«Swiss IT Magazine»: Herr Hartmann, was waren 2023 Ihrer Erfahrung nach die wichtigsten und gravierendsten Entwicklungen in der Cyber-Bedrohungslandschaft – vor allem mit Blick auf Schweizer Unternehmen?
Ernesto Hartmann: Wir beobachten insbesondere, dass die verstärkte Cloud-Nutzung zu erhöhten Sicherheitsrisiken führt. Viele Unternehmen übersehen, dass bei Cloud-Lösungen die Sicherheitsfeatures nicht standardmässig aktiviert sind, sondern aufgrund eines Usability-First-Ansatzes häufig manuell explizit eingeschaltet werden müssen. Es ist entscheidend für den Schutz vor Cyber-Bedrohungen, dass Sicherheit als ein zentraler Aspekt in der Cloud-Strategie und den Cloud-Lösungen verankert wird.
Und was sind grundsätzlich derzeit die häufigsten Angriffsvektoren und Werkzeuge?Derzeit richten Cyber-Angreifer ihr Hauptaugenmerk auf den Zugriff auf Daten und Systeme. Dementsprechend sind Remote-Access-Lösungen und Zugänge zu Cloud Services die am häufigsten genutzten Angriffsvektoren.
Sind das auch die gefährlichsten Angriffsmethoden?Aus unserer Sicht gehören Angriffe auf Lieferketten – Supply Chains – derzeit zu den grössten Risiken. Die Abhängigkeit von Partnern und Unternehmen, die viele Kunden mit Dienstleistungen versorgen, birgt ein hohes Potenzial für die Verstärkung von Angriffen. Obwohl wir grundsätzlich unseren Partnern vertrauen, kann dieses Vertrauen ausgenutzt werden, indem ein Partner als Sprungbrett für einen Angriff verwendet wird. Daher ist es von grösster Bedeutung, dass wir Sicherheitskonzepte und Kontrollen etablieren, um auch über die eigenen Unternehmensgrenzen hinweg Schutz zu gewährleisten.
Das ist ein gutes Stichwort: Gab es denn auch eine positive Entwicklung beim Sicherheitsniveau vor allem mittelständischer Unternehmen? Positive Entwicklungen sind auf jeden Fall sichtbar. Das Bewusstsein für die Notwendigkeit von Cyber-Sicherheit ist gewachsen, und viele Unternehmen haben – auch auf Ebene der Geschäftsleitung und des Verwaltungsrates – in verstärkte Sicherheitsmassnahmen investiert.
Welche Bereiche sollten dabei vor allem im Fokus stehen?Ergänzend zum Grunddispositiv ist heutzutage eine Art digitale Alarmanlage essenziell, die von Spezialistinnen und Spezialisten überwacht wird, welche im Falle von potenziellen kriminellen Aktivitäten sofort eingreifen können. Solche Managed Detection & Response Services sind heutzutage ein grundlegender Bestandteil jeder IT-Infrastruktur. Der Aufbau solcher Dienste inhouse ist mitunter aufgrund des Fachkräftemangels und der Komplexität der Bedrohungen jedoch sehr anspruchsvoll. Folglich macht es oftmals Sinn, auf externe, erfahrene Dienstleister zurückzugreifen.
Reicht aber das aktuelle IT-Security-Niveau der Unternehmen aus, um zumindest gegen die gröbsten Gefahren gewappnet zu sein? Oder ist es ohnehin nicht mehr realistisch, sich gegen die immer perfideren Angriffsmethoden schützen zu können?Das aktuelle Sicherheitsniveau ist ein wesentlicher Schritt im Schutz gegen die gröbsten Gefahren, aber es handelt sich um ein kontinuierliches Katz-und-Maus-Spiel. Organisierte kriminelle Gruppierungen sind opportunistisch und entwickeln ständig neue Methoden, die sich den gesellschaftlichen und technologischen Trends anpassen. In diesem Sinne ist es wichtig, die eigenen Sicherheitsmassnahmen stets zu aktualisieren und zu verbessern – oder anders ausgedrückt, einen höheren Zaun zu haben als der Nachbar. Dennoch ist es eine Herausforderung, mit den immer ausgefeilteren Angriffsmethoden Schritt zu halten, und absolute Sicherheit zu garantieren ist nicht realistisch. Es geht vielmehr darum, das Risiko auf ein akzeptables Mass zu reduzieren und auf Vorfälle schnell und effektiv reagieren zu können.
