Im Jahr 2016 setzen Unternehmen weiterhin auf veraltete Technologien. Und auch Adobe Flash stellt noch immer ein beliebtes Angriffsziel von Hackern dar. Neu hingegen ist, dass die Eindringlinge mithilfe von Ransomware mittlerweile 34 Millionen Dollar im Jahr verdienen. Das sind die Ergebnisse des aktuellen Cisco Midyear Cybersecurity Reports.

Der Cisco Cybersecurity Report informiert Sicherheitsexperten über vergangene Trends und neue Entwicklungen in der Sicherheitslandschaft. Wie der aktuelle Halbjahresbericht belegt, zielen die Angriffe auf Business- und End-Nutzer mithilfe von Ransomware verstärkt darauf ab, bare Münze zu machen. Deshalb sind auch immer häufiger Server und Netzwerke von unerlaubten Zugriffen betroffen.

Insbesondere größere Konzerne stellen lukrative Ziele dar, da sie im Ernstfall bereit sind, für ihre Daten viel Geld zu bezahlen. Innerhalb von firmeninternen Netzwerken führt der Einsatz vom Ransomware zu großen Schäden und erheblichen Beeinträchtigungen. Angreifern ist es in diesem Jahr bereits gelungen, 34 Millionen Dollar mit ihren Attacken zu verdienen.

Organisationen aus dem Gesundheitswesen zählen zu den populärsten Opfern der jüngsten Attacken. Die Eindringlinge suchen bewusst nach Zielen, die sich nicht als potenzielle Opfer solcher Angriffe verstehen und minimale Sicherheitsstandard aufweisen. Laut Cisco kann sich keine Industrie in Sicherheit wähnen. So sind gemeinnützige Organisationen und NGOs ebenfalls nicht von Angriffen verschont geblieben.

Ransomware dominiert den Malware-Markt

Nach Angaben des Reports hat sich der Einsatz von Ransomware für die Angreifer als besonders lohnenswert erwiesen. Mithilfe von Ransomware erwirken Eindringlinge eine Zugriffs- oder Nutzungsverhinderung von Daten oder ganzen Systemen. In der Regel erfolgt die Entschlüsselung oder Freigabe durch die Bezahlung eines „Lösegelds“.

Solche Schadprogramme stellen keine völlig neue Bedrohungen dar, sondern treten seit Jahren als Würmer oder Bot-Netze in Erscheinung. In der ersten Hälfte des Jahres 2016 wurde jedoch ein Anstieg von Ransomware-Angriffen auf Business- und Privatkunden sowie Server und Firmennetzwerke verzeichnet.

Laut Cisco wird bereits an Next-Generation-Ransomwares gearbeitet. Bei ihrer Entwicklung wird bevorzugt auf Software mit modularem Design zurückgegriffen. Dadurch sollen sich die Angreifer schneller und effektiver auf das jeweilige Umfeld und etwaige Gegenmaßnahmen einstellen können. Es ist also möglich, dass die Schäden in Zukunft noch gravierender ausfallen.

Verschlüsselung als Tarnung

Ein großes Problem bei Ransomwares stellt die Lokalisierung der Angriffe dar. So können Eindringlinge ihre Attacken von nahezu überall auf der Welt durchführen. Wenn es die Situation erfordert, sind sie in der Lage, ihren Standort beliebig zu verändern. Erschwerend kommt hinzu, dass Kommunikationen zumeist über Tor-Netzwerke stattfinden, welche die Verbindungsdaten anonymisieren. Ebenfalls tragen Bitcoins unbeabsichtigt zum Erfolg von Ransomwares bei, da die Bezahlung von Angreifern häufig in der Kryptowährung erfolgt.

Darüber hinaus versteckten die Angreifer ihre Attacken immer besser. Wie Cisco mitteilt, stiegen von September 2016 bis März 2016 die HTTPS-Aktivitäten, die mit Schadsoftware in Verbindung gebracht werden konnten, um das Fünffache an. Der Anstieg ist im Wesentlichen auf infizierte Werbeprogramme (Malvertising) zurückzuführen, deren Kompromittierung die Eindringlinge durch HTTPS-Verschlüsselungen und SSL-Zertifikate verschleiern. Auf diese Weise wird die Identifizierung von Attacken erschwert und die Zeitspanne der Angriffe erhöht. Insbesondere E-Mail- und Chat-Dienste, die auf eine solche Art von Verschlüsselung setzen, sind hiervon betroffen.

