Cisco Midyear Cybersecurity Report 2017

1 Inhalt

Zusammenfassung...... 3 Veröffentlichung von Schwachstellen führt Wichtigste Erkenntnisse...... 5 zu vermehrten Angriffen...... 47 Einleitung...... 7 Setzen Sie Ihr Geschäft keinem Risiko durch DevOps-Technologien aus...... 50 Verhalten von Angreifern...... 9 Organisationen führen Patches für bekannte Exploit-Kits: viele inaktiv, aber nicht alle...... 9 Schwachstellen von Memchached-Servern Der Einfluss des Verhaltens der Verteidiger nicht schnell genug durch...... 54 auf die Nutzung anderer Angriffsstrategien...... 11 Hacker wenden sich der Cloud zu, um attraktive Web-Angriffsmethoden entwickeln sich gemeinsam Ziele schneller zu attackieren...... 56 mit dem Internet...... 12 Nicht verwaltete Infrastrukturen und Endpunkte Weltweite Blockierungsaktivität im Web...... 13 stellen Risiken für Organisationen dar...... 59

Spyware ist wirklich so schlimm, wie sie klingt...... 14 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger...... 61 Rückgang der Exploit-Kit-Aktivität wirkt sich wahrscheinlich auf globale Spam-Trends aus...... 18 Security Capabilities Benchmark Study: Fokus auf verschiedenen Branchen...... 61 Schädliche E-Mails: Ein genauerer Blick auf die Dateityp-Strategien von Malware-Programmierern...... 19 Unternehmensgröße hat Einfluss auf den Sicherheitsansatz...... 62 Ist Ransomware ein Thema, das Ihnen Sorgen bereitet? E-Mail-Angriffe könnten eine noch Wissens- und Talentlücken mit Services schließen...... 63 größere Bedrohung darstellen...... 22 Outsourcing von Services und Daten zu Malware-Entwicklung: eine Halbjahres-Betrachtung...... 23 Bedrohungswarnhinweisen nach Land...... 64

Threat-Intelligence von Talos: Auf den Spuren IoT-Sicherheitsrisiken: Vorbereitung auf der Angriffe und Schwachstellen...... 24 das Jetzt und die Zukunft...... 65

Beschleunigte Bedrohungserkennung: Das Tauziehen Security Capabilities Benchmark Study: Fokus auf zwischen Angreifern und Verteidigern wird knapper...... 26 ausgewählte Branchen...... 66

Trends bei der Weiterentwicklungszeit: Service Provider...... 66 Nemucod, Ramnit, Kryptik und Fareit...... 28 Öffentlicher Sektor ...... 68

Längere Lebensdauer – und Überschneidung – von Einzelhandel...... 70 DGA-Domänen...... 33 Fertigung...... 72 Infrastrukturanalyse schafft weitere Kenntnisse über Angreifertools...... 34 Versorgungsunternehmen...... 74

Angriffe auf die Lieferkette: Bereits ein kompromittierter Gesundheitswesen...... 76 Vektor kann viele Organisationen beeinträchtigen...... 36 Transport- und Verkehrswesen...... 78 Das Internet of Things (IoT) nimmt gerade erst Fahrt Finanzwesen...... 80 auf, aber die IoT-Botnets sind bereits zur Stelle...... 39 Fazit...... 83 Erpressung im Cyberspace: Ransom Denial of Service (RDoS)...... 41 Cybersicherheit muss einen festen Platz in der Agenda der Geschäftsführung einnehmen...... 84 Neue Methoden der Hacker...... 42 Informationen zu Cisco...... 86 Ransomware-Angriffe auf medizinische Geräte...... 42 Mitwirkende am Cisco Midyear Schwachstellen...... 46 Cybersecurity Report 2017...... 86

Geopolitisches Update: WannaCry-Angriff Cisco Midyear Cybersecurity unterstreicht das Risiko der Ansammlung von Report 2017 Technologiepartner...... 88 Informationen über ausnutzbare Schwachstellen...... 46 Cisco Midyear Cybersecurity Report 2017

Zusammenfassung Seit fast zehn Jahren erstellt und veröffentlicht Cisco Cybersecurity Reports, um Security Teams und den Unternehmen, die von ihnen unterstützt werden, dabei zu helfen, neue Cyberbedrohungen und Schwachstellen schnell zu erkennen und die Cybersicherheit zu verbessern. Mit diesen Reports möchten wir Unternehmen vor neuen und immer ausgereifteren Bedrohungen warnen und ihnen die Techniken der Angreifer aufzeigen, mit denen sie Benutzer kompromittieren, Informationen stehlen und Unterbrechungen verursachen.

In unserem neuesten Report müssen wir eine noch wachsenden Angriffsfläche ihren Nutzen ziehen. Die deutlichere Warnung aussprechen. Die rasant steigende jüngsten Ransomware-Angriffe allein zeigen wie geschickt Geschwindigkeit der Veränderungen und die zunehmende Gegner die Sicherheitslücken und Schwachstellen der Komplexität der Cyberbedrohungslandschaft gehören einzelnen Geräte und Netzwerke für eine größtmögliche zu den größten Herausforderungen und Sorgen unserer Wirkung nutzen. Security-Experten. Die Unternehmen selbst verbessern zwar ihre Fähigkeit zur Aufspürung von Bedrohungen und Mangelnde Transparenz in dynamischen IT-Umgebungen, Verhinderung von Angriffen und unterstützen Benutzer die Risiken durch die „Shadow-IT“, die ständige Flut und andere Organisationen bei einer schnellen Behebung. von Sicherheitswarnungen und die Komplexität der IT- Jedoch zeichnen sich zwei Trends ab, welche die hart Sicherheitsumgebung. Dies sind nur einige Gründe, weshalb erkämpften Erfolge der Unternehmen untergraben, weitere ressourcenschwache Sicherheitsteams damit kämpfen, Fortschritte ausbremsen und ein neues Zeitalter von den Überblick über die heute schwer erfassbaren und Cyberrisiken und -bedrohungen einläuten. zunehmend wirkungsvollen Cyberbedrohungen zu behalten.

Die fatalen Folgen von Sicherheitslücken Inhalte des Reports Umsatzgenerierung ist immer noch das oberste Ziel der Der Cisco Midyear Cybersecurity Report 2017 erforscht meisten Angreifer. Einige haben nun die Möglichkeit – die oben genannten dynamischen Trends anhand und anscheinend auch das Verlangen – im Rahmen ihrer folgender Aspekte: Angriffe Systeme zu sperren und Daten zu zerstören. Wie im Abschnitt „Einleitung“ im Cisco Midyear Cybersecurity Taktiken der Gegner Report 2017 auf Seite 7 erläutert, betrachten unsere Wir prüfen ausgewählte Methoden, die von Angreifern Experten diese bedrohliche Aktivität als Vorstufe zu einer genutzt werden, um Benutzern zu schaden und in Systeme neuen und verheerenden Art von Angriff, die sich in naher einzudringen. Für die Verteidiger ist es wichtig, die Zukunft entwickeln könnte: Destruction of Service (DeOS). Veränderungen in den Taktiken der Gegner zu verstehen, sodass sie im Gegenzug ihre Sicherheitspraktiken anpassen Im Laufe des vergangenen Jahres konnten wir beobachten, und Benutzer schulen können. Zu den Themen in diesem dass IoT-Geräte bei DDOS-Angriffen eingesetzt werden. Bericht zählen neue Entwicklungen in der Malware, Botnet-Aktivitäten im IoT deuten darauf hin, dass hier der Trends bei Web-Angriffsmethoden und Spam, die Risiken Grundstein gelegt werden soll für einen weitreichenden von potenziell unerwünschten Anwendungen (PUA) wie Angriff mit hohen Auswirkungen, die potenziell das Spyware, kompromittierte Geschäfts-E-Mails (BEC bzw. gesamte Internet zum Stillstand bringen können. CEO-Betrug), die sich verändernde Hackerwirtschaft und Kompromittierungen von medizinischen Geräten. Unsere Bedrohungsexperten stellen auch Analysen darüber vor, Tempo und Umfang der Technologie wie – und wie schnell – einige Gegner ihre Tools und Unsere Bedrohungsexperten beobachten nun seit Techniken weiterentwickeln. Darüber hinaus stellen sie Jahren, wie Mobility, Cloud-Computing und andere ein Update zu den Bemühungen von Cisco vor, die Zeit bis technologische Neuerungen und Trends zu einer zur Erkennung von Bedrohungen (Time to Detection, TTD) Ausweitung der Sicherheitsmaßnahmen und -bemühungen zu reduzieren. der Unternehmen führen. Wir erkennen heute auch viel besser, wie Cyberkriminelle aus dieser ständig

3 Zusammenfassung Cisco Midyear Cybersecurity Report 2017

Schwachstellen Chancen für Verteidiger In diesem Report erhalten Sie einen Überblick über Der Cisco Midyear Cybersecurity Report 2017 stellt weitere Schwachstellen und andere Sicherheitslücken, die Erkenntnisse aus der neuesten Security Capabilities Organisationen und Benutzer kompromittierbar oder Benchmark Study von Cisco vor. Wir stellen umfangreiche angreifbar machen. Zu den erörterten Themen zählen Analysen der wesentlichen Sicherheitsbedenken in acht schlechte Sicherheitspraktiken, wie unzureichend schnelle Branchen bereit: Service Provider, öffentlicher Sektor, Bereitstellung von Patches für bekannte Schwachstellen, Einzelhandel, Fertigung, Versorgungsunternehmen, mangelnde Zugriffsbeschränkungen zu Cloud-Systemen Gesundheitswesen, Transport und Finanzen. und nicht verwaltete Infrastrukturen und Endpunkte. Ebenso Branchenexperten von Cisco sprechen Empfehlungen aus, im Fokus stehen Fragen, warum das expandierende IoT wie diese Unternehmen ihren Sicherheitsstatus verbessern und die Konvergenz von IT und OT sogar noch mehr Risiken können und Services nutzen, um Wissens- und Talentlücken für Organisationen und ihre Nutzer sowie für Verbraucher zu schließen, die Komplexität ihrer IT-Umgebung zu erzeugen und was Verteidiger nun im Rahmen dieser reduzieren und Automatisierungsprozesse einzuführen. Risiken unternehmen sollen, bevor diese nicht mehr zu beherrschen sind. Der abschließende Teil dieses Reports enthält einen Aufruf an die Sicherheitsverantwortlichen, Führungskräfte und Vorstände in Diskussionen über Cybersicherheitsrisiken und Budgets einzubinden. Darüber hinaus macht der Bericht Vorschläge, wie mit solchen Gesprächen begonnen werden kann.

Danksagungen Wir möchten unserem Team von Bedrohungsforschern und den anderen Fachexperten von Cisco sowie unseren Technologiepartnern danken, die zum Cisco Midyear Cybersecurity Report 2017 beigetragen haben. Ihre Forschung und Erkenntnisse sind für Cisco extrem wichtig, denn so können wir die Security-Community, andere Unternehmen und Benutzer dabei unterstützen, einen genauen Einblick in die Komplexität und das Ausmaß moderner, globaler Cyberbedrohungen zu erhalten und ihnen Best-Practices und weitere Tipps zur Verbesserung der Bedrohungsabwehr mitzuteilen. Unsere Technologiepartner spielen ebenfalls eine entscheidende Rolle. Sie unterstützen unser Unternehmen bei der Entwicklung einer unkomplizierten, offenen und automatisierten Sicherheitsstrategie, die den Organisationen die Integration der Lösungen ermöglicht, die für den Schutz ihrer Umgebungen unerlässlich sind. Eine vollständige Liste der Mitwirkenden am Cisco Midyear Cybersecurity Report 2017, die auch unsere Technologiepartner umfasst, finden Sie auf Seite 85.

4 Zusammenfassung Cisco Midyear Cybersecurity Report 2017

Wichtigste Erkenntnisse

•• E-Mail-Angriffe auf Unternehmen (Business Email Download-Seite eines Softwareanbieters manipuliert Compromise, BEC) sind mittlerweile eine äußerst wurde. So konnte sich die Infektion auf jedes lukrative Form der Bedrohung geworden. Laut dem Unternehmen ausbreiten, das die Software dieses Internet Crime Complaint Center (IC3) wurden von Anbieters heruntergeladen hatte. Oktober 2013 bis Dezember 2016 5,3 Milliarden •• Der dramatische Anstieg der Häufigkeit, Komplexität und US-Dollar durch BEC-Betrug entwendet. Im Vergleich Größe von Cyberangriffen im vergangenen Jahr lässt laut dazu verursachten Ransomware-Angriffe im Jahr 2016 Radware, einem Cisco Partner, darauf schließen, dass Schäden in Höhe von 1 Milliarde US-Dollar. eine Wende in der Welt der Hacker stattgefunden hat. •• Spyware, die sich in Form potenziell unerwünschter Laut Radware profitiert die moderne Hacker-Community Anwendungen (PUA) maskiert, ist eine Form von von einem schnellen und einfachen Zugriff auf eine Malware – und ein Risiko, das viele Organisationen Reihe nützlicher und kostengünstiger Ressourcen. unterschätzen oder komplett übersehen. Spyware kann •• Wenn es um die Unternehmenssicherheit geht, wird die jedoch Benutzer- und Unternehmensinformationen Cloud oft ignoriert: Risiken durch Open Authorization entwenden, den Sicherheitsstatus von Geräten und schlechtes Management der einzelnen schwächen und Malware-Infektionen erhöhen. privilegierten Benutzerkonten lassen Sicherheitslücken Spyware-Infektionen sind ebenfalls weit verbreitet. entstehen, die Gegner leicht ausnutzen können. Laut Die Bedrohungsexperten von Cisco untersuchten drei den Bedrohungsexperten von Cisco haben Hacker ausgewählte Spyware-Familien und stellten in einer bereits die Cloud ins Visier genommen und arbeiten Stichprobe fest, dass 20 Prozent der 300 Unternehmen unermüdlich daran, in die Cloud-Umgebungen von betroffen waren. Unternehmen einzudringen. • • Das Internet of Things (IoT) verfügt über ein viel •• Aktivitäten in Verbindung mit Exploit-Kits haben versprechendes Potenzial für die Zusammenarbeit und drastisch abgenommen. Innovationen stagnieren, Innovationen in Unternehmen. Aber mit steigendem seitdem Angler und andere führende Player Umfang des IoT nehmen auch die Sicherheitsrisiken zu. verschwunden sind oder ihr Geschäftsmodell geändert Mangelnde Transparenz ist ein Problem: Es fehlt das haben. Diese Situation dürfte angesichts der bisherigen Wissen, welche IoT-Geräte genau mit dem Netzwerk Muster in diesem Markt zeitlich begrenzt sein. Aber verbunden sind. Um diese und weitere Hürden für andere Faktoren, wie die erschwerte Nutzung von die Sicherheit im IoT überwinden zu können, ist Schwachstellen in Dateien, die mit Adobe Flash- Schnelligkeit gefragt. Angreifer nutzen bereits die Technologie erstellt werden, bremsen u. U. ein Sicherheitslücken von IoT-Geräten aus. Die Geräte Wiederaufleben dieses Problems. dienen ihnen als eine Art Festung und ermöglichen, unbemerkt und relativ einfach in die einzelnen •• DevOps-Services, die nicht ordnungsgemäß Netzwerke einzudringen. bereitgestellt oder von berechtigten Benutzern absichtlich für einen bequemeren Zugriff offen gelassen • • Cisco hat die durchschnittliche Zeit bis zur Erkennung wurden, stellen laut Untersuchung des Cisco Partners (Time to Detection, TTD) seit November 2015 Rapid7 ein erhebliches Risiko für Organisationen dar. nachverfolgt. Seitdem ist die Tendenz allgemein In der Tat wurden so schon viele erfolgreiche rückläufig und von etwas mehr als 39 Stunden zu Ransomware-Angriffe durchgeführt. Beginn der Untersuchung auf etwa 3,5 Stunden für den Zeitraum November 2016 bis Mai 2017 gesunken. •• Eine ThreatConnect-Analyse von am gleichen Standort bereitgestellten Domains, die von Gegnern genutzt • • Cisco hat seit Mitte 2016 einen allgemeinen Anstieg werden, welche mit der Cyberspionagegruppe Fancy des Spam-Volumens beobachtet, was sich mit einem Bear in Verbindung stehen, zeigte den Nutzen, der sich deutlichen Rückgang bei der Exploit-Kit-Aktivität im aus der Untersuchung der IP-Infrastrukturtaktiken von gleichen Zeitraum zu decken scheint. Gegner, die Cyberkriminellen ergibt. Durch die Untersuchung dieser sich für die Verbreitung von Ransomware bisher stark Infrastruktur erhalten die Verteidiger eine größere Liste auf Exploit-Kits verlassen haben, greifen jetzt gehäuft von Domains, IP-Adressen und E-Mail-Adressen, die auf Spam-Mails zurück. Diese E-Mails können z. B. proaktiv blockiert werden. Dokumente mit schädlichen Makros enthalten, die viele Sandboxing-Technologien überwinden können, weil •• Ende 2016 hatten die Bedrohungsexperten von Cisco sie eine Benutzerinteraktion erfordern, um Systeme bei Remote-Code-Ausführungen drei Schwachstellen zu infizieren und die Ransomware zu verbreiten. in Memcached-Servern entdeckt und gemeldet. Ein Internet-Scan einige Monate später ergab, • • Durch Angriffe auf die Lieferkette kann sich Malware dass 79 Prozent der rund 110.000 gefährdeten über eine einzige kompromittierte Seite gleich bei Memcached‑Server, die zuvor identifiziert wurden, mehreren Organisationen verbreiten. RSA, ein Partner nach wie vor diese drei Schwachstellen aufwiesen, von Cisco, untersuchte z. B. einen Angriff, bei dem die weil sie nicht gepatcht wurden.

5 Wichtigste Erkenntnisse Einleitung Cisco Midyear Cybersecurity Report 2017

Einleitung Die Bedrohungslandschaft unterliegt einem ständigen Wandel. Die rasante Entwicklung der Bedrohungen und das Ausmaß der Angriffe, die von den Cisco Bedrohungsforschern und Technologiepartnern in der letzten Zeit beobachtet wurden, sind beunruhigend. Die Security-Community ist sich einig, dass hier der Grundstein gelegt werden könnte für eine Bedrohung, deren Ausmaß enorm sein wird und von der wir uns nur schwer erholen werden.

Die neue Strategie: Destruction of Die Lösung: eine weniger fragmentierte Service (DeOS) Sicherheitsstrategie

Das neue Ziel der Angreifer ist das „Sicherheitsnetz“, Auch wenn die Verteidiger immer wieder Erfolge erzielen, das Organisationen zur Wiederherstellung von Systemen die Angreifer finden immer wieder Wege, um die und Daten nach einer Malware-Infektion, Ransomware- Bedrohungsabwehr zu umgehen. Die Verteidiger verfügen Kampagne oder einem anderen Cyberangriff mit bereits über die meisten Lösungen, die sie benötigen, um schwerwiegenden Betriebsstörungen nutzen. Die den Handlungsspielraum der Angreifer zu begrenzen und Entwicklung und das Erscheinungsbild der DeOS-Angriffe sie aufzuhalten. Das Problem ist, wie sie diese einsetzen. hängen von den eigentlichen Beweggründen der Angreifer Sicherheitsexperten in allen Branchen berichten, dass und den Grenzen ihrer Kreativität und Fähigkeiten ab. sie viele verschiedene Tools von unterschiedlichen Anbietern nutzen, was einen komplexen Sicherheitsansatz Sicher ist, dass das Internet of Things (IoT) und die damit darstellt. Die Lösung ist hier aber ein nahtloser und einhergehende hohe Anzahl an Geräten und Systemen eine ganzheitlicher Ansatz. Reihe von Sicherheitsrisiken mit sich bringen, die von den Angreifern ausgenutzt werden können. Das hat eine Ein fragmentiertes und aus mehreren Produkten entscheidende Rolle für die Ermöglichung und das Ausmaß bestehendes Sicherheitskonzept behindert die dieser Angriffe. Sowohl für die Angreifer, als auch die Fähigkeit einer Organisation, Bedrohungen abzuwehren. Verteidiger, stellt dies ein neues Umfeld dar. Zudem erhöht sich dadurch auch die Anzahl der Sicherheitswarnungen und damit der Aufwand für die Im alten und vertrauten Umfeld unterdessen, bietet sich den bereits knapp belegten Sicherheitsteams. Wenn die Anzahl Angreifern ein immer geringerer zeitlicher und räumlicher der genutzten Anbieter reduziert und ein offener, integrierter Handlungsspielraum. Um nicht erkannt zu werden, müssen und vereinfachter Sicherheitsansatz eingeführt werden sie ihre Strategien ständig ändern. Sie müssen immer kann, führt das zu einem besseren Schutz vor Bedrohungen. wieder neue Wege finden, einen effektiven Angriff zu Darüber hinaus können sich die Organisationen so besser starten, so wie sie z. B. mit Bitcoin und Tor Ransomware auf die Herausforderungen in puncto Sicherheit vorbereiten, effektiver gemacht haben. Da die Effektivität von Go-to- die mit den schnellen Veränderungen des IoT einhergehen, Tools zur Profitsteigerung, z. B. durch Exploit-Kits, von und sie sind besser gerüstet für die Einführung und den Verteidigern oder fehlenden Innovationen am Markt Anforderungen der für Mai 2018 geplanten Datenschutz- verringert wird, wenden sich die Angreifer (wieder) Taktiken Grundverordnung (DSGVO). wie schädlichen E-Mails oder Social Engineering zu.

7 Einleitung Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Verhalten von Angreifern Dieser Abschnitt bietet einen Überblick über Entwicklungstrends und Innovationen von Bedrohungen, die Gegner für Web- und E-Mail-basierte Angriffe einsetzen. Die Cisco Bedrohungsforscher und Technologiepartner präsentieren ihre Beobachtungen und Erkenntnisse, damit die Unternehmensleitung und ihre Sicherheitsteams besser verstehen, was in den kommenden Monaten im Zuge der Weiterentwicklung des IoT auf sie zukommen könnte. Wir bieten auch Empfehlungen zur Verbesserung der Sicherheit, die zur Reduzierung von Risiken für Unternehmen und Benutzer beitragen können.

Exploit-Kits: viele inaktiv, aber nicht alle

Im Jahr 2016 verschwanden plötzlich drei führende Exploit- enormen Einfluss auf den Exploit-Kit-Markt und es dauerte Kits – Angler, Nuclear und Neutrino – von der Bildfläche.1 einige Zeit, bis neue Akteure ans Licht traten. Der große Angler und Nuclear sind nicht zurückgekehrt. Neutrino blieb Gewinner dieses Rennens war Angler, das die Raffinesse nur vorübergehend verschwunden: Das Exploit-Kit ist noch von Exploit-Kits und Drive-By-Downloads auf ein neues aktiv, taucht aber immer nur für kurze Zeit wieder auf. Seine Niveau anhob.3 Programmierer vermieten es in exklusiven Abmachungen an ausgewählte Operator. So wird die Aktivität von Neutrino Abbildung 11 Exploit-Kit-AktivitätExploit Kit-Aktivität eingeschränkt, damit es sich nicht verbreitet und einfacher erkennbar ist. 6K 5799 Angler und Nuclear stellen Aktivität ein Im Cisco Annual Cybersecurity Report 2017 haben wir 5K erläutert, welche Möglichkeiten dieser grundlegende Wandel in der Exploit-Kit-Landschaft für kleinere Akteure 4071 4K 3650 und Neulinge eröffnet, die sich profilieren möchten. Seit Mitte 2017 scheint jedoch niemand diese Chancen 3K zu ergreifen. Nur eine Handvoll von Exploit-Kits sind aktiv. RIG ist das aktuell führende Exploit-Kit. Es richtet 2K sich bekanntermaßen gegen Schwachstellen in den

Technologien von Adobe Flash, Microsoft Silverlight und Anzahl der Blockierungen 1K Microsoft Internet Explorer. 0 Wie Abbildung 1 dargestellt, ist die Exploit-Kit-Aktivität Jan. März Mai Juli Sept. Nov. Jan. März Mai seit Januar 2016 insgesamt drastisch zurückgegangen. 2016 2017 Monat Dieser Trend spiegelt unsere Beobachtungen nach der Verhaftung des Programmierers und Vertreibers des Quelle: Cisco Security Research Blackhole-Exploit-Kits in Russland wider.2 Die darauf folgende Einstellung der Blackhole-Aktivität hatte Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

1 Cisco Midyear Cybersecurity Report 2016: cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html. 2 „Meet Paunch: The Accused Author of the Blackhole Exploit Kit“ von Brian Krebs, KrebsonSecurity-Blog, 6. Dezember 2013: krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/. 3 „Connecting the Dots Reveals Crimeware Shake-Up“ von Nick Biasini, Talos-Blog, 7. Juli 2016: blog.talosintelligence.com/2016/07/lurk-crimeware-connections.html.

9 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Angler hatte viele Vektoren im Visier. Seine Programmierer Word-Dokumente, Excel-Dateien und PDF-Dateien. Diese waren innovativ und bei der Ausnutzung neuer können viele Sandbox-Technologien bezwingen, da für die Schwachstellen durch das Exploit-Kit schneller als alle Infizierung von Systemen und die Übermittlung von Payloads anderen auf dem Markt. Sie haben die Messlatte für andere Benutzerinteraktionen erforderlich sind. 4 Akteure in diesem Umfeld in vielerlei Hinsicht angehoben – und den Daten- und Verfahrensdiebstahl zwischen anderen Entwickeln sich Exploit-Kits unbemerkt weiter? Kits zur Erhaltung der Wettbewerbsfähigkeit angetrieben. Angesichts der Tatsache, dass sich Crimeware zu einer Jetzt, dass Angler von der Bildfläche verschwunden ist, milliardenschweren Branche entwickelt hat, gibt es wenig haben die Innovationen bei den anderen Exploit-Kits Zweifel daran, dass wir ein Wiederaufleben des Exploit-Kit- anscheinend einen Einbruch erlitten. Markts sehen werden. Sobald sich ein neuer und einfach Anglers Wegfall ist nur eine der wahrscheinlichen Ursachen zu nutzender Angriffsvektor bietet, der auf viele Benutzer für diese Stagnation. Eine andere ist, dass die Flash- angewendet werden kann, wird auch die Popularität von Technologie schwieriger auszunutzen ist. Dank der Flash- Exploit-Kits wieder zunehmen – genau wie Innovationen Schwachstellen konnte der Exploit-Kit-Markt jahrelang und der Wettbewerb. wachsen und sich halten. Das erhöhte Bewusstsein über Verteidiger müssen also wachsam bleiben. Viele Exploit-Kits diese Schwachstellen und das schnellere Patching durch sind noch in Betrieb und nach wie vor effektiv, wenn es um die Verteidiger haben die Ausnutzung der Software jedoch die Beeinträchtigung von Benutzern und die Verbreitung erschwert. Heutzutage müssen die Gegner häufig mehrere von Malware in Endsysteme geht. Diese Bedrohungen Schwachstellen gleichzeitig anvisieren, um ein System können in jeder Umgebung jederzeit zuschlagen. Bereits ausnutzen zu können. eine Schwachstelle auf einem einzelnen System reicht Automatische Sicherheitsupdates in modernen aus. Organisationen, die Schwachstellen – vor solche in Betriebssystemen und Webbrowsern vereinfachen die Webbrowsern und zugehörigen Browser-Plug-ins – stets Abschirmung von Benutzern vor Exploit-Kit-Gefährdungen. mithilfe von Patches schnell beheben und weitreichende Ein weiterer Trend: Cyberkriminelle haben sich Verteidigungsstrategien nutzen, können dieses Risiko wahrscheinlich als Reaktion auf die Veränderungen am verringern. Das Risiko einer Exploit-Kit-Bedrohung kann Exploit-Kit-Markt dem E-Mail-Versand als schnelle und erheblich reduziert werden, wenn sichergestellt ist, dass kosteneffiziente Übermittlungsmethode von Ransomware Benutzer sichere Browser nutzen, und unnötige Web-Plug- und sonstiger Malware zugewandt (oder sind zu dieser ins deaktiviert und entfernt werden. Methode zurückgekehrt). Zudem werden sie äußerst kreativ, wenn es darum geht, nicht erkannt zu werden. Die Bedrohungsforscher von Cisco haben beispielsweise eine Spam-Zunahme mit schädlichen Dokumenten festgestellt, die zahlreiche Makros enthalten, darunter

4 „Threat Spotlight: Mighty Morphin Malware Purveyors: Locky Returns via Necurs“ von Nick Biasini, Talos-Blog, 21. April 2017: blogs.cisco.com/security/talos/locky-returns-necurs.

10 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Der Einfluss des Verhaltens der Verteidiger auf die Nutzung anderer Angriffsstrategien Das rechtzeitige Patchen von bekannten der benötigt wird, um durchschnittlich 80 Prozent Schwachstellen in der Flash-Software durch die der bekannten Flash-Schwachstellen in ihrer Verteidiger ist ein Faktor, der dazu beigetragen Organisation zu patchen: von 308 Tagen im Jahr hat, das Wachstum und die Innovationen auf dem 2014 auf 144 Tage im Jahr 2015 bis zu 62 Tage im Exploit-Kit-Markt zu bremsen. Wie bereits in Jahr 2016 (siehe Abbildung 2). Die Untersuchung früheren Cisco Cybersecurity Reports erläutert, ist basiert auf Daten von mehr als 3 Milliarden die Flash-Software seit langem ein attraktiver Web- Schwachstellenscans, die Qualys jährlich in seinem Angriffsvektor für Gegner, die Systeme ausnutzen weltweiten Netzwerk durchführt. und kompromittieren möchten. Allerdings werden Exploits aufgrund der verbesserten Patching- Da die Verteidiger neue Schwachstellen in Verfahren immer schwieriger. der Flash-Software inzwischen schneller mit Patches beheben, verlagern manche Exploit-Kit- Laut den Ergebnissen von Studien des Cisco Programmierer ihren Schwerpunkt möglicherweise Partners Qualys, einem Unternehmen für auf die Ausnutzung älterer Schwachstellen, die Netzwerksicherheit und Schwachstellenmanagement, zuvor unter Umständen übersehen wurden. Die haben Verteidiger den Zeitraum erheblich verkürzt, Sicherheitsteams sollten sich daher die Zeit nehmen, um zu beurteilen, ob alle bekannten Flash- Abbildung 2 2: Anzahl Anzahl der der Tage, Tage, die diefür dasfür Patchendas von Schwachstellen behoben wurden. Außerdem sollten 80 %Patchen der Flash-Schwachstellenvon 80 % der Flash-Schwachstellen erforderlich sind sie das Patching von kritischen Schwachstellen erforderlich sind priorisieren, die ein Risiko für die Organisation

Tage darstellen. 365 0 2014 Darüber hinaus werden einige Angreifer, die bisher Exploit-Kits verwendet haben, um Ransomware und 2015 62 sonstige Malware in Flash-Software einzuschleusen, 2016 Tage zumindest kurzfristig wahrscheinlich auch vermehrt 292 73 andere Verfahren einsetzen, damit sie ihre Umsatzziele erreichen. Die Cisco Bedrohungsexperten haben beispielsweise einen Anstieg von Spam-E-Mails mit scheinbar harmlosen Anhängen verzeichnet, die jedoch schädliche Makros enthalten (siehe „Malware-Entwicklung: eine Halbjahres- 219 146 Betrachtung“ auf Seite 23). Dieser Trend scheint mit dem jüngsten Rückgang der Exploit-Kit-Aktivität zusammenzufallen (Sie finden weitere Informationen Quelle: Qualys zu diesem Thema unter „Exploit-Kits: viele inaktiv, aber nicht alle“ auf Seite 9).

11 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Web-Angriffsmethoden entwickeln sich gemeinsam mit dem Internet

Proxys gibt es schon seit den ersten Jahren des Web. Abbildung 3 Am häufigsten beobachtete Malware Ihre Funktionalität ist gemeinsam mit dem Internet (Top-BlockierungenAbbildung 3: Am von häufigsten schädlichem beobachtete Code), November 2016Malware (Top-Blockierungen bis Mai 2017 von schädlichem gereift. Heutzutage nutzen Verteidiger Proxys für die Code), November 2016 bis Mai 2017 Inhaltsüberwachung, um mögliche Bedrohungen schneller Dokumentierte Art der Bedrohung erkennen zu können. So wird verhindert, dass die Angreifer Anzahl anfällige Internet-Infrastruktur oder Schwachstellen im Netzwerk nutzen, um Zugriff auf die Computer von Benutzern zu erhalten, ins Unternehmensnetzwerk 32.737 Trojaner-Dropper einzudringen und ihre Kampagnen durchzuführen. Diese Bedrohungen umfassen: 23.979 Malware

•• Potenziell unerwünschte Anwendungen (PUAs), wie 23.272 Trojaner für Browserumleitung z. B. schädliche Browsererweiterungen

•• Trojaner (Dropper und Downloader) Trojaner für Browserumleitung 19.922 (Downloader) •• Links zu Web-Spam und Werbebetrug •• Browserspezifische Schwachstellen, wie z. B. 17.635 Trojaner-Downloader JavaScript und Grafik-Rendering-Engines Trojaner-Downloader (Heuristik) •• Browserumleitungen, Clickjacking und andere 15.148 Methoden, mit denen Benutzer an schädliche Webinhalte umgeleitet werden 12.510 PUA und verdächtige Binärdateien

Abbildung 3 zeigt die am weitesten verbreiteten Malware- 9070 Trojaner Typen, die von November 2016 bis Mai 2017 verwendet wurden. Für die Erstellung des Diagramms haben 8428 Browserumleitung die Cisco Bedrohungsforscher die verwalteten Web- Sicherheitsprotokolle unseres Unternehmens herangezogen. 4784 Facebook-Malware Die Liste in Abbildung 3 enthält eine Auswahl von einigen der zuverlässigsten und kostengünstigsten Methoden für die 4274 Phish-Malware Kompromittierung sehr vieler Benutzer und die Infizierung 3394 Trojaner für iFrame-Missbrauch von Computern und Systemen. Dazu gehören:

•• „First-Stage-Payloads“ wie Trojaner und 3016 Gepackt Dienstprogramme, die die Erstinfektion des Computers eines Benutzers ermöglichen. (Ein Makrovirus in einem 2676 Virus schädlichen Word-Dokument ist ein Beispiel für diese Art von Tool.) 2216 Heuristik • • PUAs, die schädliche Browsererweiterungen enthalten. 2188 Malware für iFrame-Missbrauch •• Verdächtige Windows-Binärdateien, die Bedrohungen wie Spyware und Adware übermitteln.5 Quelle: Cisco Security Research •• Facebook-Scams mit gefälschten Angeboten, Medieninhalten und Umfrage-Scams. •• Malware wie Ransomware und Keystroke-Recorder, die Payloads an kompromittierte Hosts übermitteln.

5 Hinweis: Im Cisco Annual Cybersecurity Report 2017 (verfügbar unter b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153) haben die Cisco Bedrohungsforscher gewarnt, dass schädliche Adware, die Ad Injectors, Hijacker von Browsereinstellungen, Dienstprogramme und Downloader enthalten, ein zunehmendes Problem darstellen. In diesem Bericht untersuchen wir auf Seite 14 die Risiken, die PUAs wie Spyware für Benutzer und Unternehmen darstellen.

12 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Alle der oben aufgeführten Einträge sind regelmäßig in von möglichst vielen Benutzern am effektivsten sind. Die unseren Listen der am häufigsten beobachteten Malware zu Verwendung sicherer Browser und die Deaktivierung oder finden. Die Einheitlichkeit in der Aufstellung deutet darauf Entfernung von unnötigen Browser-Plug-ins sind nach hin, dass das Internet an einem Punkt angelangt ist, an dem wie vor die beiden wichtigsten Maßnahmen, die Benutzer die Gegner ziemlich sicher sein können, welche Web- ergreifen können, um ihre Anfälligkeit gegenüber gängigen Angriffsmethoden für eine relativ leichte Kompromittierung webbasierten Bedrohungen zu verringern.

Abbildung 4 Weltweite Web-Blockierungen, November 2016 bis Mai 2017 Abbildung 4: Blockierungsverhältnisse im Web (weltweit) Schweden 0,8 / 0,7 Russland 0,8 / 0,9 Kanada Vereinigtes Königreich 6,8 / 2,1 3,5 / 0,8 Ukraine Kasachstan Deutschland 1,0 / 1,5 0,7 / 0,5 USA 2,5 / 3,9 Griechenland Japan 0,7/ 1,2 1,0 / 0,7 Iran China 0,8 / 0,5 Bermudas 0,8/ 0,5 1,8 / 1,3 0,8/0,8 Indien Mexiko Jungferninseln, Britisch Hongkong 0,7/ 0,5 0,4/ 0,7 1,1 / 0,8 2,3 / 0,7 Thailand 1,4 / 0,6 Panama Venezuela 0,8/ 1,4 0,6/1,1 Malaysia 1,3 / 3,5 Brasilien 0,5 / 0,7

Chile 0,5 / 0,8 Argentinien Blockierungsverhältnis 2017 0,5 / 0,7 Blockierungsverhältnis 2016

Quelle: Cisco Security Research

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

Weltweite Blockierungsaktivität im Web

Cisco verfolgt die Malware-basierte Blockierungsaktivität Für die Auswahl der Länder wurde das jeweilige Volumen nach Land oder Region. Die Angreifer verlagern ihre des Internet-Datenverkehrs zugrunde gelegt. Bei einer Operationsbasis häufig und sind stets auf der Suche nach Blockierungsrate von 1,0 verhält sich die Anzahl der schwachen Infrastrukturen, die sie als Ausgangspunkt registrierten Blockierungen proportional zur Netzwerkgröße. für ihre Kampagnen nutzen können. Der Umfang der In Ländern und Regionen mit aus unserer Sicht Blockierungsaktivitäten im Verhältnis zum gesamten ungewöhnlich hohen Blockierungsraten ist von einer hohen Internetverkehr liefert jedoch Hinweise darauf, wo die Zahl an Webservern sowie zahlreichen Hosts auszugehen, Ursprungsorte von Malware liegen. bei denen Schwachstellen noch nicht behoben wurden. Die Grafik oben zeigt die weltweite Blockierungsaktivität im Web.

