Jährlich veröffentlicht der Sicherheitsbereich von IBM den X-Force Threat Intelligence Index, der die weltweit größten Bedrohungstrends auflistet. Welche das sind und wie X-Force Unternehmen hilft, Gefahren abzuwenden, verrät der Leiter der IBM Security X-Force, Charles Henderson, bei einem Pressegespräch in Wien. [...]
X-Force gehört dem IBM-Sicherheitsbereich an und besteht aus drei Säulen, erklärt dessen Leiter Charles Henderson. Diese sind X-Force-Red, das Incident-Response-Team und die Threat Intelligence Group. X-Force Red besteht aus Hackern, die gemäß ihrem Motto »hacking anything to secure every-thing« bei Kunden nach Schwachstellen suchen und deren IT-Systeme auf Herz und Nieren abklopfen. Das Incident-Response-Team nimmt seine Arbeit erst auf, wenn bei Unternehmen ein Angriff erfolgreich durchgeführt wurde und dann reicht dessen Rolle tatsächlich »vom technischen Experten bis hin zum Therapeuten und Erlöser«, wie Henderson durchaus ernst sagt. Dabei gehe es zunächst nicht so sehr darum, herauszufinden, was passiert sei und was man hätte besser machen können, so der X-Force-Chef, sondern schlicht ein Unternehmen möglichst schnell wieder funktionstüchtig zu machen. Zudem hilft dieses Team Unternehmen, sich auf den Tag eines erfolgreichen Angriffs vorzubereiten, indem es Anleitungen erstellt und die Response-Fähigkeiten der Firmen testet.
Die Threat Intelligence Group schließlich spürt alle Arten von Bedrohungen auf und erkennt frühzeitig Trends. Auf ihren Erkenntnissen fußt letztlich der jährlich erscheinende Threat Intelligence Index, in den natürlich auch die praxisnahen Erkenntnisse der beiden anderen Teams mit einfließen.
Wie der aktuelle Report zeigt, werden die Angreifer immer effizienter und optimieren laufend ihr Geschäftsmodell. Vor zwei Jahren benötigte ein Ransomware-Angriff vom ersten Zugriff auf das System bis zur Ausführung der Attacke zwei bis zweieinhalb Monate, heute ist diese Zeit auf knapp vier Tage geschrumpft. »Das ist ein Effizienzgewin von 94 Prozent seitens der Angreifer«, ist auch Henderson beeindruckt, der darauf verweist, dass derartige Effizienzsteigerungen auch in der optimierungsfreudigen IT-Branche Seltenheitswert haben.
Backdoors beliebt
Der Report zeigt zudem, dass sich im letzten Jahr Backdoors, die einen Fernzugriff auf Systeme ermöglichen, zur bevorzugten Angriffsmethode der Cyberkriminellen entwickelt haben. Ungefähr 67 Prozent dieser Backdoor-Fälle bezogen sich auf Versuche Ransomware zu installieren, bei denen Sicherheitsteams in der Lage waren, die Backdoors rechtzeitig zu erkennen, bevor die Ransomware installiert wurde. Der Anstieg der Backdoor-Nutzung kann teilweise auf ihren hohen Marktwert zurückgeführt werden. X-Force beobachtete, dass die kriminellen Akteure bestehende Backdoor-Zugänge für bis zu 10.000 US-Dollar verkaufen können. Gestohlene Kreditkartendaten werden im Vergleich dazu heute für weniger als 10 US-Dollar pro Karte verkauft.
Schwachstellen werden nicht zeitnah geschlossen
Henderson verweist darauf, dass viele Unternehmen selbst bekannte Schwachstellen nach wie vor nicht schließen (»patchen«) und so den Angreifern ihr Geschäft wesentlich erleichtern. Zwar ist das Verhältnis von bekannten Exploits zu Schwachstellen seit 2018 um zehn Prozentpunkte zurückgegangen, doch Cyberkriminelle haben mittlerweile Zugriff auf mehr als 78.000 bekannte Exploits, die sie natürlich nach wir vor ausnützen. Selbst mehr als fünf Jahren später stellen die Sicherheitslücken, die zu Infektionen mit WannaCry führten, immer noch eine erhebliche Bedrohung dar.
Neben der Ausnützung von Backdoors verzeichnet der Threat Intelligence Index die Kompromittierung von geschäftlichen E-Mails (Business E-Mail Compromise) sowie das Kapern von E-Mail-Konversationen (E-Mail-Thread-Hijacking) als häufig genutzte Angriffsmethoden.
Europaweit rangierten Backdoors mit 21 Prozent der registrierten Fälle, Verschlüsselungstrojaner (11 Prozent) und das Ausnutzen von Fernzugriffstools (10 Prozent) an der Spitze. Nach dem Überfall Russlands auf die Ukraine stieg das Ausnutzen von Backdoors in Europa signifikant an. Insgesamt war das Großbritannien mit 43 Prozent aller beobachteten Fälle das am häufigsten angegriffene Land in Europa. Deutschland lag mit 14 Prozent auf dem zweiten Platz, Portugal mit 9 Prozent auf dem dritten.
Für Henderson ist klar, dass sich Unternehmen »verstärkt auf die Angriffserkennung fokussieren müssen, und hier ebenfalls effizienter werden müssen, um in dem Zeitfenster von vier Tagen entsprechende Gegenmaßnahmen zu setzen.« Das werde bereits gemacht und IT-Sicherheitsexperten konnten erfolgreich Attacken durch Ransomware erkennen und verhindern und so die weitere Verbreitung von Ransomware zumindest vorübergehend eindämmen. »Aber«, so Henderson, »es ist nur eine Frage der Zeit, bevor das heutige Backdoor-Problem die Ransomwarekrise von morgen wird. Gute Verteidigung ist nicht mehr genug«, es brauche eine proaktive, bedrohungsbezogene Sicherheitsstrategie. Diese muss jetzt entwickelt und immer auch auf ihr Funktionieren getestet werden.
Fertigung im Fokus
Erpressungsversuche werden von Cyberkriminellen gezielt auf die anfälligsten Branchen, Unternehmen und Regionen durchgeführt. Bei den Branchen ist die Fertigungsindustrie das zweite Jahr in Folge die am meisten attackierte Branche, noch vor der Finanz- und Versicherungsbranche, die diesen Platz zuvor fünf Jahre lang inne hatte. Der Grund: Fertigungsunternehmen sind angesichts der extrem geringen Ausfalltoleranz in den laufenden Produktionsprozessen ein attraktives Ziel für Erpressung. Neben dem Verschlüsseln von Daten werden Unternehmen zunehmend auch mit der Veröffentlichung sensibler Kundendaten erpresst.
Global Cyberkriminelle bekämpfen
Die Frage, ob die Sicherheit in den USA für ein amerikanisches Unternehmen wie IBM eine höhere Priorität habe, verneint Henderson. Man arbeite mit Regierungen auf der ganzen Welt zusammen, denn nur wenn man die Daten zu den Bedrohungsszenarien teile, könne man sie effizient bekämpfen. Deswegen habe X-Force eine Threat-Information-Sharing-Platform ins Leben gerufen. Letztlich gehe es nicht (nur) darum, wer die bessere Technologie hat, sondern wer die bestehende Technologie besser einsetzt, so Henderson.
Be the first to comment