Asymmetrie im Cyberkonflikt

Die IT-Sicherheitsbranche hat die Neigung entwickelt, mehr auf die Konkurrenz zu schielen als auf den tatsächlichen Gegner. Eine Asymmetrie, von der diese profitieren, während sich die Mehrheit der Kunden weiterhin an klassischen Verteidigungstools orientiert. Das heißt ganz und gar nicht, sich von seiner Anti-Viren-, Firewall- oder SIEM-Lösung zu verabschieden. Man sollte sie aber nicht als alleinigen Dreh- und Angelpunkt seiner Sicherheitsstrategie betrachten. Dazu haben sich Angreifer und Technologien zu stark diversifiziert und weiterentwickelt.

Angreifer nutzen beispielsweise zunehmend das, was man früher (nicht ganz zutreffend) als dateifreie Schadsoftware, heute häufiger als grundlegende Binärdateien (alias LOLbins) bezeichnet hat. Bei LOL geht es nicht mehr nur um einige PowerShell-Exploits, sondern um Tools, die inzwischen allgegenwärtig und unverzichtbar geworden sind, von Microsoft Office Scripting bis WMI. Seinen Blick ausschließlich auf Indicators of Compromise (IOC) zu richten, ist eben nicht genug. Operation Softcell hat uns gelehrt, dass die gleichen Binärdateien vom gleichen Angreifer in der gleichen Kill Chain nicht über die gleichen Hash-Werte verfügen. Die gleiche Angriffsbewegung weist unterschiedliche Indikatoren auf. Wer moderne Bedrohungen verhindern will, der kann sich bei der Erkennung nicht allein auf IOCs verlassen. Wir brauchen IOBs – Indicators of Behavior als Grundlage für eine verhaltensbasierte Telemetrie.

Cyberangreifer und ihre Methoden: Ein ungeschönter Ausblick

Ungeschönt steht hier für einen realistischen Ausblick auf das, was wir in der näheren Zukunft von Angreifern zu erwarten haben. Im Großen und Ganzen lassen sich vier Trends ausmachen:

• Nationalstaatliche Akteure entwickeln ihre Kompetenzen schneller weiter als bisher.

• Der Trickle-Down-Effekt innerhalb der Cyberkriminalität verstärkt sich.

• Neue Technologien ergeben neue Angriffsflächen.

• Die Grenzen zwischen den Bedrohungsakteuren verschwimmen.

Innovationskraft und nötige Ressourcen

In den letzten Jahren hat sich gezeigt, dass der Cyberspace ein weiteres Instrument ist, das rivalisierende Nationen für finanzielle und politische Zwecke einsetzen. Es ist davon auszugehen, dass kriegführende und angegriffene Staaten entsprechende Maßnahmen ergreifen. Darunter die üblichen Verdächtigen: Russische, chinesische, nordkoreanische, türkische und iranische Akteure und ihre bevorzugten Ziele. Nationalstaatliche Akteure haben gegenüber anderen Bedrohungsakteuren einen erheblichen Vorteil: praktisch unbegrenzte Ressourcen. Nationalstaaten bilden die Speerspitze dessen, was angriffstechnisch möglich ist. Ähnlich wie bei zwangsläufig kostenbewussteren Angreifern werden sich aber auch hier innovative Baukastensysteme für Angriffe dieser Größenordnung entwickeln. Die drei geopolitischen Großereignisse des kommenden Jahres, die US-Präsidentschaftswahlen (und eine mögliche Impeachment-Anklage gegen den amtierenden Präsidenten), der Brexit und die bevorstehenden Olympischen Spiele 2020 in Tokio bieten reichlich Anlass und Motivation. Zu erwarten sind groß angelegte DDoS-Angriffe (Distributed-Denial-of-Service), aber auch subtilere Infiltrationen von Infrastruktur und Geräten sowie die gezielte Verbreitung von Falschinformationen über die sozialen Medien.

Der Trickle-Down-Effekt der Cyberkriminalität

Besonders beunruhigend ist der Trickle-Down-Effekt in der Cyberkriminalität. Cyberkriminelle arbeiten zusammen, Entwickler wechseln die Seiten. Darüber hinaus treten die in nationalstaatlichen Laboren konzipierten Tools auf wundersame Weise kurz darauf global in Erscheinung. Nationalstaatliche Instrumente unterstützen Bedrohungsakteure sowohl in Bezug auf ihre eigenen kriminellen Zwecke als auch dabei, Verschleierungstaktiken und Ablenkungsmanöver für eigene Angriffe zu entwickeln.

IoT, IT-/OT und 5G

Was die neuen Technologien anbelangt, sind hier der immense Anstieg von IoT-Geräten zu nennen, ebenso wie die Konvergenz von OT- und IT-Umgebungen und nicht zuletzt die viel diskutierte Einführung von 5G, die weit mehr ist als 4G + 1. Die Bandbreite einer bestimmten Zelle steigt, die Anzahl der Geräte steigt während die Latenz sinkt. Gleichzeitig nimmt die Größe einer Zelle ab, sodass die verfügbare Rechenleistung ein gigantisches Wachstumspotenzial bietet. Die physische Sicherheit der Geräte und sogar die Vertrauenswürdigkeit des Herstellers werden direkt auf den Prüfstand gestellt. Insbesondere bei Anbietern wie Huawei, deren 4G-Zellen aufgerüstet weltweit einsetzbar sind. Die Bedenken richten sich auf mögliche Gefährdungen der Lieferkette, die Vertrauenswürdigkeit und physische Sicherheit von Zellen sowie Datenschutz, potenzielle Spionage und die Verfolgung von Personen.

Die 5G zugrunde liegende Architektur wird für lange Zeit alles andere als perfekt sein. Mit einer Flut von bereits ab Werk 5G-fähigen OT (Operational Technology)- und IoT-Geräten (Internet of Things) ist der Boden bereitet für DDoS-Angriffe und IoT-Zombie-Netze. Wenn wir nicht auf massive digitale Verschmutzung oder einen extrem teuren Neustart von 5G zusteuern wollen, brauchen wir verlässliche Sicherheitsgrundlagen hinsichtlich Geräteidentität, Ausfallsicherheit und kryptographischer Vertrauenswürdigkeit.

Die Grenzen verschwimmen

Bis noch vor wenigen Jahren konnte man Bedrohungsakteure deutlich anhand ihres Modus operandi voneinander unterscheiden. In Zukunft werden sich diese Grenzen weiter verwischen, die Zuweisung von Angriffen wird sich als außerordentlich unzuverlässig erweisen und Angriffe unter falscher Flagge häufiger und einfacher werden. Gleichzeitig nimmt der Spezialisierungsgrad von nationalstaatlichen Akteuren, Hacktivisten und Cyberkriminellen zu. Unternehmen sollten in diesem Jahr also unbedingt Schritte unternehmen, um die Asymmetrie im Cyberkonflikt umzukehren.

Autor: Sam Curry

(c)2020
Vogel Communications Group