Was sind vor diesem Hintergrund Ihre Empfehlungen, an welcher Stelle sollten Unternehmen dringend aufrüsten und investieren?Ein ausgewogenes Sicherheitsdispositiv, das Verhinderung, Erkennung und Reaktion – Prevention, Detection and Response – einschliesst, ist im Ernstfall entscheidend. Unternehmen müssen jedoch nicht nur in präventive Massnahmen investieren, sondern auch Vorbereitungen für die Wiederherstellung der IT im Falle eines Sicherheitsvorfalls treffen.
Haben sie dafür das Know-how und die Ressourcen im eigenen Haus?Viele Unternehmen sind nicht in der Lage, in einer Krisensituation effektiv zu reagieren, sei es aufgrund des fehlenden Know-hows, Ressourcenmangel oder schlicht emotionaler Überforderung. Daher ist es oft ratsam, Externe hinzuzuziehen – auch bereits präventiv –, die über umfangreiche Erfahrungen und Know-how verfügen. Solche Teams, klassischerweise Computer Security Incident Response Teams (CSIRT), agieren routiniert und ruhig, was entscheidend ist, da bei einem erfolgreichen Angriff jede Sekunde zählt.
Um nochmals einen Blick auf die aktuelle Bedrohungslage zu werfen: Welchen Einfluss hat die derzeitige geopolitische Situation? Sind ihre Auswirkungen auch hierzulande spürbar, beispielsweise in Form staatlicher oder staatlich unterstützter Akteure?Die geopolitische Lage hat durchaus einen Einfluss auf die Cyber-Bedrohungslandschaft, was auch im DACH-Raum wahrnehmbar ist. Wir – sprich unser Computer Security Incident Response Team, unsere Partner sowie weitere Kontakte, mit denen wir eng im Austausch stehen – konnten einen Rückgang von Ransomware-Vorfällen beobachten – wobei diese momentan erneut steigen –, was darauf hindeuten könnte, dass aufgrund der Spannungen in den postsowjetischen Ländern Cyber-Ressourcen anderweitig gebunden sind. Auffällig ist auch, dass die Angreifer im Vergleich zu früher tendenziell schlechter qualifiziert sind. Zugleich sehen wir eine Zunahme von Schäden im Zusammenhang mit der Cloud-Nutzung, insbesondere im Bereich von Business E-Mail Compromise. Dies deutet darauf hin, dass Akteure ihre Taktiken anpassen.
Wie bewerten Sie zudem die Verfügbarkeit von Malware-as-a-Service? Hat sich mit dieser Entwicklung die Bedrohungslage nochmals spürbar zugespitzt?Die Verfügbarkeit von Malware-as-a-Service hat die Bedrohungslage in der Tat verschärft. Der Markt für diese Aktivitäten ist äusserst fragmentiert und ständig treten neue Akteure hinzu, wie wir in unseren CSIRT-Einsätzen immer wieder feststellen. Cyber-Kriminalität hat sich inzwischen zu einem Ökosystem entwickelt, in dem verschiedene Akteure ihre Malware oder anderweitige Services an weitere kriminelle Parteien verkaufen. Ähnlich wie in der legalen Wirtschaft, in der As-a-Service-Modelle immer populärer werden, wird auch im Bereich der Cyber-Kriminalität zunehmend auf solche Service-Modelle gesetzt, allerdings ausserhalb des gesetzlichen Rahmens. Dies ermöglicht eine schnellere Verbreitung und niedrigere Einstiegshürden für neue Akteure, was die gesamte Cyber-Sicherheitslandschaft vor neue Herausforderungen stellt.