13 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Spyware ist wirklich so schlimm, wie sie klingt

Bei einem Großteil der heutigen Werbesoftware, die Wir fanden heraus, dass im untersuchten Zeitraum mehr online als potenziell unerwünschte Anwendungen (PUAs) als 20 Prozent der Unternehmen in unserer Stichprobe bekannt ist, handelt es sich um Spyware. Die Hersteller von durch drei Spyware-Familien angegriffen wurden: Hola, Spyware bewerben ihre Software als legitime Tools, die RelevantKnowledge und DNS Changer/DNS Unlocker. nützliche Dienstleistungen bieten und sich an Endbenutzer- Die Infektionen wurden auf monatlicher Basis in mehr als Lizenzvereinbarungen halten. Aber egal, wie sie es auch 25 Prozent aller Organisationen in unserer Stichprobe formulieren, Spyware ist nichts anderes als Malware. ermittelt (siehe Abbildung 5).

Spyware, die als PUAs getarnt ist, erfasst und überträgt Es gibt Hunderte von Spyware-Familien. Wir haben uns heimlich Informationen über die Aktivitäten auf dem jedoch auf diese drei Familien konzentriert, da sie zwar Computer des Benutzers. Sie wird in der Regel nicht neu sind, allerdings in den von uns beobachteten ohne Wissen des Benutzers auf einem Computer Unternehmensumgebungen die am häufigsten vertretenen installiert. In der vorliegenden Diskussion haben wir „Marken“ waren. In den folgenden Abschnitten werden die Spyware in drei grobe Kategorien eingeteilt: Adware, diese drei Spyware-Familien näher beschrieben. Systemüberwachungsprogramme und Trojaner. Abbildung 5 5: Prozentualer Prozentualer Anteil Anteil der derUnternehmen, die In der Unternehmensumgebung birgt Spyware eine Reihe durchUnternehmen, ausgewählte die Spyware-Familien durch ausgewählte beeinträchtigt von Sicherheitsrisiken. Beispielsweise ist Folgendes möglich: waren,Spyware-Familien November 2016 beeinträchtigt bis März 2017 waren, •• Sie kann Benutzer- und Unternehmensdaten stehlen, November 2016 bis März 2017 darunter personenbezogene Identifizierungsdaten (Personally Identifiable Information, PII) und andere sensible oder vertrauliche Informationen. •• Sie kann den Sicherheitsstatus der Geräte schwächen, indem sie deren Gerätekonfigurationen und Einstellungen verändert, zusätzliche Software installiert und Dritten Zugriff ermöglicht. Spyware kann möglicherweise auch die Remote-Codeausführung auf Geräten aktivieren, sodass Angreifer die volle Kontrolle über das Gerät erhalten.

•• Sie kann zu vermehrten Malware-Infektionen führen. der monatlich befragten Unternehmen waren Sobald Benutzer mit PUAs wie Spyware oder Adware mit Hola, RelevantKnowledge oder DNS infiziert sind, sind sie anfällig für noch mehr Malware- 25% Changer/DNS Unlocker infiziert. Infektionen. Zum besseren Verständnis der Spyware-Infektionen Quelle: Cisco Security Research untersuchten Experten von Cisco von November 2016 bis März 2017 den Netzwerkverkehr von rund 300 Unternehmen, um festzustellen, welche Arten von Spyware- Familien in Organisationen und in welchem Umfang sie vorhanden sind.

14 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Hola VPN RelevantKnowledge Hola (Spyware und Adware) ist ein Freemium-Angebot einer RelevantKnowledge (Spyware und im Web und Mobilbereich einsetzbaren Anwendung, die Systemüberwachungsprogramm) sammelt enorme Mengen ihren Benutzern über ein Peer-to-Peer-Netzwerk eine Form von Informationen zum Browsing-Verhalten im Internet von VPN bietet. Darüber hinaus nutzt sie Peer-to-Peer- sowie zur Demografie, zu Systemen und zu Konfigurationen. Caching, was im Klartext bedeutet, dass Benutzer die von RelevantKnowledge kann direkt oder durch Software- anderen Benutzern heruntergeladenen Inhalte „speichern“. Bundles installiert werden, manchmal auch ohne direkte Hola wird als clientseitige browserbasierte Anwendung Zustimmung des Benutzers. verteilt. Die Software ist entweder als Browsererweiterung oder als eigenständige Anwendung verfügbar. Abbildung 7 Screenshot der RelevantKnowledge- Homepage Der Screenshot der Hola-Website in Abbildung 6 zeigt, wie die Operator der Spyware diese kostenlosen, hilfreichen Service vermarkten, mit dem Benutzer auf jede Website zugreifen können. Sie behaupten auch, dass Hola von mehr als 121 Millionen Menschen auf der ganzen Welt verwendet wird.

Abbildung 6 Screenshot der Homepage von Hola VPN

Wie bei Hola wird auch auf dieser Homepage (Abbildung 7) eine Bild vermittelt, das den Benutzern ein gutes Gefühl gibt, sodass sie sich gerne bei diesem Service anmelden. Beispielsweise behaupten die Spyware-Operator, dass sie der Kampagne „Trees for Knowledge“ für jedes Mitglied eine Spende zukommen lässt. Warum sie als Spyware gilt: Der Funktionsumfang Warum sie als Spyware gilt: Wie bereits erwähnt, kann von Hola umfasst unter anderem den Verkauf von RelevantKnowledge Software ohne die Zustimmung Benutzerbandbreite durch einen Service namens Luminati, des Benutzers installieren. Zudem sammelt sie der auf den Systemen der Benutzer sein eigenes Zertifikat Informationen zur Erstellung von Benutzerprofilen, die zu mit Codesignatur installiert. Daraufhin kann jede Datei mit „Forschungszwecken“ an Dritte verkauft werden – anonym, der Option, die Virenschutzprüfung zu umgehen und Code entweder einzeln oder als Teil einer Datensammlung. remote auszuführen, heruntergeladen werden.

15 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

DNS Changer und DNS Unlocker DNS Changer und DNS Unlocker sind zwei Versionen Warum sie als Spyware gilt: Neben den oben genannten der gleichen schädlichen Software. Bei der ersten Funktionen und sonstigen Fähigkeiten kann DNS Unlocker Variante handelt es sich um einen Trojaner, der die DNS- personenbezogene Identifizierungsdaten stehlen, Einstellungen auf dem infizierten Host verändert oder Benutzerdatenverkehr umleiten und Benutzerinhalte „entführt“.6 DNS Unlocker ist ein Adware-Service, der während der Übertragung verändern, indem Inhalte in eine Deinstallationsoption bietet. bestimmten Services wie der Online-Werbung eingefügt werden. Die Spyware ersetzt die Namensserver durch eigene Namensserver, um HTTP-Anforderungen und andere Die Untersuchung zeigt, dass DNS Unlocker Anfragen vom Host an eine Gruppe von Angreifern vorherrschend ist zu leiten, die den Datenverkehr des Hosts abfangen, Von den drei Familien, auf die wir uns in unserer prüfen und ändern können. Sie infiziert keine Browser, Untersuchung konzentriert haben, ist DNS Unlocker am sondern Endgeräte. Mithilfe der objektorientierten häufigsten vertreten. Diese Familie ist für mehr als Programmiersprache und interaktiven Befehlszeilen-Shell 40 Prozent der monatlichen Spyware-Infektionen in den PowerShell für Microsoft Windows kann sie Befehle auf Unternehmen in unserer Stichprobe verantwortlich dem infizierten Host ausführen. Dies öffnet den Angreifern das Tor zum Remote-Zugriff. Abbildung 9 Vergleich der betroffenen Benutzer pro Spyware-FamilieAbbildung 9: Vergleich der betroffenen Benutzer Die Betreiber von DNS Unlocker bewerben die Spyware pro Spyware-Familie als einen Service, der Benutzern Zugriff auf geografisch 100 eingeschränkte Inhalte wie z. B. Video-Streaming ermöglicht. 80 Abbildung 8 Screenshot der DNS Unlocker-Homepage 60

40

Prozentsatz der Nutzer Prozentsatz 20

0 Nov. Dez. Jan. Feb. März 2016 2017

DNS Changer/Unlocker RelevantKnowledge Hola

Quelle: Cisco Security Research

6 „DNSChanger Outbreak Linked to Adware Install Base“ von Veronica Valeros, Ross Gibb, Eric Hulse und Martin Rehak, Cisco Security-Blog, 10. Februar 2016: blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base.

16 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Abbildung 10: Spyware-Verteilung Abbildung 10 Spyware-Verteilung Spyware-Infektionen müssen ernst genommen werden

Nov. Spyware-Infektionen sind zwar in vielen Organisationen weit 2016 verbreitet, gelten jedoch in der Regel nicht als erhebliches Sicherheitsrisiko. Spyware-Infektionen können Benutzer und Dez. Organisationen aber genau wie Adware-Infektionen, die wir bei 75 Prozent der von uns in einer anderen Untersuchung7 Jan. 2017 befragten Unternehmen festgestellt haben, dem Risiko Datum böswilliger Aktivität aussetzen.

Feb. Die Betreiber mögen ihre Spyware zwar als Services anpreisen, die Benutzer schützen oder anderweitig März unterstützen sollen, der wahre Zweck der Malware besteht jedoch in der Überwachung und Zusammenstellung von 0 10 20 30 40 50 60 70 Informationen zu Benutzern und ihren Organisationen – Prozentuale Verteilung häufig ohne direkte Zustimmung oder Wissen der Benutzer. Hola RelevantKnowledge DNS Changer/Unlocker Spyware-Unternehmen sind dafür bekannt, den Zugriff Quelle: Cisco Security Research auf die von ihnen gesammelten Daten zu verkaufen oder bereitzustellen, sodass Dritte relativ anonym an Informationen gelangen. Mit diesen Informationen können kritische Ressourcen identifiziert, interne Infrastrukturen Wir haben festgestellt, dass Hola unter den drei Familien in Organisationen zugeordnet und gezielte Angriffe am weitesten verbreitet ist – sie beeinträchtigt im orchestriert werden. Monatsverlauf im Beobachtungszeitraum über 60 Prozent der Organisationen (siehe Abbildung 10). Diese Spyware- Spyware-Infektionen auf Browsern und Endpunkten müssen Familie breitet sich mit der Zeit immer mehr aus, wenn schnell beseitigt werden. Sicherheitsteams dürfen die auch langsam. Fähigkeiten der Spyware niemals aus den Augen verlieren und müssen feststellen, welche Art von Informationen DNS Unlocker betrifft hingegen mehr Benutzer insgesamt, gefährdet ist. Sie sollten sich auch die Zeit nehmen, einen allerdings über weniger Organisationen verteilt Leitfaden für die Behebung von Spyware-, Adware- und (Abbildung 10). Im Januar ist die Zahl der Infektionen im Riskware8-Infektionen auszuarbeiten und ihre Endbenutzer Zusammenhang mit dieser Spyware-Familie deutlich im in Schulungen über das Risiko von PUAs aufzuklären. Vergleich zu der Rate im November gestiegen. Seither ist Bevor Benutzer eine Endbenutzer-Lizenzvereinbarung für sie jedoch unseren Forschern zufolge zurückgegangen. eine PUA akzeptieren, sollten sie sich wenigstens die Zeit nehmen, die Abschnitte zu prüfen, in denen beschrieben wird, wie ihre Informationen erfasst, gespeichert und mit Dritten geteilt werden.

Wenn Spyware, die als PUAs getarnt ist, nicht als eine Form von Malware betrachtet wird, drohen weitere Infektionen und Sicherheitsrisiken. Das Spyware-Problem wird immer größer, da die Betreiber mehr bösartige Funktionen in ihre Software integrieren und weiterhin das Fehlen von Abhilfemaßnahmen in Organisationen nutzen.

7 Sie finden unsere früheren Erkenntnisse zu diesem Thema im Cisco Annual Cybersecurity Report 2017, der als Download unter folgender Adresse zur Verfügung steht: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html. 8 Riskware ist eine rechtmäßige Software, die durch böswillige Akteure geändert und für schädliche Zwecke missbraucht werden kann.

17 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Rückgang der Exploit-Kit-Aktivität wirkt sich wahrscheinlich auf globale Spam-Trends aus

Die Cisco Bedrohungsexperten haben von Januar bis Mai Art von bestätigender Interaktion des Benutzers erfordern, 2017 einen Anstieg bei IP-Verbindungsblockierungen wie das Klicken auf „OK“ in einem Dialogfeld, um Systeme aus dem chinesischen IP-Raum beobachtet. Das Spam- zu infizieren und Paylods zu übermitteln (siehe „Malware- Gesamtaufkommen ist in der ersten Hälfte des Jahres Entwicklung: eine Halbjahres-Betrachtung“ auf Seite 23). zurückgegangen und hat sich gegenüber den Spitzenwerten des Spam-Volumens, die vor allem gegen Ende 2016 Botnets, die Spam versenden (vor allem das riesige Botnet auftraten, stabilisiert. Necurs), florieren ebenfalls und haben ihren Anteil an dem Gesamtanstieg des weltweiten Spam-Volumens. Abbildung 1111: IP-Blockierungen IP-Blockierungen nach nach Land Land Anfang dieses Jahres sendete Necurs Pump-and- Dump-Spam, eine Form von Aktienbetrug mit gering 200 Mio. kapitalisierten Titeln (Penny Stock). Dies war äußerst wirkungsvoll. Der Schwerpunkt lag also nicht mehr auf der Verbreitung von Spam mit ausgeklügelten Bedrohungen 150 Mio. wie Ransomware.10 Abbildung 12, eine interne Grafik des SpamCop-Service von Cisco, zeigt ein Beispiel dieser Art 100 Mio. von Aktivität bei Necurs. Die Tatsache, dass die Botnet- Eigentümer diese minderwertigen Spam-Kampagnen in 50 Mio. hohem Maß einsetzen, deutet darauf hin, dass diese wenig ressourcenintensiven Anstrengungen erfolgreich Umsatz

Anzahl der IP-Blockierungen generieren. 0 Jan. Feb. März Apr. Mai Monat Abbildung 1212: „Pump-and-Dump“-Spam-Aktivität Necurs „Pump-and-Dump“- (über 24 Stunden) US CN VN IN DE FR MX Spam-Aktivität (über 24 Stunden) 140 Necurs-Botnet hat zwischen Quelle: Cisco Security Research 3 Uhr und 5 Uhr morgens 120 138 Spam-Instanzen gesendet

Der Gesamtanstieg des Spam-Aufkommens, der von 100 unseren Bedrohungsforschern seit August 20169 verzeichnet wurde, scheint mit dem deutlichen Rückgang 80 der Exploit-Kit-Aktivität zusammenzuhängen, die etwa zur gleichen Zeit begann. Gegner haben sich zwischenzeitlich 60 wieder anderen erprobten und bewährten Methoden wie 40 dem E-Mail-Versand für die Verteilung von Ransomware Anzahl der Instanzen und Malware und zur Umsatzgenerierung zugewandt (siehe 20 „Exploit-Kits: viele inaktiv, aber nicht alle“ auf Seite 9). 0 Die Cisco Bedrohungsexperten gehen davon aus, dass 00:00 12:00 00:00 12:00 das Spam-Volumen mit schädlichen Anhängen weiterhin AM PM AM PM steigen wird, während die Exploit-Kit-Landschaft sich immer Stunden mehr wandelt. E-Mails können direkt auf das Endgerät Übermittelter Spam Gesendete Berichte gelangen. Die Angreifer können auch auf die „Hilfe“ von Quelle: SpamCop ahnungslosen Benutzern zählen, die ihre Kampagnen Hier können Sie die Grafiken für 2017 herunterladen: über den Posteingang weiter verbreiten. Durch Social cisco.com/go/mcr2017graphics Engineering (Phishing oder gezielteres Spear-Phishing) können sie Benutzer leicht täuschen und schließlich ganze Vor Kurzem sendete das Necurs-Botnet durch mehrere Organisationen gefährden. groß angelegte schädliche Spam-Email-Kampagnen eine neue Variante von Ransomware: Jaff. Die E-Mails enthielten Einige Gegner nutzen für die Einschleusung von Ransomware einen PDF-Anhang mit einem eingebetteten Microsoft auch Spam-E-Mails mit schädlichen Dokumenten, die Word-Dokument, das als anfänglicher Downloader für die zahlreiche Makros enthalten. Diese Bedrohungen können Jaff-Ransomware fungierte.11 viele Sandbox-Technologien bezwingen, weil sie eine

9 Sie finden unsere früheren Erkenntnisse zu diesem Thema im Cisco Annual Cybersecurity Report 2017, der als Download unter folgender Adresse zur Verfügung steht: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html. 10 „Necurs Diversifies Its Portfolio“ von Sean Baird, Edmund Brumaghin und Earl Carter mit Beiträgen von Jaeson Schultz, Talos-Blog, 20. März 2017: blog.talosintelligence.com/2017/03/necurs-diversifies.html. 11 „Jaff Ransomware: Player 2 Has Entered the Game“ von Nick Biasini, Edmund Brumaghin und Warren Mercer mit Beiträgen von Colin Grady, Talos-Blog, 12. Mai 2017: blog.talosintelligence.com/2017/05/jaff-ransomware.html.

18 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Schädliche E-Mails: Ein genauerer Blick auf die Dateityp-Strategien von Malware-Programmierern

Nun, da sich immer mehr Cyber-Kriminelle E-Mails Wir haben von Januar bis April 2017 Malware-Erkennungen zuwenden bzw. diese wiederentdeckt haben, um sie als analysiert, um anhand der Anzahl die Top 20 der Malware- primären Vektor für die Verbreitung von Ransomware Familien in schädlichen E-Mail-Payloads während dieses und sonstiger Malware zu nutzen, überwachen die Cisco Zeitraums zu identifizieren (siehe Abbildung 13). Bedrohungsforscher die Dateitypen, die von diesen Top- Malware-Familien verwendet werden. Dieses Wissen Abbildung 14 zeigt die Anzahl der Erkennungen nach hilft uns, die Erkennungszeit für bekannte Bedrohungen Familie, die eine Dateierweiterung mit einer schädlichen zu verkürzen sowie die unterschiedlichen Arten der Payload enthielten (beispielsweise .zip oder .exe). Beachten Weiterentwicklung durch die Malware-Operator wie Sie den deutlichen Anstieg bei Malware mit Makros im beispielsweise die Änderung der Datei-Erweiterungstypen April, dem traditionellen Steuermonat in mehreren Ländern zu überwachen (auf Seite 26 finden Sie weitere wie etwa in den USA und in Kanada (weitere Informationen Informationen zur TTD; siehe auch „Trends bei der zu Spam mit schädlichen Dokumenten, die viele Makros Weiterentwicklungszeit: Nemucod, Ramnit, Kryptik und enthalten, finden Sie unter „Malware-Entwicklung: eine Fareit“ auf Seite 28). Halbjahres-Betrachtung“ auf Seite 23).

Abbildung 13 Am häufigsten erkannte Malware-Familien Abbildung 14 Muster der gängigsten Malware-Familien, Abbildung 13: Am häufigsten erkannte Abbildung2017 14: Muster der gängigsten Malware-Familiennach Anzahl (nach Anzahl) Malware-Familien, 2017 Adwind Adwind Doc 54.831 20K 20K 15,2K 10,8K 10K 10K Nemucod 41.960 0 0 Jan. Monate Apr. Jan. Monate Apr. MyWebSearch Donoff Fareit 40.023 20K 20K

10K 8,5K 10K 8,8K Fareit 32.394 0 0 Jan. Monate Apr. Jan. Monate Apr. Donoff Macro MyWebSearch 24.469 20K 20K 9,5K 10K 8,2K 10K Doc 23.154 0 0 Jan. Monate Apr. Jan. Monate Apr. Qjwmonkey Valyria Valyria 20K 20K 19.954

Anzahl der Instanzen 10K 10K 7,4K Ag 2,4K 0 0 18.610 Jan. Monate Apr. Jan. Monate Apr. Limitail Docdl Limitail 20K 20K 15.420 10K 10K 3,4K 4,3K Docdl 0 0 12.189 Jan. Monate Apr. Jan. Monate Apr. Nemucod Ag 20K 20K 18,6K Qjwmonkey 10,4K 9340 10K 10K

0 0 Macro Jan. Monate Apr. Jan. Monate Apr. 9093 Quelle: Cisco Security Research Quelle: Cisco Security Research

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

19 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Wir haben auch die Zahlen der Payload-Anhänge Abbildung 1616: Muster Muster der der häufigsten häufigsten schädlichen bösartigen untersucht und eine Liste der häufigsten schädlichen Dateierweiterungen, 2017 2017 Dateierweiterungen in E-Mail-Dokumenten .pdf .html zusammengestellt (siehe Abbildung 15). Schädliche 12K 12K .zip-Dateien waren vorherrschend, gefolgt von Microsoft .doc-Erweiterungen. 6,1K 6K 6K Anschließend haben wir untersucht, wie sich die Beliebtheit 3,5K dieser verschiedenen Erweiterungen im Laufe der Zeit 0 0 verändert hat (siehe Abbildung 16). Jan. Monate Apr. Jan. Monate Apr. .jar .gz Abbildung 15 Am häufigsten erkannte schädliche 12K 12K DateierweiterungenAbbildung 15: Am nach häufigsten Anzahl erkannte bösartige 10,7K Dateierweiterungen (nach Anzahl) 6,2K .zip 6K 6K 192.097

0 0 .doc Jan. Monate Apr. Jan. Monate Apr. 72.254 .7z .ace 12K 12K .jar 55.193 6K 6K

1,7K 346 .gz 0 0 Anzahl der Instanzen 25.646 Jan. Monate Apr. Jan. Monate Apr. .exe .arj .xls 12K 12K 16.155 6K 6K .rar 1,2K 1,9K 12.328 0 0 Jan. Monate Apr. Jan. Monate Apr. .pdf .doc 10.478 20K 18,1K

.html 10K 8485 0 .7z Jan. Monate Apr. 7425 Quelle: Cisco Security Research

.arj 7023

Quelle: Cisco Security Research

20 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Beobachtete Dateityp-„Favoriten“ bei den gängigsten Malware-Familien Mit Blick auf die fünf häufigsten Malware-Familien in •• Die Donoff-Malware, eine schädliche Ransomware, die unserer Stichprobe sehen wir, dass jede Malware-Familie Makros verteilt, verwendet vorwiegend Dateitypen von unterschiedliche Dateityp-Strategien verfolgt, aber auch Microsoft Office-Dokumenten, vor allem .doc und .xls. einige Erweiterungen regelmäßig verwendet werden. Abbildung 17 bietet eine andere Sicht auf die Muster Beispiele: schädlicher E-Mails: Die Beziehungen zwischen bestimmten •• Adwind, ein Remote-Zugriff-Trojaner (Remote-Access Dateierweiterungen und verschiedenen Malware-Familien. Trojan, „RAT“), nutzt häufig .jar-Dateien (Java-Archiv- Unsere Analyse zeigt, dass Dateitypen wie .zip und .doc, Erweiterungen). die in geschäftlichen Umgebungen weit verbreitet sind, regelmäßig von mehreren der Top-Malware-Familien • • Nemucod, ein als Downloader agierender Trojaner, der genutzt werden, darunter auch Nemucod und Fareit. bekanntermaßen Ransomware einschleust, verwendet .zip als Go-to-Dateierweiterung. Wir haben jedoch auch festgestellt, dass viele •• MyWebSearch, eine schädliche Adware, ist Malware-Familien auch unbekanntere und ältere sehr wählerisch: Sie nutzt ausschließlich .exe- Dateierweiterungstypen wie .jar und .arj verwenden. Dateierweiterungen und verwendet manchmal nur (Letztere ist eine Art von komprimierter Datei.) eine Art pro Monat. •• Fareit, ein weiterer RAT, verwendet eine Vielzahl von Dateitypen, scheint jedoch die Dateierweiterungen .zip und .gz zu bevorzugen. (Letztere ist eine Archivdateierweiterung.)

Abbildung 17 Beziehungen zwischen Dateierweiterungen (.arj, .doc, .jar .zip) und Malware-Familien Abbildung 17 Beziehungen zwischen Dateierweiterungen (.arj, .doc, .jar .zip) und Malware-Familien

1.758 Fareit 21.899 Doc 480 Kryptik 8.934 Valyria 382 Vbinject 402 Golroted 2.356 Fraud 2.312 Rtf 273 Omaneat .arj 309 Ponik 1.794 Nemucod .doc 6.973 Docl 266 Tepfer 1.714 Vba 717 Limitail 14.980 Donoff

.jar 49.350 Adwind 38.198 Nemucod 845 Jrat 9.755 Limitail 418 Maljava 66 Msil 7.944 Fareit 5.081 Donoff .zip 79 Uverat 267 Jacksbot 4.347 Msil 4.242 Dldr 727 Kryptik 7.984 Macro 3.327 Grat 18.610 Ag

Quelle: Cisco Security Research

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

21 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Ist Ransomware ein Thema, das Ihnen Sorgen bereitet? E-Mail-Angriffe könnten eine noch größere Bedrohung darstellen.

Im Security-Bereich wurde der Ransomware in letzter Wie ernst ist das BEC-Problem? Das Internet Crime Zeit viel Beachtung geschenkt. Allerdings gibt es eine Complaint Center (IC3) – eine Partnerstelle des Federal Bedrohung, die zwar nicht annähernd so sehr in der Bureau of Investigation, des US-amerikanischen Öffentlichkeit steht, jedoch für ihre Initiatoren weitaus Justizministeriums und des National White Collar Crime rentabler ist als Ransomware: E-Mail-Angriffe auf Center – meldet, dass zwischen Oktober 2013 und Unternehmen, auch als „BEC“ (Business Email Compromise) Dezember 2016 5,3 Milliarden US-Dollar durch BEC-Betrug bekannt. Der Cisco Partner Flashpoint, ein Anbieter von gestohlen wurden, was durchschnittlich 1,7 Milliarden US- Risk Intelligence, hat das BEC-Problem untersucht und Dollar jährlich ausmacht 13 (siehe Abbildung 18). Zum festgestellt, dass es derzeit die lukrativste und profitabelste Vergleich: Über Ransomware-Exploits wurde im Jahr 2016 Methode ist, um hohe Geldbeträge aus einem Unternehmen etwa eine Milliarde US-Dollar erbeutet.14 abzuschöpfen. Hierbei handelt es sich um einen trügerisch simplen Angriffsvektor, der den Diebstahl mithilfe von Social Von Oktober 2013 bis Dezember 2016 wurden in den USA Engineering auslöst. Abbildungnahezu 22.300 18: Opfer Höhe von des BEC-Betrugsfällen Schadens durch bekannt. BEC

In ihrer einfachsten Form beinhaltet eine BEC-Kampagne Abbildung 18 Höhe des Schadens durch BEC eine E-Mail (manchmal unter Verwendung von Spoofing, um den Anschein zu erwecken, sie würde von einem Kollegen stammen), die an Angestellte im Finanzwesen gesendet wird, die befugt sind, Banküberweisungen zu tätigen. Die Angreifer haben in der Regel die Unternehmenshierarchie und die Angestellten ausgekundschaftet, um die vermutliche $ 5,3 Befehlskette nachvollziehen zu können. Hierfür nutzen sie beispielsweise Profile in sozialen Netzwerken. Die Milliarden E-Mail scheint vom CEO oder einer anderen hochrangigen Führungskraft zu stammen. Der Empfänger wird darin gebeten, Geld an einen vermeintlichen Geschäftspartner zu überweisen oder einen Lieferanten zu bezahlen. Der Inhalt der Nachricht kann eine gewisse Dringlichkeit Okt. 2013 Dez. 2016 aufweisen, sodass sich der Empfänger gezwungen sieht, das Geld zu überweisen. Dieses landet in der Regel auf aus- und inländischen Bankkonten, die im Besitz von Cyberkriminellen sind. Quelle: Internet Crime Complaint Center BEC-Scams richten sich gegen große Ziele – und große Ziele sind ihnen tatsächlich bereits zum Opfer gefallen, Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics auch wenn sich solche Organisationen normalerweise ausreichend mit Maßnahmen zur Bedrohungsabwehr und Schutzmechanismen vor Betrug schützen. Sowohl Facebook als auch Google wurden Opfer von BECs und Überweisungsbetrug.12 Da BEC-Nachrichten weder Malware noch verdächtige Links enthalten, können sie die Tools der Bedrohungsabwehr meist austricksen, es sei denn, es handelt sich um wirklich hochentwickelte Tools.

12 „Exclusive: Facebook and Google Were Victims of $100M Payment Scam“ von Jeff John Roberts, Fortune.com, 27. April 2017: fortune.com/2017/04/27/facebook-google-rimasauskas/. 13 „Business E-mail Compromise, E-Mail Account Compromise: The 5 Billion Dollar Scam“, Internet Crime Complaint Center (IC3) und das Federal Bureau of Investigation (FBI), 4. Mai 2017: ic3.gov/media/2017/170504.aspx. 14 „Ransomware Took In $1 Billion in 2016—Improved Defenses May Not Be Enough to Stem the Tide“ von Maria Korolov, CSOonline.com, 5. Januar 2017: csoonline.com/article/3154714/security/ransomware-took-in-1-billion-in-2016-improved-defenses-may-not-be-enough-to-stem-the-tide.html.

22 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Zur Bekämpfung des BEC-Betrugs müssen in der Wie bei den Tools zur Bedrohungsabwehr können Regel eher die Geschäftsprozesse verbessert werden, SPF-Verteidigungsmechanismen (SPF = Sender Policy nicht die Tools zur Bedrohungsabwehr. Flashpoint Framework) bei der Blockierung von E-Mails mit gefälschten empfiehlt, die Benutzer entsprechend zu schulen: Sie Adressen hilfreich sein. Diese Funktion wird in den können beispielsweise in Mitarbeiterschulungen lernen, Organisationen allerdings mitunter nur zögerlich eingesetzt, außergewöhnliche Anforderungen von Finanztransfers zu da SPF auch rechtmäßige E-Mails (wie Marketing- erkennen, beispielsweise wenn Geld an das ausländische Nachrichten oder Newsletter) blockieren kann, wenn die Konto eines Unternehmens fließen soll, das im Inland tätig Funktion von der IT nicht ordnungsgemäß verwaltet wird. ist. Außerdem können Organisationen von den Mitarbeitern verlangen, Banküberweisungen mithilfe eines anderen Unter dem Strich bedeutet das, dass Unternehmen mit Mitarbeiters beispielsweise telefonisch zu prüfen, sodass einer Online-Präsenz – von Giganten wie Facebook und sie keine Opfer von gefälschten E-Mails werden. Google bis hin zu Unternehmen mit nur wenigen Dutzend Mitarbeitern – mögliche Ziele des BEC-Betrugs sind. Diese Betrugsmasche ist für Kriminelle kostengünstig und bringt hohe Gewinne. Daher wird sie als Bedrohungsvektor künftig wahrscheinlich an Bedeutung gewinnen.

Malware-Entwicklung: eine Halbjahres-Betrachtung

Die Cisco Security-Experten haben die Entwicklung von Trend 2: Gegner nutzen die Ransomware-Codebasis Malware im ersten Halbjahr 2017 beobachtet. Dabei zu ihrem Vorteil haben sie verschiedene Trends festgestellt, die Aufschluss darüber geben, was für die Malware-Programmierer bei Böswillige Akteure schaffen es mithilfe einer Open- der Ausarbeitung ihrer Strategien im Vordergrund steht – Source-Codebasis wie Hidden Tear und EDA2, die nämlich Einschleusung, Verschleierung und Ausweichung. Ransomware-Code zu „Aufklärungszwecken“ öffentlich bereitstellt, Malware schnell, einfach und kostengünstig Trend 1: Die Gegner verwenden Systeme für die zu entwickeln. Die Gegner optimieren den Code, sodass Malware-Verteilung, bei denen die Benutzer eine er sich vom Original unterscheidet, und stellen dann die Art von bestätigender Maßnahme ergreifen müssen, Malware bereit. Viele „neue“ Ransomware-Familien, die um die Bedrohung zu aktivieren von den Cisco Bedrohungsforschern in den letzten Monaten beobachtet wurden, basieren auf Open-Source-Code einer Wir haben eine Zunahme der schädlichen E-Mail-Anhänge aufklärerischen Codebasis. beobachtet, die automatisierte Systeme zur Malware- Erkennung umgehen können. Wenn sie in einer Sandbox- Trend 3: RaaS-Plattformen (Ransomware-as-a-Service) Umgebung platziert werden, liefern diese Anhänge keinerlei nehmen rasant zu Anzeichen für ihre böswillige Absicht und werden daher an den Benutzer weitergeleitet, der dann unter Umständen RaaS-Plattformen wie Satan eignen sich ideal für Folgendes erhält: arbeitsscheue Angreifer, die am Ransomware-Markt teilhaben und eine erfolgreiche Kampagne starten möchten, •• ein kennwortgeschütztes schädliches Dokument (wobei ohne sich mit der Codierung bzw. Programmierung zu ihm das Kennwort praktischerweise im Textteil der befassen oder Ressourcen für die Entwicklung innovativer E-Mail genannt wird) Taktiken aufwenden zu müssen. Die Betreiber dieser •• ein schädliches Dokument, bei dem der Benutzer in immer häufiger zu verzeichnenden Plattformen erhalten einem Dialogfeld um die Erlaubnis gebeten wird, eine einen Anteil an den Gewinnen der Angreifer. Einige stellen bestimmte Aktion ausführen zu dürfen (möglicherweise sogar die Ransomware bereit und bieten zusätzliche muss der Benutzer auf „OK“ klicken) Dienstleistungen an, beispielsweise die Überwachung des Fortschritts der Kampagnen ihrer Kunden. •• schädliche OLE-Objekte in einem Word-Dokument •• schädliche Word-Dokumente, die in PDF-Dateien eingebettet sind15

15 „Threat Spotlight: Mighty Morphin Malware Purveyors: Locky Returns via Necurs“ von Nick Biasini, Talos-Blog, 21. April 2017: blogs.cisco.com/security/talos/locky-returns-necurs.

23 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Trend 4: Dateilose oder „speicherresidente“ Malware beobachtet, die im Tor-Netzwerk gehostet werden. Ein wird immer häufiger Beispiel ist Tor2web, ein Proxy-Dienst, mit dem Systeme im Internet auf Dinge zugreifen können, die in Tor gehostet Diese Art von Malware infiziert inzwischen Systeme auf werden, ohne dass die Installation einer lokalen Tor- der ganzen Welt. Sie stützt sich auf PowerShell oder WMI, Clientanwendung erforderlich ist.17 damit die Malware vollständig im Speicher ausgeführt wird, ohne Elemente in das Dateisystem oder die Registrierung Im Wesentlichen erleichtert Tor2web den Gegnern die zu schreiben, es sei denn, der Angreifer möchte anhaltende Verwendung von Tor, da sie weder ihren Malware-Code Mechanismen implementieren.16 Dadurch wird die ändern noch einen Tor-Client in ihre Malware-Payload Erkennung der Malware erschwert. Auch forensische einbinden müssen. Da ein Angreifer einen Tor2web- Untersuchungen und die Reaktion auf Vorfälle werden Proxy-Server auf einer beliebigen Domäne seiner Wahl schwieriger. konfigurieren kann, ist es schwieriger, die Malware bei ihrer Implementierung zu blockieren. Trend 5: Angreifer setzen zur Verschleierung von Befehlen und Kontrolle vermehrt auf eine anonymisierte und dezentrale Infrastruktur

Die Cisco Bedrohungsforscher haben eine zunehmende Nutzung von Bridging-Services zur Erleichterung des Zugangs zu Malware und Command-and-Control-Services

Threat-Intelligence von Talos: Auf den Spuren der Angriffe und Schwachstellen

Die Cisco Talos-Website (blog.talosintelligence.com) dient Die Bekämpfung von Ransomware wird immer effektiver. als Quelle für die Erforschung von Schwachstellen und Die Exploit-Kit-Aktivität ist zurückgegangen, sodass die Trends in der Bedrohungslandschaft. Die Erforschung von Talos-Forscher andere Bedrohungen untersuchen können. Schwachstellen ist besonders wichtig, weil sie den Kampf Wir verstehen jetzt besser, wie Ransomware funktioniert, zwischen Angreifern und Verteidigern im Laufe der Zeit und können neue Ransomware-Varianten schneller unterstreicht. identifizieren.

Angreifer haben in der Regel einen Vorteil, da sie die Zeit Ein weiterer wichtiger Trend, der im Talos-Blog diskutiert auf ihrer Seite haben, während Verteidiger benachteiligt wird, ist der Wechsel der Gegner von Exploit-Kits sind, weil ihnen genau diese Zeit fehlt. Verteidiger befinden zu E-Mail-basierten Bedrohungen. Seit das früher sich im Nachteil, da sie wertvolle Zeit für die Begrenzung vorherrschende Exploit-Kit Angler im Jahr 2016 von der des Schadens aufwenden müssen, der durch die Angreifer Bildfläche verschwand, haben die Bedrohungsforscher entstanden ist. Durch die Erforschung von Schwachstellen genau beobachtet, ob ein anderer Akteur die Rolle des gelingt es den Verteidigern, wunde Punkte auszuräumen, Marktführers eingenommen hat – oder ob sonstige wichtige bevor diese von den Angreifern ausgenutzt werden können. Trends entstehen (siehe „Exploit-Kits: viele inaktiv, aber Forscher können dazu beitragen, diese Lücke zu schließen. nicht alle“ auf Seite 9). Gleichzeitig verzeichnen die Hierfür müssen sie Zero-Day-Schwachstellen identifizieren Forscher einen Rückgang von Bedrohungen, die Flash- oder und gemeinsam mit den Software-Herstellen sicherstellen, Java-Software attackieren; da die Browserentwickler jetzt dass Patches entwickelt und verteilt werden. die entsprechenden Plug-ins blockieren, werden diese von den Gegnern weniger wahrscheinlich als Angriffsvektoren genutzt.

