Jedes Jahr erstellt Cybersecurity-Hersteller Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand werden selbst schwache Angriffssignale aus dem Vorjahr gestellt, die jüngsten Branchenanalysen und die Meinungen der Stormshield-Sicherheitsspezialisten.
Daraus resultiert ein Ausblick für 2020 mit drei auf Industrieumgebungen zugeschnittenen Hypothesen und Szenarien, die alles andere als realitätsfremd sind.
1. Die Malware von morgen ist heute bereits am Werk
„Die Cyberkriminalität wird allmählich zum Massenphänomen“, so der Geschäftsführer der französischen ANSSI (wie unser BSI) in einem Interview über die Entwicklungen im Jahr 2019. Ein Jahr, in dem sowohl komplexe, gezielte und hochwirksame Cyberangriffe gegen große Fernsehsender, Krankenhäuser und Industrieanlagen kursierten, als auch für großflächigere Angriffe entwickelte Malware wie LockerGoga und Ruyk. Selbst die Folgen der manchmal von den Staaten unterstützten Cyberkriminalität wurden der Öffentlichkeit spätestens im März 2019 deutlich gemacht, als die USA einen Angriff auf ein venezolanisches Kraftwerk ausübten.
Im November 2019 wurde durch eine Studie nachgewiesen, dass gewisse Schwachstellen seit über zehn Jahren und noch heute von Cyberangreifern ausgenutzt werden. Einigen betroffenen Unternehmen sind die Sicherheitslücken in ihrem System bekannt, jedoch können oder dürfen die entsprechenden Anwendungen nicht ausgetauscht werden, wie etwa im Gesundheitswesen oder im Finanzsektor, wo Anwendungen zum Einsatz kommen, die nur auf veralteten Betriebssystemen laufen. In der Industrie werden ebenfalls gewisse Bestandteile der Hardware weiterverwendet, obwohl sie veraltet sind. Dadurch erhöht sich das Risiko, einem Angriff zum Opfer zu fallen, der schon Jahre zuvor initiiert wurde. Daher die Frage: Potenziert das Alter der Schwachstellen ihr Schadenspotenzial? 2020 dürfte uns Antworten bringen.
Mögliche Szenarien für 2020: Wie bei latenten Viren im menschlichen Körper sind einige Angriffsvektoren bereits vor Jahren in empfindlichen Computersystemen installiert worden. Es ist daher leicht, Hypothesen aufzustellen, in denen bestimmte Schlüsselsektoren (Gesundheit, Nahrungsmittel, Energie) mit seit Jahren inaktiver Malware infiziert worden sein könnten (APT = Advanced Persistant Threats). Ebenso einfach ist es, die katastrophalen Folgen zu hypothetisieren: Was würde passieren, wenn mitten in der Nacht alle weltweit verteilten Produktionsstätten eines großen lebensmittelverarbeitenden multinationalen Unternehmens gleichzeitig gestoppt würden? Es würde Wochen dauern, das Problem zu identifizieren und lösen. Die Produktion würde eingestellt und alle verderblichen Waren weggeworfen werden. Ein katastrophales Bild in den TV-Nachrichten und der sichere finanzielle Ruin wären die Folge.
Die wahrscheinliche Quelle eines solchen Unfalls? Eine erfolgreiche Phishing-Kampagne, die Jahre zuvor durchgeführt wurde, wodurch mehrere Firmennetzwerke mit latenter Malware infiziert wurden. Diese Schadsoftware konnte sich unbemerkt lokal auf alle Endgeräte mit älteren Windows-Versionen verbreiten und wird nach Jahren per Fernzugriff aktiviert. Da sie bereits auf allen Terminals vorhanden ist, ist es nicht mal hilfreich, die Geräte im Notfall vom Netz zu trennen. Und alle sitzen vor schwarzen Bildschirmen.