Wie einfach ist es denn tatsächlich auch für ungeübte «Anwender», über das Darknet professionelle Schadsoftware zu beziehen und diese einzusetzen?Für Personen mit grundlegenden technischen Kenntnissen und Affinität ist es heutzutage sicherlich möglich, im Darknet an professionelle Schadsoftware zu gelangen. Die Hürden sind vergleichbar mit denen der Nutzung moderner Übersetzungsprogramme: Wo früher fortgeschrittene Sprachkenntnisse oder gar Dienstleister erforderlich waren, ermöglichen heute intuitive und oft kostenfreie Tools auch Personen mit tieferem Sprachniveau, komplexe Texte zu übersetzen. Im Bereich der Cyber-Kriminalität bedeutet dies, dass selbst durchschnittliche IT-Anwender unter Umständen Angriffe durchführen können. Wo ein Wille ist, ist auch ein Weg – das trifft heute mehr denn je zu.
Wo sehen Sie abschliessend für das kommende Jahr und darüber hinaus Risiken, die Unternehmen dringend im Blick behalten sollten? Welche Rolle wird beispielsweise die zunehmende Verfügbarkeit von KI-Kapazitäten spielen?Im Zuge des fortschreitenden Digitalisierungsdrangs entstehen in allen Bereichen neue Risiken. Ein gutes Beispiel ist die Automobilindustrie: Die Fahrzeuge von morgen werden nur noch vernetzt sein, was Cyber-Kriminellen neue Angriffsflächen bietet – besonders bei As-a-Service-Modellen wie vernetzten Flottenservices, die zentral verwaltet werden. Die Digitalisierung und KI bieten viele Chancen, jedoch müssen Unternehmen wachsam sein und die sich entwickelnden Technologien sowie deren Implikationen für die Sicherheit genau im Blick behalten.
Top-Cyber-Risiken im Jahr 2024
Eine Entspannung der Cyber-Bedrohungslage ist für Unternehmen auch im kommenden Jahr kaum abzusehen. Im Gegenteil, viele technologische Entwicklungen schaffen neue Risiken und setzen die entsprechende Awareness sowie geeignete Schutzmassnahmen voraus. «Swiss IT Magazine» hat die Prognosen der Security-Expertinnen und -Experten gesichtet und einige der grössten Cyber-Gefahren zusammengetragen, die IT-Verantwortliche 2024 und darüber hinaus im Blick behalten sollten.
Künstliche Intelligenz: Generative KI wird längst nicht nur eingesetzt, um Hausaufgaben oder Marketing-Texte zu erstellen. Auch Cyber-Kriminelle nutzen die oft kostenfrei verfügbaren Tools, um ihre Angriffsmethoden weiter zu verfeinern. «Cyber-Kriminelle und staatliche Akteure nutzen bereits Generative KI, um Phishing-Kampagnen zu erstellen, bösartigen Code zu schreiben oder verwundbare Systeme zu identifizieren, die sie ausnutzen können», sagt Mihoko Matsubara, Chief Cybersecurity Strategist bei NTT. Gleichzeitig sollen es KI-Technologien Schadsoftware künftig erlauben, sich beispielsweise automatisch an Sicherheitsmassnahmen anzupassen und so der Entdeckung innerhalb von Systemen zu entgehen. Andererseits birgt KI das Potenzial, auch die Verteidigung zu stärken. Sie kommt zusehends in IT-Security-Lösungen zum Einsatz und gilt in vielen Bereichen als künftiger Game Changer.