16 Mehr zu diesem Thema finden Sie unter „Covert Channels and Poor Decisions: The Tale of DNSMessenger“ von Edmund Brumaghin und Colin Grady, Talos-Blog, 2. März 2017: blogs.cisco.com/security/talos/covert-channels-and-poor-decisions-the-tale-of-dnsmessenger. 17 Weitere Informationen zu diesem Thema finden Sie unter „Go RAT, Go! AthenaGo Points ‘TorWords’ Portugal“ von Edmund Brumaghin mit Beiträgen von Angel Villegas, Talos-Blog, 8. Februar 2017: blog.talosintelligence.com/2017/02/athena-go.html.

24 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Im Folgenden werden aktuellere Talos-Blog-Beiträge Go RAT, Go! AthenaGo Points “TorWords” Portugal: In aufgelistet, die die Forschungsergebnisse zu bestimmten diesem Beitrag identifizieren die Talos-Forscher AthenaGo, Bedrohungen hervorheben und einen Einblick darin bieten, eine Malware-Kampagne, die durch schädliche Word- wie Angreifer zu Innovationen gezwungen werden, um den Dokumente verteilt wird und auf Opfer in Portugal abzielt. Verteidigern einen Schritt voraus zu sein: Nach Aussage der Forscher hatte diese Kampagne eine besondere Note. AthenaGo nutzte einen Remote-Access- Player 3 Has Entered the Game: Say Hello to ‘WannaCry’: Trojaner (RAT) mit der Fähigkeit, weitere Binärdateien Dieser Beitrag bietet eine Einführung in die Ransomware- herunterzuladen und auf infizierten Systemen auszuführen. Variante WannaCry, die in der Öffentlichkeit große Die Malware wurde in der Programmiersprache Go Beachtung fand. Hier werden Vorschläge für den Schutz der geschrieben, was eine eher unübliche Taktik ist. Zudem Netzwerke vor dieser Bedrohung angeboten. stützt sich die Command-and-Control-Kommunikation, MBRFilter: Can’t Touch This!: In diesem Beitrag haben die die von der Malware verwendet wird, auf Tor2web-Proxys, Talos-Forscher MBRFilter veröffentlicht. Dabei handelt es die von den Malware-Programmierern genutzt werden, sich um einen Festplattenfilter, mit dem verhindert wird, um einer Erkennung zu ergehen. dass Malware Daten in den Sektor 0 auf Festplattengeräten Covert Channels and Poor Decisions: The Tale of schreibt, die an ein System angeschlossen sind. Das ist eine DNSMessenger: Die Talos-Forscher haben ihre Analyse Taktik, die Ransomware-Varianten wie Petya verwenden: einer Malware-Stichprobe kurz umrissen, die mithilfe von Die Malware versucht, den Master Boot Record (MBR) eines DNS-TXT-Datensätzen Abfragen und Antworten für die infizierten Systems zu überschreiben und den Bootloader Erstellung eines bidirektionalen Command-and-Control- durch einen schädlichen Loader zu ersetzen. Kanals verwendet hat. Dies ist eine unübliche und schwer Sundown EK: You Better Take Care: Dieser Beitrag greifbare Taktik, die von Angreifern eingesetzt wird, um befasst sich mit dem Exploit-Kit Sundown. Die zugehörige während ihrer Aktionen in den anvisierten Umgebungen Kampagne wird lediglich von einer Handvoll von IP- unerkannt zu bleiben. Adressen aus betrieben, aber die Talos-Forscher haben Necurs Diversifies Its Portfolio: In diesem Beitrag über 80.000 schädliche Unterdomänen von mehr als diskutieren die Forscher die neue Aktivität des riesigen 500 Domänen gefunden, bei denen verschiedene Necurs-Botnets, das seine Spam-Einschleusung Registrierungskonten verwendet wurden. Dieser Ansatz diversifiziert hat, um auch Pump-and-Dump-Meldungen bedeutet, dass das Exploit herkömmliche Blacklist- unterzubringen. Lösungen umgehen kann. Threat Spotlight: Mighty Morphin Malware Purveyors: Als Without Necurs, Locky Struggles: Die Talos-Forscher haben das Necurs-Botnet nach der vorübergehenden Einstellung den Rückgang bei der Aktivität für die Locky-Ransomware- seiner Aktivität wieder zum Leben erwachte, haben die Variante skizziert, ein Ergebnis davon, dass das Necurs- Forscher eine neue explosionsartige Aktivität von Locky Botnet vorübergehend offline ging. Die Forscher haben ein verzeichnet: eine Spam-Kampagne im großen Stil. wachsames Auge auf das Necurs-Botnet: Wenn es aktiv ist, hat es das Potenzial, unglaubliche Mengen von Spam sowohl mit Locky als auch mit der Dridex-Banking-Malware zu verteilen.

25 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Beschleunigte Bedrohungserkennung: Das Tauziehen zwischen Angreifern und Verteidigern wird knapper

Cisco hat die durchschnittliche Zeit bis zur Erkennung Ausschläge des TTD-Medians nach oben markieren (Time to Detection, TTD) seit November 2015 nachverfolgt. Zeiträume, in denen Angreifer neue Bedrohungen ins Feld Seitdem ist die Tendenz allgemein rückläufig und von etwas führten. Niedrige Werte wurden in Zeiträumen beobachtet, mehr als 39 Stunden zu Beginn der Untersuchung auf etwa in denen Verteidiger bekannte Bedrohungen schnell 3,5 Stunden für den Zeitraum November 2016 bis Mai 2017 ermitteln konnten. Seit Sommer 2016 verläuft das ständige gesunken (siehe Abbildung 19). Tauziehen zwischen Angreifern und Verteidigern nicht mehr ganz so dramatisch. Letztere gewinnen nach jedem Versuch Abbildung 1919: TTD-MedianMittlere TTD nach nach Monat Monat der Angreifer, die Oberhand zu gewinnen und zu behalten, schnell wieder an Boden. 40 39,2

35

30

25 Cisco definiert die Bedrohungs- Erkennungszeit (auch „Time-to-Detection“, 20 18,2 TTD) als die Zeitspanne vom Auftreten einer

Stunden Kompromittierung bis zu deren Erkennung als 15 Bedrohung. Für die Ermittlung der TTD ziehen

10 8,1 wir Sicherheitstelemetrie heran, die von Cisco 6,7 8,5 Security-Produkten weltweit erfasst wird. 5 6,9 Durch kontinuierliche Analysen dieser Daten

0 2,6 können wir dann feststellen, zu welchem Nov. Jan. März Mai Juli Sept. Nov. Jan. März Mai Zeitpunkt ein bislang unbekannter Schadcode 2016 2017 auf einem Endgerät ausgeführt wurde, und zu Monate welchem Zeitpunkt dieser Code als Bedrohung

Quelle: Cisco Security Research klassifiziert wurde.

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

26 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Vor allem in den letzten sechs Monaten zeigen die Bei zahlreichen Malware-Familien kann die Identifizierung Entwicklungen in der Bedrohungslandschaft, dass durch die Verteidiger selbst dann lange dauern, wenn sie Cyber-Kriminelle unter größerem Druck stehen und ihre der Security Community eigentlich bekannt sind. Der Grund Bedrohungen ständig weiterentwickeln müssen, um einer hierfür ist, dass die Akteure hinter diesen Bedrohungen Erkennung zu entgehen. Sie müssen sich laufend neue verschiedene Verschleierungstaktiken nutzen, um ihre Techniken aneignen. Malware aktiv und rentabel zu halten. Im nächsten Abschnitt befassen wir uns damit, wie vier bestimmte Malware- In Abbildung 20 ist die mittlere TTD der 20 aktivsten Familien mithilfe von gezielten Strategien versuchen, Malware-Familien (nach prozentualer Erkennungsrate) den Verteidigern immer einen Schritt voraus zu sein. Im dargestellt, die unsere Forscher im Zeitraum vom Einzelnen handelt es sich dabei um Fareit (einen Remote- November 2016 bis April 2017 beobachtet haben. Bei Access-Trojaner, auch „RAT“ genannt), Kryptik (einen RAT), vielen Malware-Familien, die von den Cisco Produkten Nemucod (einen Downloader-Trojaner) und Ramnit (einen innerhalb unserer mittleren TTD von 3,5 Stunden erkannt Banking-Trojaner). werden, handelt es sich um industrialisierte Bedrohungen, die sich schnell übertragen und daher weit verbreitet sind. Ihre Methoden sind effektiv: Abbildung 20 zeigt, dass all Auch alte und häufige Bedrohungen werden in der Regel diese Familien aus dem Zeitfenster der 3,5 Stunden für die in weniger als der mittleren TTD erkannt. mittlere TTD gefallen sind – Kryptik sogar erheblich. Selbst Nemucod, der am häufigsten erkannte Trojaner unter den aktivsten Familien, kann aufgrund seiner hohen Dynamik nicht so schnell identifiziert werden.

Abbildung 20 Mittlere TTD der 20 aktivsten Malware-Familien Abbildung 20: Mittlere TTD der 20 aktivsten Malware-Familien

35 % Nemucod

30 %

25 %

20 % Insight Donoff Locky Mydoom 15 % Adnel Dridex Docdl Ramnit

10 % Kryptik Bayrob Mabezat Nymaim Msil Browsefox Prozentsatz der Erkennungen 5 % Adwind

Packer Dealply Hckpk 0 Fareit 0 20 40 60 80 100 120 140 160 180

Mittlere TTD insges. = 3,5 Std. TTD-Median Stunden

Quelle: Cisco Security Research

27 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Trends bei der Weiterentwicklungszeit: Nemucod, Ramnit, Kryptik und Fareit

Cisco überwacht genau, wie die Programmierer von Abbildung 21 zeigt die Anzahl der eindeutigen Vektoren für Malware die Art und Weise, wie ihre Payloads eingeschleust Webangriffe, die während des Untersuchungszeitraums von werden, weiterentwickeln. Im Fokus steht auch die Abbildungjeder der vier 21 Malware-Familien Anzahl der eindeutigen verwendet wurden. Vektoren Geschwindigkeit der Generierung neuer Dateien, mit denen bei Webereignissen, aufgeschlüsselt nach Monat sie Erkennungsmethoden, die ausschließlich Hash-basiert Abbildung 21 Anzahl der eindeutigen Vektoren bei agieren, aushebeln möchten. Das ist noch nicht alles: Ihr Webereignissen, aufgeschlüsselt nach Monat Einsatz von Domänen-Generierungs-Algorithmen (DGAs) 40 38 zur Wahrung der Aktualität und Effektivität ihrer Malware, mit der sie Benutzer und Systeme angreifen, wird ebenfalls 35 eingehend untersucht. Einige Malware-Familien generieren enorme Mengen an DGA-Domänen, die alle geringfügig 30 29 von einem bestimmten Domänennamen abweichen. So möchten sie ihren Datenverkehr tarnen und einer 25 Erkennung entgehen (Sie finden weitere Informationen zu DGA-Domänen unter „Längere Lebensdauer – und 20 Überschneidung – von DGA-Domänen“ auf Seite 33). 15 Wir analysieren Webangriffsdaten aus verschiedenen Cisco Quellen, darunter Webproxydaten, Daten von Produkten 10 zum Schutz vor fortschrittlicher Malware (sowohl von Cloud- basierten als auch von endgerätebasierten Produkten) Vektoren eindeutigen der Anzahl 5 und Daten von kombinierten Malwareschutz-Engines. Die resultierenden Daten unserer Analyse erlauben uns die 0 Nov. Dez. Jan. Feb. März Apr. Mai Messung der Weiterentwicklungszeit (TTE, Time to Evolve): 2016 2017 Wir haben also ermittelt, wie lange die Angreifer brauchen, um die Auslieferungsart einer Malware zu ändern, und wie Kryptik Ramnit Nemucod Fareit viel Zeit zwischen den verschiedenen Taktikanpassungen vergeht. Quelle: Cisco Security Research Der Einblick in die individuellen Weiterentwicklungsmuster der einzelnen Malware-Familien und wie sie mithilfe von neuen und alten Tools sowie Taktiken versuchen, den Verteidigern einen Schritt voraus zu sein, erleichtert uns die Optimierung unserer Sicherheitsverfahren und -technologie. So können wir die Bedrohungs-Erkennungszeit (Time- to-Detection, TTD) kontinuierlich verbessern (weitere Informationen zur TTD finden Sie unter „Beschleunigte Bedrohungserkennung: Das Tauziehen zwischen Angreifern und Verteidigern wird knapper“ auf Seite 26).

Von November 2016 bis Mai 2017 haben wir unsere Analyse auf vier altbekannte Malware-Familien konzentriert – Nemucod, Ramnit, Kryptik und Fareit. Konkret haben wir uns dafür interessiert, ob und wie häufig sich die Dateierweiterungen der zur Malware-Einschleusung verwendeten Dateien und die von den Benutzersystemen verzeichneten Datei-Inhaltstypen (MIME-Typen) änderten. Für jede Malware-Familie haben wir jeweils die Muster sowohl bei Web- als auch bei E-Mail-basierten Einschleusungsmethoden untersucht.

28 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Abbildung 22 zeigt die Anzahl der eindeutigen Vektoren TTE-Analyse: Kryptik jeder Familie, die während des Untersuchungszeitraums für Kryptik-Malware (auch bekannt als GozNym) ist das E-Mail-Angriffe eingesetzt wurden. Hinweis: Die Ramnit- Ergebnis einer Kombination aus einem ausgeklügelten Malware-Familie wurde von der Analyse ausgeschlossen, Banking-Trojaner, dessen Quellcode in der Öffentlichkeit da unsere Forscher nur einige wenige Ereignisse durchgesickert war, und einem Downloader.18 Bei etwa (Blockierungen) im Zusammenhang mit Ramnit-Dateien einem Drittel (35 Prozent) der in unserer kürzlich erfolgten ermittelt haben. TTE-Untersuchung festgestellten Webereignisse, die von Unsere TTE-Analyse umfasst die Untersuchung des Alters der Kryptik-Malware-Familie ausgingen, war JavaScript der Hashes, die von einer Malware-Familie zum Zeitpunkt im Spiel, während bei weiteren 26 Prozent eine Datei der Blockierung verwendet wurden (pro Monat). Dadurch mit der Erweiterung *.php verwendet wurde. Zu den von können wir besser feststellen, wie oft und wie schnell die uns identifizierten MIME-Typen zählten MS Word, octet- Malware weiterentwickelt werden muss, um einer Hash- stream oder HTML. Die meisten E-Mail-Ereignisse beim basierten Erkennung zu entgehen. Kryptik-RAT traten im Zusammenhang mit Dateien mit der Erweiterung *.zip, *.js oder mit ausführbaren Dateien auf. Es folgt eine Übersicht über unsere wichtigsten Ergebnisse im Hinblick auf die vier Malware-Familien unserer Zudem haben wir festgestellt, dass die Kryptik-Malware- Untersuchung. Familie im beobachteten Zeitraum Hashes unterschiedlichen Alters eingesetzt hat (siehe Abbildung 23). Abbildung 22: Anzahl der eindeutigen Vektoren Abbildung 22 Anzahl der eindeutigen Vektoren bei Der in Abbildung 23 dargestellte TTD-Trend für Kryptik beiE-Mail-Ereignissen E-Mail-Ereignissen (pro Monat) (pro Monat) 43 veranschaulicht, dass die Malware-Erkennung nach wie vor schwierig ist, obwohl die Produkte von Cisco in den letzten 40 Monaten schneller in der Lage waren, die Bedrohung zu identifizieren. Ende April 2017 betrug unsere mittlere TTD 35 33 für den Kryptik-RAT ungefähr das Doppelte der insgesamt verzeichneten mittleren TTD von 3,5 Stunden (Sie finden 30 weitere Einzelheiten zur TTD-Berechnung auf Seite 26). Diese Zahl liegt jedoch immer noch deutlich unter den 25 21,5 Stunden, die wir im November 2016 für Kryptik gemessen haben. 20 Abbildung 23 TTD und Alter der Hashes bei der Kryptik- 15 Malware-FamilieAbbildung 23 TTD pro Monatund Alter der Hashes bei der Kryptik-Malware-Familie pro Monat 10 25 20,1 20 Anzahl der eindeutigen Vektoren eindeutigen der Anzahl 15 5 10 15,3 Stunden 5 6,8 0 0 Nov. Dez. Jan. Feb. März Apr. Mai Nov. Dez. Jan. Feb. März Apr. Mai 2016 2017 100 %

Kryptik Nemucod Fareit 75 %

Quelle: Cisco Security Research 50 %

25 % Prozentuale Verteilung Prozentuale 0 % Nov. Dez. Jan. Feb. März Apr. Mai 2016 2017 Monate

0 Tage alt 1-2 Tage 3-10 Tage

11-30 Tage 31-90 Tage Über 90 Tage

Quelle: Cisco Security Research

18 „Visualizing 2016’s Top Threats“ von Austin McBride und Brad Antoniewicz, Cisco Umbrella-Blog, 8. Februar 2017: umbrella.cisco.com/blog/blog/2017/02/08/visualizing-2016s-top-threats/.

29 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

TTE-Analyse: Nemucod Abbildung 24 TTD und Alter der Hashes bei der Nemucod-Malware-FamilieAbbildung 24: TTD und Alter pro Monat der Hashes bei Auch 2017 ist Nemucod unter den häufigsten Malware- der Nemucod-Malware-Familie pro Monat Familien zu finden. Angreifer verteilen mithilfe dieser 25 Downloader-Malware Ransomware und andere 20 16,3 Bedrohungen wie Backdoor-Trojaner, die für den Diebstahl 15 10 6,9 von Anmeldedaten oder Klickbetrug genutzt werden. Über 3,7

Stunden 5 einige Varianten von Nemucod wird auch die Nemucod- 0 Malware-Payload übermittelt. Nov. Dez. Jan. Feb. März Apr. Mai

Die Art und Weise der Weiterentwicklung von Nemucod 100 % hat wahrscheinlich viel mit seinem anhaltenden Erfolg zu tun. Abbildung 24 zeigt, dass Nemucod konsequent 75 % 15 oder mehr Kombinationen von Dateierweiterungen und Dateiinhaltstypen verwendet. Beispielsweise war 50 % an 70 Prozent der von uns beobachteten Nemucod- 25 % Webereignisse JavaScript beteiligt; bei den Ereignissen wurden auch Dateien mit der Erweiterung *.php Verteilung Prozentuale 0 % (16 Prozent) oder *.zip (9 Prozent) festgestellt. Darüber Nov. Dez. Jan. Feb. März Apr. Mai hinaus waren an Nemucod-Ereignissen im Zusammenhang 2016 2017 mit E-Mail-Blockierungen in erster Linie Dateien mit den Monate Erweiterungen *.zip, *.wsf (Windows-Skriptdatei) oder *.js beteiligt. 0 Tage alt 1-2 Tage 3-10 Tage 11-30 Tage 31-90 Tage Über 90 Tage In Abbildung 24 wird deutlich, dass sich Nemucod vorwiegend auf Hashes stützt, die weniger als einen Quelle: Cisco Security Research Tag alt sind. So soll der Vorsprung vor den Verteidigern gewahrt bleiben.

In den letzten Monaten wurden allerdings auch vermehrt Hier können Sie die Grafiken für 2017 herunterladen: ältere Hashes in der Malware eingesetzt. Dies kann cisco.com/go/mcr2017graphics bedeuten, dass die Security Community bei der Erkennung neuer Instanzen von Nemucod effektiver wird, sodass die Programmierer von Malware wieder auf ältere Hashes zurückgreifen, die sich als wirksam erwiesen haben. Unabhängig davon zeigt Abbildung 24, dass sich die TTD für Nemucod im März und April erhöht hat, ein weiteres Indiz für das unermüdliche Kräftemessen zwischen Angreifern und Verteidigern. Ganz gleich, ob dies damit zusammenhängt, wie Angreifer die Hash- Zyklen durchlaufen, oder mit ihren Übermittlungs- oder sonstigen Verschleierungstaktiken – anscheinend haben die Programmierer von Nemucod Übermittlungsmechanismen entwickelt, die schwieriger zu erkennen waren.

30 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

TTE-Analyse: Ramnit Abbildung 25 25: TTD TTD und und Alter Alter der der Hashes Hashes bei der bei Ramnit tauchte ursprünglich im Jahr 2010 als Ramnit-Malware-Familieder Ramnit-Malware-Familie pro Monat pro Monat selbstreplizierender Wurm auf. Seine Entwickler haben 25 21,3 nachträglich Funktionen für Datendiebstahl und sonstige 20 16,9 15 Erweiterungen hinzugefügt. Dabei wurde ein zugänglicher 10

Quellcode des berüchtigten Zeus-Trojaners genutzt. Stunden 5 5,89 5,81 Heutzutage gilt Ramnit als einer der hartnäckigsten unter 0 Nov. Dez. Jan. Feb. März Apr. Mai den bekannten Banking-Trojanern. 100 % In unserer neuesten TTE-Untersuchung fanden wir heraus, dass nahezu jedes Webereignis (99 Prozent) im 75 % Zusammenhang mit Ramnit-Malware einen Text- oder HTML-MIME-Typ aufwies. Die Dateierweiterungen waren 50 % vielfältig, in erster Linie wurde jedoch HTML (41 Prozent) verwendet. 25 % Prozentuale Verteilung Prozentuale Unsere Forschungsergebnisse zeigen auch, dass Ramnit 0 % mehrere Monate lang den Verteidigern erfolgreich Nov. Dez. Jan. Feb. März Apr. Mai ausweichen konnte. Dies gelang durch den Einsatz 2016 2017 von Hashes, die größtenteils 90 Tage oder älter waren Monate (Abbildung 25). 0 Tage alt 1-2 Tage 3-10 Tage

Abbildung 25 zeigt jedoch auch, dass Ramnit bis zum 11-30 Tage 31-90 Tage Über 90 Tage April vor allem neue Hashes verwendet haben – mehr als die Hälfte davon war weniger als einen Tag alt. Dies ist Quelle: Cisco Security Research wahrscheinlich darauf zurückzuführen, dass die Verteidiger bei der Erkennung von Ramnit-Instanzen mit den älteren Hashes immer erfolgreicher wurden. Tatsächlich sank unsere mittlere TTD für Ramnit von knapp über 21 Stunden im März auf etwa fünf Stunden Anfang Mai.

31 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

TTD-Analyse: Fareit Abbildung 26 26: TTD TTD und und Alter Alter der der Hashes Hashes bei der bei Fareit- Fareit ist eine weitere bekannte und weit Malware-Familieder Fareit-Malware-Familie pro Monat pro Monat verbreitete Malware-Familie. Der Fareit-RAT stiehlt 25 Anmeldeinformationen und verteilt mehrere Arten von 20 18,3 15 Malware. Laut unserer Recherche wurde bei fast allen 10

(95 Prozent) der an Webangriffen beteiligten Malware- Stunden 5 7,9 4,8 Varianten von Fareit die DLL-Dateierweiterung verwendet. 0 Nov. Dez. Jan. Feb. März Apr. Mai 84 Prozent beinhalteten ein MS-DOS-Programm oder den msdownload-MIME-Typ. Die Fareit-Dateierweiterungen bei 100 % E-Mails standen meist mit Word-Dokumenten, ausführbaren ACE-Dateien (Komprimierungsarchiv) oder .zip-Dateien in 75 % Zusammenhang. 50 % Ähnlich wie die Kryptik-Malware ändert auch Fareit die Hashes häufig, um einer Erkennung zu entgehen 25 % (Abbildung 26). Die mittlere TTD für Fareit wies im Februar Prozentuale Verteilung Prozentuale und März deutliche Spitzenwerte auf. Während dieser Zeit 0 % setzte die Malware etwas vermehrt auf neue Hashes, setzte Nov. Dez. Jan. Feb. März Apr. Mai 2016 2017 aber auch einige wesentlich ältere (90 Tage oder älter) in ihrer Mischung ein. Monate 0 Tage alt 1-2 Tage 3-10 Tage

11-30 Tage 31-90 Tage Über 90 Tage

Quelle: Cisco Security Research

Domänenaktivität: Nemucod und Ramnit Die Forschungsgruppe von Cisco hat die Nemucod eine Vielzahl von kompromittierten Domänenaktivität in Bezug auf die beiden Webseiten verzeichnet – mehr als bei Ramnit. Malware-Familien in unserer neuesten TTE- Untersuchung analysiert: Nemucod und Ramnit. Ramnit hingegen schien Hunderte von Domänen- Damit wollte sie mehr darüber erfahren, wie Generierungs-Algorithmen (DGAs) zu verwenden diese Malware-Familien Domänen für die (Sie finden weitere Informationen zu DGA- Übermittlung ihrer Malware einsetzen. Domänen und den Gründen, weshalb sie von Malware-Entwicklern verwendet werden, unter Während des Beobachtungszeitraums „Längere Lebensdauer – und Überschneidung – (November 2016 bis März 2017) haben wir bei von DGA-Domänen“ auf Seite 33).

32 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Längere Lebensdauer – und Überschneidung – von DGA-Domänen

Viele führende Malware-Familien verlassen sich bei von verschiedenen Malware-Familien. Dem Anomali der schnellen Generierung von pseudozufälligen Bedrohungsforschungsteam zufolge wiesen die meisten Domänennamen, mit denen sie einer Erkennung entgehen DGA-Domänen vor fünf Jahren eine Lebensdauer von möchten, auf Domänen-Generierungs-Algorithmen (DGAs). höchstens drei Tagen auf. Seit damals hat sich die DGA-Domänen sind in der Regel kurzlebig, können aber durchschnittliche Lebensdauer der DGA-Domänen deutlich auch manchmal für Monate bestehen. Dies erschwert den verlängert, und zwar in manchen Fällen sogar auf bis zu Verteidigern eine heuristische Blockierung. etwa 40 Tage (siehe Abbildung 27). Einige lagen sogar jenseits dieser Marke. Anomali, ein Cisco Partner und Anbieter von Threat- Intelligence, verfolgt die Lebensdauer vermuteter DGA- Hinweis: Die Stichprobe umfasste ca. 45 verschiedene Domänen im Zusammenhang mit einer breiten Palette Malware-Familien.

Abbildung 27 27: DGA-Lebensdauer DGA-Lebensdauer

5 % Die durchschnittliche Lebensdauer 4 % hat sich in manchen Fällen bis auf 40 Tage verlängert

3 %

2 %

1 % Prozentsatz der Domains Prozentsatz

0 % 0 10 20 30 40 50 60 70 80 90 100 Lebensdauer der Domänen verschiedener DGAs (Tage)

Quelle: Anomali

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

33 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Dieser Trend ist wahrscheinlich darauf zurückzuführen, dass übergeordneten Domänen. (Hinweis: Fast alle Algorithmen Angreifer unter Druck stehen und die Bedrohungen immer verwenden unterschiedliche Ansätze, um die Buchstaben schneller weiterentwickeln müssen. Nur so können Sie in der Domäne der zweiten Ebene nach dem Zufallsprinzip Blockierungen entgegenwirken und länger unerkannt in den auszuwählen.) Organisationen verbleiben, die sie bereits kompromittiert haben (Sie finden weitere Informationen zu diesem Diese Einschränkungen, kombiniert mit der Notwendigkeit, Thema unter „Trends bei der Weiterentwicklungszeit: ständig neue DGA-Domänen zu generieren, führen häufig Nemucod, Ramnit, Kryptik und Fareit“ auf Seite 28). Die zu Überschneidungen bei den Bemühungen der Malware, Programmierer von Malware müssen schnell genug sein, DGA-Domänen zu generieren und zu registrieren. Dies kann um Blockierungslisten zu umgehen, dürfen aber nicht so dazu führen, dass sie sich in stark genutzten Kombinationen, schnell sein, dass die Verteidiger die Oberhand durch die wie beispielsweise bei acht- bis zehnstelligen Domänen Blockierung aller neuen Domänen gewinnen. mit der Endung .com, auf Kollisionskurs befinden. In diesen überbelegten Bereichen kann eine DGA-Domäne aufgrund In den meisten Fällen verändern die Algorithmen hinter der Nutzung einer ähnlichen DGA-Domäne durch einen der Malware, die DGA-Domänen generieren, bei der Konkurrenten, die von den Verteidigern bereits identifiziert Domänenerstellung nur zwei Elemente: die Länge des wurde, in einer Blockierungsliste landen. Domänennamens und die möglichen verwendbaren

Infrastrukturanalyse schafft weitere Kenntnisse über Angreifertools

Wie in der Security Capabilities Benchmark-Studie, die sich Gegenmaßnahmen einleiten.19 Dieser Ansatz ist nicht nur auf vertikale Märkte konzentriert, erläutert (siehe Seite 77), proaktiv, sondern auch unter Umständen prädiktiv, da er den haben viele Sicherheitsteams damit zu kämpfen, die Anbietern ermöglicht, im Vorfeld wertvolle Informationen Tausende von Sicherheitswarnungen zu verstehen, die sie zu Gegnern zusammenzustellen. täglich erhalten. Die Registrierungs- und Hosting-Taktiken der Angreifer (insbesondere die Infrastruktur, in der sie Die analysierten Domänen und IP-Adressen standen agieren), können es Sicherheitsexperten ermöglichen, die im Zusammenhang mit Spear-Phishing-Angriffen auf Gefahrenquellen einzukreisen und diese zu blockieren. Bellingcat, eine investigative Bürgervereinigung, die Ziel des Advanced Persistent Threat (APT) von Fancy Bear war. In einer von der Fancy Bear-Gruppe für Internetspionage ThreatConnect vertrat die Theorie, dass einige Angreifer verwendeten Infrastrukturanalyse hat das Forschungsteam aufgrund ihres Zugriffs auf eine begrenzte IP-Infrastruktur von ThreatConnect (einem Cisco Partner und Anbieter mehr als eine ihrer Domänen in der von ihnen kontrollierten der branchenweit einzigen erweiterbaren, Intelligence- Infrastruktur betreiben. Durch die Untersuchung dieser gesteuerten Sicherheitsplattform) möglicherweise Domänen am gleichen Standort können Sicherheitsexperten schädliche Domänen, IP-Adressen und Aliasnamen zusätzliche Infrastruktur (wie Domänen und IP-Adressen) entdeckt. Dadurch können Verteidiger bereits vor dem identifizieren, die möglicherweise von Angreifern kontrolliert Eindringen von Angreifern in Netzwerke entsprechende werden, und diese vorbeugend blockieren oder in ihre Verteidigungsstrategien einbinden.

19 Sie finden weitere Informationen unter „How the ThreatConnect Research Team Used the Platform to Investigate Incidents, Identify Intelligence, and Conduct Pertinent Analysis Regarding Fancy Bear“: threatconnect.com/blog/how-to-investigate-incidents-in-threatconnect/.

34 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Wie in der ThreatConnect-Analyse erläutert, wurden bei Abbildung 28 Colocation-Methodik diesem Prozess die folgenden Schritte ausgeführt: Abbildung 28: Colocation-Methodik •• Bellingcat hat E-Mail-Header von Spear-Phishing- Nachrichten bereitgestellt, die vermutlich von Hackern Erforderlicher 1 Input Ermittlung der stammen, die vom russischen Staat gefördert werden. Erstellungstermine 05-17-2017 ThreatConnect machte sich dann die Erkenntnisse aus Domain oder und Registrierungen früheren Fancy Bear-Operationen zunutze und kam zu Sub-Domain für Input-Domains dem Schluss, dass Fancy Bear höchstwahrscheinlich Operationen ausführte, die sich gegen Bellingcat richteten. Domain- Ermittlung der IP- Colocation- •• ThreatConnect ermittelte mithilfe von WHOIS- Adressen, unter denen Toleranz (n) 2 Registrierungsinformationen, wann eine Domäne aus die Domain direkt nach den Spear-Phishing-Nachrichten registriert wurde. 192.168.22 dem Erstellungsdatum Außerdem wurde die E-Mail-Adresse festgestellt, über gehostet wird, und des Zeitrahmens dieses welche die Domäne registriert wurde. So wurde ein Hostings Zeitrahmen für die Untersuchung geschaffen. Ermittlung dieser •• Über Passive DNS wurden IP-Adressen identifiziert, die 3 IP-Adressen, die (n) die Domäne nach ihrer ersten Registrierung gehostet Domains oder weniger haben. Somit konnten IP-Adressen festgestellt werden, 192.168.22 in demselben die möglicherweise mit böswilligen Akteuren in Zeitrahmen wie die Verbindung stehen. Input-Domain gehostet haben •• Danach ermittelte das Forschungsteam erneut unter Verwendung von Passive DNS, welche IP-Adressen 4 Ermittlung, welche weniger als eine bestimmte beliebige Anzahl von dieser IP-Adressen Domänen gehostet haben. Dies diente dem Ausschluss keine Sinkholes oder von IPs, die möglicherweise mehrere Domänen für nicht dedizierte mehrere Kunden hosten. Infrastrukturen sind •• Mit WHOIS und Passive DNS identifizierte Ermittlung der ThreatConnect die Teilmenge dieser IP-Adressen, 5 übrigen Domains, die wahrscheinlich dem Angreifer zugeordnet waren. Domains ipdf.com die unter diesen IPs So wurde die Liste der IP-Adressen eingegrenzt, die am gleichen in demselben vermutlich dem APT zugeschrieben werden konnten. Standort Zeitrahmen wie die angegebene Domain •• Auf Basis dieser Teilmenge von IP-Adressen ermittelte gehostet wurden ThreatConnect dann mithilfe von Passive DNS andere Domänen, die unter der gleichen IP-Adresse zur 6 Ermittlung der gleichen Zeit wie die ursprüngliche Domäne gehostet Registrierungen wurden. (Wenn sich die Domänen gemeinsam mit Registrie- für die Input- rungs- der ursprünglichen Domäne unter der gleichen IP- Domain und Domains Adresse befinden, werden diejenigen identifiziert, die Domains am gleichen Standort möglicherweise von demselben APT gesteuert werden.) WHOIS •• ThreatConnect hat zudem weitere Domänen identifiziert, die mit der E-Mail-Adresse registriert wurden, die Passive DNS auch für die Registrierung der ursprünglichen Domäne Quelle: ThreatConnect verwendet wurden. Wenn eine E-Mail-Adresse verwendet wird, um eine mit einer APT-Aktivität verbundene Domäne zu registrieren, könnten andere Hier können Sie die Grafiken für 2017 herunterladen: Domänen, die mit dieser E-Mail-Adresse registriert cisco.com/go/mcr2017graphics wurden, ebenfalls Teil der APT-Aktivitäten sein. •• ThreatConnect verwendete neu identifizierte Domänen – sowohl diejenigen am Standort der ursprünglichen Domäne als auch diejenigen, die mit derselben E-Mail-Adresse registriert wurden – für nachfolgende Iterationen der Analyse. •• Anschließend ermittelte ThreatConnect mit Passive DNS bekannte Unterdomänen für die identifizierten Domänen. Diese Informationen können helfen, Mailserver oder andere Unterdomänen zu identifizieren, die nicht an denselben IPs wie die identifizierte Domäne gehostet wurden. Dadurch eröffnen sich noch mehr Möglichkeiten für die weitere Forschung.

35 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Analytikmethoden wie in Abbildung 28 können helfen, Abbildung 29 Verbindungen in der von der ATP-Gruppe eine exponentiell größere Gruppe von E-Mail-Adressen, verwendeten Infrastruktur IP-Adressen und Domänen zu identifizieren, die mit einer aufgetretenen Aktivität in Verbindung stehen und als verdächtig angesehen werden könnten. Die oben beschriebene Untersuchung begann mit sechs Domänen, fünf IP-Adressen und drei E-Mail-Registrierungen, die in den von Bellingcat zur Verfügung gestellten E-Mail-Headern gefunden wurden.

Mit dem oben erläuterten Verfahren wurden 32 E-Mail- Adressen und Aliasnamen, mehr als 180 Domänen und mehr als 50 IP-Adressen identifiziert, die wahrscheinlich mit der APT-Aktivität von Fancy Bear in Zusammenhang standen. Abbildung 29 zeigt eine Teilmenge der Zuordnungen unter den Domänen, E-Mail-Adressen und IP-Adressen. Sie sehen, wie sie sich zu den Spear- Phishing-Vorfällen bei Bellingcat zurückverfolgen lassen.

Organisationen, die eine ähnliche Analyse durchführen, können Domänen, IP-Adressen und E-Mail-Adressen, die möglicherweise die Angriffsquelle darstellen, proaktiv blockieren. Durch die Erforschung und Identifizierung der Infrastruktur können Organisationen Folgendes ermitteln: Die taktische Intelligenz, die bei dem fortlaufenden Prozess der Reaktion auf Vorfälle genutzt werden muss; die von den Gegnern verwendete Infrastruktur, bevor sie gegen die Organisation eingesetzt werden kann; und den historischen Kontext oder die Zuordnungen zwischen Infrastruktur und Angreifern.

Angriffe auf die Lieferkette: Bereits ein kompromittierter Vektor kann viele Organisationen beeinträchtigen

Wie jedes Unternehmen, das Zeit und Geld sparen möchte, Dies gelang nach der Beobachtung eines nicht suchen auch Angreifer nach Möglichkeiten, um ihren identifizierten Beaconings, das gegen eine URL gerichtet Betrieb effizienter zu gestalten. Der Cisco Partner RSA hat war, die in eine IP-Adresse aufgelöst wurde. Diese wurde festgestellt, dass Angriffe auf die Lieferkette bei wenig wiederum in eine bekanntermaßen schädlich Domäne Aufwand seitens der Verbrecher maximale Schlagkraft aufgelöst. Bei der Verfolgung der Ursprünge der in der besitzen. In dem von RSA untersuchten Fall haben die Domäne gefundenen Malware (eine Variante von PGV_ Gegner einen Trojaner in legitime Software eingeschleust, PVID) hat das RSA-Team eine Organisation ermittelt, die die normalerweise von Systemadministratoren anscheinend damit infiziert war, und festgestellt, dass die in Unternehmen für die Analyse der Windows- Malware aus der Systemadministrationssoftware stammte. Systemereignisprotokolle herangezogen wird.20 RSA hat herausgefunden, dass die Download-Seite für die Die kompromittierte Software stand zusammen mit Updates Software und auch die Anbieterseite für Software-Updates auf der Website des Herstellers für den Download zur erfolgreich angegriffen wurden (siehe Abbildung 30 auf Verfügung. Dies bedeutete, dass nur ein kompromittierter der nächsten Seite). Dies bedeutete, dass Unternehmen, Vektor (nämlich die Website des Herstellers) die Bedrohung die zuvor die einwandfreie Version der Software an zahlreiche weitere Unternehmensnetzwerke verbreiten heruntergeladen hatten, dennoch gefährdet waren, falls sie konnte, und zwar lediglich über die angebotene Software sich für den Erhalt automatischer Updates registriert hatten, und die automatischen Updates. da die Malware auch durch spätere Updates eingeschleust werden konnte. RSA hat die kompromittierte Software im Rahmen seiner Forschung aufgespürt. Dort wurde die Gruppe der böswilligen Akteure als „Kingslayer“ bezeichnet.

