Die Gefahr wächst

Das droht Ihnen 2020

08.01.2020
Von 
Michael Nadeau ist Senior Editor bei unserer US-Schwesterpublikation CSO Online. Zuvor arbeitete er bereits als Redakteur und Buchautor. Darüber hinaus unterstützte er Unternehmen dabei, das Maximum aus ihren ERP-Systemen zu holen.

Sicherheitsrisiken durch Zulieferer

Große Unternehmen, aber auch Mittelständler hätten in jüngster Zeit Sicherheitsvorfälle erlebt, die von externen Produkt- oder Servicelieferanten ausgingen, heißt es bei Kaspersky. Die meisten Unternehmen gewähren ihren Lieferanten einen einfachen oder sogar einen privilegierten Zugang zu ihren Netzen. Wie ein Marktforschungsergebnis von One Identity zeigt, sind sich nur 22 Prozent völlig sicher, dass die Third Parties nicht unautorisiert Informationen abgreifen. 18 Prozent berichten sogar von einem Sicherheitsvorfall, der auf Partner zurückzuführen gewesen sei.

Die Kaspersky-Studie zeigt, dass heute sowohl kleine und mittlere Unternehmen (KMUs) als auch Konzerne von Drittanbietern verlangen, Sicherheitsvereinbarungen zu unterzeichnen: Drei von vier KMUs und 79 Prozent der Großunternehmen nutzen diese Möglichkeit. So erhalten sie sich die Chance auf Schadenersatz, wenn dem Partner ein Verstoß nachgewiesen werden kann. Firmen, die eine solche Policy vereinbart haben, erhielten zu 71 Prozent eine Vergütung, wenn etwas vorgefallen war. Dagegen liegt die Erfolgsquote jener Betriebe ohne eine solche Vereinbarung nur bei 22 Prozent.

2020 beschleunigt sich der Trend, wonach sich Unternehmen digital mit ihren Lieferanten und Partnern verbinden. Damit steigt das Risiko, aber auch das Bewusstsein dafür. Dennoch bleibt es gefährlich, denn auch die Angreifer nutzen derartige Szenarien immer raffinierter aus.

"Vor kurzem haben wir entdeckt, dass neue Gruppen wie BARIUM oder APT41 ausgeklügelte Supply-Chain-Angriffe gegen Software- und Hardwarehersteller ausgeführt haben, um sich Zugang zu sicheren Infrastrukturen in aller Welt zu verschaffen", berichtet Galov.

Zwei besonders anspruchsvolle Angriffe dieser Art waren 2017 und 2019 aufgedeckt worden, sie richteten sich gegen CCleaner und ShadowPad. Weitere Attacken betrafen mehrere Glücksspielunternehmen. Da in solchen Fällen die Akteure oft Hintertürchen hinterlassen, behalten sie die Möglichkeit, zurückzukehren und noch mehr Schaden anzurichten.

Unternehmen sollten wissen, wer Zugriff auf ihre Netzwerke hat und sicherstellen, dass diese Parteien nur die Berechtigungen besitzen, die sie wirklich benötigen. Es sollten für den Zugriff Dritter außerdem Richtlinien für die Kommunikation und die Durchsetzung von Regeln vorhanden sein. Am besten, die Firmen haben individuelle Sicherheitsrichtlinien für alle Drittanbieter vereinbart, in denen Erwartungen, Verantwortlichkeiten und Verhaltensregeln bei einem Vorfall festgeschrieben sind.

"Die beste Möglichkeit, sich vor solchen Angriffen zu schützen, besteht darin sicherzustellen, dass auch die Partner hohe Cybersicherheits-Standards einhalten", sagt Galov. "Wenn Drittanbieter Zugang zu interner Infrastruktur oder Daten erhalten, sollten vor einer solchen Integration Richtlinien für Cybersicherheit festgelegt werden."