2. Generalisierte Cyberangriffe auf die Agrar- und Lebensmittelindustrie
Im April 2019 wurde der französische Branchenriese Fleury Michon Opfer einer erfolgreichen Cyberattacke und musste fünf Tage lang alle Tätigkeiten einstellen. Im Dezember 2019 waren die italienische Feinkostmarke Fratelli Beretta und der belgische Bierbrauer Busch an der Reihe, als sie mit der Ransomware Maze erpresst wurden. Die Nahrungsmittelindustrie scheint mehr denn Begehrlichkeiten von Cyberangreifern jeder Art zu wecken.
Mögliche Szenarien für 2020: Ein hypersensibler Sektor, eine größtenteils automatisierte Produktionskette und eine Qualitätssicherung, die eine der Säulen der Branche ist: Hier sind alle Elemente vereint, die die Lebensmittelindustrie auch in den nächsten Jahren zu einer mit hohen Risiken behafteten Branche machen.
Ganz gleich, ob die Cyberangriffe von staatlich geförderten Akteuren (Reaktion auf einen offenen Konflikt) oder von Cyberterroristen (Angriff auf Bevölkerungsgruppen mit gesundheitsgefährdenden Lebensmitteln) ausgehen, 2020 werden wir sehr wahrscheinlich noch häufiger Attacken auf die Agrar- und Lebensmittelindustrie sowie auf deren Zulieferer oder gar Kunden.
Ein guter alter USB-Stick oder eine Phishing-Kampagne reichen, um einen Arbeitsplatz-PC zu infizieren und ins Netzwerk einzudringen. Einige der großen Konzerne haben dieses Szenario bereits in Betracht gezogen und wirksame Schutzmaßnahmen für ihre Produktionsanlagen ergriffen (zum Beispiel durch eine Segmentierung der Netzwerke). Kleine und mittlere Unternehmen dieser Branche scheinen hingegen anfälliger für diese Cyberangriffe zu sein, die hohe finanzielle Verluste und katastrophale Auswirkungen auf ihr Image zur Folge haben.
3. Deep-Fake als Brecheisen
Zahlreiche Softwarehersteller sind der Ansicht, dass 2019 der Anteil von Phishing an den meist genutzten Angriffsvektoren zunahm. Die eingesetzten Methoden entpuppten sich sogar teilweise aufgrund ihrer Komplexität zu einer echten Herausforderung, etwa mit falschen 404-Seiten oder Web-Portalen, die von Google indexiert wurden oder mit telefonisch von Geschäftsführern erteilten Aufträgen, die keine waren. Berichtet wurde sogar von Phishing-Kampagnen, die als Mitarbeiterbeurteilungsbögen getarnt waren (Quelle: Kaspersky Frankreich). Alles „Deep Fakes“, eine Bedrohung, die 2019 sehr deutlich wurde.
Mögliche Szenarien für 2020: Die Einführung des „Deep Fakes“ in das Arsenal der Cyberkriminellen ist eine echte technische Herausforderung hinsichtlich Vorbeugung und Sicherheit. Es sind sogar Verbreitungsformeln wie „Deep Fake as a Service“ denkbar, die eine deutliche Steigerung der Effizienz dieser Angriffsvektoren bewirken würden. Eine Bedrohung, die man durchaus ernst nehmen sollte. In seiner Studie prophezeit das Marktforschungsinstitut Forrester für das Jahr 2020 Schäden in Höhe von 250 Millionen US-Dollar aufgrund von Deep-Fake-Attacken. Dabei erweist sich die Entwicklung eines glaubwürdigen „Deep Fakes“ als äußerst komplex und kostspielig verglichen mit den Kosten für die Erstellung einer einfachen Ransomware. Der Kostenfaktor könnte deshalb die erwartete Explosion der „Deep Fakes as a Service“ relativieren. Doch gilt dies gleichermaßen für Cyberkriminelle, die über umfangreichere Mittel als zum Beispiel ein Staat verfügen? Oder für unabhängige Spezialisten?
All dies lässt vermuten, dass 2020 das Jahr des mehrstufigen Phishings sein wird. Mit einfachen Kampagnen, die mit bereits bekannten Techniken auf die Gutgläubigkeit der Zielpersonen setzen, und komplexeren Kampagnen, die die aktuellsten Technologien nutzen, um auch erfahrene Profis hinters Licht zu führen.