20 Sie finden nähere Einzelheiten zu dieser Untersuchung im RSA-Bericht „Kingslayer—A Supply Chain Attack“: rsa.com/en-us/resources/kingslayer-a-supply-chain-attack.

36 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Die Angriffswelle wurde bereits nach etwa zwei Wochen Für Unternehmen, die Bedrohungen der Lieferkette erkannt. Da der Anbieter die Benutzer jedoch erst Monate abblocken möchten, stellt die Erkennung eine große später über die kompromittierte Software informierte, war Herausforderung dar. Die Endpunktsicherheit ist die Malware installiert, bis sie von den Organisationen selbst wahrscheinlich die beste Verteidigungsstrategie, da bemerkt wurde oder Gegenmaßnahmen ergriffen wurden. sie Sicherheitsteams warnen kann, wenn ein Bereich der Software mit einem anderen kommuniziert. Eine Echtzeitüberwachung kann ebenfalls bei der Feststellung verdächtiger Aktivität hilfreich sein.

Abbildung 30 30: Infektionskette Infektionskette des des Kingslayer-Angriffs Kingslayer-Angriffs

1. 2A. 3. 4. 5A. 6. 7. 8. Im Netzwerk Systemadminis- Verbindung mit Schädliche Download der App mit Backdoor Erhält sekundäre C2 des Systems im implementierte trator klickt auf Anwendungs-Site .htaccess- unterwanderten installiert Payload „K2“ Unternehmen mit kompromittierte Link auf der Umleitung MSI und/oder ... der sekundären Herstellerprodukte Hersteller- Payload „K2“ Website oder ... 5B. (Automatisch) 2B. Download des (Automatisch) Backdoor-Updates Analyzer- Anwendung wird automatisch aktualisiert Signierte Event Log Analyzer- Anwendung mit heruntergeladenem Trojaner

Netzwerk mit System- Event Log Schädliche Vom bösartigen kompromittierten administrator Analyzer- Umleitung Akteur kontrollierte Unterneh- Produkten Anwendungs-Site Website mensnetzwerk 94.242.xx.xxx

Sekundäre Payload „K2“

Quelle: RSA

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

Den RSA-Analysten ist zwar nicht bekannt, wie viele Obwohl die RSA-Ermittler das letztendliche Ziel der Organisationen die kompromittierte Anwendung installiert Kingslayer-Akteure nicht kennen, stellen die Kunden hatten, bevor RSA den Anbieter über das Malware-Problem des Anbieters aufgrund ihrer Größe und ausgereiften informierte. Auf der Website des Anbieters sind jedoch die Technologie auf jeden Fall äußerst lukrative Ziele Kunden aufgelistet, die den Portal-Service des Anbieters dar. Es wäre denkbar, dass es die Gegner bei den für Ereignisprotokollinformationen abonniert haben. Die Liste Finanzdienstleistern auf die Anmeldedaten der Kunden der Kunden und somit gefährdeten Organisationen umfasste abgesehen haben oder Nationalstaaten unterwandern zumindest folgende: möchten.

•• 4 große Telekommunikationsanbieter Die Strategie des Lieferkettenangriffs verdient aus mehreren Gründen die Aufmerksamkeit der Verteidiger. •• Mehr als 10 Militärorganisationen Die Angreifer müssen nur einen einzigen kompromittierten •• Mehr als 24 Fortune 500-Unternehmen Vektor einsetzen, können damit aber viele Ziele infizieren. •• 5 wichtige Rüstungskonzerne Darüber hinaus finden diese Angriffe naturgemäß absolut im Verborgenen statt, sodass wertvolle Zeit verstreicht, • • Mehr als 24 Banken und Finanzinstitute bis die Angreifer entdeckt werden. Auch wenn die •• Mehr als 45 Hochschulen angegriffene Software in erster Linie von System-, Netzwerk- oder Sicherheitsadministratoren genutzt wird, erhöhen Angreifer damit die Chancen, dass sie eine ideale Bereitstellungsumgebung für die systematische Ausbeutung von Großunternehmen gefunden haben.

37 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Infrastruktur-Harvesting zielt auf akademische Netzwerke ab Im Kingslayer-Fall besteht die gegnerische Strategie des Das Schoolbell-Botnet, das seinen Namen erhalten hat, weil Infrastruktur-Harvestings darin, sich in legitimer Hardware zu es sich gegen eine akademische Infrastruktur richtet, ist ein verstecken. So haben die Softwarebenutzer den Eindruck, Beispiel für diese gegnerische Strategie. Zu Spitzenzeiten dass sie ein sauberes Produkt bekommen, noch bevor sie verzeichnete RSA nahezu 2.000 eindeutige Infektionen in es in ihrem Netzwerk eingesetzt haben. Beim Schoolbell- der Schoolbell-Botnet-Infrastruktur (siehe Abbildung 31). Botnet21 verwenden die Gegner die Infrastruktur als eine Art Sprungbrett, da die Netzwerkressourcen selten oder nie Die Strategie mit Schoolbell-Botnets und Infrastruktur- einen schlechten Ruf haben und sich an einem scheinbar Harvesting sollte allen Organisationen eine Warnung sein, ungefährlichen Ort befinden. In beiden Fällen nutzen die die glauben, dass sie keine Ziele von Cyberangriffen sind, böswilligen Akteure den guten Namen des Herstellers und weil sie keine lukrativen Daten besitzen. Akademische den Standort. Organisationen sehen die Netzwerksicherheit häufig entspannter als andere Organisationen ähnlicher Durch die Endpunktsicherheit und Echtzeitüberwachung Größe in anderen Branchen (z. B. im Bereich der können Organisationen nicht nur wie oben beschrieben Finanzdienstleistungen). Daher können akademische Angriffe auf Lieferketten vermeiden, sondern auch schneller Netzwerke attraktive Ziele für Angreifer sein, die auf ein einen Prozess erkennen, den RSA als „Infrastruktur- einfaches „Einfallstor“ hoffen und in Ruhe unbemerkt Harvesting“ bezeichnet. Bei dieser Art des Angriffs agieren möchten. Die akademische Welt kann also ein versuchen Gegner, die Kontrolle über die Infrastruktur einer ideales Ziel für Angreifer darstellen, die auf weitere Organisation zu gewinnen. Sie setzen ihre Hoffnung auf eine Infrastrukturressourcen aus sind. Ausbeute im ganz großen Stil.

Abbildung 31 Weltweite Infektion mit Schoolbell-Malware Abbildung 31: Weltweite Infektion mit Schoolbell-Malware

Anzahl der von diesen Malware-Familien betroffenen akademischen Infrastrukturen

Rekaf Derusib RAT

CustomTCP PGV_PVID

Quelle: RSA

21 Sie finden weitere Informationen über das Schoolbell-Botnet und das Infrastruktur-Harvesting im Beitrag „Schoolbell: Class Is in Session“ von Kent Backman und Kevin Stear, RSA vom 13. Februar 2017: blogs.rsa.com/schoolbell-class-is-in-session/.

38 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Das Internet of Things (IoT) nimmt gerade erst Fahrt auf, aber die IoT-Botnets sind bereits zur Stelle

2016 wurde eine lange gefürchtete DDoS-Bedrohung Mirai Wirklichkeit: Die über mehrere vernetzte Geräte gestarteten Das Mirai-Botnet, das für den DynDNS-Angriff Cyber-Angriffe verwandelten sich in Botnets. Im September verantwortlich war, hat Hunderttausende von IoT-Geräten richtete sich ein 665-Gbit/s-Angriff gegen den Blogger infiziert und sie in eine „Zombie-Armee“ verwandelt, die in Brian Krebs, der sich mit sicherheitsrelevanten Themen der Lage ist, mächtige und weitreichende DDoS-Angriffe beschäftigt.22 Kurz darauf wurde ein 1-Tbit/s-Angriff auf zu starten. Sicherheitsexperten schätzen, dass Millionen das französische Hosting-Unternehmen OVH verübt.23 Und von anfälligen IoT-Geräten aktiv an diesen koordinierten im Oktober litt DynDNS unter den Folgen eines Angriffs, Angriffen beteiligt sind. Der Quellcode für die Mirai-Malware der einen Ausfall von Hunderten beliebter Websites wurde Ende 2016 veröffentlicht.25 verursachte – dies war der weitreichendste Angriff unter den drei DDoS-Angriffen auf das IoT.24 Funktionsweise

Diese Angriffe haben uns in das 1-Tbit/s-DDoS-Zeitalter 1. Mirai verbindet sich durch einen Brute-Force-Angriff auf katapultiert. Sie haben die herkömmlichen DDoS- Telnet-Server mit infizierten Computern und nutzt mehr Schutzparadigmen erschüttert und bewiesen, dass die als 60 werksseitige Standard-Anmeldeinformationen DDoS-Botnet-Bedrohung des IoT nicht nur ein bloßes der BusyBox-Software. Schreckensszenario ist – und dass sich Organisationen 2. Jedes infizierte Gerät sperrt sich selbst gegen entsprechend dagegen wappnen müssen. weitere Bots. Der Cisco Partner Radware hat vor Kurzem die Aktivität 3. Mirai sendet die IP- und die Anmeldeinformationen von drei groß angelegten IoT-Botnets (Mirai, BrickerBot des Opfers an einen zentralen ScanListen-Service.26 und Hajime) untersucht und die nachfolgenden Analysen 4. Das neue Opfer wird dann zum Gehilfen bei der bereitgestellt: Gewinnung neuer Bots und bringt selbstreplizierende Muster hervor.

Weitere Informationen zu Mirai Allgemeine Merkmale von IoT-Botnets Neben der Generierung eines Datenverkehrsvolumens von mehr als einem TBit/s verfügt Mirai zudem über eine •• Sie lassen sich schnell und einfach Auswahl von zehn vordefinierten Angriffsvektoren (siehe einrichten, sogar in nur einer Stunde. Abbildung 32). Einige der Vektoren haben sich beim Abbau der Infrastruktur von Service-Providern und Cloud- •• Sie verbreiten sich schnell. Der wiederholte Scrubbern als wirksam bewährt, indem sie die jeweiligen Infizierungsmechanismus bewirkt einen Schutzmechanismen angegriffen haben. exponentiellen Anstieg der Botnet-Größe. Tatsächlich können Täter ein Botnet mit Abbildung 32 Angriffsvektoren von Mirai mehr als 100.000 infizierten Geräten innerhalb von 24 Stunden aufbauen. •• Die Malware hat eine niedrige Erkennungsrate. Es ist sehr schwierig, Proben abzurufen, da der Schadcode im Gerätespeicher angesiedelt ist und ausgelöscht wird, sobald das Gerät neu gestartet wird.

Quelle: Radware Unter den zehn Vektoren sind extrem ausgeklügelte Angriffsvektoren wie GRE-Floods, TCP-STOMP und Water Torture-Angriffe zu finden. Die DDoS-Angriffe von Mirai verdeutlichen die Herausforderungen, vor denen Organisationen stehen, wenn es darum geht, eine Einsicht in die Legitimität des GRE-Datenverkehrs oder von rekursiven DNS-Abfragen zu erlangen.

22 „KrebsOnSecurity Hit with Record DDoS“ von Brian Krebs, KrebsOnSecurity-Blog, 21. September 2016: krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/. 23 „150,000 IoT Devices Abused for Massive DDoS Attacks on OVH“ von Eduard Kovacs, SecurityWeek, 27. September 2016: securityweek.com/150000-iot-devices-abused-massive-ddos-attacks-ovh. 24 „DDoS Attack on Dyn Came from 100,000 Infected Devices“ von Michael Kan, IDG News Service, für ComputerWorld, 26. Oktober 2016: computerworld.com/article/3135434/security/ddos-attack-on-dyn-came-from-100000-infected-devices.html. 25 „Source Code for IoT Botnet ‘Mirai’ Released“ von Brian Krebs, KrebsOnSecurity-Blog, 1. Oktober 2016: krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/. 26 „BusyBox Botnet Mirai—the Warning We’ve All Been Waiting For?“ von Pascal Geenens, Radware, 11. Oktober 2016: blog.radware.com/security/2016/10/busybox-botnet-mirai/.

39 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

BrickerBot PDoS-Angriffe (PDoS = Permanent Denial of Service) sind Abbildung 34 Nachricht von den Programmierern von Hajime schnelle Bot-Angriffe, die entwickelt wurden, um Störungen der Gerätehardware zu verursachen. Diese Form des Cyberangriffs wird immer beliebter.27

Die PDoS-Angriffe, die in manchen Kreisen auch als „Phlashing“ bekannt sind, schädigen die Systeme so schwer, dass die Hardware neu installiert oder ersetzt werden muss. Durch die Ausnutzung von Sicherheitslücken Quelle: Radware oder Fehlkonfigurationen können PDoS-Angriffe die Firmware und grundlegenden Systemfunktionen zerstören. Funktionsweise Hajime ist ein ausgeklügeltes, flexibles, durchdachtes BrickerBot kann: und zukunftsorientiertes IoT-Botnet. Es kann sich •• Geräte beeinträchtigen: Die PDoS-Angriffe von selbst aktualisieren und weitet mit hoher Effizienz und BrickerBot verletzen die Geräte von Benutzern mithilfe Geschwindigkeit umfangreichere Funktionen auf seine von Brute-Force-Angriffen auf Telnet, sie nutzen also Mitglieds-Bots aus. Wie viele andere IoT-Botnets denselben Exploit-Vektor wie Mirai. durchsucht Hajime das Internet, um neue Opfer aufzuspüren •• Geräte beschädigen: Nach dem erfolgreichen und zu infizieren. Dabei hält es Ausschau nach offenen Zugriff auf ein Gerät führt BrickerBot mehrere Linux- Ports vom Typ TCP 23 (Telnet) und TCP 5358 (WSDAPI). Befehle aus, die letztlich zu einem beschädigten Es setzt Brute-Force-Angriffe ein, um sich anzumelden Speicher führen. Danach werden Befehle abgesetzt, und die Gerätekontrolle zu übernehmen. mit denen die Internetverbindung und Geräteleistung Interessanterweise kann Hajime das Gerät, das es infizieren beeinträchtigt und sämtliche Dateien auf dem Gerät möchte, von Malware befreien. Danach kann es das Gerät gelöscht werden. vor künftiger Kontamination schützen, indem es dessen Abbildung 33 zeigt die genaue Abfolge der von BrickerBot Telnet-Kommunikation kontrolliert. Auf diese Weise wird das ausgeführten Befehle. Gerät wieder neutral, auch wenn der Entwickler von Hajime nach wie vor darauf zugreifen kann. Hajime Sicherheitsexperten haben beobachtet, dass Hajime Geräte Hajime ist eine faszinierende Erscheinung und Threat- bereinigt, die mit Mirai infiziert waren.28 (BrickerBot zerstört Intelligence-Forscher überwachen es äußerst genau. hingegen Geräte, die mit Mirai oder Hajime infiziert sind.) Und zwar deshalb, weil es noch keine Aktionen auf den Hunderttausenden von Geräten ausgeführt hat, die es bisher infiziert hat. Es ist sehr groß angelegt und gibt daher Anlass zur Sorge. Der Betreiber von Hajime behauptet, ein White Hat-Hacker zu sein (Abbildung 34).

Abbildung 33 Befehlsfolge von BrickerBot.1

Quelle: Radware

27 Mehr zu diesem Thema finden Sie unter „BrickerBot PDoS Attack: Back With A Vengeance“, Radware, 21. April 2017: security.radware.com/ddos-threats-attacks/brickerbot-pdos-back-with-vengeance/. 28 Weitere Informationen zu diesem Thema finden Sie im Beitrag „Hajime – Sophisticated, Flexible, Thoughtfully Designed and Future-Proof“ von Pascal Geenens, Radware, 26. April 2017: blog.radware.com/security/2017/04/hajime-futureproof-botnet/.

40 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Erpressung im Cyberspace: Ransom Denial of Service (RDoS) Im Jahr 2016 erlebte fast die Hälfte aller (das entspricht bei den aktuellen Kursen etwa 3.600 Unternehmen (49 Prozent) mindestens einen Cyber- bis 70.000 US-Dollar). Die Lösegeldforderung wird in Lösegeldvorfall – entweder einen Ransomware-Angriff der Regel von einem kleinen „Demo“- oder „Teaser“- (39 Prozent) oder einen RDoS-Angriff (RDoS = Angriff begleitet. Wenn die Zahlungsfrist abgelaufen Ransom Denial of Service) (17 Prozent).29 Abbildung ist, machen die Angreifer die Rechenzentren des Ziels 35 zeigt den prozentualen Anteil der Unternehmen mit einem Datenverkehrsaufkommen, das in der Regel in bestimmten Regionen der Welt, die einem Cyber- mehr als 100 Gbit/s beträgt, unbrauchbar. Lösegeldvorfall im Jahr 2016 ausgesetzt waren.30 Der Name Armada Collective wird inzwischen Abbildung 35 Verteilung von Cyber-Lösegeldangriffen auch von Nachahmern verwendet. Eine Taktik nachAbb. Land,35: Verteilung 2016 von Cyber-Ransom-Angriffen aus den Anfangstagen war beispielsweise die nach Land, 2016 versuchte Erpressung von etwa 7,2 Millionen US- Dollar von drei griechischen Banken.31 Diese Leute schreiben gefälschte Erpresserbriefe und hoffen auf das schnelle Geld bei minimalem Einsatz. Mit diesen nützlichen Tipps können Sie eine gefälschte 35% 49% Lösegeldforderung erkennen: Nordamerika Europa 1. Nehmen Sie die Forderung unter die Lupe. Armada Collective fordert in der Regel 20 Bitcoins. Bei anderen Kampagnen wurden Forderungen oberhalb und unterhalb dieses Betrags gestellt. Tatsächlich lässt sich feststellen, dass Lösegeldforderungen von weniger Bitcoins höchstwahrscheinlich von falschen Gruppen stammen, da sie hoffen, dass ihr Preis so niedrig angesetzt ist, dass jemand bereit ist, ihn zu zahlen. 39% Asien/Pazifik 2. Prüfen Sie das Netzwerk. Echte Hacker übermitteln ihre Lösegeldforderung in Form eines kleinen Angriffs. Wenn Sie eine Änderung bei der Netzwerkaktivität feststellen, sind das Schreiben und die Bedrohung wahrscheinlich echt. 3. Achten Sie auf eine gewisse Struktur. Echte Quelle: Radware Hacker sind gut organisiert. Bei Trittbrettfahrern fehlen hingegen Links zu einer Website und offizielle Konten. Laut Radware war für die meisten bislang verübten RDoS-Angriffe eine Bande von Cyberkriminellen 4. Prüfen Sie andere Ziele. Echte Hacker-Gruppen verantwortlich, die als Armada Collective bekannt haben möglicherweise viele Unternehmen in ist. Ihre typische Lösegeldforderung beträgt 10 bis einem bestimmten Sektor im Visier. Erkundigen 200 Bitcoins Sie sich bei anderen Branchenkonzernen, ob diese ebenfalls Drohungen erhalten haben.

29 An dieser weltweiten Umfrage, die für Radware von einem Drittanbieter-Marktforschungsunternehmen durchgeführt wurde, waren etwa 600 Befragte beteiligt. 30 Ibid. 31 „Greek Banks Face DDoS Shakedown“ von Mathew J. Schwartz, BankInfoSecurity.com, 2. Dezember 2015: bankinfosecurity.com/greek-banks-face-ddos-shakedown-a-8714.

41 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Neue Methoden der Hacker •• Ein dramatischer Anstieg von hochwertigen und immer anfälligeren Ziele, die immer noch mehr Der dramatische Anstieg in puncto Häufigkeit, wertvolle Informationen online stellen Komplexität und Umfang von Cyberangriffen im • vergangenen Jahr deutet darauf hin, dass eine Wende • Die Ausgereiftheit der Shadow-Economy und im Hackerumfeld stattgefunden hat. Radware stellt des Internets, das Angreifern mehr Effizienz, fest, dass die moderne Hacker-Community von Sicherheit und Anonymität bietet folgenden Faktoren profitiert: Hinweis: Einige der in Abbildung 36 dargestellten Ressourcen sind nicht mehr aktiv. •• Schneller und einfacher Zugang zu einer Reihe von nützlichen und günstigen Ressourcen (siehe Abbildung 36)

Abbildung 36 Beispiele für Tools und Foren zu Cyber-Angriffen

Quelle: Radware

Ransomware-Angriffe auf medizinische Geräte

Um in der modernen zunehmend vernetzten Welt effektiv Allerdings ist diese Kampagne besonders hervorzuheben, agieren zu können, müssen viele Branchen – darunter da die Windows-basierten Radiologiegeräte in zwei US- auch das Gesundheitswesen – ihre IT und OT integrieren. amerikanischen Krankenhäusern davon betroffen waren.32 Angesichts der vermehrten Verflechtung einzelner Prozesse stellen bekannte Sicherheitslücken in Geräten Die Bedrohungsforscher bei TrapX Security, einem und Systemen, die früher voneinander „abgeschirmt“ Cisco Partner, der auf Täuschungen basierende waren, inzwischen jedoch eine noch größere Gefahr Verteidigungsstrategien für die Cybersicherheit entwickelt, für Organisationen dar. Mithilfe bewährter Taktiken wie warnen, dass sich der Einsatz von Ransomware und Phishing-E-Mails können Gegner beispielsweise in ein sonstiger Malware gegen medizinische Geräte immer Netzwerk eindringen, sich in einem Gerät mit veraltetem mehr verbreitet. Es bezeichnet diesen Angriffsvektor als Betriebssystem einnisten und sich von dort aus lateral im MEDJACK (medical device hijack bzw. die Entführung Netzwerk bewegen, um Daten zu stehlen, den Grundstein medizinischer Geräte). für eine Ransomware-Kampagne zu legen und vieles mehr. Die möglichen Auswirkungen liegen auf der Hand, wenn Der jüngste WannaCry-Ransomware-Angriff verdeutlicht, man bedenkt, dass ein durchschnittliches kleines bis wie die zunehmende Vernetzung der Gesundheitssysteme mittelgroßes Krankenhaus mit fünf oder sechs chirurgischen und schwache Sicherheitsverfahren sowohl Organisationen Abteilungen etwa 12.000 bis 15.000 Geräte besitzt. Laut als auch Patienten einem Risiko aussetzen. Dies war nicht TrapX sind von diesen Geräten etwa 10 bis 12 Prozent über der erste Ransomware-Angriff, der sich anscheinend IPs vernetzt. gegen den Sektor des Gesundheitswesens richtete.

32 „#WannaCry Hits Medical Devices in US“ von Tara Seals, InfoSecurity Magazine, 18. Mai 2017: infosecurity-magazine.com/news/wannacry-hits-medical-devices-in-us/.

42 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Wie bei vielen anderen modernen IoT-Geräten stand Viele Cyberkriminelle haben es auf medizinische und steht die Sicherheit bei ihrer Entwicklung und Geräte abgesehen. Nach Meinung der Forscher bei Fertigung nicht im Vordergrund. Sie werden häufig mit TrapX ist dies inzwischen ein wichtiger Drehpunkt für alten Systemen ohne Patches ausgeführt und nur selten Angreifer, die sich lateral in Krankenhausnetzwerken vom IT-Personal des Krankenhauses überwacht. Auch bewegen möchten. Außerdem wissen die Gegner wenn Sicherheitsteams Schwachstellen kennen, sind sie natürlich, dass sie wahrscheinlich große Gewinne aus möglicherweise nicht in der Lage, Gegenmaßnahmen Ransomware-Kampagnen abschöpfen können, wenn ihre zu ergreifen, da nur der Hersteller Zugang zu diesen Lösegeldforderungen lebensrettende medizinische Geräte Produkten hat. In anderen Fällen müssen Sicherheitsteams betreffen. Skrupellose Akteure könnten möglicherweise das Patching zurückstellen, weil das Unternehmen es sich auch die Kontrolle über diese Geräte (beispielsweise einfach nicht leisten kann, kritische Ausrüstung offline zu implantierbare Geräte) übernehmen, um den Patienten nehmen – und sei es auch nur für einen kurzen Zeitraum – Schaden zuzufügen. oder zu riskieren, die Effektivität eines Geräts zu behindern. Manchmal müssen der Hersteller und anderen Parteien wie Die Forscher bei TrapX untersuchten vor Kurzem die etwa Regierungsbehörden Änderungen an diesen Geräten Ausbeutung eines Onkologiesystems mit bekannten genehmigen. Dies kann mitunter Jahre dauern. Die Kosten Sicherheitslücken in Windows XP. Die Angreifer hatten drei für die Unterstützung medizinischer Geräte können zudem Geräte infiziert (eines davon war ein Steuerungssystem für sehr hoch sein. einen leistungsstarken Laser). Eines davon wurde in einen Botnet-Master verwandelt, der Malware (eine Variante von Conficker) im gesamten Krankenhausnetzwerk verteilte (siehe Abbildung 37).

AbbildungAbbildung 37 37 Ausbeutung Onkologiesystem eines Onkologie-Systems – Exploit

Angreifer Firewall Switch Switch Switch Backdoor Strahlung Onkologiesystem

Positions- Backdoor MGMT Atemwege

Trap

Internet

Backdoor Fluoroskopie – Trap Röntgensystem

Quelle: TrapX

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

Ein weiterer MEDJACK-Vorfall, der von TrapX vor Kurzem Kommunikationssysteme des Krankenhauses zu erlangen. untersucht wurde, bezog sich auf ein kompromittiertes (Mit diesen Systemen werden Patientenakten sowie MRT-System. Auch hier wurde eine Sicherheitslücke in sonstige wichtige Informationen zentralisiert und archiviert.) Windows XP genutzt. Die Angreifer fanden Patientendaten Eine genaue Überprüfung des Angriffs zeigte, dass die auf dem System und erkannten schnell, dass die Möglichkeit Gegner im Netzwerk des Krankenhauses über zehn Monate bestand, die Kontrolle über die Bildarchivierungs- und lang tätig waren.

43 Verhalten von Angreifern Cisco Midyear Cybersecurity Report 2017

Abbildung 3838 AusbeutungMRI-System eines – Exploit MRT-Systems

PACS PACS PACS PACS

Attacker Remote-Client

PACS PACS PACS PACS PACS-Server PACS-Server

Internet Interner Client

Trap Dicom Firewall

Ultraschall MRI C-Arm Röntgen CT-Scan

Druckerserver Switch

Quelle: TrapX

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics Frontales Angehen der Herausforderung Die Forscher bei TrapX empfehlen Organisationen die Windows XP ist ein primäres zugrunde liegendes System folgenden Schritte zur Verringerung der Wahrscheinlichkeit für Betriebstechnologie im Gesundheitswesen, im und Auswirkungen eines Ransomware-Angriffs, der auf Energiesektor, in der Fertigung und in anderen Branchen. medizinische Geräte und sonstige kritische OT-Technologie Die Gegner wissen, dass das Betriebssystem eine abzielt: Schwachstelle ist, da es nicht mehr aktiv von Microsoft unterstützt wird und es äußerst schwierig und kostspielig •• Verschaffen Sie sich einen genauen Überblick darüber, für die Unternehmen ist, geschäftskritische Geräte zu welche und wie viele medizinische Anlagen in Ihrer aktualisieren, auf denen XP ausgeführt wird. Das macht Umgebung per IP-Verbindung vernetzt sind. diese Geräte zu einem besonders verlockenden Ziel für •• Aktualisieren Sie Verträge mit Anbietern und stellen Sie Angreifer, die Ransomware nutzen: Sie wissen, dass sicher, dass diese ihre Versprechen in den betreffenden viele Unternehmen lieber ein Lösegeld zahlen, als zu Verträgen in puncto Aktualisierung oder Austausch riskieren, dass das Gerät offline ist oder gar vollständig von Software, Geräten und Systemen auch tatsächlich unbrauchbar wird. erfüllen. •• Besprechen Sie dieses Problem mit dem leitenden Management und der Vorstandsebene, um deren Aufmerksamkeit und Unterstützung für den Prozess zu gewinnen. •• Stellen Sie Technologie-Tools bereit, die einen Einblick in das Netzwerk ermöglichen, und automatisieren Sie die Bedrohungserkennung und -behebung.

44 Verhalten von Angreifern Schwachstellen Cisco Midyear Cybersecurity Report 2017

Schwachstellen In diesem Abschnitt erhalten Sie einen Überblick über Schwachstellen und andere Sicherheitslücken, die Organisationen und Benutzer kompromittierbar oder angreifbar machen. Zu den erörterten Themen zählen schlechte Sicherheitspraktiken, wie unzureichend schnelle Bereitstellung von Patches für bekannte Schwachstellen, mangelnde Zugriffsbeschränkungen zu Cloud- Systemen und nicht verwaltete Infrastrukturen und Endpunkte. Ebenfalls untersucht wurde, wie Trends in der geopolitischen Landschaft neue Herausforderungen aber auch neue Chancen für Technologieanbieter und Unternehmen bieten.

Geopolitisches Update: WannaCry-Angriff unterstreicht das Risiko der Ansammlung von Informationen über ausnutzbare Schwachstellen

Bereits vor dem massiven WannaCry-Ransomware- wie, warum und wann Schwachstellen behandelt werden. Angriff Mitte Mai wurden vermehrt weltweite Diskussionen Darüber hinaus sollte mehr Transparenz hinsichtlich über Cybersicherheit geführt, und dies in einem deutlich entsprechender einhergehender Entwicklungsprozesse ernsteren Ton. WannaCry verdeutlicht nun, wie viel geschaffen werden. Die Benutzer sollten zudem Arbeit noch vor der Weltgemeinschaft liegt, wenn es um genau wissen, an wen sie sich wenden müssen, um die Eindämmung der Bedrohung und Auswirkung von Schwachstellen zu melden, damit diese öffentlich künftigen böswilligen Angriffen durch Cyberkriminelle bekanntgegeben und behoben werden können. und nationalstaatliche Akteure geht. 3. Die Unternehmensführung muss der Cybersicherheit Cisco zieht drei wichtige Schlussfolgerungen aus diesem oberste Priorität zuweisen. jüngsten globalen Angriff: Schon lange fordert Cisco IT-Führungskräfte in 1. Behörden müssen den Anbietern Unternehmen dazu auf, die Geschäftsleitung und den Softwareschwachstellen rechtzeitig melden und Vorstand rechtzeitig über die Risiken schädlicher Angriffe dafür sorgen, dass die Informationen entsprechend auf das Unternehmen, die Mitarbeiter, die Kunden verschlüsselt für eine unabhängige Kontrolle und und den Ruf des Unternehmens zu informieren. Diese Überprüfung weitergegeben werden. Botschaft muss geteilt, gehört und entsprechend darauf reagiert werden: Die Geschäftsleitung muss sich auf die Nur indem wir mehr Transparenz schaffen, was die Cybersicherheit konzentrieren und deren Bedeutung in Schwachstellen betrifft, können wir das Auftreten und die der gesamten Organisation deutlich hervorheben. Zudem globale Auswirkung von Angriffen verringern. Behörden muss dafür gesorgt werden, dass die IT-Infrastruktur der sollten auf einen gut strukturierten und unterbrechungsfreien Organisation auf dem neuesten Stand ist und regelmäßig Prozess setzen, der ihnen erlaubt, risikobasierte aktualisiert wird. Dafür ist auch ein ausreichendes Budget Entscheidungen hinsichtlich der Handhabung und des erforderlich (Sie finden weitere Informationen zu diesem Zeitpunkts zu treffen, an dem die Technologieentwickler Thema unter „Cybersicherheit muss einen festen Platz in und die Öffentlichkeit über ausnutzbare Schwachstellen der Agenda der Geschäftsführung einnehmen“ auf Seite 83). informiert werden. Es muss eine legitime Debatte darüber geführt werden, 2. Technologieentwickler sollten über öffentlich wie und wann Behörden Informationen zu Schwachstellen zugängliche, risikobasierte Mechanismen verfügen, mit der Welt teilen. Wie uns allerdings die Erfahrung mit um Informationen hinsichtlich Verfügbarkeit – oder WannaCry, Shadow Brokers, WikiLeaks Vault 7 und Year Nichtverfügbarkeit – bekannter Schwachstellen, Zero gelehrt hat, erzeugen Behörden, die ausnutzbare Patches, Schutzmaßnahmen und Problemumgehungen Schwachstellen nicht sofort beseitigen, den Nährboden für empfangen, verarbeiten und weitergeben zu können. weitere undichte Stellen. Das bietet Cyberkriminellen und Neben der Gewährleistung der Sicherheit im Rahmen nationalstaatlichen Akteuren enorme Chancen. des natürlichen Produktlebenszyklus sollten die Technologieentwickler die Öffentlichkeit darüber informieren

46 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Wir sehen bereits, wie schnell die Gegner im neuen Technologieentwickler sollten unterdessen mit Nachdruck Umfeld des Internet of Things (IoT) Fuß fassen, da es die Einrichtung von Berichtsmechanismen verlangen, viele bekannte aber auch unbekannte Schwachstellen die dafür sorgen, dass entsprechende Angriffe nicht nur aufweist. Die Behörden haben jetzt die Chance, die registriert sondern Informationen dazu auch schnellstens Technologieentwickler beim Aufbau eines sicheren IoT- weitergeleitet werden. Umfelds zu unterstützen. Dazu müssen Sie aber Ihre aktuellen Verfahren überdenken und mehr Transparenz Auch den Benutzern selbst kommt hier eine wichtige ermöglichen. Aufgabe zu: Sie müssen proaktiv dafür sorgen, dass ihre Software stets mit Patches und Updates aktualisiert wird, und nicht mehr unterstützte Produkte ein Upgrade erhalten.

Veröffentlichung von Schwachstellen führt zu vermehrten Angriffen

Die Zahl der Offenlegung von wichtigen Schwachstellen, Geheimdienstdokumenten, mit der erläutert werden sollte, die in früheren Cisco Security Reports Thema waren, z. B. wie gängige Softwarelösungen und Betriebssysteme OpenSSL-Schwachstellen,33 blieb in den letzten Monaten kompromittiert werden können.36 stabil (siehe Abbildung 39). Die Forschungsergebnisse von Cisco zeigen jedoch eine hohe Schwachstellenaktivität im Eine Schwachstelle kann auch existieren und ausgenutzt Zusammenhang mit wichtigen Enthüllungen, wie z. B. werden, ohne dass dies der Öffentlichkeit bewusst ist. der Veröffentlichung von Schwachstellen in Bezug auf Beispielsweise bestanden die von Shadow Brokers offen Microsoft Windows durch die Shadow Brokers-Gruppe,34 gelegten Schwachstellen bereits jahrelang. Durch die die Operation Cloud Hopper-Kampagne mit Phishing- Bekanntgabe der Schwachstellen wurden diese auch mehr Angriffen auf Anbieter von Managed-Services35 und die ausgenutzt. Aber auch die Verteidiger wussten so, wie sie WikiLeaks Vault 7-Veröffentlichung von US-amerikanischen sich vor einem Angriff schützen. Abbildung 39 Wichtige Hinweise, November 2016 bis Mai 2017 Abbildung 39 Wichtige Hinweise, November 2016 bis Mai 2017

Datum Ereignis Datum Ereignis Apache Struts2 Remote Code Execution 24.05.17 Samba Insecure Library Loading CVE-2017-7494 06.03.17 Vulnerability CVE-2017-5638

11.04.17 Microsoft Office CVE-2017-0199 (Dridex Exploiting) 06.02.17 OpenSSL-Schwachstellen CVE-2017-3733

Shadow Brokers Group Disclosure of Equation 08.04.17 26.01.17 OpenSSL-Schwachstellen Group Exploits

06.04.17 Operation Cloud Hopper Sustained Global Campaigns 18.01.17 Oracle CPU Oracle OIT-Schwachstellen (Talos)

Microsoft Internet Information Services PHPMailer Arbitrary Command Injection 29.03.17 03.01.17 (IIS) WebDav CVE-2017-7269 CVE-2016-10033 CVE-2016-10045

21.03.17 Network Time Protocol 22.11.16 Network Time Protocol

14.03.17 Microsoft Windows Graphics CVE-2017-0108 10.11.16 BlackNurse – ICMP DOS

07.03.17 WikiLeaks Vault 7 Release 04.11.16 Mobile OAuth 2.0 – Implementierungsprobleme

Quelle: Cisco Security Research

33 Cisco Annual Security Report 2015: cisco.com/web/offer/gist_ty2_asset/Cisco_2015_ASR.pdf. 34 „Cisco Coverage for Shadow Brokers 2017-04-14 Information Release“, Cisco Talos-Blog, 15. April 2017: blog.talosintelligence.com/2017/04/shadow-brokers.html. 35 „Operation Cloud Hopper: China-Based Hackers Target Managed Service Providers“ von Kevin Townsend, SecurityWeek.com, 6. April 2017: securityweek.com/operation-cloud-hopper-china-based-hackers-target-managed-service-providers. 36 „The WikiLeaks Vault 7 Leak – What We Know So Far“ von Omar Santos, Cisco Security Blog, 7. März 2017: blogs.cisco.com/security/the-wikileaks-vault-7-leak-what-we-know-so-far.

