Cyberangriffe auf Unternehmen und Privatpersonen werden einerseits zunehmend individuell und spezifisch, andererseits aber setzten Cyberkriminelle auch zunehmend auf die Automatisierung ihrer Angriffe. Palo Alto Networks hat für das kommende Jahr 3 zentralen Bedrohungsszenarien identifiziert und geht detailliert darauf ein.
Das Ransomware-Geschäftsmodell bewegt sich hin zu neuen Plattformen.
Ransomware ist kein Malwareproblem, es ist ein kriminelles Geschäftsmodell. Malware ist in der Regel der Mechanismus, mittels dem die Angreifer Systeme und Daten für Lösegeld festhalten, aber es ist einfach nur ein Mittel zum Zweck. Das Ransomware-Geschäftsmodell erfordert, dass ein Angreifer fünf Aufgaben erfolgreich durchführt:
- Die Kontrolle über ein System oder Gerät übernehmen. Dies kann ein einzelner Computer, ein Mobiltelefon oder jedes andere System sein, das in der Lage ist, Software auszuführen.
- Verhindern, dass der Eigentümer darauf zugreifen kann. Dies kann durch Verschlüsselung, Bildschirmsperren oder sogar einfache Täuschungstaktiken erfolgen.
- Den Besitzer benachrichtigen, dass das Gerät gegen Lösegeld festgehalten wird (inklusive Angabe der Zahlungsmethode). Während dieser Schritt offensichtlich erscheinen mag, muss man bedenken, dass Angreifer und Opfer oft verschiedene Sprachen sprechen, in verschiedenen Teilen der Welt leben und sehr unterschiedliche technische Fähigkeiten haben.
- Zahlung vom Gerätebesitzer entgegennehmen. Wenn der Angreifer keine Zahlung erhält oder die Zahlung nicht entgegennehmen, ohne ein Ziel für die Strafverfolgung zu werden, wäre die ersten drei Schritte umsonst.
- Vollen Zugriff auf das Gerät zurückgeben, nachdem die Zahlung eingegangen ist. Während ein Angreifer kurzfristigen Erfolg mit der Annahme von Zahlungen ohne Freigabe der Geräte haben könnte, würde dies im Laufe der Zeit dieses „Geschäftsmodell“ zerstören. Niemand zahlt Lösegeld, wenn er nicht daran glaubt, dass er dafür etwas, in diesem Fall seine Daten, zurückbekommt.
Das Ransomware-Geschäftsmodell kann auf beliebige Geräte, Systeme oder Daten ausgerichtet sein. Bei der DEFCON 24 im August 2016 demonstrierten Forscher von Pen Test Partners, wie sie einen mit dem Internet verbundenen Thermostaten kaperten und die Steuerung blockierten, um daraufhin eine Lösegeld-Zahlung in Bitcoin zu verlangen. Dies war eine Demo und kein Live-Angriff, könnte aber im Jahr 2017 bei einem IoT-Gerät zur Realität werden. Für Cyberkriminelle geht es darum, Geld zu verdienen. Wenn sie die Kontrolle über ein Gerät gewinnen können, ist dies nur wirklich wertvoll, wenn sie dies in Gewinn verwandeln können, indem sie Lösegeld bekommen oder Daten finden, die sie verkaufen können. Beides dürfte 2017 bereits auf uns zukommen.
Politische „Leaks“ werden zum Normalfall
Rückblickend auf die Schlagzeilen von 2016 betrachtet, ist es offensichtlich, dass politische Datenlecks einen bedeutenden Einfluss in den Vereinigten Staaten hatten. Die Wahl ist vorbei, aber diese Arten von Datenschutzverletzungen werden sich künftig auf der ganzen Welt fortsetzen. Dabei gilt es Folgendes zu berücksichtigen:
- Jahrelange Veröffentlichungen von WikiLeaks und anderen Plattformen haben die Öffentlichkeit konditioniert, anzunehmen, dass derartige Informationen standardmäßig wahr sind. „Geleakte“ Daten können zunächst authentisch sein, aber auch verändert werden, um die Wähler zu beeinflussen.
- Wenn „geleakte“ Daten geändert wurden, hat die verletzte Partei keine vernünftige Möglichkeit, die Änderung zu widerlegen. Eine digitale Signatur auf einem Dokument könnte seine Echtheit beweisen, aber das Fehlen einer digitalen Signatur beweist nicht, dass sie unecht ist.
- Eine Regierung (oder staatlich geförderte) Organisation kann zudem Informationen, die unter dem Deckmantel eines Hacktivisten, aber eigentlich durch Spionage gewonnen wurden, veröffentlichen.
Unabhängig von der politischen Überzeugung oder Meinung über die staatliche Transparenz, ist es wichtig zu verstehen, wie bestimmte Parteien Informationen missbrauchen können. Politische Leaks sind eine Form von Geheimdienstoperationen, die mit großer Wirksamkeit und wenig Chance auf Vergeltung durchgeführt werden können. Was wir im Jahr 2016 gesehen haben, wird 2017 der neue Normalfall sein
Sichere Messaging-Anwendungen gewinnen an breiter Akzeptanz als Reaktion auf massive E-Mail-Lecks.
Eine entscheidende Erkenntnis der Leaks-Ereignisse von 2016 dürfte sein, nichts in einer E-Mail zu versenden, was man nicht auf der Titelseite der Zeitung sehen möchte. Es gibt viele Probleme mit der Übertragung von E-Mails, die eigentlich nur für eine bestimmte Zielgruppe gedacht sind. Die Nachrichten sind oft unverschlüsselt, sobald sie ihr Ziel erreichen. Selbst wenn sie verschlüsselt sind, hat der Absender normalerweise keine Kontrolle über die Sicherheit des Empfängersystems. Der Empfänger kann die E-Mail entschlüsseln und im Klartext speichern oder die Verschlüsselungsvorgaben für die weitere Kommunikation und Verwendung missachten. In den meisten Fällen werden die Nachrichten sortiert, katalogisiert und automatisch indiziert. So kann auch eine Person mit nur temporärem Zugriff nach Schlüsselwörtern suchen und wertvolle Informationen weiterleiten.
Eine mögliche Lösung werden künftig Nachrichten sein, die sich automatisch selbst löschen, nachdem der Empfänger sie liest. Es gibt bereits immer mehr sicherheitsorientierte Messaging-Systeme, einschließlich Telegram, Wickr, Signal und Allo, die End-to-End-Verschlüsselung und selbstlöschende Nachrichten anbieten. Während es immer noch möglich ist, dass jemand einen Screenshot von einer dieser Nachrichten erfasst, ist diese Art der Kommunikation in der Regel viel sicherer als E-Mails. Mit einer weiten Verbreitung dieser Dienste im Jahr 2017 ist dennoch nicht zu rechnen, da für viele Benutzer der Umstieg von klassischer E-Mail auf die neuen Messaging-Dienste nicht praktikabel wäre. Diejenigen, die aus den weitverbreiteten Leaks-Ereignissen gelernt haben, werden jedoch nach alternativen Möglichkeiten suchen, um ihre privaten Gedanken mit anderen zu teilen. (Palo Alto/mh)