Schaffhausen – Die Welt von heute ist so stark digital geprägt wie nie zuvor. IT-Umgebungen werden immer komplexer und bereits kleine Fehler bei der Erkennung und Abwehr von Cyberbedrohungen können zu schwerwiegenden Sicherheitsvorfällen und Datenschutzverletzungen führen, die den Fortbestand des Unternehmens in Frage stellen. Gemäss Schätzungen waren allein im Oktober 2022 in der Schweiz rund 113‘000 Malware/Ransomware Infektionen zu verzeichnen.
von Candid Wüest, Vice President Cyber Protection Research, Acronis *
Im Folgenden beschreiben wir zehn Trends, die die Cybersicherheitslandschaft im Jahr 2023 voraussichtlich prägen werden.
- Authentifizierung: Sind Sie es wirklich?
Wir werden bei Systemen zur Authentifizierung und Identitäts- und Zugriffsverwaltung (IAM) häufiger erfolgreiche Angriffe verzeichnen. Viele Angreifer haben bereits damit begonnen, MFA-Token (Mehrfaktor-Authentifizierung) zu stehlen oder zu umgehen. In anderen Fällen werden die Ziele mit unzähligen Anfragen bombardiert (z. B. im Rahmen von MFA-Bombing-Angriffen), was auch ohne technische Schwachstelle zu erfolgreichen Anmeldungen führen kann. Aktuelle Angriffe gegen Okta und Twilio haben gezeigt, dass sich auch solche externen Services kompromittieren lassen. Diese Angriffe erfolgen natürlich zusätzlich zu den bereits aus den vergangenen Jahren bekannten Problemen mit schwachen oder mehrfach verwendeten Kennwörtern. Daher ist es umso wichtiger, die Funktionsweise Ihres Authentifizierungssystems zu verstehen und zu wissen, wer wie auf Daten zugreift. - Ransomware weiterhin sehr aktiv
Ransomware-Bedrohungen sind weiterhin sehr aktiv und dynamisch. Wir beobachten derzeit eine Tendenz zur Datenexfiltration. Gleichzeitig gehen die Big Player immer professioneller vor und greifen jetzt nicht nur macOS- und Linux-Systeme an, sondern nehmen zudem auch Cloud-Umgebungen ins Visier. Neue Programmiersprachen wie Go und Rust werden immer beliebter und erfordern Anpassungen bei den Analysetools. Die Anzahl der Angriffe wird steigen, da sie weiterhin profitabel sind, zumal Cyberversicherungen häufig einen Teil der Auswirkungen bezahlen. Angreifer werden auch zunehmend versuchen, Sicherheitstools zu deinstallieren, Backups zu löschen und Disaster Recovery-Pläne zu deaktivieren. Living-off-the-Land-Techniken werden hier eine wichtige Rolle spielen. - Datenschutzverletzungen im grossen Stil
Informationsdiebstahl-Malware wie Racoon und Redline führt zu zahlreichen Infektionen. Zu den gestohlenen Informationen gehören Anmeldedaten, die anschliessend über den Access-Broker-Markt für weitere Angriffe verkauft werden. Die wachsende Zahl an Datensätzen sowie die Komplexität der miteinander vernetzten Cloud-Dienste erschweren es Unternehmen, ihre Daten nachzuverfolgen. Da häufig mehrere Parteien auf Daten zugreifen müssen, wird es schwieriger, diese durchgängig zu verschlüsseln und zu schützen. Gleichzeitig kann bereits ein einziger geleakter API-Zugriffsschlüssel (z. B. in GitHub oder einer Mobilgeräte-App) den Diebstahl aller Daten ermöglichen. Diese Situation wird zu Fortschritten bei datenschutzgerechter Datenverarbeitung führen. - Phishing nicht nur per E-Mail
Es werden weiterhin Millionen böswillige E-Mails sowie Phishing-Angriffe verschickt. Angreifer werden versuchen, die Angriffe zu automatisieren und mithilfe zuvor geleakter Daten zu personalisieren. Bei Social-Engineering-Betrug wie Kompromittierungen von Firmen-E-Mail-Adressen (BEC) werden sie zunehmend auf andere Nachrichtendienste wie SMS, Slack, Teams-Chats usw. ausweichen, um der Filterung und Erkennung zu entgehen. Andererseits wird Phishing weiterhin auf Erfüllungsgehilfen setzen, um an Sitzungstoken zu gelangen, MFA-Token zu stehlen und sich hinter QR-Codes und ähnlichem verbergen. - Nicht wirklich smarte Smart Contracts