47 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Bei der Prüfung der von WikiLeaks veröffentlichten ist das Zeitfenster zur Ausnutzung dieser serverseitigen Schwachstellen zeigten sich die Verteidiger besorgt Schwachstellen groß. Bei den clientseitigen Schwachstellen darüber, dass sie keine Kenntnis über die Exploits bei ist zwar ebenfalls ein Anstieg zu verzeichnen, diese können Regierungsbehörden besaßen und daher die relevanten jedoch mit automatischen Updates behoben werden, Schwachstellen nicht kannten. Die Verteidiger fragen sich was hilft, das Zeitfenster der möglichen Ausnutzung sehr zu Recht, welche weiteren Schwachstellen bestehen, schnell zu schließen. die nicht bekannt gegeben wurden. Abbildung 40 Client-/Server-Schwachstellen Abbildung 40 Client-/Server-Schwachstellen Zur Liste in Abbildung 39 ist anzumerken, dass die für Microsoft Office enthüllten Schwachstellen sofort vom Auf dem Weg 37 Dridex-Botnet ausgenutzt wurden. Wie Cisco bereits 4K zu einem jährlichen berichtete wurde eine Ausnutzung der Microsoft- Anstieg von 36 % Schwachstelle in Form von E-Mail-basierten Angriffen 3,5K mit schädlichen Anhängen beobachtet. Zudem wurde 3K 38 die Apache Struts2-Schwachstelle schnell ausgenutzt. Auf dem Weg 2,5K zu einem jährlichen Anstieg bei Client-/Server-Schwachstellen Anstieg von 35 % Wie im Cisco Midyear Cybersecurity Report 2016 erläutert, 2K ist ein Anstieg bei den serverseitigen Schwachstellen zu 1,5K verzeichnen: Die Gegner haben erkannt, dass sie einen Auf dem Weg umfangreicheren Zugang zu Unternehmensnetzwerken 1K zu einem jährlichen Anzahl der Schwachstellen erhalten, wenn sie Schwachstellen in der Serversoftware Anstieg von 46 % ausnutzen.39 In den ersten Monaten des Jahres 2017 0,5K scheinen die serverseitigen Schwachstellen gegenüber 0 2016 auf einen Anstieg von 36 Prozent zuzusteuern; die clientseitigen Schwachstellen zeigen einen wahrscheinlichen Anstieg von 35 Prozent gegenüber Server- Client- Netzwerk- Schwachstellen Schwachstellen schwachstellen 2016 (siehe Abbildung 40). 2015 2016 2017 Ein Grund für die Zunahme der serverseitigen Schwachstellen ist, dass für Schwachstellen der Software von Drittanbietern ein manuelles Patching erforderlich ist. Quelle: Cisco Security Research Wenn das manuelle Patching nicht rechtzeitig erfolgt,

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

37 „Cisco Coverage for CVE-2017-0199“ Cisco Talos-Blog, 14. April 2017: blog.talosintelligence.com/2017/04/cve-2017-0199.html. 38 „Content-Type: Malicious - New Apache Struts2 0-Day Under Attack“ von Nick Biasini, Cisco Talos-Blog, 8. März 2017: blog.talosintelligence.com/2017/03/apache-0-day-exploited.html. 39 „Adversaries See Value in Server-Based Campaigns“, Cisco Midyear Cybersecurity Report 2016: cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

48 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Exploit-Kit-Aktivität deutlich verringert Schwachstellenkategorien: Buffer-Fehler bleiben Die Exploit-Kit-Aktivität in Verbindung mit Schwachstellen an der Spitze ist im Zuge des allgemeinen Rückgangs beim Exploit- Bei der Untersuchung der in der Common Weakness Kit-Einsatz deutlich gesunken (siehe Seite 9). Da die Enumeration (CWE) festgehaltenen Bedrohungskategorien Softwarehersteller vor allem bei Web-Browsern die zeigt sich, dass Buffer-Fehler nach wie vor die häufigste Verwendung von gängigen Bedrohungsvektoren wie mit Art von Codierungsfehlern darstellen, die von Kriminellen Adobe Flash und Java erstellte Inhalte blockiert haben, ausgenutzt werden (siehe Abbildung 41). Dieser setzen Gegner vermehrt auf einfachere Taktiken wie Codierungsfehler wird immer wieder von Softwareentwicklern Ransomware, DDoS- und E-Mail-Angriffe auf Unternehmen gemacht. Um diesen Fehler zu vermeiden, sollten die (Business Email Compromise, BEC) (siehe Seite 22). Entwickler sicherstellen, dass Buffer beschränkt werden, sodass sie nicht missbraucht werden können.

Abbildung 41 41 KategorienTop-Bedrohungskategorien, der häufigsten Bedrohungen, November November 2016 bis 2016 Mai bis 2017 Mai 2017

1027 635 621 605 468

CWE-119: Buffer Errors CWE-79: Cross-Site CWE-264: Permissions, CWE-200: Information CWE-20: Input Validation Scripting (XSS) Privileges, and Leak/Disclosure Access Control

232 145 129 125 53

CWE-399: Resource CWE-352: Cross-Site CWE-89: SQL Injection CWE-22: Path Traversal CWE-287: Management Errors Request Forgery (CSRF) Authentifizierungsprobleme

37 34 24 11 0

CWE-94: Code Injection CWE-310: CWE-78: OS CWE-59: Link Following CWE-16: Configuration Verschlüsselungsprobleme Command Injections

Quelle: Cisco Security Research

49 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Setzen Sie Ihr Geschäft keinem Risiko durch DevOps-Technologien aus

Im Januar 2017 haben Angreifer erstmals Abbildung 42 Verteilung des CouchDB-Status öffentliche MongoDB-Instanzen verschlüsselt und Abbildung 42 Verteilung des CouchDB-Status für die Entschlüsselung der Schlüssel und Software 100 Lösegeldforderungen gestellt. Seither haben die Angreifer Neue CouchDB-Server entdeckt ihre Ziele von serverbezogener Ransomware auf andere 75 Datenbanken wie CouchDB und Elasticsearch ausgeweitet.40 Diese DevOps-Services sind häufig anfällig, weil sie entweder unsachgemäß bereitgestellt oder absichtlich 50 zugänglich gemacht wurden, damit berechtigte Benutzer schneller darauf zugreifen können. 25 Prozentuale Verteilung Prozentuale Rapid7, ein Cisco Partner und Anbieter von Sicherheitsdaten- und Analytiklösungen, klassifiziert Angriffe auf MongoDB, 0 % CouchDB und Elasticsearch als „DevOps-Ransomware- Angriffe“. Das Unternehmen schließt auch Technologien wie Docker, MySQL und MariaDB sowie weitere beliebte 10K DevOps-Komponenten in seine Definition ein.

Seit Januar 2017 durchsucht Rapid7 regelmäßig das Internet nach diesen Technologien und katalogisiert 5K sowohl offene Instanzen als auch freigekaufte Instanzen. Instanzen pro Scan Instanzen pro

Ausgehend von den Namen der im Internet zugänglichen Anzahl der entdeckten Tabellen können einige dieser DevOps-Services 0 personenbezogene Identifizierungsdaten (Personally Jan. Feb. März Apr. Identifiable Information, PII) enthalten. Wahrscheinlich Authentifizierung Weit offenes Es folgt eine Übersicht über einige ausgewählte freigekauft erforderlich CouchDB

Erkenntnisse aus den Suchvorgängen von Rapid7. Quelle: Rapid7

CouchDB Elasticsearch Etwa 75 Prozent der CouchDB-Server können als weit offen kategorisiert werden (ohne Authentifizierung Wie bei CouchDB können auch bei den Elasticsearch- über das Internet verfügbar). Knapp ein Viertel Servern mehr als 75 Prozent als weit offen kategorisiert erfordern eine Authentifizierung (zumindest einige werden. Etwa 20 Prozent wurden wahrscheinlich Anmeldeinformationen). Etwa zwei bis drei Prozent wurden freigekauft. Die gute Nachricht ist, dass gemäß der Analyse wahrscheinlich freigekauft. Das klingt nicht dramatisch, von Rapid7 vermutlich nur ein sehr geringer Prozentsatz es muss jedoch bedacht werden, dass etwa zwei dieser Server personenbezogene Daten enthält. Prozent der von Rapid7 gefundenen CouchDB-Server anscheinend personenbezogene Daten enthalten. Diese personenbezogenen Daten umfassen Informationen aus klinischen Arzneimittelstudien, Kreditkartennummern und persönliche Kontaktinformationen.

40 „After MongoDB, Ransomware Groups Hit Exposed Elasticsearch Clusters“ von Lucian Constantin, IDG News Service, 13. Januar 2017: pcworld.com/article/3157417/security/after-mongodb-ransomware-groups-hit-exposed-elasticsearch-clusters.html.

50 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Abbildung 43 Verteilung des Elasticsearch-Status Abbildung 44 Verteilung des MongoDB-Status Abbildung 43 Verteilung des Elasticsearch-Status Abbildung 44 Verteilung des MongoDB-Status

100 100

75 75

Die Situation 50 verbessert sich 50 (überraschenderweise)

25 25 Prozentuale Verteilung Prozentuale Prozentuale Verteilung Prozentuale

0 % 0 %

20K 60K

10K 30K Instanzen pro Scan Instanzen pro Instanzen pro Scan Instanzen pro Anzahl der entdeckten Anzahl der entdeckten Anzahl der entdeckten Anzahl der entdeckten 0 0 Jan. Feb. März Apr. Jan. Feb. März Apr.

has_pii open_es freigekauft is_pii is_pwnd open_mon

Quelle: Rapid7 Quelle: Rapid7

MongoDB Ungeachtet des Ransomware-Angriffs vom Januar, der Rapid7 hat zudem festgestellt, dass sich viele der auf Tausende von MongoDB-Server abzielte, müssen MongoDB-Server, die wahrscheinlich Opfer von Personen und Organisationen, die diese Server verwenden, Ransomware wurden, im End-of-Life-Stadium befanden. weiterhin an der Verbesserung ihrer Sicherheitsverfahren Ein beträchtlicher Teil war jedoch neuer und unterstützte arbeiten. Nahezu 100 Prozent der Server, die von Rapid7 nach wie vor Versionen, die wahrscheinlich in der letzten im Rahmen der Suche gefunden wurden, können als weit Zeit weder aktualisiert noch gepatcht wurden, falls dies offen kategorisiert werden. Die gute Nachricht ist, dass überhaupt jemals der Fall war (siehe Abbildung 45 auf der anscheinend nur sehr wenige dieser Server vertrauliche nächsten Seite). Informationen enthalten.

51 Schwachstellen Cisco Midyear Cybersecurity Report 2017

AbbildungAbbildung 45 45 MongoDB-Versionen MongoDB-Versionen Kompromittiert/freigekauft Nicht kompromittiert/freigekauft 4 (80 %) 3,5 1 (20 %) 1337 (63,8%) 3,4 759 (36,2 %) 90 (76,9 %) 3,3 27 (23,1 %) 2016 7899 (80,3 %) 3,2 1942 (19,7 %) 35 (94,6 %) 3,1 2 (5,4 %) 4463 (82,1 %) 3,0 971 (17,9 %) Weiterhin unterstützt 3 (100 %) 2,8 17 (81 %) 2,7 4 (19 %) End-of-Life 2014 5585 (85,2 %) 2,6 972 (14,8 %) 4 (80 %) 2,5 1 (20 %) 6554 (92,4 %) 2,4 541 (7,6 %) 2,3 1 (100 %)

Veröffentlichungsjahr 2012 606 (88,1 %) 2,2 82 (11,9 %) 8 (80 %) 2,1 2 (20 %) 1101 (91,8 %) 2,0 99 (8,2 %) 148 (91,4 %) 1,8 14 (8,6 %) 2010 78 (94 %) 1,6 5 (6 %) 1 (100 %) 1,5

Quelle: Rapid7

Abbildung 46 zeigt die Anzahl der öffentlichen Tabellen auf verfügen jedoch über 20 Tabellen oder mehr, was darauf den MongoDB-Servern, die Rapid7 in seiner Untersuchung hinweist, dass es sich um reale Produktionssysteme ermittelt hat. Die meisten davon haben weniger als handelt. Ein Server, der im Internet zugänglich war, wies zehn Tabellen und sind wahrscheinlich Server, die zu über 2.200 Tabellen auf. Experimentierzwecken eingerichtet wurden. Einige Server

Abbildung 46 46 Größenverteilung MongoDB-Datenbankgröße der MongoDB-Datenbank – Verteilung nach nach Anzahl Anzahl der veröffentlichten offengelegter Tabellen, Tabellen, Januar – April 2017 Januar bis April 2017

1000

Am ehesten für Experimente eingerichtete 500 Systeme

Unbekannte Reale Anzahl der Systeme Systeme Produktionssysteme

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 17 18 19 20 21 22 24 26 28 29 30 34 39 45 47 49 57 58 59 72 148 2253 Anzahl der offengelegten Tabellen

Quelle: Rapid7

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

52 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Docker Rapid7 untersuchte auch Docker, ein Orchestrierungs- Viele der offenen Docker-Instanzen sind möglicherweise Framework, bei dem man von Anfang an sehr aufgegebene oder vergessene Testsysteme. Aber 245 der sicherheitsorientiert vorging. Laut Analyse von Rapid7 1000 offenen Instanzen verwenden einen zugewiesenen stehen trotz aller Bemühungen jedoch mehr als 1000 Arbeitsspeicher von mindestens 4 GB und sind Docker-Instanzen weit offen. Die meisten identifizierten möglicherweise Live-Produktionssysteme (siehe Abb. Docker-Instanzen wurden in den USA oder China (siehe 48 auf der nächsten Seite). Abb. 47) gefunden.

Abbildung 47 Verteilung der Docker-Instanzen nach Land, Januar – April 2017 Abbildung 47 Verteilung von Docker-Instanzen nach Land, Januar bis April 2017 USA China Frankreich

Niederlande Deutschland Japan Singapur Vereinigtes Königreich Russland Kanada Irland Korea, Republik Hongkong Israel Italien Taiwan Polen Australien Weißrussland Brasilien Ungarn Slowenien Schweden Vietnam Argentinien Belgien Bulgarien Griechenland 100 200 300

Quelle: Rapid7

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

53 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Abbildung 48 Verteilung des gesamten zugewiesenen Abbildung 49 Verteilung aller ausgeführten Container ArbeitsspeichersAbbildung 48 Verteilung für die Verwendung des gesamten von Docker, Abbildungpro Instanz, 49Januar Verteilung – April 2017aller ausgeführten Januar –zugewiesenen April 2017 Arbeitsspeichers für die Container pro Docker-Instanz, Januar bis April 2017 Verwendung von Docker, Januar bis April 2017 Wahrscheinlich Test/Vergessen/Keine Produktionssysteme Wahrscheinlich Test/Vergessen/Keine Produktionssysteme 30 Bei 199 Instanzen – möglicherweise reale 50 Produktionssysteme – wurden mehr als 3 aktive 245 Instanzen verwenden einen zugewiesenen Container ausgeführt. Arbeitsspeicher von 4 GB oder mehr und sind möglicherweise reale Produktionssysteme 20 40

30 10 Anzahl der Instanzen

20 Anzahl der Instanzen 0 20 40 60 80 100 120 140 160 180 200

10 3 Anzahl der Container

Quelle: Rapid7

0 Organisationen, die öffentliche Internet-Instanzen dieser 50 100 150 200 250 4 und anderer DevOps-Technologien verwenden, müssen Gesamtgröße des Arbeitsspeichers (GB) nun Maßnahmen ergreifen, um keine Risiken einzugehen. Quelle: Rapid7 Security-Teams sollten: •• solide Standards für eine sichere Bereitstellung von Darüber hinaus stellte Rapid7 fest, dass bei 199 der DevOps-Technologien erstellen weit offenen Docker- Instanzen mindestens drei aktive •• ein aktives Bewusstsein der öffentlichen Infrastruktur Container ausgeführt wurden. Bei einigen sogar bis zu bewahren, die im Besitz des Unternehmens ist 160 (Abb. 49). Organisationen, die diese ungesicherten •• DevOps-Technologien mit Patches auf dem neuesten Produktionssysteme nutzen, sind enorm gefährdet. Gegner Stand halten könnten u. U. eine Shell-Verbindung im Internet zu jedem dieser Systeme herstellen und die Kontrolle über diese •• Prüfungen auf Schwachstellen durchführen Systeme übernehmen.

Organisationen führen Patches für bekannte Schwachstellen von Memchached-Servern nicht schnell genug durch

Cyberkriminelle suchen zur Kompromittierung, für Services wie MongoDB waren nie zur Nutzung in nicht Datendiebstahl und Erpressungsversuche mit vertrauenswürdigen Umgebungen gedacht und verfügen Lösegeldforderung aktiv über das Internet nach in der Regel über nicht genügend starke (oder gar ungesicherten Datenbanken. Die letzte Methode hat seit keine) Authentifizierung. Bedrohungsforscher von Cisco dem Ransomware-Angriff im Januar rasch an Boden haben Schwachstellen in ähnlichen Services untersucht. gewonnen. Damals waren Tausende von MongoDB- Beispielsweise haben wir Ende 2016 ein Code-Audit zur Datenbanken betroffen.41 Beurteilung der Sicherheit von Memcached-Cache-Servern durchgeführt. Organisationen verwenden Memcached, um die Geschwindigkeit und Leistung ihrer Web-Services und Anwendungen zu verbessern.

41 „MongoDB Databases Actively Hijacked for Extortion“, von Ionut Arghire, SecurityWeek, 4. Januar 2017: securityweek.com/mongodb-databases-actively-hijacked-extortion.

54 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Im Rahmen dieser Untersuchung haben wir bei Remote- Die in der Shadow-Economy zunehmenden Angriffe auf Code-Ausführungen drei Schwachstellen entdeckt.42 Datenbanken und andere über das Internet erreichbare Eine der Sicherheitslücken wurde beim Mechanismus der Infrastrukturen machen Patches für diese bekannten Serverauthentifizierung gefunden; d. h. selbst Server mit Schwachstellen dringender als je zuvor. Trotz einer aktiven Authentifizierung können noch ausgenutzt Authentifizierung stellen DevOps-Services weiterhin werden. Die Cisco Bedrohungsforscher meldeten die ein Risiko dar, weshalb sie von vertrauenswürdigen Schwachstellen beim Anbieter, der daraufhin rasch einen Umgebungen isoliert sein sollten (weitere Informationen Patch bereitstellte. zu diesem Risiko finden Sie unter „Setzen Sie Ihr Geschäft keinem Risiko durch DevOps-Technologien aus“, Seite 50). Wenige Monate nach Meldung der Sicherheitslücken führten wir internetweite Suchen durch, um den Status der Abbildung 51 Memcached-Server nach Land, Patch-Bereitstellung zu überprüfen. Obwohl der Anbieter FebruarAbbildung – März 51 2017Memcached-Server nach Land, die Fehler schnell behoben hatte und umgehend Updates Februar bis März 2016 für Linux-Distributionen veröffentlicht wurden, mussten wir feststellen, dass 79 Prozent der rund 110.000 Memcached- Land Anfällige Server Gesamtanzahl Server Server weiterhin Schwachstellen bei der Remote-Code- Ausführung aufwiesen, über die wir berichtet hatten (siehe Abb. 50). USA 29.660 36.937

Darüber hinaus wurde die Authentifizierung nur bei 22 China 16.917 18.878 Prozent der Server aktiviert. Und praktisch alle Server, Vereinigtes Königreich 4713 5452 die eine Authentifizierung erfordern, wiesen weiterhin Deutschland 3047 3698 Schwachstellen auf (23.707 von 23.907, siehe Abb. 50). Frankreich 3209 5314 Die Server in unserer Studie befinden sind über den gesamten Globus verteilt. Die meisten liegen jedoch in Japan 3003 3607 den Vereinigten Staaten und China. Zum Zeitpunkt unserer Niederlande 2556 3287 letzten Prüfung im März lag ein Großteil der anfälligen Indien 2460 3464 Server ebenfalls in diesen beiden Ländern (siehe Abb. 51). Russland 2266 3901 Das Ergebnis: Obwohl laut den Bedrohungsexperten Hongkong 1820 1939 von Cisco keiner der Server aufgrund dieser drei Schwachstellen kompromittiert wurde, ist es wahrscheinlich Quelle: Cisco Security Research nur noch eine Frage der Zeit, bis dieser Fall eintritt. Informationen über die Schwachstellen und den Patch sind seit Monaten öffentlich bekannt.

Abbildung 50 Schwachstellen: Memcached Abbildung 50 Schwachstellen: Memcached

Gesamtzahl der Server mit 99 % der Server, die eine Authentifizierung Memcached-Schwachstellen erfordern, sind weiterhin anfällig

79% aller Server sind anfällig

Nur 22% Davon sind der Server erfordern eine 99% Authentifizierung weiterhin anfällig

Server mit gültigen Antworten insgesamt: 107.786

Quelle: Cisco Security Research

42 Weitere Informationen finden Sie in den 2016 Talos Vulnerability Reports: „Memcached Server Append/Prepend Remote Code Execution Vulnerability“, talosintelligence.com/ vulnerability_reports/TALOS-2016-0219; „Memcached Server Update Remote Code Execution Vulnerability“, talosintelligence.com/vulnerability_reports/TALOS-2016-0220; und „Memcached Server SASL Authentication Remote Code Execution Vulnerability“. talosintelligence.com/vulnerability_reports/TALOS-2016-0221.

55 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Hacker wenden sich der Cloud zu, um attraktive Ziele schneller zu attackieren

Die Cloud stellt ein ganz neues Terrain für Hacker dar, OAuth unterstützt die Cloud, stellt aber auch ein Risiko dar die das Potenzial der Cloud ernsthaft als Angriffsvektor Im Cisco Annual Cybersecurity Report 2017 untersuchten erkunden. Ihnen ist klar geworden, dass Cloud-Systeme wir das Risiko vernetzter Cloud-Anwendungen von heute für viele Organisationen geschäftskritisch sind. Auch Drittanbietern, die von Mitarbeitern in das Unternehmen haben sie erkannt, dass sich vernetzte Systeme schneller eingeführt wurden. Diese Anwendungen kommen mit der infiltrieren lassen, indem sie in die Cloud-Systeme Infrastruktur des Unternehmens in Berührung und können eindringen. ungehindert mit dessen Cloud- und SaaS-Plattformen kommunizieren, sobald der Nutzer Zugriff gewährt hat. Seit Ende 2016 hat Cisco einen Anstieg von Hacker- Aktivitäten beobachtet, die es mithilfe ausgereifter Wie aus Abbildung 52 ersichtlich wird, ist die Zahl der Angriffe auf Cloud-Systeme abgesehen haben. einzelnen vernetzten Cloud-Anwendungen pro Organisation unseren Recherchen zufolge seit 2014 drastisch gestiegen. Unsere Forscher entdeckten im Januar 2017 Hacker, die Heute zählt ein durchschnittliches Unternehmen mehr als es auf gültige kompromittierte Unternehmensidentitäten 1000 verschiedene Anwendungen in seiner Umgebung abgesehen haben. Unter Verwendung von Brute-Force- und mehr als 20.000 verschiedene Installationen dieser Angriffen erstellten die Hacker eine Bibliothek verifizierter Anwendungen. Anmeldeinformationen von Unternehmensanwendern (Benutzernamen und Kennwörter), möglicherweise mit Abbildung 5252 AnzahlAnzahl der verschiedener einzelnen vernetzten verbundener Cloud- bekannten Listen kompromittierter Konten im Web. Sie Cloud-AppsAnwendungen pro pro Organisation versuchten, sich bei mehreren Unternehmens-Clouds 1050 anzumelden, und nutzten Server mit 20 hochverdächtigen IP-Adressen. 1000 Mit Verhaltensanalysen und anderen Tools analysierten unsere Forscher ab Dezember 2016 bis Mitte Februar 2017 800 Tausende von unternehmenseigenen Cloud-Umgebungen unserer Kunden. Wir identifizierten vergleichbare Muster von verdächtigen Anmeldeversuchen, die mehr als 17 Prozent 600 der Organisationen unserer Studie ins Visier nahmen. Die Hacker verwendeten die 20 IP-Adressen wiederholt nach dem Zufallsprinzip, um unentdeckt zu bleiben. 400

Wir machten die Kunden auf das Problem aufmerksam und setzten die verdächtigen IP-Adressen auf die schwarze 200 Liste. Wozu die Hacker die Bibliothek der geprüften Anmeldeinformationen von Unternehmensanwendern 0 verwenden wollten, ist nicht bekannt. Die Vorbereitung für Durchschnittliche Anzahl unterschiedlicher Apps Spear-Phishing- oder Social-Engineering-Angriffe ist ein 2014 2015 2016 2017 mögliches Szenario. Eventuell wollten die Cyberkriminellen Jahr die gültigen Kombinationen von Benutzernamen und Kennwort auch verkaufen oder sie selbst verwenden, Quelle: Cisco Security Research um sensible Daten zu entwenden oder bestimmten Personen zu schaden. Bekannt ist aber, dass die meisten Hier können Sie die Grafiken für 2017 herunterladen: Anmeldeinformationen, die bei den Hacker-Versuchen für cisco.com/go/mcr2017graphics den Zugriff auf die unternehmenseigenen Cloud-Systeme verwendet wurden, mit den Unternehmenskonten verknüpft waren, die bereits bei früheren Sicherheitsverletzungen kompromittiert wurden.

56 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Abbildung 53a Inflation von privilegierten Benutzerkonten Die jüngste Phishing-Kampagne mit Google Mail-Nutzern Abbildung 53 Inflation von privilegierten Benutzerkonten als Ziel, bei der die OAuth-Infrastruktur angegriffen wurde, verdeutlicht das OAuth-Sicherheitsrisiko.43 Die Angreifer wollten die Kontrolle über die E-Mail-Konten der Nutzer erhalten und den Phishing-Wurm über ihre Kontakte verbreiten. Laut Google waren etwa 0,1 Prozent der 1 Milliarde Nutzer von diesem Angriff betroffen.44 Konservativen Schätzungen der Cisco Bedrohungsforscher zufolge wurden mehr als 300.000 Unternehmen mit dem Wurm infiziert.45

Die Cloud als ignorierter Bedrohungsvektor: große Gefahr durch einzelne Cloud-Nutzer mit bestimmten Berechtigungen Einige der bis heute größten Sicherheitslücken entstand Abbildung 53c Inflation6/ 100von privilegierten mit der Kompromittierung und missbräuchlichen Endbenutzer pro Cloud-Plattform haben ein privilegiertes Benutzerkonto Verwendung eines einzelnen Benutzerkontos mit Benutzerkonten bestimmten Berechtigungen. Mit dem Zugang auf ein solches privilegiertes Konto erhalten Hacker praktisch einen Schlüssel und die Fähigkeit zur Durchführung großflächigen Datendiebstahls mit erheblichem Schaden. Die meisten Quelle: Cisco Security Research Organisationen schenken diesem Risiko jedoch nicht genügend Beachtung.

Um den Umfang dieses Sicherheitsproblems besser einschätzen zu können, haben die Bedrohungsforscher von Cisco bei 495 Unternehmen 4.410 privilegierte Benutzerkonten geprüft und festgestellt, dass sechs von jeweils 100 Endbenutzern pro Cloud-Plattform ein privilegiertes Benutzerkonto haben (siehe Abb. 53). Allerdings führten in den meisten Organisationen der Privilegien können von Admin-Konten mit durchschnittlich nur zwei privilegierte Benutzer den größten 75% wenigen oder keinen Auswirkungen auf Teil der administrativen Aufgaben durch (88 Prozent). Abbildung 53 InflationGeschäftsprozesse von privilegierten entfernt werden Ebenso konnten wir feststellen, dass Organisationen bei BenutzerkontenQuelle: Cisco Security Research 75 Prozent ihrer Admin-Konten „super Admin“-Privilegien mit wenigen oder ohne geschäftliche Auswirkungen entziehen konnten. 88% der Admin- Aufgaben werden von 2 privilegierten Benutzern durchgeführt

Quelle: Cisco Security Research

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/ mcr2017graphics

43 „Google Docs Phishing Attack Underscores OAuth Security Risks“, von Michael Kan, IDG News Service, 5. Mai 2017: pcworld.com/article/3194816/security/google-docs-phishing-attack-underscores-oauth-security-risks.html. 44 „A Massive Google Docs Phish Hits 1 Million Gmail Accounts—UPDATED“, von Thomas Fox-Brewster, Forbes, 3. Mai 2017: forbes.com/sites/thomasbrewster/2017/05/03/massive-google-gmail-phish-many-victims/#219602e142a1. 45 Die Schätzung von Cisco basiert auf der Zahl der Unternehmen, die für die Cloud-basierten Produktivitätstools von Google bezahlen (siehe „More than 3M businesses now pay for Google’s G Suite“, von Frederic Lardinois, TechCrunch, 26. Januar 2017: techcrunch.com/2017/01/26/more-than-3m-businesses-now-pay-for-googles-g-suite/), sowie auf der Anzahl der Kunden, welche die Cisco Cloud Access Security Broker (CASB)-Lösungen verwenden und von den gezielten Phishing-Angriffen auf Gmail-Nutzer (ca. 10 Prozent) betroffen waren.

57 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Unseren Recherchen zufolge loggen sich rund 82 Prozent Mitverantwortung für die Sicherheit in der Cloud der privilegierten Benutzer über lediglich eine oder zwei übernehmen IP-Adressen pro Monat ein (Abbildung 54). Aktivitäten Da Unternehmen die Cloud zunehmend nutzen möchten, außerhalb dieser normalen Muster sollten untersucht müssen sie verstehen, welche Rolle sie für die Erhaltung werden. der Sicherheit in der Cloud einnehmen. Cloud-Service Provider sind für die physische, rechtliche, operative Zudem stellten wir fest, dass sich 60 Prozent der und infrastrukturbezogene Sicherheit der von ihnen privilegierten Benutzer nie von aktiven Sitzungen abmelden, angebotenen Technologie verantwortlich. Die Unternehmen wodurch es für nicht autorisierte Benutzer einfacher sind jedoch für die sichere Nutzung der zugrunde liegenden ist, unentdeckt einen Zugang zu finden (Abbildung 55). Cloud-Services verantwortlich. Dieselben Best-Practices, Benutzer sollten sich für ihre administrativen Aufgaben die für die Sicherheit in der Umgebung der eigenen täglich anmelden und sich nach erledigter Arbeit wieder Geschäftsräume gelten, können erheblich dazu beitragen, abmelden. Abbildungnicht autorisierte 55 60Zugriffe % der auf privilegierten Cloud-Systeme Benutzer zu verhindern. Abbildung 54 Privilegierte Benutzeraktivitäten melden sich nie von aktiven Sitzungen ab (monatlicheAbbildung 54Anmeldung Privilegierte von IP-Adressen) Benutzeraktivität Abbildung 55 60 % der privilegierten Benutzer melden (monatliche Anmeldung von IP-Adressen) sich nie von aktiven Sitzungen ab

Netzwerkzugriff

82% 1 oder 2 IPs

Quelle: Cisco Security Research

Quelle: Cisco Security Research

58 Schwachstellen Cisco Midyear Cybersecurity Report 2017

Nicht verwaltete Infrastrukturen und Endpunkte stellen Risiken für Organisationen dar

Die heutigen dynamischen Netzwerke bieten aufgrund einzudringen. Sie können für Datendiebstahl oder für einen neuer Sicherheitsrisiken und Lücken sowie reduzierter nicht autorisierten Tor-Verkehr genutzt werden oder aber Transparenz eine größere Angriffsfläche. Die Cloud ist ein Teil eines Botnets werden. Selbst ein einfacher Router, eine wichtiger Faktor, der zu diesem Problem beiträgt. Ebenso Netzwerk-Firewall oder fehlkonfigurierte Segmentierung auch defekte und sogenannte Shadow-IT Geräte und können einem Angreifer die Möglichkeit bieten, in -Anwendungen. Netzwerke und Endpunkte, die im Vergleich eine Infrastruktur einzudringen und auf sensible Daten zu den Netzwerk- und Asset-Management-Lösungen ihre zuzugreifen. maximale Lebensdauer erreicht haben, können ebenso unbekannte und nicht verwaltete Sicherheitslücken Für mehr Transparenz benötigen Organisationen Zugang darstellen. zu kontextbezogener Security-Intelligence in Echtzeit. Ohne Lösungen für eine Überwachung und Leak-Pfad- Viele Unternehmen unterschätzen das Risiko (und die Erkennung in Echtzeit können sich Angreifer ungehindert Anzahl) von toten Winkeln in ihrem Unternehmensnetzwerk, und unentdeckt in einem Netzwerk bewegen. Darüber ihren Endpunkten und ihrer Cloud-Infrastruktur. Laut einer hinaus sollten Organisationen ihre Segmentierungsrichtlinien Untersuchung von Lumeta, einem Cisco Partner und überarbeiten und robuste Tools einsetzen, um deren Anbieter der Cyber Situational Awareness-Technologie, Wirksamkeit testen können. können durchschnittlich 20 bis 40 Prozent der Netzwerk- und Endpunkt-Infrastruktur durch mangelnde Transparenz Geräte und Systeme, die mit dem Netzwerk verbunden unbekannt bleiben bzw. lassen sich von der Organisation sind, müssen erfasst werden. Wenn Sicherheitsteams nicht verwalten. Dieses Problem betrifft Unternehmen nur begrenzte Ansichten oder alte Listen von verwalteten verschiedener Branchen, u. a. Gesundheitswesen, Geräten haben, können sie bis zu 20 Prozent der mit dem Finanzdienstleister und Technologiesektor aber auch Netzwerk fest verdrahteten Geräte übersehen. Diese Regierungen. Bestände sollten regelmäßig und automatisch geführt werden, da sich Unternehmensnetzwerke, Endpunkte Nicht verwaltete Netzwerkinfrastrukturen und Endpunkte und Cloud-Infrastrukturen ständig ändern und vom können von Angreifern einfach kompromittiert werden, Sicherheitspersonal allein nicht wirksam überwacht die sich einschleusen wollen, um sich in der gesamten werden können. Organisation auszubreiten und dort zielorientiert

59 Schwachstellen Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger In diesem Abschnitt untersuchen wir anhand mehrerer kurzer Anwenderberichte branchenspezifische Ergebnisse der neuesten Cisco Security Capabilities Benchmark Study. Ebenso präsentieren wir Daten, die darauf hindeuten, dass Organisationen ihre Sicherheit durch die Reduzierung ihrer Sicherheitsanbieter erhöhen können. Darüber hinaus stellen wir die Frage, inwieweit die Größe eines Unternehmens die Sicherheit beeinträchtigen kann. Zuletzt untersuchen wir die Möglichkeit für Sicherheitsbeauftrage, sich in Gespräche zur Cybersicherheit einzubinden und auf Führungsebene mitzudiskutieren.

Security Capabilities Benchmark Study: Fokus auf verschiedenen Branchen

Anhand der Daten aus der Studie 2017 haben wir In der Vergangenheit arbeiteten diese Technologien mehrere Branchen untersucht.46 Die Ergebnisse sind an und ihre entsprechenden Teams separat voneinander: wichtige Herausforderungen gebunden, denen sich diese Die OT-Mitarbeiter verwalteten die Maschinen Schlüsselindustrien stellen müssen, u. a. Schutz von und den Betrieb, während die IT-Abteilung für die Kundendaten, Umgang mit gesetzlichen Auflagen und Unternehmensanwendungen zuständig war. Heute erfolgt Integration neuer vernetzter Systeme in ältere Software. der Zugriff auf viele OT-Sensoren und -Systeme von Seiten des Unternehmens. Beispielsweise suchen Manufacturing Obwohl jede Branche mit seinen eigenen Execution Systeme (MES) nun die Telemetriedatenströme Herausforderungen in puncto Sicherheit konfrontiert ist – dieser Sensoren, um den Betrieb zu optimieren und und trotz unterschiedlicher Sicherheitsreife der einzelnen besser voraussehen zu können. Branchen – lassen sich gemeinsame Bedenken feststellen. Sicherheitsexperten in jeder Branche sind sich über die Da in der OT nun vernetzte Systeme eingesetzt werden, zunehmende Ausgereiftheit der Bedrohungen bewusst, kann sie nicht weiter von der IT abgeschottet werden. sowie über die Notwendigkeit, den Gegnern einen Schritt Die beiden Bereiche können voneinander profitieren, voraus zu sein. Viele Organisationen haben öffentliche indem sie ihre Daten für Analysezwecke teilen, um die Sicherheitslücken erfahren. Schadensminderung (z.B. Sicherheit und Produktqualität verbessern zu können. Sie Kundenverlust) und Verhinderung ähnlicher Sicherheitslücken können auch zusammenarbeiten, um Cyberbedrohungen stehen somit auf der Sorgenliste ganz oben. gemeinsam abzuwehren. Aber dazu müssen sie ihre Fähigkeiten zur umfassenden Verteidigung vor Bedrohungen Für viele dieser Branchen ist die Integration der weiterentwickeln. Denn getrennte Systeme und isolierte Informationstechnologie (IT) und der Betriebstechnik (OT) Systeme bieten keinen umfassenden Überblick IT und OT. von entscheidender Bedeutung – und vor allem, der Schutz dieser integrierten Systeme. Der jüngste WannaCry- Ransomware-Angriff hatte zur Folge, dass die Renault- Nissan-Automobilwerke in Europa abgeschaltet wurden… ein gutes Beispiel, das zeigt, wie vernetzte Systeme einem Im Cisco Whitepaper IT/OT Convergence: Angriff ausgeliefert sind. Wenn Netzwerkverbindungen nicht Moving Digital Manufacturing Forward erfahren sicher und in koordinierter Form gewährleistet werden, können sogar ungezielte Angriffe mit Ransomware OT- Sie mehr über die Konvergenz von IT und OT. Systeme betreffen.47

46 Cisco Annual Cybersecurity Report 2017, S. 49: b2me.cisco.com/en-us-annual-cybersecurity-report-2017?keycode1=001464153. 47 „Renault-Nissan Is Resuming Production After a Global Cyberattack Caused Stoppages at 5 Plants“, von Laurence Frost und Naomi Tajitsu, BusinessInsider.com, 15. Mai 2017: businessinsider.com/renault-nissan-production-halt-wannacry-ransomeware-attack-2017-5.

