehr, einschließlich verschlüsseltem Datenverkehr, durch dedizier- te Verarbeitung und Speicherung für Netzwerke, Sicherheit, Threat Prevention und Management.

  • 5798

Datenblatt PA-3000-Series

Die PA-3000 Series mit innovativen Firewall-Appliances von Palo Alto Networks umfasst die Modelle PA-3060, PA-3050 und PA-3020. Sie alle sind für die Bereitstellung mit Hochgeschwindigkeits-Internetgateways ausgelegt.

  • 4699