5G treibt DDoS-Attacken

Angriffe, bei denen Server oder sonstige Komponenten im Netzwerk aus vielen Quellen adressiert, gezielt überlastet und schließlich außer Gefecht gesetzt werden (DDoS = Distributed Denial of Service), nehmen zu. 42 Prozent der großen Unternehmen und 38 Prozent der KMUs waren 2019 betroffen, heißt es im Kaspersky-Bericht. Dabei lernen die Angreifer schnell dazu, Abwehrmaßnahmen auszutricksen, und werden immer effektiver.

Im September berichtete Akamai beispielsweise über einen neuen DDoS-Vektor: Mit dem Multicast-Discovery-Protokoll "Web Services Dynamic Discovery" (WSD) lokalisieren und kompromittieren Angreifer falsch konfigurierte, mit dem Internet verbundene Geräte im großen Maßstab, um das Ausmaß ihrer DDoS-Angriffe auszudehnen.

2020 dürften DDoS-Angriffe dank der Ausbreitung des 5G-Mobilfunkstandards und der Vielzahl der IoT-Geräte ein Thema bleiben. Laut Galov werden kritische Infrastrukturen wie Wasserversorgung, Stromnetze, militärische Einrichtungen und Finanzinstitute durch verschiedenste Digitalisierungseinflüsse angreifbarer. "Das erfordert neue Sicherheitsstandards, außerdem bringt die höhere Geschwindigkeit von Netzverbindungen neue Herausforderungen mit sich, wenn es gilt, DDoS-Angriffe zu verhindern."

Unternehmen sollten alle mit dem Internet verbundenen Geräte auf Fehlkonfigurationen und nicht gepatchte Schwachstellen hin überprüfen. Das hilft allerdings nicht gegen Risiken, die von privaten Endgeräten ausgehen. Webcams oder Videoüberwachungssysteme sind oft in Botnetze eingebunden, von denen DDoS-Angriffe ausgehen. Die Besitzer wissen nichts davon.

Anwendungsschwachstellen

Veracode stellt in seiner Studie "State of Software Security Vol. 10" fest, dass 83 Prozent von 85.000 getesteten Anwendungen mindestens eine Sicherheitslücke enthalten. Insgesamt wurden zehn Millionen Fehler gefunden, was verdeutlicht, wie hoch die Fehlerdichte in vielen Anwendungen tatsächlich ist. Dies bietet Angreifern jede Menge Möglichkeiten für das Ausnutzen von Zero-Day-Schwachstellen und sonstigen Fehlern.

Die Studienautoren sehen aber auch positive Signale. Besonders große Schwachstellen werden heute schneller gefunden und gefixt als früher. Als Plus wird auch gesehen, dass inzwischen viele Unternehmen einen DevSecOps-Ansatz mit häufigem Scannen und Testen von Software verfolgen und so die Zeit bis zur Fehlerbehebung stark verkürzen konnten.

Trotz der Bemühungen der Sicherheits- und Entwicklungsteams werden sich aber auch 2020 Schwachstellen in die Software einschleichen. "Die meisten Softwareprodukte sind heute sehr unsicher. Das wird sich auch 2020 fortsetzen, vor allem bei Anwendungen, die Code aus Open-Source-Bibliotheken verwenden", warnt Chris Wysopal, Mitbegründer und CTO von Veracode.

"Wir haben 2019 einige positive Signale im Bereich der Anwendungssicherheit gesehen. Unternehmen konzentrieren sich zunehmend darauf, Sicherheitsschwachstellen nicht nur zu finden, sondern auch gleich zu beheben und solche Fehler zu priorisieren, die für sie am gefährlichsten sind", sagt Wysopal. "Unsere Daten deuten darauf hin, dass das Auffinden und Beheben von Schwachstellen genauso zu einem Teil des Softwareentwicklungs-Prozesses wird wie die Verbesserung der Funktionalität."

Unternehmen sollten ihre Anwendungen in hoher Frequenz scannen und testen, außerdem sollten sie ihre Arbeiten priorisieren und den besonders kritischen Fehlern Vorrang bei der Behebung geben. Wysopal fordert die Unternehmen auch auf, Schwachstellen umgehend zu beseitigen und keinen Berg von Problemen entstehen zu lassen, da damit die Angreifbarkeit ständig zunimmt.