61 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Unternehmensgröße hat Einfluss auf den Sicherheitsansatz Wenn Angreifer in Netzwerke eindringen und Daten Abbildung 5757 WahrscheinlicheWahrscheinliche Nutzung Nutzung wichtiger wichtiger stehlen, sind kleine und mittelständische Unternehmen Bedrohungsabwehrsysteme nach nach Größe Größe der Unternehmen (KMUs) im Umgang mit den Auswirkungen weniger der Unternehmen belastbar als größere Unternehmen. Wenn eine öffentliche Komplexität: Welche dieser Prozentsätze Sicherheitslücke einer Marke schadet und Kunden deshalb Bedrohungsabwehrsysteme wird in Unternehmensgröße Ihrem Unternehmen derzeit 250- 500- 1.000- Über gezwungen sind, zu einem Mitbewerber zu wechseln, verwendet – wenn überhaupt? 499 999 9.999 10.000 kann ein größeres Unternehmen die Auswirkungen besser verkraften als ein kleines. Angesichts der erhöhten Risiken einer Betriebsunterbrechung können KMUs ihre Position Schutz vor Datenverlust 40 43 47 52 stärken, wenn sie Sicherheitsprozesse und -tools einsetzen, DDoS-Abwehr 33 35 42 39 mit denen die Auswirkungen der Bedrohungen und E-Mail-/Messaging-Sicherheit 34 41 45 45 Sicherheitslücken minimiert werden. Verschlüsselung/Datenschutz 39 38 49 52 Endpunktsicherheit/Antivirus, 36 37 45 45 Infolge der Datenuntersuchung aus der Security Capabilities Anti-Malware Benchmark Study 2017 weisen KMUs (Unternehmen Patching- und Konfigurationsmanagement 26 28 32 35 mit 250 bis 499 Mitarbeitern) im Vergleich zu größeren Web-Sicherheit 37 39 44 45 Organisationen in ihrer Abwehr Defizite auf. Den KMUs Sicherer Wireless-Zugriff 32 35 40 42 stellt sich die Aufgabe, ihre Organisation mit weniger Ressourcen und begrenztem Fachwissen abzusichern. Quelle: Cisco Security Capabilities Benchmark Study 2017 Demnach erkennen sie auch eher die hohen Risiken, die hinter bestimmten Bedrohungen oder Funktionen stecken. Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics Gefragt nach den Bereichen, die ihrer Meinung nach mit hohen Risiken für die Organisation verbunden sind, nennen Größere Organisationen verfügen eher über schriftliche, 29 Prozent der KMUs Ransomware. Bei Unternehmen mit formelle Strategien als kleinere und mittelständische mehr als 10.000 Mitarbeitern sind es nur 21 Prozent. 30 Unternehmen (66 Prozent gegenüber 59 Prozent). Prozent der KMUs betrachten die Einhaltung gesetzlicher Sie verlangen von Ihren Anbietern auch eher ISO Vorschriften als hohes Risiko, während nur 20 Prozent der 27018-Zertifizierungen als KMUs (36 Prozent im größten Unternehmen diese Meinung teilen (siehe Abb. 56). Vergleich zu 30 Prozent).

Abbildung 5656 WahrgenommenesWahrgenommenes Bedrohungsrisiko Kleine und mittelständische Unternehmen, die ihren nach Größe der Unternehmen Bedrohungsrisiko nach Größe der Unternehmen Sicherheitsstatus verbessern wollen, können den Schwerpunkt auf die Verbesserung von Sicherheitsrichtlinien Risiko: Welche der folgenden Risiken Prozentsätze betrachten Sie für Ihr Unternehmen Unternehmensgröße und -prozessen legen sowie auf eine allgemeine, weiter als HOHE Sicherheitsrisiken – wenn 250- 500- 1.000- Über ausgedehnte Bedrohungsabwehr, um das Risiko schädlicher überhaupt? 499 999 9.999 10.000 Auswirkungen von Angriffen zu mindern. Durch die Nutzung externer Sicherheitsservices kann das erforderliche Fachwissen erlangt werden, das für die Implementierung Zunehmende Verbreitung von BYOD und 29 28 29 25 einer effektiven, formellen Sicherheitsstrategie notwendig intelligenten Geräten ist. So können Best-Practices entwickelt und die Realisierbarkeit von Disaster Recovery 28 25 26 21 und Geschäftskontinuität Fachkenntnisse der Mitarbeiter zur Überwachung und Einschränkungen durch gesetzliche Reaktion auf Vorfälle erweitert werden. 30 25 24 20 Bestimmungen Für die Einführung einer Sicherheitsinfrastruktur, die an Advanced Persistent Threats 34 33 34 30 die Geschäftsanforderungen und Budgets angepasst Ransomware 29 25 25 21 ist, sollten die Sicherheitsteams mit den Anbietern Quelle: Cisco Security Capabilities Benchmark Study 2017 zusammenzuarbeiten. Nur so kann eine Lösung bereitgestellt werden, welche das Management der Sicherheitsumgebung vereinfacht und effizienter macht. Da KMUs über kleinere Budgets und geringere Ebenso können wachsende Organisationen Standards Fachkompetenzen verfügen, richten sie vermutlich eher wie das NIST Cybersecurity Framework befolgen, um ihre selten zentrale Abwehrmaßnahmen ein. Beispielsweise Sicherheit zu stärken. Ein ganzheitlicher Sicherheitsansatz sorgen nach eigenen Angaben nur 34 Prozent der KMUs bietet Unternehmen jeder Größe einen wirksameren für die Sicherheit ihrer E-Mail-Systeme. Bei den Schutz vor fortschreitenden Bedrohungen. Großunternehmen sind es 45 Prozent (siehe Abb. 57). 52 Prozent der Großunternehmen und 40 Prozent der KMUs setzen Abwehrsysteme zur Prävention von Datenverlusten ein.

62 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Wissens- und Talentlücken mit Services schließen

In Sicherheitsabteilungen gibt es eine andauernde mangelnder Ressourcen oder Fähigkeiten. Durch die Debatte darüber, welcher Abwehransatz besser ist: Best- Automatisierung möglichst vieler Low-Level-Warnungen in-Class-Lösungen oder eine integrierte Architektur? können sich Organisationen auf Belange höherer Priorität Sicherheitsteams stehen jedoch vor einer weiteren konzentrieren, die eher größere Auswirkungen auf die Herausforderung, die alle Sicherheitsentscheidungen restliche Umgebung des Unternehmens haben. betrifft: der Mangel an interner Sicherheitskompetenz. Da sich Bedrohungen weiterentwickeln und die Die Ursachen einer solchen Flut an Warnhinweisen sind Technologieauswahl immer größer wird, sollten vielseitig. Isolierte Systeme können doppelte Warnhinweise Organisationen auf Sicherheitsservices setzen, um generieren. Die Teams können keine Warnungen mit Talentlücken zu schließen. niedriger Priorität von Warnungen mit hoher Priorität oder Fehlalarmen unterscheiden. Es können auch Tools zu Der Kampf zur Anbindung qualifizierter neuer Talente Audit-Zwecken fehlen, mit denen die Quelle potenzieller hat ebenso Einfluss auf die Sicherheitsteams. Laut den Bedrohungen bestimmt werden kann. Hier können die Ergebnissen der Security Capabilities Benchmark Study kreativen Denkweisen externer Servicedienstleister die gilt in vielen Branchen der Mangel an geschultem Personal Flut beenden, indem sie eine differenzierte Beratung zur als großes Hindernis für die Einführung erweiterter Reaktion auf Bedrohungen bieten. Sicherheitsprozesse und -technologien. In der Tat ist der Mangel an Talenten ein globales Problem. Auch hier Auch ein Mangel an Produktkenntnissen kann die können wieder externe Services die Talentlücke schließen. Sicherheitsteams davon abhalten, den größtmöglichen Nutzen aus ihren Technologieanschaffungen zu ziehen. Laut Experten von Cisco Security-Services fehlt es in Produkte werden oft von Produktspezialisten und der Verteidigungsstrategie von Unternehmen oft an nicht von Sicherheitsspezialisten implementiert. Die ausreichendem Wissen über die Sicherheitslandschaft. Sicherheitsteams verstehen möglicherweise nicht, wie Die Fachkenntnisse von Sicherheitsexperten mit langjähriger sie Produkte integrieren können, um eine ganzheitliche Erfahrung ermöglichen Analysen, die nicht einmal die Sicht über die Bedrohungen zu erhalten – eine zentrale besten automatisierten Lösungen bieten können. Konsole, die ein getreues Bild der Effektivität der Sicherheitslösungen liefert. Erfahrene Managed-Security- Die Flut an ist ein andauerndes Problem für Teams können auch Sicherheitsexperten beim Management firmeninterne Sicherheitsteams. Wie bereits in vielen der von Cloud-Lösungen unterstützen, sowie bei den branchenorientierten Artikel der Security Capabilities Erkenntnissen darüber, wie ihre Daten geschützt werden Benchmark Study 2017 erörtert wird, ist ein großer (oder nicht). Cloud-Anbieter verwenden möglicherweise Teil des Sicherheitspersonals deutlich mehr täglichen keine Sicherheitsmaßnahmen wie die Zwei-Faktor- Warnungen ausgesetzt als es untersuchen kann, wodurch Authentifizierung; Experten können Organisationen potenziell schwerwiegende Bedrohungen bestehen helfen, SLAs und Verträge genau zu betrachten, um die bleiben. Werden viele Low-Level-Warnungen generiert, Abwehrfunktionen der Cloud-Anbieter genau zu erfassen. können sie automatisiert werden. Eine Möglichkeit, die viele Organisationen nicht nutzen – vielleicht nur aufgrund

63 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Outsourcing von Services und Daten zu Bedrohungswarnhinweisen nach Land Die Untersuchung der Nutzung von outgesourcten Beim Vergleich von untersuchten und behobenen Services nach Land zeigt, dass KMUs in bestimmten Warnmeldungen nach Region und Unternehmensgrößte Ländern eher auf outgesourcte Services zurückgreifen weisen KMUs in Indien, Brasilien und den USA die als Großunternehmen. Z. B. nutzen in Australien 65 niedrigsten Prozentsätze auf. Hinsichtlich der Anzahl Prozent der KMU outgesourcte Incident-Response- behobener Warnungen, weisen KMUs in China, Services, verglichen zu 41 Prozent bei den Russland und Großbritannien die höchsten Prozentsätze Großunternehmen. In Japan nutzen 54 Prozent der auf (siehe Abb. 59). KMUs outgesourcte Monitoring-Services, im Vergleich zu 41 Prozent der Großunternehmen (siehe Abb. 58).

Abbildung 5858 VonVon KMUs KMUs und und Großunternehmen größeren Unternehmen genutzte outgesourctegenutzte Outsourcing-Services Services nach Land (in nach Prozent) Land (in Prozent) Hinsichtlich der Sicherheit, welche der USA BR DE IT GB AU CN folgenden Services werden teilweise oder vollständig an Drittanbieter outgesourct?

Beratung und Consulting 49 47 40 44 41 47 45 44 43 51 63 52 50 57 Audit 51 48 48 56 45 49 40 44 49 48 39 30 28 44 Incident-Response 43 46 43 32 45 41 61 42 45 40 65 41 32 42 Überwachung 54 44 44 38 38 41 50 39 46 41 47 36 33 35 Behebung von Vorfällen 34 34 26 21 45 42 32 23 30 34 38 28 46 47 Threat-Intelligence 43 40 33 37 38 40 44 36 29 42 54 34 28 42 Keiner der genannten werden ausgelagert 14 15 7 13 6 15 2 10 11 20 5 14 20 12 IN JP MX RU FR CA Beratung und Consulting 56 62 60 59 58 63 46 50 52 51 48 50 Audit 43 50 35 25 57 64 37 43 44 56 44 50 Incident-Response 53 55 69 55 39 41 37 35 54 42 49 45 Überwachung 42 51 54 41 44 46 34 44 51 57 49 50 Behebung von Vorfällen 44 43 40 28 12 24 31 50 34 35 36 45 Threat-Intelligence 50 60 41 31 36 38 39 39 43 45 45 42 Keiner der genannten werden ausgelagert 6 5 1 6 5 5 6 7 2 5 10 11

Kleine und mittelgroße Unternehmen Unternehmensgröße Großunternehmen (mehr als 1.000 Mitarbeiter) (299-500 Mitarbeiter) Abbildung 5959 DurchschnittlicheDurchschnittliche Warnungen Warnungen nach nach Land Land Quelle: Cisco Security Capabilities Benchmark Study 2017 USA BR DE IT GB AU CN

Wie viele aller Warnungen werden im 59,7 62,8 61 65,5 44,4 52 45,8 61,3 47,4 44,2 55,6 60,8 44,8 42,5 Durchschnitt (in Prozent) untersucht?

Wie viele dieser untersuchten Warnungen sind legitime Vorfälle (in Prozent)? 30,6 25,7 27,1 26,2 20,2 28,2 22,8 15,2 26,3 23 27,2 28,6 30,6 44,5

Wie viele dieser legitimen Warnungen 40,9 45,3 35,4 46,3 43,7 50,4 34,8 40,9 47,3 45,6 40,6 46,2 53,5 67,9 werden behoben (in Prozent)?

IN JP MX RU FR CA

Wie viele aller Warnungen werden im 60,5 65,1 50,6 58,1 59,1 60,6 59,3 65,9 49,1 51,3 49,3 48,8 Durchschnitt (in Prozent) untersucht?

Wie viele dieser untersuchten Warnungen 37,1 39,7 25,4 33,8 27,8 20,5 23,4 33,2 21,8 25,5 22,2 23,8 sind legitime Vorfälle (in Prozent)?

Wie viele dieser legitimen Warnungen 45,8 48,3 44,3 38,4 43,8 48,6 47,3 60,5 41,6 52,4 35,8 37,6 werden behoben (in Prozent)?

Kleine und mittelgroße Unternehmen Unternehmensgröße Großunternehmen (mehr als 1.000 Mitarbeiter) (299-500 Mitarbeiter)

Quelle: Cisco Security Capabilities Benchmark Study 2017

64 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

IoT-Sicherheitsrisiken: Vorbereitung auf das Jetzt und die Zukunft

Das Internet of Things (IoT) ist laut Definition von Cisco Erschwerend kommt hinzu, dass die Verteidiger die Vernetzung physischer Geräte, Fahrzeuge, Gebäude Schwierigkeiten haben, die Art der von diesen Geräten und anderer Gegenstände (auch „vernetzte Geräte“ stammenden Warnungen zu verstehen. Darüber hinaus und „internetfähige Geräte“ genannt), in die Elektronik ist es nicht immer klar, wer in der Organisation im Falle und Software sowie Sensoren, Steuerelemente und einer Kompromittierung verantwortlich ist. Die Teams, die Netzwerkanbindung integriert werden, über die Daten die Implementierung dieser Technologien durchführen, gesammelt und ausgetauscht werden können. Laut Cisco verlassen nach Abschluss des Projekts für gewöhnlich besteht das Internet of Things aus drei Hauptbestandteilen: die Organisation. Informationstechnologie (IT), Betriebstechnik (Operational Technology, OT) und Verbrauchertechnologie (Consumer Die Verteidiger müssen ihr Augenmerk auf potenzielle Technology, CT). IoT-Schwächen legen, denn die Angreifer haben es mit ihren Ransomware-Kampagnen auf sensible Informationen Das Industrial Internet of Things (IIoT) bezieht sich abgesehen. Die IoT-Geräte stellen also ein anfälliges Ziel unterdessen speziell auf vernetzte Geräte innerhalb dar und werden von den Angreifern gern ausgenutzt. eines industriellen Kontrollnetzwerks im Gegensatz zu einem unternehmenseigenen IT-Netzwerk oder einem Ein Großangriff dieser Art kann in Unternehmen, Rechenzentrum. Regierungen und sogar dem Internet enorme Störungen hervorrufen. DDoS-Angriffe mit IoT-Geräten sind bereits Das IoT verfügt über ein viel versprechendes Potenzial für aufgetreten und die rasante Entwicklung von IoT-Botnets die Zusammenarbeit und Innovationen in Unternehmen. (siehe Seite 39) deutet darauf hin, dass die Angreifer Aber je mehr es an Größe zunimmt, desto größer wird auch bereits an groß angelegten Kampagnen in beispiellosem das Sicherheitsrisiko für Organisationen und Benutzer. Ausmaß arbeiten.

Ein Problem ist die mangelnde Transparenz. Die meisten Das IoT bietet eine stetig wachsende und schwer zu Verteidiger wissen nicht, welche IoT-Geräte an ihr Netzwerk überwachende und verwaltende Angriffsfläche. Um die angeschlossen sind. Bei der Entwicklung von IoT-Geräten, damit verbundenen Herausforderungen bewältigen zu wie z. B. Kameras, Thermostaten oder intelligenten können, müssen die Verteidiger: Messgeräten, steht die Sicherheit für gewöhnlich nicht • im Vordergrund. Viele dieser Geräte hinken Desktop- • ältere Signaturen aktiviert halten Sicherheitsfunktionen deutlich hinterher und weisen •• IoT-Geräte mit IPS-Abwehrfunktionen ausstatten Sicherheitslücken auf, die erst nach Monaten oder Jahren •• den Netzwerkverkehr genau überwachen (besonders geschlossen werden können. Darüber hinaus werden bei in IIoT-Umgebungen, wo die Netzwerksverkehrsmuster ihnen in der Regel: sehr vorhersehbar sind) •• kaum oder keine CVE-Nummern aktualisiert bzw. •• verfolgen, wie IoT-Geräte mit dem Netzwerk und vergeben anderen Geräten interagieren (z. B. wenn ein IoT- •• spezielle Architekturen verwendet Gerät ein anderes Gerät prüft, auf dem möglicherweise schädliche Aktivitäten stattfinden) •• für die Anwendungen keine Patches bereitgestellt oder die Anwendungen sind veraltet und somit anfällig, wie •• rechtzeitig Patches implementieren zum Beispiel Windows XP •• mit Anbietern zusammenarbeiten, die grundlegende •• nur selten Patches bereitgestellt Sicherheit und entsprechende Beratungsservices bieten

Darüber hinaus können die direkten Eigentümer nicht In der Welt des Internet of Things sind ein proaktiver und oder nur schwer auf die IoT-Geräte zugreifen, sodass dynamischer Sicherheitsansatz und eine mehrstufige eine Problembehebung schwierig bis unmöglich wird, Verteidigungsstrategie die Schlüssel für den Schutz der wenn Systeme kompromittiert werden. Kurzum, diese IoT-Geräte vor Infektionen und Angriffen. Kommt es doch Geräte können Gegnern als eine Art Festung dienen (siehe zur Kompromittierung, werden die Auswirkungen so auf ein Beispiele unter „Ransomware-Angriffe auf medizinische Minimum reduziert. Geräte” auf Seite 42).

65 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Security Capabilities Benchmark Study: Fokus auf ausgewählte Branchen

Service Provider Die zentrale Herausforderung für viele Service-Provider liegt Die größten Bedenken der Branche in der richtigen Integration von effektiven Security-Tools Der Service-Provider-Markt ist laut Umfrage von Cisco ein und Prozessen und einer allgemeinen Reduzierung der vielfältiger Bereich mit Unternehmen aus den Bereichen eingesetzten Tools und Services. Telekommunikation, Cloud-/Web-Infrastruktur und -Hosting, Wenn sie nicht in Form von Managed-Services bereitgestellt Medien und Software-as-a-Service-Anwendungsmodelle wird, verursacht die Sicherheit Kosten anstatt Gewinne. (SaaS). Die Service-Provider verkaufen zudem häufig Gleichzeitig herrscht jedoch ein hoher Wettbewerbsdruck Managed Security Services: 71 Prozent der befragten und die Anzahl der Bedrohungen nimmt zu, was dazu führt, Service-Provider gaben an, Sicherheitsservices für dass die Sicherheit zum zentralen Thema wird. Endkunden bereitzustellen. Herausforderungen aufgrund der Größenordnung der Sie haben mit etlichen Herausforderungen zu kämpfen, wie Service-Provider z. B. dem Schutz der IT- und Produktionsinfrastruktur sowie Wie in jeder Branche stellt die zunehmende Anzahl der der Kundendaten. 59 Prozent der Sicherheitsexperten Sicherheitsanbieter und -Tools ein Problem dar. Die dieser Service-Provider setzen nach eigenen Angaben Lösungen werden oft nicht integriert und bieten auch keine die Sicherheit ihrer eigenen Rechenzentren oder nützliche Übersicht, über die aktuellen Bedrohungen. Im Produktionsnetzwerke an erste Stelle. Service-Provider-Bereich wird dieses Problem durch den Diese Herausforderungen werden mit zunehmendem reinen Marktumfang noch einmal verstärkt. Zwei Drittel der Geschäftsumfang der Service-Provider noch einmal Sicherheitsexperten von Service-Providern nutzen nach verschärft. Sicherheitsexperten sind besorgt, dass eigenen Angaben sechs oder mehr Anbieter; 38 Prozent der Umfang ihrer Organisationen und die zunehmend nutzen sogar mehr als 10 Anbieter (Abb. 60). größere Angriffsfläche dafür sorgen, dass die Angreifer Auf die Frage nach den genutzten Produkten gaben 70 möglicherweise den Geschäftsbetrieb und somit die Prozent an, mindestens 6 Sicherheitsprodukte zu nutzen. Servicebereitstellung an die Kunden unterbrechen. In Die Hälfte davon nutze sogar mehr als 10 Produkte. Den einer Branche mit hoher Kundenabwanderung können Experten von Cisco zufolge lassen sich diese Produkte öffentliche Sicherheitslücken dem Geschäftsergebnis meist nicht integrieren. Je mehr Sicherheitsprodukte also schaden: 34 Prozent der Service-Provider mussten eigenen im Einsatz sind, desto komplexer wird die Umgebung. Angaben zufolge Umsatzverluste aufgrund von Angriffen im vergangenen Jahr einstecken. Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

Abbildung 60 Service-Provider, die Produkte bzw. Lösungen von sechs oder mehr Anbietern nutzen (in Prozent) Abbildung 60 Service Provider, die Lösungen von 6 oder mehr Anbietern und Produkte nutzen (in Prozent)

Zwei Drittel der Service Provider wenden sich an 70 % nutzen 6 oder mehr Produkte, 6 oder mehr Anbieter, davon 38 % an mehr als 10 davon die Hälfte mehr als 10

6 und 6 und mehr mehr

10 und 10 und mehr mehr Anbieter Produkte

Service Service 70% Provider Provider

66% 38% 50%

Quelle: Cisco Security Capabilities Benchmark Study 2017

66 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Sicherheitslücken können Kundenabwanderung fördern Hohe Akzeptanz von Standards Mehr als die Hälfte (57 Prozent) der Service-Provider gaben Service-Provider scheinen anderen Branchen um einiges an, dass ein Sicherheitsvorfall in ihrem Unternehmen schon voraus zu sein, wenn es um die Anwendung von Standards einmal an die Öffentlichkeit gelangt sei. Bei der Hälfte geht. Das könnte an ihren allgemeinen Management- und der Provider, die mit einer öffentlichen Sicherheitslücke Skalierungsfertigkeiten liegen. Etwa zwei Drittel haben nach konfrontiert wurden, führte diese Lücke laut eigenen eigenen Angaben formelle Sicherheitsstrategien schriftlich Angaben zu einer umfangreichen Verbesserung der verfasst und folgen standardisierten Informationssicher- Sicherheit. 90 Prozent gaben eine mindestens mäßige heitsrichtlinien. Darüber hinaus stimmen nahezu alle Verbesserung an. Die Sicherheitsexperten der Service- befragten Service-Provider zu, dass die Sicherheitsprozesse Provider scheinen daraus schnell ihre Lehren zu ziehen. und -verfahren in ihrer Organisation klar und gut verständlichAbbildung sind.61 Umsatzverluste durch Angriffe 34 Prozent der Service-Provider meldeten Umsatzverluste durch Angriffe im vergangenen Jahr; etwa 30 Prozent Abbildung 61 Umsatzverluste durch Angriffe berichteten über Kundenverluste oder verpasste Geschäftsmöglichkeiten aufgrund von Angriffen (siehe Abb. 61). Service-Provider gaben an, dass die Bereiche Betrieb, Markenreputation und Kundenbindung den größten Schaden durch eine öffentlich gemachte Sicherheitsverletzung erlitten.

Der Service-Provider-Markt ist groß und wettbewerbsorientiert, somit kann eine Sicherheitsverletzung weitreichende Folgen haben. Die Möglichkeiten für die Kunden sind vielfältig. Sollten sie den 34% Ca. 30% der Service Provider berichteten, Kunden oder Eindruck haben, dass ihre Daten oder die ihrer Kunden berichten über Umsatzverluste Geschäftsmöglichkeiten nicht ausreichend geschützt sind, wenden Sie sich anderen aufgrund von Angriffen im aufgrund von Angriffen verloren Anbietern zu. vergangenen Jahr bzw. verpasst zu haben

Quelle: Cisco Security Capabilities Benchmark Study 2017

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

67 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Öffentlicher Sektor Das Problem, so die Sicherheitsexperten von Cisco, die für Die größten Bedenken der Branche den öffentlichen Sektor zuständig sind, sei die Tatsache, dass der Cloud-Speicher eine Reihe verschiedener Tools Aufgrund unterschiedlicher Einschränkungen neigen für den Datenschutz bietet, wodurch die Sicherheitsteams Organisationen des öffentlichen Sektors eher zu einem neu überdenken müssen, wie sie die Tools und Prozesse reaktiven als proaktiven Sicherheitsansatz. Begrenzte konfigurieren müssen, um die Daten zu schützen. Budgets, der Kampf um neue Talente und mangelnde Beispielsweise lassen sich die Features des NetFlow- Einblicke in die Bedrohungen – alle diese Faktoren wirken Analysetools nicht genau auf die Analysetools in Cloud- sich auf die Fähigkeit aus, Netzwerke vor Angreifern Diensten übertragen, sodass Prozesse und Ergebnisse zu schützen. nicht zwangsläufig identisch sind. Der öffentliche Sektor ist zudem noch an Regulierungen Engpässe bei Budget und Talenten, die sich auf gebunden, die ein besonders hohes Augenmerk auf das Bedrohungsanalysen auswirken Cyberrisiko-Management erfordern – mehr als bei den meisten Unternehmen im privaten Sektor. So unterliegen Budget, Talente und regulatorische Einschränkungen US-Bundesbehörden in den Vereinigten Staaten z. B. können innerhalb des öffentlichen Sektors ebenfalls dem Federal Information Security Management Act den Zielen im Bereich Sicherheit im Wege stehen. (FISMA) zum Schutz der Vertraulichkeit und Integrität Zum Beispiel übernehmen Organisationen bestimmte geschäftskritischer IT-Systeme. Auf staatlicher und lokaler Tools möglicherweise nur langsam, weil sie für die Ebene gibt es ähnliche Anforderungen. So gilt für staatliche Implementierung dieser Tools und die Ergebnisanalyse und lokale Versorgungsunternehmen abhängig von den fachkundiges Personal brauchen. Nur 30 Prozent der bereitgestellten Services eine verwirrende Vielfalt neuer Sicherheitsexperten im öffentlichen Sektor erklärten, und alter Regulierungen. dass ihre Organisation Penetrationstests und Netzwerk- und Endpunktforensiktools einsetzt (siehe Abb. 62). Der Übergang zur Cloud ist durch weitere entsprechende Diese Tools gelten als Säulen einer tiefengestaffelten Bestimmungen ebenfalls eine schwierige Aufgabe für Verteidigungsstrategie. Also bietet die mangelnde Organisationen des öffentlichen Sektors. Auf nationaler Einführung dieser Tools Anlass zur Sorge. Organisationen Ebene schreibt das Federal Risk and Authorization ohne diese in Sicherheit eingebundenen Dienste können Management Program (FedRAMP) Standards für die immer wieder mit Sicherheitslücken in ihren Netzwerken Nutzung von Cloud-Produkten und -Services vor; nationale rechnen. und regionale Behörden dürfen zudem für die Speicherung von staatlichen Daten nur mit zertifizierten Cloud-Anbietern Abbildung 6262 OrganisationenOrganisationen im imöffentlichen öffentlichen Sektor mit zusammenarbeiten. verschiedenenSektor mit verschiedenen Abwehrsystemen Abwehrsystemen (in Prozent) (in Prozent) Datenmanagement in der Cloud Die Umstellung auf die Cloud bietet eine Reihe von Vorteilen, aber auch Herausforderungen für Organisationen des öffentlichen Sektors, die sich konsequent und kontinuierlich vor Bedrohungen schützen müssen. Ein Drittel gab an, dass gezielte Angriffe, APTs und interner Nur Datendiebstahl hohe Sicherheitsrisiken darstellen. Darüber hinaus sind die Sicherheitsexperten des öffentlichen 30% Sektors der Meinung, dass der Public Cloud-Speicher und die Cloud-Infrastruktur die schwierigsten Elemente sind, die es gegen Angriffe zu schützen gilt.

Nur rund 30 % nutzen Advanced Persistent Threats Penetrationstests und Endpunkt- oder Netzwerkforensiktools Advanced Persistent Threats oder APTs, Quelle: Cisco Security Capabilities Benchmark Study 2017 sind Angriffe, die dem Gegner einen hohen Handlungsspielraum ermöglichen. Sie sorgen dafür, dass der Angreifer für eine längere Zeit in einem Netzwerk unentdeckt bleibt, in der Regel mit der Absicht, Daten zu entwenden.

68 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Organisationen des öffentlichen Sektors können bei Outsourcing erzeugt höheren Nutzen, verbessert aber der Untersuchung von Bedrohungen zudem ohne nicht die Fachkenntnisse der internen Mitarbeiter ausreichende Sicherheitsexperten an ihrer Seite u. U. Das Outsourcing stellt eine Schlüsselstrategie für nicht mithalten. Rund 40 Prozent der Organisationen des Organisationen im öffentlichen Sektor dar, die mehr öffentlichen Sektors berichten, dass von den Tausenden Ressourcen benötigen. Mehr als 40 Prozent erklärten, Warnmeldungen täglich lediglich 65 Prozent untersucht Services vollständig oder teilweise auszulagern, wie werden. Von diesen untersuchten Bedrohungen werden beispielsweise die Überwachung und Audits. Unter den 32 Prozent als legitime Bedrohung identifiziert, aber nur Organisationen, die Sicherheitsservices auslagern, nennen 47 Prozent dieser legitimen Bedrohungen werden im rund die Hälfte objektive Einblicke, Kosteneffizienz und Endeffekt behoben. zeitnahe Reaktion auf Vorfälle als Hauptgründe (siehe Abb. 62). Aus der Anzahl der nicht untersuchten Bedrohungen wird der Bedarf an Tools deutlich, mit denen Informationen Penetrationstests und andere Prüfungsleistungen sollten zu Warnungen mitgeteilt und Analysen erhalten werden. von einer externen Organisation durchgeführt werden. Aber Solche Tools sorgen bei Warnungen für Struktur und es gibt auch eine Kehrseite, wenn man sich vollständig Verständnis (wodurch sie wertvoller werden), sodass auf ausgelagerte Dienstleistungen verlässt: Die internen Mitarbeiter feststellen können, für welche Warnungen sofort Mitarbeiter im öffentlichen Dienst können auf Dauer keine Maßnahmen ergriffen werden müssen. Darüber hinaus kann Fachkenntnisse erlangen. Diese intern gewonnenen die Automatisierung helfen, einige der Bedrohungen zu Kenntnisse sind für die Abwehr komplexer Angriffe auf beheben und so die Sicherheitsteams zu entlasten. Netzwerke von entscheidender Bedeutung. Automatisierte Lösungen können kostengünstig sein und zeitnah reagieren. Um eine große Anzahl täglicher Warnungen wirklich zu Dennoch sollte hier ein Mittelweg zwischen ausgelagerten prüfen, braucht eine Organisation im öffentlichen Sektor Services und internen Experten gefunden werden, um laut Sicherheitsexperten von Cisco möglicherweise umfassende Einblicke und Analysen zu ermöglichen. Dutzende von Sicherheitsmitarbeitern. Sie verfügt aber nur selten über diesen Personalbestand. 35 Prozent der Abbildung 6363 OutsourcingOutsourcing erfordert erfordert zusätzliche zusätzliche Services Organisationen im öffentlichen Sektor sagen aus, weniger dringend benötigte Services als 30 Mitarbeiter zu haben, die sich ausschließlich der Sicherheit widmen. Darüber hinaus sind 27 Prozent der Meinung, dass ein Mangel an geschultem Personal ein großes Hindernis sei, um erweiterte Sicherheitsprozesse und -technologien einzuführen. Dies ist ein weiterer Grund, weshalb Automatisierungstools für den Aufbau eines Sicherheitsabwehrsystems unentbehrlich sein können, um die Anzahl der täglich generierten Bedrohungswarnungen zu bearbeiten. Service- Sicherheitslücken führen zu verbesserter Sicherheit Outsourcing Der Mangel an Mitarbeitern und geprüften Sicherheitstools im öffentlichen Sektor wirkt sich auf Sicherheitslücken 40% aus. 53 Prozent der Organisationen im öffentlichen Sektor gaben an, dass ein Sicherheitsvorfall schon einmal an die Öffentlichkeit gelangte. Es ist davon auszugehen, dass Sicherheitslücken auftreten, und Organisationen nicht einfach Glück haben und von Angriffen verschont bleiben. Ein Problem in diesem Zusammenhang ist, dass die Reaktion auf Angriffe für die akute Sicherheit wichtiger ist als die Erstellung eines ganzheitlichen Ansatzes. Auf eingehende Bedrohungen zu reagieren ist mit einem so 50% großen Aufwand verbunden, dass keine Ressourcen für langfristige Planungen übrig bleiben. Objektive Einblicke, Kosteneffizienz und zeitnahe Reaktion auf Vorfälle Organisationen im öffentlichen Sektor geben an, dass Sicherheitsteams aus den Erfahrungen mit vergangenen Quelle: Cisco Security Capabilities Benchmark Study 2017 Sicherheitslücken lernen: 46 Prozent erklären, dass Sicherheitslücken in hohem Maße zu Verbesserungen in der Hier können Sie die Grafiken für 2017 herunterladen: Sicherheit beitragen. Um solche Lücken besser schließen zu cisco.com/go/mcr2017graphics können, muss in die entsprechende Technologie investiert werden, damit Risiken minimiert und das Sicherheitssystem besser verwaltet werden kann.

69 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Einzelhandel Gezielte Angriffe und interner Datendiebstahl Die größten Bedenken der Branche sind die größten Bedenken Sicherheitslücken im Einzelhandel gelangen schnell an die Mit Blick auf die Bedenken hinsichtlich Umsatzverlust und Öffentlichkeit. Da Angriffe auf Einzelhändler oft Enthüllungen Schaden am Markenimage sind die Sicherheitsexperten von Finanzdaten oder anderen persönlichen Kundendaten im Einzelhandel der Meinung, dass gezielte Angriffe mit sich ziehen, erregen sie die Aufmerksamkeit der Medien (38 Prozent) und interner Datendiebstahl (32 Prozent) die und erfordern eine verbrauchernahe Öffentlichkeitsarbeit. größten Sicherheitsrisiken für ihre Organisationen darstellen Ein Angriff oder Datendiebstahl im Einzelhandel hat Einfluss (siehe Abb. 64). Sie sind zu Recht besorgt: Oft beginnen auf die Markenreputation, und das deutlich konkreter als Angriffe innerhalb einer Organisation. Das bedeutet, dass in anderen Branchen wie z. B. im Gesundheitswesen oder die Sicherheit mit einer Prüfung der Gefährdungsindikatoren bei Versorgungsunternehmen. Im Einzelhandel steht den (Indicators of compromise, IOCs) nicht ausreicht. Kunden eine Vielzahl an Anbietern zur Verfügung. Ist ein Organisationen brauchen auch Tools für die Untersuchung Einzelhändler nachlässig, was die Sicherheit betrifft, können der Indikatoren von Angriffen. sie problemlos zu einem anderen Anbieter wechseln. Um anspruchsvolle gezielte Angriffe wie APTs oder Angriffe von großem öffentlichen Interesse auf große Phishing-Angriffe zu erkennen, müssen Einzelhändler Einzelhändler, z. B. Kreditkartendatendiebstahl durch normale von abnormalen Verkehrsmustern unterscheiden Malware, bereiten Sicherheitsexperten große Sorgen, können, die je nach Tag, Woche oder Shopping-Saison da sie nicht möchten, dass ihrer Organisation dasselbe schwankenAbbildung können. 64 Gezielte Angriffe und interner Schicksal droht. Es ist jedoch nicht ersichtlich, dass sich AbbildungDatendiebstahl 64 Gezielte sind die Angriffe größten und Bedenkeninterner genügend Einzelhändler die Botschaft zu Herzen genommen Datendiebstahl sind die größten Bedenken haben. Auch führende Anbieter in diesem Bereich glauben, dass der einfache Schutz von Kreditkartendaten über die 38% interne Firewall ausreichend sei. Aber werden diese Daten gezielte unverschlüsselt an Banken oder andere Partner übermittelt, Angriffe greift der Schutz im Netzwerk des Einzelhändlers nicht mehr.

Die wahrgenommene Sicherheit kann ein Anzeichen von Selbstüberschätzung sein Einzelhändler blicken bei ihren Sicherheitsmaßnahmen Einzelhandel in gewisser Weise durch eine rosa Brille – nicht ausreichend, bedenkt man die Anzahl der aufgedeckten Sicherheitslücken, über die in den Medien nahezu täglich 32% berichtet wird. Beispielsweise sind 61 Prozent der Insider Sicherheitsexperten im Einzelhandel der Überzeugung, die Exfiltration PCI-Compliance-Anforderungen vollständig zu erfüllen. 63 Prozent sind der Ansicht, dass vertrauliche Kundendaten während des gesamten Lebenszyklus in der Organisation Quelle: Cisco Security Capabilities Benchmark Study 2017 sicher bleiben.

Um Datensicherheit zu gewährleisten, sollten Einzelhändler für Kunden, die mit Kredit-und Debitkarten zahlen, vollständig auf die Chip- und PIN-Technologie setzen – vor allem in den Vereinigten Staaten, wo diese Technologie nur langsam akzeptiert wird. Nun, da Banken und Anbieter von Kreditkarten Rückerstattungen betrügerischer Kontobelastungen nur für Einkäufe mit Chip- und PIN- Systemen garantieren, müssen die Einzelhändler die Einführung dieser Zahlungstechnologie möglicherweise beschleunigen – oder sie werden für diese Belastungen haftbar gemacht.48

48 „New Credit Card Chips Shift Liability to Retailers“, von Andrew Cohn, Insurance Journal, 7. Dezember 2015: insurancejournal.com/news/national/2015/12/07/391102.htm.