Ein Ende der Angriffe auf Krypto-Währungsbörsen und Smart Contracts für verschiedene Blockchains scheint nicht in Sicht. Selbst staatliche Akteure versuchen, Millionenbeträge in digitalen Währungen zu stehlen. Die raffinierteren Angriffe auf Smart Contracts, algorithmische Währungen und DeFi-Lösungen werden sich fortsetzen, ebenso die klassischen Phishing- und Malware-Angriffe gegen ihre Benutzer. - Opportunistische Angriffe auf Ihre Infrastruktur
Service Provider werden immer häufiger angegriffen und kompromittiert. Die Angreifer missbrauchen die bereits installierten Tools wie PSA, RMM oder andere Deployment-Werkzeuge und nehmen dabei nicht nur Managed IT Service Provider, sondern auch Beratungsunternehmen, First-Level-Support-Anbieter und ähnliche Geschäftspartner ins Visier. Diese externen Insider sind häufig das schwächste Glied in der Sicherheitskette des angegriffenen Unternehmens und können ohne aufwändig vorbereitete Software-Lieferkettenangriffe ausgenutzt werden. - Aufruf aus dem Browser
Es wird mehr Angriffe geben, die innerhalb des Browsers oder über den Browser aus Sitzungen heraus durchgeführt werden. Böswillige Browser-Erweiterungen tauschen bei Transaktionen die Zieladressen aus oder stehlen im Hintergrund Kennwörter. Bei einer anderen beliebten Methode kapern die Angreifer den Quellcode dieser Tools und schleusen über das GitHub-Repository eine Backdoor ein. Andererseits tracken Websites Benutzer weiterhin mit JavaScript und geben Sitzungs-IDs über HTTP-Referrer an Marketing-Dienste weiter. Angreifer werden die Formjacking/Magecart-Techniken erweitern, bei denen kleine, zusätzlich in die ursprüngliche Website eingefügte Snippets im Hintergrund alle Informationen stehlen. Die Zunahme von serverlosem Computing wird die Analyse solcher Angriffe erschweren. - Cloud-Automatisierung über APIs
Ein erheblicher Teil der Daten, Prozesse und Infrastrukturen wurde bereits in die Cloud übertragen. Mit verstärkter Automatisierung zwischen verschiedenen Services wird sich dieser Trend fortsetzen. Viele IoT-Geräte werden Teil dieser stark vernetzten Services-Cloud sein, was dazu führen wird, dass viele APIs über das Internet erreichbar und damit für Angriffe anfällig sein werden. Und durch die Automatisierung werden auf diese Weise grossmassstäbliche Angriffe möglich. - Angriffe auf Geschäftsprozesse
Angreifer werden immer wieder neue Möglichkeiten finden, Geschäftsprozesse zu ihrem eigenen (finanziellen) Vorteil zu manipulieren. Beispiele dafür sind geänderte Kontodaten in den Abrechnungssystemvorlagen des Unternehmens oder das Hinzufügen eines eigenen Cloud-Buckets als Backup-Ziel des E-Mail-Servers. Solche Angriffe kommen häufig ohne Malware aus und lassen sich – ebenso wie die zunehmenden Insider-Angriffe – nur mit genauen Analysen des Benutzerverhaltens erkennen. - Allgegenwärtige KI
Unternehmen aller Grössen und Branchen setzen KI und Machine Learning (ML) ein. Fortschritte bei der Erstellung synthetischer Daten werden mit Deep Fake-Inhalten Identitätsbetrug und Desinformationskampagnen vereinfachen. Zu den gefährlichen neuen Trends werden Angriffe gegen die KI- und ML-Modelle selbst gehören, bei denen Angreifer Schwachstellen im Modell ausnutzen, gezielt Bias in die Datensätze implantieren oder einfach mithilfe von Triggern die IT-Systeme mit Warnmeldungen fluten.
*Candid Wüest ist Vice President des Bereichs Cyber Protection Research bei Acronis, dem Cyber Protection-Unternehmen mit Hauptsitzen in der Schweiz und in Singapur. Er erforscht neue Bedrohungstrends und umfassende Sicherungsmethoden. Davor hat er mehr als 16 Jahre lang als technischer Direktor für das weltweite Sicherheitsteam von Symantec gearbeitet. Wüest hat ein Buch sowie mehrere Whitepapers veröffentlicht und tritt in wichtigen Medienkanälen als Sicherheitsexperte auf. Er spricht regelmässig auf Sicherheitskonferenzen wie der RSAC und AREA41. Wüest ist Berater der Schweizer Bundesregierung für Cybergefahren. Das Programmieren und die englische Sprache lernte er auf einem Commodore 64. Er hat einen Master of Computer Science der ETH Zürich und besitzt verschiedene Zertifizierungen und Patente.