Supply-Chain-Angriffe: Die Attacken auf Solarwinds und Kaseya vor wenigen Jahren haben eindrücklich gezeigt, welches destruktive Potenzial in Supply-Chain-Angriffen steckt. Denn sie haben meist nicht nur ein Unternehmen zum Ziel, sondern Hunderte oder gar Tausende gleichzeitig. Umso attraktiver sind die Lieferketten für professionell agierende Akteure und nicht nur die IT-Security-Anbieter Kaspersky, Check Point und Arctic Wolf rechnen für das kommende Jahr mit einer wachsenden Bedrohung durch diese Angriffsmethode. «Lieferketten sind immer noch ein schwaches Glied: Die Häufigkeit von Zwischenfällen in der Lieferkette stellt für Unternehmen nach wie vor eine Herausforderung dar, und die Auswirkungen können weitreichend sein», erklärt das Team von Check Point. Dieser Trend werde sich auch im nächsten Jahr fortsetzen, wenn es den Unternehmen nicht gelinge, ihre Zulieferer strenger unter die Lupe zu nehmen.
Staatlich unterstützte Akteure: Die geopolitische Lage hat sich in den vergangenen Jahren weiter zugespitzt, an globalen Krisen mangelt es aktuell kaum. Und das wirkt sich auch auf das Geschehen im Cyber-Raum aus: 2024 könnte die Zahl der staatlich unterstützen Cyber-Angriffe weiter steigen. Sie werden laut Kaspersky für Datendiebstahl oder -verschlüsselung, Zerstörung von IT-Infrastrukturen, langfristige Spionage und Cyber-Sabotage genutzt. Zudem warnt das Research-Team des Anbieters vor zunehmenden Hacktivismus-Aktivitäten. Diese führen zu unnötigen Untersuchungen und somit zu einer daraus resultierenden Alarmmüdigkeit bei SOC-Analysten und Cybersicherheitsexperten. «Wir beobachten vermehrt Angriffe auf Länder und kritische Infrastrukturen, wobei Technologie vermehrt als politische und kriegerische Waffe eingesetzt wird», sagt auch Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf. «Zum anderen sind privatwirtschaftliche Unternehmen in der globalisierten Welt hochvernetzt, und Lieferketten reichen über mehrere Ländergrenzen hinweg. Das macht sie für Cyberbedrohungsakteure besonders angreifbar.»
Deepfakes: Deepfakes werden immer raffinierter und manipulieren Videos und Bilder, um hyperrealistische, aber völlig falsche Inhalte zu erzeugen, berichtet Thibault Darbellay von der Hochschule Luzern. Diese gefälschten Inhalte stellen eine vielschichtige Bedrohung für Einzelpersonen und Unternehmen dar, beispielsweise in Form von Fehlinformationen, Fake News sowie Identitätsdiebstahl. «Deepfakes werden oft als Waffe eingesetzt, um Inhalte zu erstellen, die Meinungen beeinflussen, Aktienkurse verändern oder Schlimmeres. Diese Tools sind online leicht verfügbar, und Bedrohungsakteure werden weiterhin Social-Engineering-Angriffe mit Deepfakes einsetzen, um Genehmigungen zu erhalten und auf sensible Daten zuzugreifen», schreibt das Check-Point-Team. Die zunehmende Verfügbarkeit von KI-Kapazitäten dürfte einen weiteren Einfluss auf diesen bedrohlichen Trend haben.
Quantentechnologie: Noch ist es unwahrscheinlich, dass Quantentechnologie im kommenden Jahr bereits eine allzu grosse Rolle bei Hackern spielen wird. Immerhin befindet sie sich weiterhin in einem frühen Stadium und die Kosten für ihren Einsatz sind gerade im Vergleich zu anderen leicht verfügbaren Werkzeugen gewaltig. Dennoch ist es dringend erforderlich, sich auf ihre Ankunft und die mit ihr einhergehenden Risiken vorzubereiten, wie NTT unterstreicht. Die künftige Herausforderung bestehe zudem darin, die Sicherheit von Verschlüsselungsmethoden für all jene zu gewährleisten, die selbst keinen Zugang zu Quantenkapazitäten haben.