70 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Lücken in der Personalausstattung schließen Umsatz und Markenreputation leiden durch öffentliche Einzelhändler geraten in die Klemme, wenn es um den Sicherheitslücken Ausbau ihrer Sicherheitsressourcen geht – sowohl in Einzelhändler sind sich bewusst, dass Sicherheitslücken Bezug auf Mitarbeiter als auch auf Tools. 24 Prozent reale Auswirkungen auf ihr Unternehmen haben. Im der Sicherheitsexperten im Einzelhandel betrachten vergangenen Jahr waren laut Sicherheitsexperten im nach eigenen Angaben den Mangel an geschultem Einzelhandel Betrieb, Finanzen und Markenreputation die Personal als Haupthindernis für die Einführung erweiterter Geschäftsbereiche, die am härtesten von Sicherheitslücken Sicherheitsprozesse und -technologien. Neben betroffen waren. Bei 54 Prozent ist ein Sicherheitsvorfall Personalmangel beobachten die Einzelhändler auch einen im Unternehmen schon einmal an die Öffentlichkeit stetigen Strom von Sicherheitswarnungen, auf die sie nicht gelangt. Darüber hinaus sprachen 32 Prozent von in vollem Umfang reagieren können: 45 Prozent sehen Umsatzverlusten aufgrund von Angriffen im vergangenen mehrere Tausend täglicher Warnungen, von denen aber nur Jahr (siehe Abb. 65). Etwa ein Viertel gab an, Kunden oder 53 Prozent untersucht werden. 27 Prozent der Warnungen Geschäftsmöglichkeiten durch Angriffe verloren zu haben. gelten als legitim und nur 45 Prozent der legitimen Warnungen werden behoben. Sicherheitslücken führen u. U. zu einer entscheidenden Wende hinsichtlich der Veränderungen des Wenn die Stellenbesetzung ein Problem darstellt, Sicherheitsstatus der Einzelhändler. Während nur 29 Prozent werden automatisierte Sicherheitslösungen zunehmend aussagten, dass Sicherheitslücken „in hohem Maße“ zur wichtiger. Eine Automatisierung kann helfen, die durch Verbesserung der Sicherheit beigetragen haben, waren Personalmangel verursachte Lücke zu schließen – 90 Prozent der Meinung, dass sie Verbesserungen in einem zum Beispiel mit Lösungen, die eine automatische zumindest „bescheidenem Maße“ zur Folge hatten. Segmentierung eines infizierten Geräts unter Quarantäne ermöglichen. Auf diese Weise kann sich die Infektion Abbildung 6565 Organisationen, die die mit mit verschiedenen verschiedenen nicht ausbreiten. Das Gerät hat keinen Zugang mehr Konsequenzen von Datensicherheitsverletzungen Konsequenzenkonfrontiert wurden von (in Datensicherheitsverletzungen Prozent) zu vertraulichen Informationen. konfrontiert wurden (in Prozent) Automatisierungsfunktionen können auch helfen, das Problem der verteilten Umgebungen zu lösen, eine einzigartige Herausforderung im Einzelhandel – wie z. B. die Reduzierung der Anzahl von Sicherheitswarnungen, auf die Mitarbeiter reagieren müssen. Physische Standorte (und somit Daten) sind geografisch weit verstreut. Sicherheitsverantwortliche müssen voraussetzen (oder hoffen), dass auch an diesen Standorten die Sicherheits- Best-Practices am Firmensitz eingehalten werden. Ohne 54% 32% 25% eine permanente Kommunikation mit entfernten Standorten mussten verloren verloren Kunden oder könnten Sicherheitslösungen im Einsatz sein, für die Sicherheitsvorfälle Einnahmen Geschäftsmöglichkeiten bewältigen, die an aufgrund von aufgrund von Angriffen jahrelang keine Patches bereitgestellt werden oder die die Öffentlichkeit Angriffen im schon lange veraltet sind. gelangten vergangenen Jahr

Einzelhändler können Services outsourcen, um die Lücke Quelle: Cisco Security Capabilities Benchmark Study 2017 im Personalmangel – mindestens zum Teil – zu schließen. Nahezu die Hälfte der Sicherheitsexperten im Einzelhandel lagern Beratungs- und Consulting-Leistungen zumindest teilweise aus; 45 Prozent erklärten, die Audit-Services teilweise auszulagern. Unter den Organisationen im Einzelhandel, die Dienstleistungen auslagern, nennt rund die Hälfte objektive Einblicke, Kosteneffizienz und zeitnahe Reaktion auf Vorfälle als Hauptgründe.

71 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Fertigung Abbildung 66 66 Hersteller,Hersteller, die die Lösungen Lösungen von vonsechs 6 oder Die größten Bedenken der Branche mehroder Anbieternmehr Anbietern verwenden verwenden (in Prozent) (in Prozent) 80 Prozent der Fabriken in den USA sind älter als 20 Jahre.49 6 und Es gibt also Anlass zur Sorge, ob sie mit aktuellen mehr Abwehrsystemen ausgestattet sind. Da Anlagen oft Anbieter 10 und phasenweise über einen längeren Zeitraum eingeführt mehr werden – im Gegensatz zu Bürosystemen – können unbekannte Schwachstellen für Jahre unerkannt bleiben und erst viel später aktiv werden. Da Hersteller an diese veralteten Maschinen zusätzlich vernetzte Geräte 20 % anschließen, befürchten Sicherheitsexperten, dass Angreifer u. U. die passende Kombination finden, um in das Netzwerk einzudringen. Fertigung

Anfällige Systeme könnten zu Ausfallzeiten in den Werkshallen führen, eine andere große Sorge für Automatisierungsexperten. Die Hersteller wollen ungeplante Ausfallzeiten um jeden Preis vermeiden, 46 % ebenso wie Probleme bei der Produktqualität, die durch kompromittierte Maschinen verursacht werden, weil sie nicht ordnungsgemäß funktionieren. Quelle: Cisco Security Capabilities Benchmark Study 2017 Für Sicherheitsexperten in der Fertigung stellt sich die Herausforderung, veraltete Systeme nachzurüsten, Hier können Sie die Grafiken für 2017 herunterladen: damit Angreifer nicht einfach eindringen können, sowie cisco.com/go/mcr2017graphics Technologien wie IIoT-Systeme zu integrieren. Die gute Nachricht ist, dass die Hersteller einfache Maßnahmen Die Vielzahl von Produkten und Anbietern in der Fertigung ergreifen können, um ihre Sicherheit zu verbessern: ein sorgt bei den Sicherheitsexperten für ein verwirrendes Prozess, der schrittweise durchgeführt werden sollte, statt Bild. Aus der Komplexität ergibt sich die Notwendigkeit sich mit allen Bedrohungen auf einmal zu beschäftigen. für IT-und OT-Teams, den Schwerpunkt stärker auf Zum Beispiel kann eine schriftliche Sicherheitsrichtlinie den Sicherheitsbedrohungen zu legen – und beispielsweise Rahmen für Verbesserungen bilden. Laut einer Umfrage von nur solche Produkte zu verwenden, welche die Cisco haben jedoch 40 Prozent der Sicherheitsexperten dringendsten Bedenken beseitigen. Hersteller könnten die in der Fertigung weder eine formelle Sicherheitsstrategie, Implementierung einer tiefgreifenden Verteidigungsstrategie noch folgen sie in der Praxis einer standardisierten ins Auge fassen, mit einfachen Schutzmaßnahmen Informationssicherheitsrichtlinie wie ISO 27001 oder NIST für Sachwerte wie z.B. gesperrter Zugriff auf Ports in 800-53. Bei diesen Best-Practices besteht noch ein hohes Unmanaged Switches oder Managed Switches in der Verbesserungspotenzial. Netzwerkinfrastruktur ihrer Werke.

Einfachere Systeme sind gefragt Um zu verstehen, wo Fertigungssysteme aktualisiert und integriert werden, müssen Hersteller das Problem der komplexen Beschaffenheit von Sicherheitslösungen lösen. 46 Prozent der Sicherheitsexperten in der Fertigung greifen eigenen Angaben zufolge auf sechs oder mehr Sicherheitsanbieter zurück; 20 Prozent auf mehr als zehn Anbieter (siehe Abb. 66). Speziell nach Produkten befragt, nutzen 63 Prozent der Sicherheitsexperten sechs oder mehr Produkte und 30 Prozent mehr als zehn Produkte.

49 „America Is Aging in More Ways Than One“, von Sho Chandra und Joran Yadoo, Bloomberg, 6. Oktober 2016: bloomberg.com/news/articles/2016-10-06/america-is-aging-in-more-ways-than-one.

72 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Kombiniertes Fachwissen von IT- und OT-Teams Verbesserte Wettbewerbsposition durch vermiedene Die Aufstellung des Sicherheitsteams kann Sicherheitslücken möglicherweise auch eine Hürde sein, die zum Schutz Angesichts der in der Industrie eingesetzten und in die der Fertigungsanlagen überwunden werden muss. Jahre gekommenen Systeme sind sich die Hersteller Wenn Experten mit Fachkenntnissen in der Fertigung bewusst, dass sie diese Systeme nicht nur aus herstellerspezifischer Systeme in den Ruhestand treten, Sicherheitsgründen verbessern und nachrüsten müssen, werden u. U. keine Nachfolger eingestellt. Somit wandert sondern auch weil sie ihre Wettbewerbsposition stärken auch wertvolles Fachwissen ab. Nahezu 60 Prozent der müssen. Laut einer Studie des Global Center for Digital Fertigungsunternehmen haben laut eigenen Angaben Business Transformation werden50 vier von zehn Herstellern weniger als 30 Mitarbeiter, die eigens für die Sicherheit in den nächsten fünf Jahren eine Zerrüttung des Marktes zuständig sind (siehe Abb. 67). Darüber hinaus gaben erleben, teilweise, weil sie nicht modernisieren und nicht 25 Prozent an, dass mangelndes geschultes Personal mit den Angeboten fortschrittlicherer Mitbewerber mithalten für die Einführung erweiterter Sicherheitsprozesse und können. Sicherheit spielt eine entscheidende Rolle bei -technologien ein großes Hindernis darstellt. der Erlangung von Wettbewerbsvorteilen, weil sie helfen kann, die Markenreputation zu erhalten und Umsatz- sowie Neben der Aufstockung der firmeninternen Kundenverluste zu vermeiden. Sicherheitsexperten müssen IT und OT ihr Wissen mit dem Unternehmen teilen. In der Regel endete die Einbindung Öffentliche Sicherheitslücken können laut von IT in der Werkshalle, wo dann die OT das Kommando Umfrageergebnissen von Cisco Herstellermarken schaden. übernahm. Konflikte sind alltäglich. Beispielsweise könnten Bei 40 Prozent der Fertigungsunternehmen war ein Patching-Prozesse der IT versehentlich Anlagen in älteren, Sicherheitsvorfall in ihrem Unternehmen schon einmal an proprietäre Netzwerken abschalten, was Ausfallzeiten die Öffentlichkeit gelangt. 28 Prozent der Befragten zur Folge hätte und der OT immense Kopfschmerzen mussten Umsatzverluste aufgrund von Angriffen im bereiten würde. Zukunftsorientierte Hersteller arbeiten vergangenen Jahr einstecken. Diese Sicherheitslücken härter, um IT- und OT-Teams miteinander zu verbinden, können jedoch den Anreiz bieten, der für eine Verbesserung damit Sicherheitsbedrohungen besser verstanden und der Sicherheit notwendig ist: 95 Prozent der Best-Practices für den Umgang mit neueren Technologien Sicherheitsexperten in der Fertigung sind der Meinung, wie dem Internet of Things und vernetzten Geräten dass öffentliche Sicherheitslücken Verbesserungen unterstützt werden. vorangetrieben haben, zumindest in einem bescheidenem Maße. Abbildung 6767 AnzahlAnzahl geschulter geschulter Sicherheitsmitarbeiter Sicherheitsmitarbeiterin Fertigungsunternehmen in Fertigungsunternehmen

Nahezu 60% der Fertigungsunternehmen haben laut eigenen Angaben weniger als 30 Mitarbeiter, die eigens für die Sicherheit zuständig sind

Quelle: Cisco Security Capabilities Benchmark Study 2017

50 „Life in the Digital Vortex: The State of Digital Disruption in 2017“, Global Center for Digital Business Transformation: imd.org/dbt/digital-business-transformation.

73 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Versorgungsunternehmen Die größten Bedenken der Branche APTs sind deswegen problematisch, weil sie in kritischen 2016 griffen russische Hacker das ukrainische Stromnetz Netzwerken für längere Zeit unentdeckt bleiben können an. Dies hat verdeutlicht, welchen Herausforderungen und dadurch der von den Angreifern verrichtete Schaden Versorgungseinrichtungen beim Schutz kritischer größer wird. Durch die Konvergenz der Datennetze Infrastruktur gegenüberstehen.51 Versorgungsunternehmen und die zunehmende Anzahl vernetzter Geräte ist das betreiben keine geschlossenen Supervisory Control Potenzial für Schäden – wie die Abschaltung eines and Data Acquisition- (SCADA) Netzwerke mehr. Versorgungsunternehmens – größer denn je. Dieselben Workstations der Kontrollzentren, welche die Da Versorgungsunternehmen im Fokus der Anlagen für die Stromerzeugung, den Transport und Öffentlichkeit stehen, sind sich die Sicherheitsteams die Verteilung des Stroms überwachen und steuern, dieser Organisationen ganz besonders über die sind gleichzeitig mit Unternehmensnetzwerken und IT- Bedrohungstechnologien auf dem Markt bewusst. Sie Systemen verbunden. Diese OT-Systeme, die physische benötigen aber Orientierungshilfen, um diese Technologien Prozesse überwachen und steuern, geraten aufgrund ihrer richtig zu integrieren und sich gegen APTs und gezielte bekannten Schwachstellen und der durch Kompromittierung Angriffe effektiv zu schützen. Sie verstehen, warum verursachten physischen Schäden ins Visier der Angreifer. Sicherheit so wichtig ist. Sie wissen aber nicht genau, wie Im Juni 2017 entdeckten Forscher, dass für diesen Angriff sie diese umsetzen sollen. Dafür benötigen sie Anbieter Tools eines ganz neuen Kalibers eingesetzt. Die Angreifer von Sicherheitsservices. Diese implementieren einen nutzten spezielle Module, welche die Steuerungsprotokolle mehrstufigen Sicherheitsansatz, der auch Elemente wie die direkt verwendeten. Bei früheren Angriffen erfolgte die physische Sicherheit und Cybersecurity-Standards enthält. Fernbedienung von Steuerungswerkzeugen manuell. Mit Aufgrund der komplexen Beschaffenheit ihrer Netzwerke diesen neuen Erweiterungen können Angriffe völlig autonom müssen Versorgungs- bzw. Energieunternehmen auch geplant und durchgeführt werden. die Auswirkungen von Bedrohungswarnungen beurteilen Die umfassende Netzwerkanbindung und komplexe und entscheiden, wie viele Ressourcen zur Minderung Beschaffenheit moderner IT- und OT-Systeme, zusammen notwendig sind. Rund die Hälfte der Sicherheitsexperten mit Sicherheitslücken in den bereitgestellten OT- in Versorgungs- und Energieunternehmen erklären, dass Firmwares und -Softwares, erhöhen die zu schützende von den Tausenden täglichen Warnungen nur 63 Prozent Angriffsfläche. Da Versorgungsunternehmen beabsichtigen, untersucht werden. Unter den untersuchten Warnungen ihre Geschäftsabläufe zu digitalisieren, übernehmen gelten 41 Prozent als legitime Bedrohungen. Bei 63 Prozent sie zunehmend neuere Software-Technologien, um Abbildungdieser Bedrohungen 68 Gezielte werden Angriffe die Probleme und behoben.APTs sind physische Prozesse zu erfassen, zu überwachen und die größten Bedenken ohne Benutzereingriff in Gang zu setzen. Diese cyber- Abbildung 68 Gezielte Angriffe und APTs sind die physische Konvergenz – die Integration von Software und größten Bedenken eingebetteten Systemen in physische Geräte – erhöht die Herausforderungen für Sicherheitsexperten. 42% gezielte Die Bedenken hinsichtlich der Sicherheit im Rahmen der Angriffe cyber-physischen Konvergenz reichen bis zur Supply Chain. Die Federal Energy Regulatory Commission (FERC) wies vor Kurzem die North American Energy Reliability Corporation (NERC) an, neue Standards für den Schutz kritischer Infrastrukturen zu entwickeln, die sich speziell an die Lieferkette der Versorgungsunternehmen richten. Die Versor- gungsunter- Standards sollen das Risikomanagement der Lieferkette nehmen für Hard- und Software und für die Computing- und Netzwerkdienste zusammen mit Abläufen des BES-Systems 40% Advanced- 52 (Bulk Electric System) abdecken. Persistent- Threats Gezielte Angriffe und APTs sind die größten Bedenken Gezielte Angriffe stehen bei den Sicherheitsexperten von Versorgungs- bzw. Energieunternehmen ganz oben auf Quelle: Cisco Security Capabilities Benchmark Study 2017 der Sorgenliste. Laut Sicherheitsexperten stellten gezielte Angriffe (42 Prozent) und Advanced Persistent Threats bzw. APTs (40 Prozent) die kritischsten Sicherheitsrisiken Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics für ihre Unternehmen dar (Abb. 68). Darüber hinaus nennen sie mobile Geräte, Nutzerverhalten, öffentliche Cloud-Datenspeicher, und Kundendaten als größte Herausforderungen für ihre Verteidigungsstrategien.

51 „Ukraine’s Power Grid Gets Hacked Again, a Worrying Sign for Infrastructure Attacks“, von Jamie Condliffe, MIT Technology Review, 2. Dezember 2016: technologyreview.com/s/603262/ukraines-power-grid-gets-hacked-again-a-worrying-sign-for-infrastructure-attacks/. 52 „Revised Critical Infrastructure Protection Reliability Standards”, US Federal Energy Regulatory Commission: ferc.gov/whats-new/comm-meet/2016/072116/E-8.pdf.

74 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Auch wenn der Eindruck entsteht, nur ein Bruchteil der da es in ihrer Region nur ein Versorgungsunternehmen legitimen Warnungen würde untersucht, werden unter den gibt, sind die Kundenabgänge (und somit Umsatzverluste) verschiedenen befragten Branchen die meisten Warnungen nicht so erheblich wie in anderen Branchen, in denen bei den Versorgungs- und Energieunternehmen eingedämmt. Geschäftsentscheidungen vom Wettbewerb bestimmt werden. Darüber hinaus ist eine Warnung nicht zwangsläufig eine Bedrohung. Sicherheitsexperten können Ressourcen Abbildung 6969 Sicherheitsexperten,Anzahl der Sicherheitsexperten, die sagen, dass dahingehend steuern, nur die Bedrohungen zu mindern, die dieSicherheitslücken sagen, dass zuSicherheitslücken Verbesserungen geführt haben (in Prozent) sich gravierend auf die Netzwerksicherheit auswirken können. Verbesserungen antreiben (in Prozent) Strikte Budgeteinschränkungen können den Einsatz 0% 0% 9% von outgesourcten Services fördern Überhaupt Nicht Einigermaßen Da Versorgungs- und Energieunternehmen strengen nicht besonders Regulierungen unterliegen, können sie kein zusätzliches Budget für die Sicherheit veranschlagen. Die Genehmigung zusätzlicher Gelder ist oft sehr kompliziert und zeitaufwendig. Das erklärt der Umfrage zufolge eventuell, warum immer mehr outgesourcte Sicherheitsservices 45% 46% in Anspruch genommen werden. Über 60 Prozent der In hohem Eine beträchtliche Sicherheitsexperten in Versorgungsunternehmen lagern Maße Menge Services teilweise aus. Darüber hinaus gab rund die Hälfte an, die Überwachungs- und Threat-Intelligence-Services an externe Anbieter auszulagern. Wiederum über die Hälfte der Sicherheitsexperten in diesen Unternehmen nannten Quelle: Cisco Security Capabilities Benchmark Study 2017 Kosteneffizienz und objektive Einblicke als wichtigste Hier können Sie die Grafiken für 2017 herunterladen: Gründe für das Outsourcing. cisco.com/go/mcr2017graphics Da strenge behördliche Auflagen erfüllt werden müssen, werden in den Versorgungseinrichtungen wahrscheinlich Angriffssimulationen und Übungen sind an der formelle Sicherheitsrichtlinien und standardisierte Prozesse Tagesordnung befolgt. Nahezu zwei Drittel der Sicherheitsexperten in Laut Sicherheitsexperten führen Versorgungsunternehmen Versorgungsunternehmen halten ihre Sicherheitsstrategie regelmäßig Übungen und Simulationen zur Aufdeckung in einem formellen Regelwerk fest und folgen einem von Schwachstellen in ihrer Sicherheitsinfrastruktur durch. Informationssicherheitsstandard wie ISO 27001 oder 92 Prozent erklärten, halbjährliche oder jährliche Übungen NIST 800-53. durchzuführen, oder Übungen, um Incident-Response- Pläne zu testen. 84 Prozent der Organisationen binden bei Öffentliche Sicherheitslücken treiben diesen Übungen ihre Sicherheitspartner mit ein. Verbesserungen voran Wenn in Versorgungsunternehmen Sicherheitslücken Darüber hinaus simulieren 78 Prozent mindestens einmal im öffentlich werden, sorgt dies für große Aufmerksamkeit. Quartal Angriffe auf ihre Organisationen. Bei etwas weniger Der Öffentlichkeit wird bewusst, dass die als der Hälfte der Unternehmen (45 Prozent) erklärten Versorgungsunternehmen Teil einer kritischen Infrastruktur Sicherheitsexperten, dass Angriffssimulationen geholfen sind und dass Sicherheitslücken ein enormes Risiko darstellen. hätten, Verbesserungen in hohem Maße voranzutreiben – Bei 61 Prozent der Versorgungsunternehmen ist ein z. B. Änderungen bei Sicherheitsrichtlinien, Prozessen Sicherheitsvorfall schon einmal an die Öffentlichkeit gelangt. und Technologien. Die hohe Zahl der Organisationen, die Angriffe simulieren, kann u. U. darauf hinweisen, dass Das Gute daran ist, dass solche Sicherheitslücken ein Sicherheitsexperten mehr automatisierte Tools einsetzen, verändertes Sicherheitsbewusstsein zur Folge haben mit denen sie Simulationen schneller und mit weniger können: 91 Prozent der Sicherheitsexperten erklärten, Arbeitsaufwand durchführen können. dass Sicherheitslücken zumindest in einem bescheidenem Maße zu Verbesserungen führten (siehe Abb. 69). Ein Versorgungsunternehmen sind mit den komplexesten Sicherheitsvorfall kann wertvolle Einblicke darüber bieten, wie Herausforderungen im Bereich der Cybersicherheit die Angreifer ins Netzwerk gelangt sind. So zeigen sich den konfrontiert. Dennoch gehören sie zu einer der führenden Sicherheitsbeauftragten die Eintrittspunkte und sie können Branchen hinsichtlich der Nutzung von Cybersicherheits- die Sicherheitsmaßnahmen entsprechend platzieren. Methodologien, Verfahren und Kontrollsystemen für die Gerätesicherheit. Die Bedrohungen entwickeln sich Ein Angriff auf das Netzwerk kann sich auch negativ auf stetig weiter. Ebenso müssen sich die Anbieter kritischer den Umsatz und die Kundenbindung auswirken. 29 Prozent Infrastruktur weiterentwickeln, damit Sicherheitsvorfälle der Sicherheitsexperten in Versorgungsunternehmen identifiziert, verhindert, aufgespürt, behandelt und behoben verzeichneten aufgrund von Angriffen im vergangenen Jahr werden können. Umsatzeinbußen. 21 Prozent verloren dadurch Kunden. Weil viele Verbraucher keine Vergleichsmöglichkeiten haben,

75 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Gesundheitswesen Abbildung 70 Gezielte AngriffeAngriffe sind stellen ein hohes hohes Die größten Bedenken der Branche Sicherheitsrisiko dar Im Gesundheitswesen werden die meisten sicherheitsrelevanten Entscheidungen von der Patientensicherheit bestimmt, abgesehen von den gesetzlichen Anforderungen und dem Schutz der Unternehmensanlagen. Leiter von Organisationen im Gesundheitswesen befürchten, die Angriffe 3von Organisationen7% im geschäftskritischer Geräte könnten das Leben der Gesundheitswesen Patienten gefährden. Auch sind sie besorgt darüber, sind der Meinung, dass der Datenfluss in kritischen Systemen durch Gesundheitswesen dass gezielte Angriffe hohe Sicherheitsrisiken Sicherheitsmaßnahmen zur Überwachung des für sie darstellen Netzwerkverkehrs und zur Erkennung von Bedrohungen gebremst werden könnte. Das könnte wiederum die Fähigkeit der medizinischen Fachleute zur Diagnose und Behandlung der Patienten beeinträchtigen. Neben dem Gesichtspunkt der Intensivmedizin erkennen Organisationen im Gesundheitswesen auch, dass sie Quelle: Cisco Security Capabilities Benchmark Study 2017 bei den Sicherheitssystemen den Schwerpunkt auf den Datenschutz der Patienten legen müssen – wie zum Beispiel Leider gibt es weit mehr Bedrohungen als Zeit und in den Vereinigten Staaten im Rahmen des Health Insurance Personal, diese zu untersuchen. Und das trifft auf viele Portability and Accountability Act (HIPAA) verlangt wird. Branchen zu. Mehr als 40 Prozent der Organisationen Die Vernetzung in Gesundheitseinrichtungen nimmt im Gesundheitswesen sind täglich mit Tausenden von immer mehr zu. Sicherheitsverantwortliche haben Sicherheitswarnungen konfrontiert, nur 50 Prozent davon deshalb auch Bedenken, was die Sicherheit konvergenter werden auch untersucht (siehe Abb. 71 nächste Seite). Netzwerke betrifft. In der Vergangenheit wurden Unter den von Sicherheitsteams im Gesundheitswesen komplexe medizinische Geräte, wie Bildarchivierungs- untersuchten Warnungen sind 31 Prozent legitime und Kommunikationssysteme (PACS), Infusionspumpen Bedrohungen – aber bei nur 48 Prozent dieser legitimen und Geräte zur Patientenüberwachung, in der Regel mit Vorfälle wird das Problem behoben. Datennetzwerken bereitgestellt, die von Anbietern verwaltet Laut Sicherheitsexperten von Cisco ist es wahrscheinlich, wurden. Damit waren die Geräte physisch von anderen dass weit weniger Warnungen untersucht werden als die Netzwerken getrennt. Da uns heute reichlich Bandbreite Sicherheitsbeauftragten im Gesundheitswesen glauben. Es zur Verfügung steht, sind die Gesundheitseinrichtungen kann auch der Fall sein, dass eine bloße Blockierung der der Meinung, dass alle Daten ganz einfach über ein Bedrohung vor dem Eintritt ins Netzwerk fälschlicherweise gemeinsames Netzwerk laufen. Unter Verwendung logischer als Behebung der Bedrohung betrachtet wird. Es überrascht Segmentierung wird der Datenverkehr in unterschiedliche nicht, dass nur ein Bruchteil dieser Warnhinweise näher Typen eingeteilt, z. B. für klinische Geräte, Verwaltung verfolgt wird. Würden Sicherheits- und IT-Teams eine so oder Gast-Wi-Fi. Wenn diese Segmentierung jedoch nicht hohe Anzahl von Hinweisen bearbeiten, bliebe nicht mehr ordnungsgemäß durchgeführt wird, steigt das Risiko, dass viel Zeit für andere Aktivitäten, was sich wiederum auf Angreifer Zugriff auf kritische Daten oder Geräte erhalten. andere Geschäftsbereiche auswirken könnte. Sicherheitsteams im Gesundheitswesen fühlen sich durch gezielte Angriffe bedroht Ransomware-Angriffe haben auch im Gesundheitswesen bereits Schäden angerichtet. Gesundheitseinrichtungen sind ein attraktives Ziel für Cyberkriminelle, da sie wissen, dass die Sicherheit der Patienten um jeden Preis geschützt werden muss. Laut der Studie von Cisco stellen gezielte Angriffe für 37 Prozent der Unternehmen im Gesundheitswesen ein sehr hohes Risiko dar (siehe Abb. 70). Gezielte Cyberangriffe seien zudem noch beunruhigender als Sicherheitslücken, im Zusammenhang mit Geräteverlust und -diebstahl. Sie erfordern einen präziseren Ansatz für die Erkennung und Eindämmung von Bedrohungen.

76 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Abbildung 7171 TausendeTausende Warnhinweise, von Warnungen aber treten nur auf, Die scheinbare Fülle von Anbietern und Produkten, auf die wenigeraber weniger als die alsHälfte die wird Hälfte beseitigt werden behoben Sicherheitsexperten im Gesundheitswesen zurückgreifen, ist möglicherweise auf die Verwirrung oder mangelnde Transparenz bei der Frage zurückzuführen, welche Tools genau verfügbar sind. Wie sich aus der Security Capabilities Organisationen im Benchmark Study ergibt, haben Chief Information Security Gesundheitswesen Officer (CISOs) und Security Operations Manager oft eine erhalten täglich unterschiedliche Sicht auf die verwendeten Sicherheitstools. Sicherheitsverantwortliche auf Führungsebene, die Tausende sich nicht mit dem alltäglichen Sicherheitsmanagement Sicherheitswarnungen beschäftigen, haben vielleicht kein so umfassendes Verständnis über alle Tools in ihren Netzwerken.

Die Bewältigung alltäglicher Bedrohung und das Management verschiedener komplexer Lösungen ist für Gesundheitseinrichtungen eine noch größere Herausforderung, da es oft an geschultem Personal fehlt. Etwa die Hälfte der Sicherheitsexperten gab an, dass 50% weniger als 30 Mitarbeiter für die Sicherheit verantwortlich untersuchte sind; 21 Prozent sagten, dass der Mangel an geschultem Warnungen Personal ein großes Hindernis für die Einführung erweiterter Sicherheitsprozesse und -technologien sei.

Große Sicherheitsteams findet man in Gesundheitseinrichtungen nur selten. Laut den Experten von Cisco kann die Definition eines Sicherheitsmitarbeiters 31% von Organisation zu Organisation unterschiedlich sein. Das legitime kann die Auffassung darüber, wie groß das Sicherheitsteam Bedrohungen sein sollte, beeinflussen. Zum Beispiel kann IT-Personal als Teil des Sicherheitsteams betrachtet oder aber nur vorübergehend eingebunden werden.

Der Nutzen der Datenverkehrssegmentierung 48% Da es hier um die Gesundheit und Sicherheit von Patienten behoben geht, müssen bestimmte Systeme oder Geräte sich an unterschiedliche Sicherheitsprotokolle halten. Es Quelle: Cisco Security Capabilities Benchmark Study 2017 entstehen also Ausnahmen. Medizinische Geräte sind teuer und sollen für mehrere Jahre erhalten bleiben. Daher werden ihre Software und Betriebssysteme oft nicht so häufig aktualisiert. Dennoch müssen sie Herausforderungen für das Management: zu wenig zuverlässig funktionieren. Laut Sicherheitsexperten ist es geschultes Personal, zu komplexe Lösungen für Gesundheitseinrichtungen besser, den Datenverkehr Viele Organisationen im Gesundheitswesen reagieren auf zwischen Netzwerk und kritischen Geräten zu trennen Sicherheitsprobleme mit einem komplexen Lösungsmix. und zu segmentieren. Auch eine Verbesserung der Nahezu 60 Prozent gaben an, dass ihre Organisationen Sicherheitsinfrastruktur und Netzwerksegmentierung Lösungen von mehr als sechs Anbietern nutzen, während kann den Umgang mit solchen Ausnahmen und den 29 Prozent auf Lösungen von mehr als zehn Anbietern einhergehenden alternativen Kontrollmechanismen erleichtern. zurückgreifen. Darüber hinaus gaben zwei Drittel der Sicherheitsexperten an, dass sie sechs oder mehr Gesundheitseinrichtungen verfügen im Durchschnitt über Sicherheitsprodukte verwenden, während 41 Prozent 34 signifikante administrative Ausnahmen; 47 Prozent mehr als zehn Produkte einsetzen. davon erfordern alternative Kontrollmechanismen. Im Idealfall sollte es so wenig Ausnahmen und alternative Kontrollmechanismen wie möglich geben, denn dies kann zu Schwachstellen in der Bedrohungsabwehr führen.

77 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Transport- und Verkehrswesen Laut den Sicherheitsteams im Transport- und Die größten Bedenken der Branche Verkehrswesen müssen die Daten am Netzwerkübergang Die Technologie-Infrastruktur im Transport- und sitzen und in Echtzeit zur Verfügung gestellt werden, Verkehrswesen baute ursprünglich auf geschlossenen, wenn die Anforderungen an den Datenzugriff erfüllt proprietären Systemen auf. Auch diese Branche wechselt zu werden sollen. Ein kontrollierter Datenzugriff und die einem moderneren Netzwerk. Die Sicherheitsverantwortlichen Bereitstellung dieser Daten an berechtigte Nutzer ist für die fürchten jedoch, dass sie während dieser Übergangsphase Sicherheitsverantwortlichen eines der größten Probleme. anfälliger für Angriffe sind. Dennoch, der Wandel hin zu Ein Problem, das mit der Abschaffung geschlossener, vernetzten IP-Systemen ist aufgrund der steigenden proprietärer Systeme noch größer wird. Außerdem wird Wartungskosten und Komplexität der bestehenden davon ausgegangen, dass nicht nur immer mehr, sondern Systeme unumgänglich. auch immer komplexere Bedrohungen bewältigt werden Die Anforderungen der Verbraucher steigen zudem. Ihr müssen. 35°Prozent der Sicherheitsexperten im Transport- Wunsch nach neuen Sicherheits- und Mobilitätsservices und Verkehrswesen werden täglich mit Tausenden von kann mit der bestehenden Kommunikationsinfrastruktur Warnungen konfrontiert. Nur 44 Prozent davon werden nicht erfüllt werden. Der Wunsch nach einer umfassenden untersucht. Unter den untersuchten Warnungen gelten Vernetzung und Interaktion ist groß: Flughäfen, 19 Prozent als legitime Bedrohungen. Nur bei 33 Prozent Fluggesellschaften, Schienenverkehr (Personen und Güter), dieser Bedrohungen wird das Problem behoben. Straßennetze, vernetzte Fahrzeugflotten, Social-Media- Talentmangel treibt Service-Outsourcing an Auftritte von Verkehrsbetrieben, Ticketkauf über Mobilgeräte Erfahrene Sicherheitsexperten könnten die oder der Einsatz von mobilen Apps in Fahrzeugen... alles Herausforderungen im Transport- und Verkehrswesen ist vernetzt. Diese vernetzten Systeme sollen aber auch bewältigen. Die Frage ist nur, ob diese Organisationen einfach zu benutzen sein, und je mehr Millenials in diesen auch die richtigen Talente an sich binden können. Mehr Organisationen einsteigen, desto wichtiger wird der Aspekt als die Hälfte der Sicherheitsexperten im Transport- und der Benutzerfreundlichkeit. Verkehrswesen geben an, dass weniger als 30 Mitarbeiter Starke Bedrohung durch Advanced-Persistent-Threat für die Sicherheit zuständig sind. 29 Prozent betrachten und vernetzte Geräte den Mangel an geschultem Personal als Haupthindernis Da Transportunternehmen komplexe und vernetzte für die Einführung erweiterter Sicherheitsprozesse und Infrastrukturen nutzen und die Auswirkungen der -technologien. zunehmenden Netzwerkfläche beobachten, kommen Die Sicherheitsfunktionen werden immer ausgereifter und unterschiedliche Bedrohungen ans Licht. Mehr als ein Drittel spezifischer. Daher sinkt auch die Wahrscheinlichkeit, dass der Sicherheitsexperten im Transport- und Verkehrswesen Organisationen im Transport- und Verkehrswesen die sind der Überzeugung, dass Advanced-Persistent- richtigen Talente an sich binden können. Zur Absicherung Threat und die Verbreitung von BYOD sowie intelligenten der kritischen nationalen und lokalen Infrastruktur müssen Geräten hohe Sicherheitsrisiken für ihre Unternehmen die Verkehrsbetriebe entsprechend geschulte und fähige darstellen. Darüber hinaus zählen für 59 Prozent der Mitarbeiter einstellen und diese auch halten. Sicherheitsexperten die Cloud-Infrastruktur und mobile Geräte zu den Risiken mit den größten Herausforderungen Da das interne Fachwissen oft fehlt, wenden sich viele hinsichtlich der Bedrohungsabwehr (siehe Abb. 72). Unternehmen im Transport- und Verkehrswesen an externe Anbieter. Fast die Hälfte gab an, dass sie einige Abbildung 7272 BedrohungsabwehrCloud-Infrastruktur in derund Cloud- mobile oder alle Sicherheitsaufgaben outsourcen. Kosteneffizienz GeräteInfrastruktur sind und am bei schwersten mobilen Geräten zu schützen am schwierigsten (52 Prozent) und objektive Einblicke (44 Prozent) sind dabei die Hauptgründe für die Auslagerung der Sicherheitsservices.

Sicherheitsstandards wie ISO 27001 oder NIST 800-53 können Organisationen im Transport- und 59% Verkehrswesen helfen, wichtige Sicherheits-Benchmarks der Sicherheitsexperten zu erfüllen. 54 Prozent der Sicherheitsexperten im sind der Meinung, dass Transport- und Verkehrswesen folgen standardisierten Cloud-Infrastruktur und Informationssicherheitsrichtlinien, während zwei Drittel mobile Geräte zu den größten schriftlichen formellen Sicherheitsstrategien folgen Herausforderungen in der Abwehr von Angriffen zählen (siehe Abb. 73).