Die Eindringlinge nutzen nicht nur Schwachstellen bei den End-Nutzern aus, sondern dringen vermehrt in Firmennetzwerke und serverseitige Applikationen ein. Das Transport-Layer-Security-Protokoll, das normalerweise die Verschlüsselung des Netzwerkverkehrs sicherstellt, wird ebenfalls von Angreifern benutzt, um ihre Aktivitäten zu verstecken. Zu diesem Zweck ziehen Malware-User häufig alte Kryptografie-Libraries heran. Nach Angaben von Cisco greifen 60 Prozent aller Netzwerke auf das TLS-Protokoll zur Verschlüsselung zurück. Das ist für Sicherheitsexperten ein ernstes Problem, da sich unter diesen Voraussetzungen die Deep-Packet-Inspection als unzureichende Sicherheitsmaßnahme erweist.

Risikofaktor Adobe Flash

Die Angreifer nutzen zumeist die Sicherheitslücken in veralteten Technologien und nicht gepatchten Softwaren aus. Obwohl viele Anbieter mittlerweile regelmäßig Sicherheitshinweise und Fixes veröffentlichen, verzichten die meisten End-Nutzer auf die Patchvorgänge oder vergessen einfach, alte Software zu löschen. Nach Angaben von Cisco nutzen die Eindringlinge am stärksten das Zeitfenster zwischen Bereitstellung und Implementierung neuer Patches für ihre Aktivitäten aus. So greifen etwa Exploit-Kits, denen Ransomwares ihre zwielichtige Popularität verdanken, weiterhin auf Schlupflöcher in Adobe Flash zurück. Ebenfalls sind Attacken via Java- und PDF-Files weiterhin akut, nehmen aber tendenziell ab.

Wie Cisco herausstellt, führt insbesondere die zunehmende Automatisierung der Updatevorgänge clientseitiger Applikationen zu einem Rückgang von kritischen Sicherheitslücken. Unternehmen werden deshalb nicht nur aus finanzieller, sondern auch aus technischer Sicht immer interessanter für die Angreifer. Wie der Report belegt, setzen viele Organisationen noch auf nicht gepatchte Technologien und veraltete Geräte. In jüngster Zeit nutzen Eindringlinge etwa vermehrt Sicherheitslöcher aus, die aus überholten Versionen der Enterprise-Application-Software „JBoss“ resultieren.

Serverseitige Systeme sind zumeist chronologisch veraltet, da die Verantwortlichen ITler häufig keine Zeit finden, diese zu warten. Hinzu kommt, dass die Wartungsprozesse sämtliche Arbeitsabläufe innerhalb eines Unternehmens erheblich einschränken. Viele Organisationen gehen zudem mit bekannten Schwachstellen nicht gewissenhaft genug um. Anstatt in die benötigen Updates und Upgrades zu investieren, warten viele einfach, bis die gesamte Infrastruktur ausgetauscht wird. Oftmals sind die Produkte schon so veraltet, dass sie nicht einmal mehr unterstützt werden.

Cisco rät Unternehmen zu Gegenmaßnahmen

Der Bericht kommt zu dem Schluss, dass Sicherheitslücken früh entdeckt und geschlossen werden müssen. Nur auf diese Weise kann sichergestellt werden, dass die Angreifer nicht über ausreichend Zeit verfügen, um ihre Attacken durchzuführen. Allerdings darf zugleich nicht vergessen werden, dass auch die Eindringlinge die neuen Patches beobachten, sie nachbauen und so neue Schlupflöcher ausfindig machen.

Trotzdem muss laut Cisco darauf geachtet werden, dass die Infrastrukturen und Systeme stets aktuell sind. Das Passwort-Management sollte verbessert, interne Aktivitäten sowie Kommunikationen überwacht und eine Netzwerksegmentierung durchgeführt werden. Da das System dennoch kompromittiert werden kann, ist ferner eine kontinuierliche lokale und nicht-lokale Speicherung der Daten wichtig. Nur so kann verhindert werden, dass einem Unternehmen im Ernstfall die Entschlüsselung ihrer Daten oder die Freigabe ihres Systems teuer zu stehen kommt.