Fake-Apps, PSD2, Fachkräftemangel & Co: Security-Trends für das Jahr 2018

hacker-2948402_1920Millionenfacher Datendiebstahl – etwa beim Fahrdienstleister Uber –, Sicherheitslücken in Herzschrittmachern, großangelegte Ransomware-Attacken wie WannaCry, und nicht zuletzt die Vorbereitung auf neue EU-Richtlinien – in Bezug auf IT-Security hielt das Jahr 2017 viele Herausforderungen bereit. Im nächsten Jahr wird es sicherlich so weitergehen, immerhin bedeuten alle technologischen Neuerungen und Innovationen – gerade rund um das Internet der Dinge – auch neue Angriffsflächen für Cyberkriminelle. Folgende Schwerpunkte dürften im kommenden Jahr eine wichtige Rolle in der Welt der Cyber-Sicherheit spielen:

 

Mobile-Banking: Mehr Flexibilität aber auch höhere Risiken dank PSD2

Wenn ab Januar 2018 die überarbeiteten Zahlungsdienstrichtlinien (Payments Services Directive 2) der EU in Kraft treten, können Bankkunden ihre Online-Finanzgeschäfte auch über Drittanbieter wie Finanz-Startups oder Social-Media-Anbieter abwickeln. Während PSD2 für die Kunden also eine noch nie da gewesene Flexibilität bei der Auswahl ihrer Serviceprovider bedeutet, sehen sich Finanzdienstleister jedoch mit zusätzlichen Herausforderungen konfrontiert. Vor allem in Sachen Sicherheit ist dieser neue Drittanbieter-Prozess kritisch zu sehen. Das liegt vor allem an der Notwenigkeit, Standardschnittstellen, so genannte Application-Programming-Interfaces (APIs), einzusetzen. Denn nur über diese APIs ist ein Datenaustausch zwischen Banken und anderen Parteien überhaupt möglich. Kritisch ist jedoch, dass diese Schnittstellen auch alle sensiblen Schlüssel enthalten, die Cyberkriminellen einen „Einbruch“ in die Bankensysteme möglich machen. Sollte es ein Hacker nun schaffen, den Code einer Applikation in lesbaren Quellcode umzuwandeln und auf diese Weise Zugang zu den sensiblen Keys zu bekommen, erhält er Zugriff auf alle Systeme, für die die Schnittstelle autorisiert ist. Im Falle einer Finanz-App könnte sich der Angreifer also Zugriff auf den Server der Bank verschaffen. Mit dem Inkrafttreten der PSD2-Richtlinien im Januar und der Öffnung des Finanzmarktes für Drittanbieter werden wirksame Sicherheitslösungen zum Schutz von Banking-Apps einmal mehr in den Vordergrund rücken.

 

Vernetzte Medizin: Unterschätztes Angriffsziel

Dass Patientensicherheit in Zeiten vernetzter Medizingeräte und Gesundheits-Apps mehr und mehr zur Herausforderung wird, mussten in diesem Jahr auch rund 500.000 Patienten erfahren, deren Herzschrittmacher aufgrund einer kritischen Software-Schwachstelle zurückgerufen wurden. Über eine kabellose Funk-Schnittstelle wäre es Hackern dabei möglich gewesen, den Herzschrittmacher zu manipulieren. Auch wenn aktuell kein Fall bekannt ist, bei dem ein Gerät von einem Angreifer tatsächlich manipuliert wurde, so zeigt der Fall doch ein generelles Problem. Denn tatsächlich kann jede medizinische Software – ganz egal ob mobile Health-App oder eingebettete medizinische Software – manipuliert werden. Meist muss dazu kein Profi-Hacker aktiv werden, denn oft reichen einfache kostenlose Hacking-Tools aus dem Internet, um medizinische Software zu entschlüsseln und den Quellcode freizulegen. Schnell verschaffen sich die Angreifer so Zugang zu den kryptographischen Schlüsseln und haben so die Möglichkeit, die Software zu manipulieren. Besonders der Zugriff auf die sensiblen Patientendatendaten, die im Darknet mittlerweile höher gehandelt werden als Kreditkartendaten, machen Medizingeräte zum attraktiven Angriffsziel für Hacker, weshalb Medizingerätehersteller und Entwickler auch im kommenden Jahr den Fokus auf die Implementierung effektiver Software-Härtung legen sollten.

 

Fake-Apps auf dem Vormarsch

Dass sich Software-Entwickler längst nicht mehr auf die Sicherheitskontrollen der offiziellen App-Stores verlassen können, wenn es darum geht, Fake-Versionen ihrer Applikationen vom offiziellen Markt fernzuhalten, ist mittlerweile bekannt. Denn immer öfter schaffen es Cyberkriminelle, ihre schädlichen Fake-Applikationen als reguläre Versionen beliebter Apps in die Stores zu schmuggeln. Für den Kunden sind die gefährlichen Apps auf den ersten Blick kaum zu erkennen, denn die kompromittierten Programme tragen nicht nur den gleichen Namen wie die Originale, sondern werden oft auch mit dem gleichen Symbol im Store platziert. Vor ein paar Wochen traf dieses Betrugsmodell WhatsApp. Rund eine Million Android-Nutzer sind auf eine gefälschte Version der Messenger-App hereingefallen als sie ein vermeintlich offizielles und mit dem bekannten Logo versehenes Update aus dem Play Store heruntergeladen haben. Ziel der App war es jedoch, die User zum Klick auf eine Werbeanzeige zu bringen, über welche der Download von Schadsoftware aktiviert wurde. Neben der Infizierung mit Malware bieten Fake-Apps Cyberkriminellen vielfältige Möglichkeiten für Datendiebstahl oder das Aufspielen von unerwünschter Werbung, weshalb sich App-User auch im kommenden Jahr vor gefälschten Versionen in Acht halten müssen. Um ihre Kunden zukünftig vor dieser Gefahr zu schützen, ist den App-Stores und insbesondere Google Play anzuraten, ihre Sicherheitsoffensive nochmals zu überarbeiten. Google hat hierbei bereits einen guten Anfang gemacht und nutzt seit diesem Jahr KI-basierte Verfahren. Diese bedürfen aber offensichtlich einer Optimierung, wie der WhatsApp-Vorfall gezeigt hat.

 

Fachkräftemangel verstärkt sich

Mirko Brandner, Technical Manager, Arxan
Mirko Brandner, Technical Manager, Arxan

Der Fachkräftemangel, der die Cybersecurity-Branche bereits seit ein paar Jahren beutelt, wird sich 2018 weiter verschärfen. Wie die Ergebnisse der aktuellen „Global Information Security Workforce“-Studie (GISWS) belegen, werden 70 Prozent der Unternehmen in der DACH-Region in den kommenden Jahren nicht über genügend IT-Fachpersonal verfügen, um ihren Sicherheitsansprüchen gerecht zu werden. Unternehmen werden gezwungen sein, zukünftig noch proaktiver nach geeignetem Cybersecurity-Personal zu suchen und auch die Investitionen in Weiterbildungsmaßnahmen in diesem Bereich zu erhöhen. Gleichzeitig wird die Situation Unternehmen dazu veranlassen, nach Anbietern von smarten schlüsselfertigen Lösungen und Services zu suchen, um Sicherheitsherausforderungen trotz Fachkräftemangel so gut es geht bewältigen zu können.

Von Mirko Brandner, Technical Manager, Arxan

#Netzpalaver #Arxan