Quelle: Cisco Security Capabilities Benchmark Study 2017

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

78 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Zudem gibt es Anzeichen dafür, dass die Unternehmen Angriffssimulationen führen zu Verbesserungen im Transport- und Verkehrswesen erkennen, warum eine Die Tatsache, dass das Transportwesen wie auch andere flächendeckende und integrierte Sicherheit so wichtig streng regulierte Branchen als kritische Infrastruktur ist und dass nicht einfach nur viele Einzellösungen betrachtet wird, kann Entscheidungen in puncto Sicherheit angeschafft werden sollten. 75 Prozent der Organisationen vorantreiben. Beispielsweise führen fast 80 Prozent der im Transport- und Verkehrswesen verfügen über ein Sicherheitsexperten im Transport- und Verkehrswesen Security Operations Center (SOC) und 14 Prozent planen mindestens alle drei Monate Angriffssimulationen in ihren zumindest die Erstellung eines SOC. Darüber hinaus Organisationen durch. Darüber hinaus erklärt rund die geben fast 90 Prozent der Sicherheitsexperten an, dass Hälfte, dass die Ergebnisse der Angriffssimulationen zu ihr Unternehmen an einer Sicherheitsnormungsinstitution deutlichen Verbesserungen der Sicherheitsrichtlinien, oder einem Branchenverband wie PT-ISAC oder ST-ISAC -prozessen und -technologien geführt haben. mitwirken. Auch öffentliche Sicherheitslücken können Änderungen Abbildung 73 Sicherheitsexperten im Transport- und bewirken. Bei 48 Prozent der Sicherheitsexperten im AbbildungVerkehrswesen, 73 Sicherheitsexperten die Sicherheitsstandards im befolgen Transport- und Verkehrswesen ist ein Sicherheitsvorfall Transportwesen,(in Prozent) die standardisierte schon einmal an die Öffentlichkeit gelangt. Während nur Praktiken verfolgen (in Prozent) 34 Prozent aussagten, dass Sicherheitslücken „in hohem Maße“ zur Verbesserung der Sicherheit beigetragen haben, waren 83 Prozent der Meinung, dass sie Verbesserungen in einem zumindest „bescheidenem Maße“ zur Folge hatten.

Eine Sicherheitsverletzung kann auch langfristige Auswirkungen auf die gesamte Branche haben, die über die reinen Bemühungen zur Risikominimierung hinausgehen. 31 Prozent der Sicherheitsexperten sagten aus, dass ihre Organisationen im vergangenen Jahr 54% 2/3 Umsatzeinbußen aufgrund von Angriffen einstecken der Sicherheitsexperten im der Sicherheitsexperten im mussten. Der durchschnittliche Umsatzverlust lag bei Transportwesen befolgen in der Transportwesen befolgen 9 Prozent. 22 Prozent haben aufgrund eines Angriffs Praxis eine standardisierte schriftliche formelle Kunden verloren, 27 Prozent sprechen von verlorenen Informationssicherheitsrichtlinie Sicherheitsstrategien Geschäftsmöglichkeiten.

Quelle: Cisco Security Capabilities Benchmark Study 2017

79 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Abbildung 74 Finanzdienstleister, die Lösungen Finanzwesen vonAbbildung 6 oder 74 mehr Finanzdienstleister, Anbietern verwenden die Lösungen (in Prozent) von Die größten Bedenken der Branche sechs oder mehr Anbietern verwenden (in Prozent) Finanzdienstleister sind für Cyberkriminelle lukrative Ziele. Die Fülle der Kundenfinanzdaten sowie der Zugang zu 6 und mehr Benutzernamen und Kennwörtern von Kundenkonten sind ein verlockender Anreiz für einen Angriff. In der Tat wurden 10 und Anbieter mehr einige Malware-Typen speziell für die Kompromittierung von Finanzdienstleisternetzwerken entwickelt. Beispiele sind die Malware Dridex (Diebstahl von Anmeldedaten) und der53 Trojaner Zeus.54

Sicherheitsexperten aus dem Finanzwesen wissen, dass sie einen wirksamen Schutz vor der ausgereiften Finanzdienstleister 29 % Malware der Angreifer benötigen. Sie wissen aber auch, dass ein komplizierter Anbieter- und Produktmix die Komplexität erhöht, was dazu führt, dass Bedrohungen sogar noch verschleiert werden. Auch die Integration 57 % älterer Anwendungen in neue Technologien, ohne dass Sicherheitslücken entstehen, gehört zu den schwierigen Aufgaben der Sicherheitsteams. Quelle: Cisco Security Capabilities Benchmark Study 2017 Da einige Finanzdienstleister mit Fintech-Unternehmen (Finanztechnologie) zusammenarbeiten, nimmt ihrer Meinung nach die Angriffsfläche potenziell zu und wird Laut Sicherheitsexperten von Cisco ist es in dieser immer komplexer. Wie kann bei solchen Partnerschaften Branche üblich, innerhalb eines Unternehmens Produkte ein angemessener Schutz der Kundendaten sichergestellt von mehr als 30 Anbietern einzusetzen. Um auf neue werden? Wie können Finanzdienstleister bei der Bedrohungen schnell und effektiv reagieren zu können, Zusammenarbeit mit externen Unternehmen die strengen sollten sich diese Organisationen darauf konzentrieren, regulatorischen Anforderungen einhalten? Und wie will ihre Sicherheitsarchitekturen zu vereinfachen: weniger die Branche die Herausforderungen im Bereich der Tools, mehr Integration. Sind mehrere Produkte im Einsatz, Sicherheit der kommenden Jahre bewältigen? werden diese meist separat voneinander betrieben. Einzeln Finanzdienstleister müssen nicht nur die Sicherheit, betrachtet sind diese Produkte zwar effektiv, aber wenn sie sondern auch die Compliance gewährleisten. In vielen nicht integriert sind, können sie keine Informationen teilen stark regulierten Branchen gibt es die Tendenz, zu glauben, und korrelieren, was dazu führt, dass die Sicherheitsteams dass sich Sicherheitsprobleme durch die Erfüllung der widersprüchliche Warnhinweise und Berichte erhalten. Compliance-Anforderung lösen lassen. Compliance- Eine hohe Anzahl an Produkten hat auch Einfluss auf die Anforderungen, wie z. B. die Netzwerksegmentierung, Fähigkeit der Bedrohungserkennung. 46°Prozent der helfen sicherlich, Daten zu schützen, aber sie sind nur Sicherheitsexperten im Finanzwesen werden täglich mit Teil einer Lösung, die Sicherheitslücken verhindern und Tausenden von Warnungen konfrontiert. Nur 55 Prozent Bedrohungsanalysen durchführen soll. davon werden untersucht. 28 Prozent der untersuchten Multivendor-Umgebung schafft mehr Verwirrung Bedrohungen gelten als legitim – doch bei nur 43 Prozent als Klarheit werden die Probleme behoben. Bei Finanzdienstleistern ist eine Multivendor-Umgebung Die hohe Anzahl der Warnmeldungen lässt sich geläufig. 57 Prozent der Finanzdienstleister nutzen möglicherweise auf die vielen nicht integrierten Produkte Lösungen von mindestens sechs Anbietern, während unterschiedlicher Anbieter zurückführen. Die Incident- 29 Prozent sogar auf mehr als zehn Anbieter zurückgreifen Response-Teams können eventuell auch nur schwer (siehe Abb. 74). Zwei Drittel der Finanzdienstleister nutzen erkennen, welche Warnungen mehrfach vorhanden oder sechs Sicherheitsprodukte und 33 Prozent mehr als zehn. von niedriger Priorität sind. Ohne Integration ist die Fähigkeit der Sicherheitsteams zur Korrelation und Analyse von Bedrohungen eingeschränkt.

53 „Dridex Attacks Target Corporate Accounting“, von Martin Nystrom, Cisco Security Blog, 4. März 2015: blogs.cisco.com/security/dridex-attacks-target-corporate-accounting. 54 „Zeus Trojan Analysis“, von Alex Kirk, Cisco Talos Blog: talosintelligence.com/zeus_trojan.

80 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Cisco Midyear Cybersecurity Report 2017

Die Digitalisierung ermöglicht Verbesserungen Einführung von Standards und Normen sollte sich Durch die Zusammenarbeit der Finanzdienstleister mit beschleunigen Fintech-Unternehmen entdecken sie neue Strategien Wenn die Finanzdienstleister die digitalen Anforderungen zur Verbesserung der Sicherheit, wie z. B. die formelle der Kunden auf sichere Weise erfüllen möchten, müssen Festlegung der Verantwortlichkeiten für den Datenschutz. Sie neue Richtlinien und Prozesse schneller einführen. Nahezu die Hälfte der Finanzdienstleister ist der Meinung, Bisher haben 63 Prozent der Finanzunternehmen formelle dass die Unternehmensdigitalisierung einen großen Einfluss schriftliche Sicherheitsstrategien verfasst. Nur 48 Prozent auf die Sicherheit hat. Rund 40 Prozent gaben an, dass befolgen IT-Sicherheitsnormen wie ISO 27001 oder Fintech, DevOps und bimodale IT die Sicherheit in hohem NIST 800-53. Die Finanzbranche ist eine konservative Maße beeinflussen (siehe Abb. 75). Branche. Sicherheits- und IT-Verantwortliche in diesem Bereich sind, was die Einführung neuer Standards und So muss ein Finanzdienstleister, der mit einem Fintech- deren Integration in die aktuelle Sicherheitsstrategie betrifft, Partner zusammenarbeitet, festlegen, wie Kundendaten sehr langsam. geschützt bleiben, insbesondere in einer Cloud-Umgebung. Die Partner müssen auch gemeinsame Prozesse zur Ein weiterer Bereich, in dem Finanzdienstleister Vermeidung von Sicherheitsvorfällen bestimmen. Wenn sich Verbesserungen erzielen können, ist die Aufgabe, dass dann ein Vorfall ereignet, müssen beide Parteien reagieren. auch die Anbieter sich an etablierte Geschäftspraktiken halten. Nur 37 Prozent verlangen von ihren Anbietern Abbildung 7575 DerAuswirkungen Einfluss der Digitalisierung des Digital Business auf die für eine Zusammenarbeit die Einhaltung des Standards Sicherheit ISO 27001.

Laut Sicherheitsexperten von Cisco hat die Ausgereiftheit des Sicherheitsstatus eines Unternehmens Einfluss darauf, wie strikt die Anforderungen für die Anbieter sind. Große, etablierte Finanzdienstleister sind dazu womöglich besser in der Lage als kleinere Unternehmen.

50% 40% Die Digitalisierung FinTech, DevOps und beeinflusst die bimodale IT Sicherheit in hohem beeinflussen die Maße. Sicherheit in hohem Maße.

Quelle: Cisco Security Capabilities Benchmark Study 2017

Hier können Sie die Grafiken für 2017 herunterladen: cisco.com/go/mcr2017graphics

81 Herausforderungen in puncto Sicherheit und Möglichkeiten für Verteidiger Fazit Cisco Midyear Cybersecurity Report 2017

Fazit Seit fast einem Jahrzehnt veröffentlicht Cisco zweimal pro Darum sollte die Cybersicherheit unbedingt oberste Priorität Jahr einen Cybersecurity Report. In erster Linie sollen diese erhalten. Unternehmen müssen in Automatisierungs-Tools Berichte die Sicherheitsteams sowie die Unternehmen, die investieren, mit denen die Sicherheitsteams Warnhinweise sie unterstützen, über bekannte und neue Bedrohungen effektiv verwalten, wichtige Einblicke in die dynamischen und Schwachstellen informieren. Sie erhalten zudem Netzwerke erhalten und diese managen sowie tatsächliche Informationen darüber, wie sie ihre Unternehmen besser Bedrohungen schnell aufspüren und eindämmen können. vor Cyberangriffen schützen können. Außerdem müssen sie Zeit und Ressourcen aufwenden, um stets einen genauen Überblick über die IT-Umgebung Die Vielfalt der Informationen, die unsere zu haben und alle darin enthaltenen Elemente sicher Bedrohungsforscher und Technologiepartner im letzten bereitstellen und aktualisieren zu können. Bericht präsentiert haben, spiegelt die Komplexität der modernen Bedrohungslandschaft wider. Ein Großteil der Unterdessen muss auch die Security-Community weiter Untersuchungen zeigt auch, dass die Verteidiger nicht denken und einen Dialog darüber eröffnen, wie ein offenes nur Boden gegenüber den Angreifern gewonnen haben, Ecosystem geschaffen werden kann. Ein System, das es sondern mittlerweile auch viel besser verstehen, wie und den Kunden ermöglicht, speziell an ihre Unternehmen wo Cyberkriminelle tätig sind. angepasste Sicherheitslösungen zu implementieren, mit denen sie zudem ihre vorhandenen Investitionen Da das Ausmaß des IoT stetig zunimmt, gehen jedoch weiter nutzen können. In diesem System können alle davon aus, dass es kein leichter Kampf für die Verteidiger Sicherheitslösungen miteinander kommunizieren und werden wird. Wie in der Einleitung zu diesem Bericht bereits zusammenarbeiten, um Benutzer und Unternehmen zu beleuchtet wurde, gibt es Anzeichen für eine neue Art schützen. Die Verteidiger müssen gemeinsam gegen von Angriffen, die bedrohlicher und zerstörerischer als die die Bedrohungen des IoT-Zeitalters vorgehen, die eine Kampagnen der Vergangenheit sein werden. Die Angriffe verheerende Auswirkung auf alle Unternehmen haben. sind immer besser durchdacht und bergen ein enorm hohes Auswirkungspotenzial. Ziel ist es, Organisationen, egal ob groß oder klein, völlig lahmzulegen. Die Gegner wissen, dass kein Unternehmen über Krisenpläne verfügt, die genau festlegen, wie IT oder OT von Grund auf wiederhergestellt werden können. Und sie sind fest entschlossen, diese Schwachstelle zu ihren Gunsten auszunutzen.

83 Fazit Cisco Midyear Cybersecurity Report 2017

Cybersicherheit muss einen festen Platz in der Agenda der Geschäftsführung einnehmen Laut der neuesten Cisco Security Capabilities Sie müssen betonen, dass die Cybersicherheit ein Benchmark Study hat Sicherheit auf der Wachstumsfaktor und Alleinstellungsmerkmal für Führungsebene vieler Organisationen einen hohen das Unternehmen sein kann. Stellenwert. Die Sicherheitsverantwortlichen sind überzeugt, dass die Führungsteams •• Wenn Sie das Management oder den Vorstand Sicherheitsthemen weiterhin weit oben auf der über einen Cyberangriff informieren, dann erklären Liste der wichtigsten Unternehmensziele sehen. Sie klar und deutlich, welche Auswirkungen Der Aussage, dass die Unternehmensleitung das Unternehmen zu erwarten hat, (zum der Sicherheit eine hohe Priorität beimisst, Beispiel, wie viele Mitarbeiter oder Kunden stimmten im Jahr 2016 jedoch nur 59 Prozent der betroffen sind, welche wertvollen Informationen Sicherheitsverantwortlichen vollständig zu – ein kompromittiert wurden), welche Maßnahmen das leichter Rückgang von den im Jahr 2015 gemessenen Sicherheitsteam ergreift, um die Bedrohung unter 61 Prozent und den im Jahr 2014 ermittelten Kontrolle zu halten und zu untersuchen, und wie 63 Prozent. lange es dauern wird, bis der normale Betrieb wieder aufgenommen wird. Dieser Vertrauensverlust ist aber vielleicht unberechtigt. Vor allem den Chief Information •• Versuchen Sie, andere Führungskräfte Security Officers (CISOs) ist möglicherweise nicht einzubinden, auch außerhalb der klar, dass das leitende Management und der Technologieabteilung. Durch eine regelmäßige Vorstand Cybersicherheit nicht nur als höchste Zusammenarbeit mit verschiedenen Priorität betrachten, sondern auch gerne mehr Führungskräften im Unternehmen – dem Chief darüber erfahren möchten. Sie wünschen womöglich Information Officer, Chief Technology Officer, bessere und mehr Informationen. Chief Audit Executive und Chief Risk Officer, um nur einige zu nennen – erhalten CISOs einen Laut der Public Company Governance Umfrage direkten Kontakt zum leitenden Management 2016–2017 der National Association of Corporate 55 und dem Vorstand. Dadurch besteht auch eine Directors (NACD) ist rund ein Viertel der Vorstände bessere Möglichkeit, sich einen Platz am mit der Berichterstattung des Managements zur Tisch der Geschäftsführung zu sichern, um Cybersicherheit unzufrieden. Mit den erhaltenen Sicherheitsstrategien zu besprechen und Informationen ist kein effektives Benchmarking dazu beizutragen, ein umfassendes möglich und die Informationen über Probleme sind Sicherheitsprogramm für die Organisation nicht transparent und zudem schwer zu interpretieren. aufzustellen. In demselben Bericht waren nur 14 Prozent der Befragten der Meinung, dass ihr Vorstand ein hohes CISOs fällt es oft schwer, ausreichend Mittel für ihre Maß an Verständnis von Cyberrisiken hat. Sicherheitsinitiativen aufzutreiben. Es ist möglich, dass sie nicht realisieren, dass sich jetzt der ideale Laut Sicherheitsexperten der SAINT Corporation, ein Zeitpunkt bieten könnte, um mit der Geschäftsführung Cisco Partner und Anbieter von Sicherheitslösungen, über eine Budgeterhöhung zu sprechen. Laut haben CISOs eine klare Chance, diese der IT-Trends-Studie der Society for Information Wissenslücke zu füllen. Dazu müssen jedoch einige Management (SIM) von 2017 ist Cybersicherheit Voraussetzungen erfüllt sein: heute der drittgrößte Bereich, in den Unternehmen •• Sie müssen Informationen auf sinnvolle und investieren.56 Im Jahre 2013 belegte sie noch nützliche Weise bereitstellen. Berichte über Platz 14 dieser Liste. Laut SIM-Umfrage stand die Cyberrisiken oder Sicherheitsanforderungen der Cybersicherheit bei den Befragten (IT-Leiter) zudem Organisation sollten nicht übermäßig technisch an zweiter Stelle unter den IT-Bereichen, die größere sein. Sie müssen versuchen, die Gespräche zum Investitionen erhalten sollten, und an erster Stelle Thema Cybersicherheit auf klassische Risiken auf der Liste der Informationstechnologien, die ihnen auszurichten, denen das Unternehmen ausgesetzt persönlich den größten Anlass zur Sorge bereiten.57 ist, und die geschäftlichen Prioritäten und gewünschten Ergebnisse daran ausrichten.

55 Daten, Informationen und Inhalte stammen direkt und mit freundlicher Genehmigung aus der Public Company Governance Umfrage 2016–2017 der National Association of Corporate Directors (NACD). Die Studie kann auf der Website der NACD unter nacdonline.org/Resources/publicsurvey.cfm?ItemNumber=36843 heruntergeladen werden. 56 Society for Information Management IT Trends Study, Kappelman, L. A., et al. (2017). Die Studie kann auf der Website der SIM unter simnet.org/members/group_content_view. asp?group=140286&id=442564 heruntergeladen werden. 57 Ibid.

84 Fazit Informationen zu Cisco Cisco Midyear Cybersecurity Report 2017

Informationen zu Cisco Cisco bietet intelligente Lösungen für die IT-Sicherheit und Eine hochmoderne Infrastruktur, unterstützt durch verfügt über das branchenweit umfangreichste Portfolio branchenführende Systeme, wertet die Telemetriedaten an Systemen für eine fortschrittliche Bedrohungsabwehr, aus. Dies ermöglicht maschinelles Lernen, es können die unterschiedlichste Angriffsvektoren abdecken. Durch Bedrohungen für Netzwerke, Rechenzentren, Endpunkte, seinen bedrohungsorientierten und operationalisierten Mobilgeräte, virtuelle Systeme, das Internet, den Ansatz verringert Cisco die Komplexität und verhindert die E-Mail-Verkehr und die Cloud nachverfolgt sowie Fragmentierung von Sicherheitstools. Dies ermöglicht ein Ursachen ermittelt und Outbreaks analysiert werden. hohes Maß an Transparenz, konsistente Kontrollen und Die so gewonnenen Informationen fließen direkt in den einen intelligenten Bedrohungsschutz vor, während und Echtzeitschutz der Produkte und Services ein, die bei nach einem Angriff. Cisco Kunden weltweit im Einsatz sind.

Die Forschungsgruppe des Collective Security Intelligence (CSI) Ecosystem ermittelt Entwicklungen in Weitere Informationen zum der Bedrohungslandschaft anhand von Telemetriedaten bedrohungsorientierten Sicherheitsansatz von aus zahllosen Geräten und Sensoren, öffentlichen Feeds Cisco finden Sie unter www.cisco.com/web/DE/ sowie der Open-Source-Community. Dazu werden jeden products/security/index.html. Tag mehrere Milliarden Internetanfragen sowie Millionen von E-Mails, Malware-Stichproben und Netzwerk- Zugriffsversuche analysiert.

Mitwirkende am Cisco Midyear Cybersecurity Report 2017

Cisco CloudLock Cisco Security Incident Response Services (CSIRS) Cisco CloudLock bietet Cloud Access Security Broker Das Cisco Security Incident Response Services Team (CASB)-Lösungen, die Unternehmen bei der sicheren (CSIRS) unterstützt Cisco Kunden durch umfassendes Nutzung der Cloud unterstützen. CloudLock bietet Know-how, Security-Lösungen der Enterprise-Klasse, Transparenz und Kontrolle für alle Benutzer, Daten und hochmoderne Response-Techniken und seit langem Anwendungen in Software-as-a-Service (SaaS)-, Platform- bewährte Verfahren zur Abwehr von Cyberangriffen as-a-Service (PaaS)- und Infrastructure-as-a-Service dabei, Angriffe proaktiv zu vereiteln, im Ernstfall (IaaS)-Umgebungen mithilfe von aussagekräftigen Daten zur schnell zu reagieren und den Geschäftsbetrieb zügig Cybersicherheit, die von Datenanalysten seines CyberLabs wiederherzustellen. erfasst und durch Sicherheitsanalytik von Crowdsourcing- Quellen ergänzt werden. Cognitive Threat Analytics Cisco Cognitive Threat Analytics ist ein Cloud-basierter Cisco Computer Security Incident Response Team Dienst, der Sicherheitsverletzungen, Aktivitäten von Malware (CSIRT) in geschützten Netzwerken und andere Bedrohungen Cisco CSIRT ist Teil der Ermittlungsabteilung des Cisco mittels statistischer Analysen des Netzwerkdatenverkehrs Corporate Security Programme Office und bietet Cisco erkennt. Der Dienst identifiziert die Symptome von Malware- maßgeschneiderte Sicherheitsüberwachungsdienste an, um Infektionen oder Datenschutzverletzungen anhand von Cisco vor Cyberangriffen und dem Verlust seiner geistigen Verhaltensanalysen und Anomalie-Erkennung und schließt Vermögenswerte zu schützen. CSIRT ist das interne Team so die Lücken von Abwehrsystemen am Perimeter. Neben für Cyber-Untersuchungen und -Forensik von Cisco. Die fortschrittlichen statistischen Modellen bringt Cognitive vorrangige Aufgabe von CSIRT ist, sicherzustellen, dass Threat Analytics maschinelles Lernen zum Einsatz. So Unternehmen, System und Daten durch umfassende können neue Bedrohungen selbständig erkannt und der Untersuchungen der Sicherheitsvorfälle geschützt werden. Schutz laufend optimiert werden. Es soll zudem dazu beizutragen, dass solche Vorfälle durch eine proaktive Bedrohungsanalyse, geplante Eindämmung, Trendanalysen von Vorfällen und eine Überprüfung der Sicherheitsarchitektur verhindert werden.

86 Informationen zu Cisco Cisco Midyear Cybersecurity Report 2017

Commercial West Sales Portfolio Solutions Marketing Team Commercial West Sales konzentriert sich auf den Dialog Das Portfolio Solutions Marketing Team konzentriert sich mit Cisco Kunden zum Thema Sicherheit, die Durchführung auf die Erstellung und Bereitstellung von Botschaften von SAFE Workshops für Kunden und die Beratung der und Inhalten, mit denen das Cisco Security-Portfolio als Sicherheitsverantwortlichen der Kunden zum besseren integrierte End-to-End-Security-Lösung beworben wird. Schutz ihrer Organisation und zur Minderung der allgemeinen Risiken. U.S. Public Sector Organization Die Cisco U.S. Public Sector Organization widmet sich dem Global Government Affairs Schutz der Vereinigten Staaten. Wir kommunizieren mit der Cisco engagiert sich auf verschiedenen Regierungsebenen US-Regierung, den US-Landes- und -Bundesbehörden für die Gestaltung von wachstums- und und dem Bildungsmarkt. Wir verbinden Menschen und innovationsfreundlichen Regelwerken, die Wirtschaft, Politik Technologie, wir schaffen Innovationen in allen Bereichen. und Zivilgesellschaft voranbringen. Im engen Austausch mit Wir kennen die geschäftlichen Herausforderungen unserer Interessenvertretern und Branchengruppen ist Cisco dabei Kunden und können unsere Lösungen an ihre individuellen auf globaler und nationaler ebenso wie auf regionaler Ebene Anforderungen anpassen. Wir bauen Beziehungen auf, wir tätig. Das Team von Global Government Affairs vereint die vereinfachen Technologie und wir unterstützen Kunden auf umfangreiche Erfahrung von ehemaligen Mandatsträgern, der ganzen Welt bei der Erfüllung ihrer Mission. Parlamentariern, Behördenvorständen, Beamten der US-Regierung und anderen Experten für wirtschafts- und Security Business Group Technical Marketing gesellschaftspolitische Belange, die auf ein gemeinsames Das Security Business Group Technical Marketing Team Ziel hinarbeiten: Die Förderung von Wohlstand durch die bietet fundiertes Fachwissen und Branchenkenntnisse und sichere Nutzung von Technologie. somit Unterstützung bei allen Managemententscheidungen hinsichtlich der Cisco Security-Produkte. Das Expertenteam Global Industrial Marketing unterstützt zahlreiche Cisco Teams aus den Bereichen Das Cisco Global Industrial Marketing Team konzentriert Engineering, Marketing, Vertrieb und Services bei der sich auf die Fertigungsbranche, Versorgungsunternehmen Erklärung und Bewältigung komplexer Technologien und die Öl-und Gasindustrie. Das Team ist verantwortlich und Prozesse, welche die Sicherheit der Cisco für branchenspezifische Thought Leadership, einschließlich Kunden gewährleisten. Aufgrund Ihrer tiefgreifenden individueller Nutzenversprechen, Lösungen und Fachkenntnisse, sind Ihre Publikationen und Vorträge in Markteinführungskampagnen, um die Kunden bei der Branchenkreisen sehr gefragt. digitalen Transformation ihrer Unternehmen zu unterstützen. Es arbeitet zudem mit Kunden, Kollegen, Kundenteams, Security Research and Operations (SR&O) Analysten, der Presse und andere externen und internen Die Security Research and Operations (SR&O) sind für Zielgruppen zusammen und nutzt Echtzeitanalysen für das Bedrohungs- und Schwachstellenmanagement branchenspezifische Strategien, Markteinführungsstrategien, aller Produkte und Services von Cisco verantwortlich Pläne und gezielte Botschaften. und koordinieren die Aktivitäten des branchenführenden Product Security Incident Response Team (PSIRT). Auf IPTG Connected Car Veranstaltungen wie Cisco Live und Black Hat bieten die Das IPTG Connected Car Team bietet Erstausrüstern in SR&O in Zusammenarbeit mit Cisco Partnern und anderen der Automobilbranche (Original Equipment Manufacturers, Branchenvertretern eine Anlaufstelle bei Fragen bezüglich OEMs) Unterstützung bei der Verbindung, Konvergenz, aktueller Entwicklungen in der Bedrohungslandschaft. Sicherung und Digitalisierung der fahrzeuginternen Daneben sind die SR&O an der Bereitstellung von neuen Netzwerke. Services wie Cisco Custom Threat Intelligence (CTI) beteiligt, mit der Indicators-of-Compromise erkannt werden IoT können, die anderen Sicherheitsinfrastrukturen entgangen Die Security Technology Group entwickelt Tools, Prozesse sind. und Inhalte zur Identifizierung und Minderung von Bedrohungen in vernetzten Umgebungen.

87 Informationen zu Cisco Cisco Midyear Cybersecurity Report 2017

Security and Trust Organization gegenüber Kunden umfassend sichergestellt werden. Die Security and Trust Organization ist für den Schutz der Weitere Informationen finden Sie unter trust.cisco.com. Kunden von Cisco aus dem öffentlichen und privaten Sektor verantwortlich. Der Fokus liegt dabei nicht nur auf der Talos Security Intelligence & Research Group konsistenten Anwendung der Grundsätze der Cisco Secure Talos ist die Threat-Intelligence-Organisation von Cisco. Development Lifecycle and Trustworthy Systems über das Die Talos Forschungsgruppe ermittelt unter Einsatz gesamte Produkt- und Serviceportfolio von Cisco hinweg, hochmoderner Systeme wichtige Daten aus der sondern auch auf dem Schutz von Cisco vor den komplexen Bedrohungslandschaft, die es den Produkten von Cisco Bedrohungen von heute. Sicherheit und Vertrauen ermöglichen, bekannte und neue Bedrohungen zu schließen bei Cisco Menschen und Richtlinien ebenso erkennen, zu analysieren und abzuwehren. Das Team wie Prozesse und Technologien ein. Denn erst auf dieser von Talos aktualisiert die offiziellen Regelsätze von Basis können Informationssicherheit, vertrauenswürdige Snort.org, ClamAV und SpamCop und liefert seine Technik, Datenschutz und Privatsphäre, Cloud-Sicherheit, Forschungsergebnisse an das Cisco CSI Ecosystem. Transparenz und Nachvollziehbarkeit sowie Zuverlässigkeit

Cisco Midyear Cybersecurity Report 2017 Technologiepartner

Die Threat-Intelligence-Lösungen der Anomali-Suite Qualys, Inc. (NASDAQ: QLYS) ist ein Pionier und unterstützen Organisationen bei der aktiven Erkennung führender Anbieter von Cloud-basierten Sicherheits- und und Untersuchung von sowie der Reaktion auf Compliance-Lösungen mit mehr als 9.300 Kunden in Cyberbedrohungen. Die preisgekrönte Threat Intelligence- über 100 Ländern, darunter einen Großteil der Forbes Plattform ThreatStream bündelt und optimiert Millionen Global 100- und Fortune 100-Unternehmen. Die Cloud- von Bedrohungsindikatoren. So hat sich mittlerweile eine Plattform von Qualys und dessen integrierte Lösungs-Suite „Cyber-No-Fly-Liste“ gebildet. Anomali wird in die interne unterstützen Unternehmen bei der Vereinfachung der Infrastruktur integriert, um neue Angriffe zu identifizieren. Sicherheitsprozesse und Senkung der Compliance-Kosten, Die Lösung führt seit Jahren forensische Analysen z. B. durch die Bereitstellung kritischer Security-Intelligence bestehender Sicherheitslücken durch und ermöglicht nach Bedarf, die Automatisierung des gesamten Audit- Sicherheitsteams, Bedrohungen schnell zu verstehen Prozesses sowie die Gewährleistung von Compliance und einzudämmen. Anomali bietet zudem STAXX an, ein und Schutz der IT-Systeme und Webanwendungen. kostenloses Tool, mit dem Threat-Intelligence gesammelt Qualys wurde 1999 gegründet und hat strategische und geteilt wird, sowie Anomali Limo, ein kostenloser, sofort Partnerschaften mit führenden Anbietern von Managed- einsetzbarer Intelligence-Feed. Um mehr zu erfahren, Services und Consulting-Services weltweit aufgebaut. besuchen Sie anomali.com und folgen Sie uns auf Twitter: Weitere Informationen finden Sie unter qualys.com. @anomali.

Radware (NASDAQ: RDWR) ist ein weltweit führender Flashpoint bietet Business Risk Intelligence (BRI) an, damit Lösungsanbieter im Bereich Anwendungsbereitstellung die Geschäftsbereiche bessere Entscheidungen treffen und und Cybersicherheit für virtuelle, cloudbasierte und Risiken mindern können. Durch die einzigartigen Daten aus softwaredefinierte Rechenzentren. Das preisgekrönte dem Deep & Dark Web, das Know-how und die Technologie Portfolio des Unternehmens sorgt für eine zuverlässige des Unternehmens können Kunden Threat-Intelligence Quality of Service unternehmenskritischer Anwendungen, sammeln, die über Gefahren informieren und den Betrieb von der mehr als 10.000 Enterprise- und Carrier-Kunden schützen. Weitere Informationen finden Sie auf unter weltweit profitieren. Weitere Expertenressourcen und flashpoint-intel.com. -informationen aus dem Security-Bereich erhalten Sie im Online Security Center von Radware, wo Sie eine umfassende Analyse von DDoS-Angriffs-Tools, Trends und Bedrohungen finden: security.radware.com. Lumeta will Sicherheits- und Netzwerkteams bei der Verhinderung von Sicherheitslücken unterstützen, indem es wertvolle Einblicke bietet. Lumeta erkennt bekannte, unbekannte, Shadow- und nicht autorisierte Infrastrukturen. Es bietet Netzwerk- und Endpunktüberwachung in Echtzeit sowie Segmentierungsanalytik für dynamische Netzwerkelemente, Endpunkte, virtuelle Systeme und cloudbasierte Infrastrukturen. Weitere Informationen finden Sie unter lumeta.com.

88 Informationen zu Cisco Cisco Midyear Cybersecurity Report 2017

Rapid7 (NASDAQ: RPD) wird von IT- und Sicherheitsexperten auf der ganzen Welt eingesetzt, um ThreatConnect® bietet Organisationen leistungsstarken Risiken zu bewältigen, die IT-Komplexität zu verringern Schutz vor Cyberbedrohungen. ThreatConnect basiert und Innovationen voranzutreiben. Mit der Analytik von auf der branchenweit einzigen Intelligence-gesteuerten, Rapid7 werden die zahlreichen Sicherheits- und IT- erweiterbaren Sicherheitsplattform. Es bietet eine Daten umgewandelt in verwertbare Informationen, mit Reihe von Produkten, mit denen die Anforderungen der denen ausgereifte IT-Netzwerke und Anwendungen Sicherheitsteams hinsichtlich der Sammlung, Analyse und sicher entwickelt und betrieben werden können. Die Automatisierung von Threat-Intelligence erfüllt werden Forschungsergebnisse, Technologien und Services können. Mehr als 1.600 Unternehmen und Behörden von Rapid7 treiben Schwachstellenmanagement, weltweit stellen die ThreatConnect-Plattform bereit, Penetrationstests, Anwendungssicherheit, um ihre Sicherheitstechnologien, Teams und Prozesse Ereigniserkennung und Reaktion sowie mit aussagekräftiger Threat-Intelligence zu verbinden. Protokollmanagement für mehr als 6.300 Organisationen in So reduzieren sie ihre Reaktionszeit und verbessern über 120 Ländern voran, darunter 39 Prozent der Fortune den Schutz. Weitere Informationen finden Sie unter 1000-Unternehmen. Weitere Informationen finden Sie unter threatconnect.com. rapid7.com.

TrapX Security bietet ein automatisiertes Sicherheitsnetz, Die Lösungen von RSA unterstützen Kunden umfassend das Echtzeit-Bedrohungen abfängt und gleichzeitig und schnell bei der Reaktion auf Sicherheitsvorfälle mit verwertbare Informationen anbietet, um Angreifern geschäftlichem Zusammenhang und dem Schutz ihrer abzuwehren. Mit TrapX DeceptionGrid™ können Daten. Die preisgekrönten Lösungen ermöglichen eine Unternehmen Zero-Day-Malware erkennen, eindämmen beschleunigte Bedrohungserkennung, identitätsbasierten und analysieren, die von den weltweit effektivsten APT- Zugriff, Schutz vor Verbraucherbetrug und effektives Organisationen eingesetzt werden. Ganze Branchen Risikomanagement. So können die Kunden von RSA auch in verlassen sich auf TrapX zum Ausbau ihres IT-Ecosystems einer unsicheren, risikoreichen Umgebung sicher wachsen. und der Reduzierung von kostspieligen Kompromittierungen, Weitere Informationen finden Sie unter rsa.com. Sicherheitslücken und Verstößen gegen die Compliance- Anforderungen. Die TrapX-Abwehrfunktionen sind in die Netzwerk- und unternehmenskritische Infrastruktur eingebettet. Es werden keine Agents oder Konfigurationen benötigt. Durch modernste Malware-Erkennung, Threat- SAINT Corporation, ein führender Anbieter integrierter Intelligence, forensische Analysen und Funktionen zur Schwachstellen-Managementlösungen der nächsten Behebung in einer einzigen Plattform werden Komplexität Generation, hilft Unternehmen und Institutionen des und Kosten reduziert. Weitere Informationen finden Sie unter öffentlichen Sektors, Risiken auf allen Ebenen der trapx.com. Organisation zu identifizieren. SAINT ermöglicht, dass ein effektiver Zugriff sowie ein hohes Maß an Sicherheit und Datenschutz gewährleistet werden. Der Anbieter stärkt die InfoSec-Abwehr und senkt gleichzeitig die Gesamtbetriebskosten. Weitere Informationen finden Sie unter saintcorporation.com.

89 Informationen zu Cisco Grafiken zum Download Aktualisierungen und Korrekturen

Alle Grafiken aus diesem Report können Sie hier Aktualisierungen und Korrekturen zu diesem Projekt finden herunterladen: cisco.com/go/mcr2017graphics. Sie hier: cisco.com/go/errata.

Hauptgeschäftsstelle Nord- und Südamerika Hauptgeschäftsstelle Asien-Pazifik-Raum Hauptgeschäftsstelle Europa Cisco Systems, Inc. Cisco Systems (USA) Pte. Ltd. Cisco Systems International BV Amsterdam, San Jose, CA Singapur Niederlande

Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern finden Sie auf der Cisco Website unter www.cisco.com/go/offices.

Veröffentlicht im Juli 2017

© 2017 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.

Cisco und das Cisco Logo sind Marken oder eingetragene Marken von Cisco und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken finden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)

Adobe, Acrobat und Flash sind eingetragene Marken bzw. Marken von Adobe Systems Incorporated in den Vereinigten Staaten und/oder anderen Ländern.