Malware, also Computerviren, macht immer noch den grössten Teil der Angriffe auf die Unternehmens-Informatik aus. Das zeigt der neue Swisscom Security Report. Doch die Angriffsmethoden verändern sich. So nutzen Cyberkriminelle die Rechner ihrer Opfer vermehrt, um Kryptowährungen wie etwa Bitcoin zu gewinnen. Wie können Unternehmen ihre IT-Sicherheit verbessern?
Er ist gut zehn Jahre alt, hatte schon damals Millionen von Windows-XP-Rechnern infiziert und ist heute noch für gut 40 Prozent des erkannten Malware-Verkehrs im Swisscom Netz zuständig. Die Rede ist vom Wurm «Conficker», auch als «Downadup» bekannt. Etwa zehn Prozent dieses Netzwerkverkehrs stammte von der Ransomware «WannaCry», die vor gut einem Jahr mit ihrer Erpressernachricht auf den Bildschirmen auftauchte – beispielsweise auf Anzeigetafeln der Deutschen Bahn.
Klassische Malware macht immer noch den grössten Teil der Sicherheitsbedrohungen für Schweizer Unternehmen aus, wie der Swisscom Security Report 2018 zeigt. Die Gründe dafür erläutert der Mitautor und stellvertretende Chief Security Officer bei Swisscom, Panos Zarkadakis: «Die wesentlichen Bedrohungen, die wir im Vorjahr identifiziert hatten, sind nach wie vor aktuell. Das liegt oft in der Natur der Bedrohungen, da sie sich erst über Jahre entwickeln.»
Netzwerkspeicher greifen an
Doch nicht nur Computer selbst, sondern auch Netzwerk-Hardware wird angegriffen. Erst letzten Monat wurde ein Botnet namens VPNFilter aufgedeckt. Bei den Bots handelt es sich um Malware, die sich in einem System einnistet und darauf wartet, bis sie von einer zentralen Kontrollinstanz aktiviert wird. Botnetze werden häufig benutzt, um Spam zu verschicken oder gezielt Systeme im Internet anzugreifen.
Im Fall von VPNFilter nisteten sich die Bots auf Routern und Netzwerkspeichern (NAS) verschiedener Hersteller ein. Betroffen waren Geräte, wie sie zuhause und in kleinen Unternehmen eingesetzt werden. Rund 500’000 Geräte sollen laut der Cisco-Sicherheitsabteilung Talos infiziert worden sein. Da das FBI den zentralen Kontrollserver unter Kontrolle brachte, dürfte sich das Angriffspotenzial von VPNFilter allerdings erschöpft haben. Die effektiven Auswirkungen sind aber noch unklar.
Selbst schürfen statt erpressen
Allerdings verlagern die Cyberkriminellen ihr Geschäft, wie Panos Zarkadakis beobachtet: «Wir sehen den Trend, dass Malware vermehrt eingesetzt wird, um IT-Ressourcen zu stehlen. Mit diesen wird unter anderem Bitcoin-Mining betrieben.» Statt von den Opfern Lösegeld in Form von Cryptowährung zu erpressen, schürfen sie diese lieber gleich selbst. JavaScript-basierte Schürf-Software wie beispielsweise Coinhive nutzt die Ressourcen eines Rechners, während dessen Benutzer ahnungslos auf einer Website surft. So verdient sich der Angreifer mittels Cryptomining heimlich virtuelles Geld auf Kosten des Computer-Nutzers.
In Einzelfällen mag das relativ harmlos sein. Doch wenn Firmenrechner und virtuelle Umgebungen im grösseren Stil betroffen sind, kann Cryptomining zu einem spürbar erhöhten Ressourcenverbrauch führen. Im harmloseren Fall steigen dadurch bloss die Stromkosten, in extremeren Ausprägungen wird dadurch die Funktionsweise von Unternehmenssystemen beeinträchtigt.
Sichere Datenablage und Backup
Mit Swisscom speichern Sie Ihre Daten sicher in der Cloud in einem Schweizer Rechenzentrum. Und ein automatisches Cloud-Backup schützt Ihr Unternehmen vor Datenverlust.
Für IT-Sicherheit Dienstleister und Provider ins Boot holen
Unternehmen müssen also ihre Sicherheitsmassnahmen laufend anpassen. Und in absehbarer Zukunft wird laut dem Swisscom Threat Radar das Katz- und Maus-Spiel zwischen Cyberangreifern und Verteidigern in eine nächste Runde gehen. Künstliche Intelligenz wird sowohl für raffiniertere Angriffe als auch intelligentere Abwehr sorgen.
Bereits heute unterstützt AI Sicherheitsspezialisten bei ihrer Verteidigungsarbeit. Selbstlernende Systeme helfen, Vorfälle auf «False Positives» zu untersuchen, also reale Angriffe von Fehlalarmen zu unterscheiden. Und bei Swisscom ist mit «Phisherman» ein System im Einsatz, das bei der Erkennung der immer raffinierteren Phishing-Angriffe hilft.
Doch wie schützen sich Unternehmen mit beschränkten Ressourcen und ohne Sicherheitsspezialisten vor solchen Angriffen? Panos Zarkadakis rät, die Partner ins Boot zu holen: «KMU benötigen einen vertrauenswürdigen Partner, der diese IT-Sicherheitskompetenzen bietet. Idealerweise stellt er sicher, dass die Security-Fähigkeiten direkt in die Produkte integriert sind.» Dadurch reduziert sich nicht nur das Angriffsrisiko, sondern auch der Aufwand für die Sicherheitsmassnahmen.