Im Zuge der Digitalisierung spielt die IT in den meisten Wertschöpfungsketten eine zentrale Rolle. Zu beobachten ist eine zunehmende Vernetzung der virtuellen und physischen Welt (IT & OT), selbst in kleinsten Unternehmen. Diese wachsende Komplexität und Hypervernetzung, auch von Geschäftlichem und Privatem, führt zu einer massiv grösseren Angriffsfläche: Eine Lücke oder Unaufmerksamkeit reicht bereits für eine Infektion. 

Hinzu kommt, dass sich die Angreifer in atemberaubendem Tempo professionalisieren und sich neue Technologien wie Artificial Intelligence ebenso zunutze machen. Verstärkt durch die fast unmögliche Strafverfolgung über Grenzen hinweg, stehen wir einem global agierenden kriminellen Markt der Cyberware gegenüber, der stetig wächst.

Ein Gartner-Report zum Thema Internet of Things vom Jahr 2019 verzeichnet zwischen 2018 und 2019 ein Wachstum von 21,5%, also total rund 4,8 Milliarden eingebauter Devices. 2020 wird bereits ein exponentielles Wachstum erwartet, vielleicht aufgrund der Coronakrise leicht abgeschwächt.

Von Smart Cities, über Connected Health, Smart Homes, Connected Cars bis hin zu Smart Utilities, alles hat eine IP-Adresse und wird immer mehr vernetzt. Dadurch entsteht ein gewaltiger Datenfluss über Branchengrenzen sowie geschäftliche und private Daten hinweg. Generell haben wir es also mit einer riesigen Angriffsfläche zu tun und gleichzeitig mit einem steigenden Schadenspotential.

Leider haben aber weder Lieferanten noch Hersteller ein Interesse an Sicherheit, weil Sicherheit kostet. Da es weder Minimalstandards noch Normen wie bei Elektrogeräten gibt, führt dieses Marktversagen zu einem "Internet of Insecure Things". Und diese heute verbaute "Legacy" wird uns leider wohl noch lange beschäftigen.

Gemäss dem aktuellen Threat Report 2020 von Palo Alto sind die drei grössten Bedrohungen Exploits, schwache Passwörter und IoT-Würmer.

IoT-Geräte werden bei Exploits in den meisten Fällen nur als Sprungbrett für sogenannte "Lateral Movements" verwendet, um andere Systeme in einem Netzwerk anzugreifen. Wir sehen in diesem Kontext eine grosse Anzahl von Netzwerk-, IP-, Port- und Schwachstellenscans auf diesen Devices.

Schwache Passwörter stehen an zweiter Stelle. Die Verwendung eines vernünftigen Passwort-Managers ist innerhalb der IoT-Umgebung bisher nicht wirklich gelöst.

IoT-Würmer suchen die Netze nach Schwachstellen ab wie etwa den Exploit "EternalBlue", der einen Programmierfehler in der SMB-Implementierung (Server Message Block) von Windows ausnutzt. Wird ein verwundbares System gefunden, verbreitet sich der Wurm weiter oder lädt anderen Schadcode auf das Zielsystem.

Der Schutzbedarf im Bereich IoT ist also als hoch bis sehr hoch einzuschätzen, da Schäden durch IoT-Schwachstellen aus der virtuellen Welt "ausbrechen" und Ausprägungen in der physischen Welt haben. Welcher "Patch" repariert mein durch einen Hackerangriff verunfalltes Firmen-Fahrzeug? Wie beweise ich den Angriff? Welche Art der Versicherung deckt solche Schäden bei akzeptablen Prämien?

Selbstlernende Algorithmen, sogenannte Machine- oder Deep Learning-Methoden, kommen immer mehr zum Einsatz. Dazu zählen insbesondere wissensbasierte Systeme, Musteranalyse und Erkennung, Mustervorhersage und Robotik. AI betrifft inzwischen sehr viele Bereiche unserer Gesellschaft, von der Erzeugung und Verwendung von Browser-Profilen, Einkaufsverhalten bis hin zur medizinischen Diagnostik oder der Autopilot im Tesla. AI oder präziser formuliert "intelligente Korrelation von Daten" bleibt interessant und wichtig, deren Nutzen wurde oder wird aber auch überbewertet.

Machine-Learning-Methoden können beispielsweise im Medizinalbereich bei der Diagnostik viel erleichtern – die definitive Diagnose stellt aber immer noch der Radiologe. Im Fraud-Detection-Bereich bei E-Banking-Transaktionen erzeugen Machine-Learning-Methoden ebenfalls gute Resultate. Allerdings können diese nicht zur alleinigen Technologie gegen Fraud Detection verwendet werden. Der Grund ist so banal wie einfach: die Kriminellen rüsten ebenfalls nach und implementieren die Angriffe möglichst "intelligent" mit AI-Methoden. Die ernüchternde Schlussfolgerung: Auch AI kann uns die Hausaufgaben nicht abnehmen, wir benötigen weiterhin neben aktuellen Security Frameworks oder einem vollständig integrierten Information Security Management System (ISMS) viel "manuelle Expertise".

Für KMU existieren gute Security Frameworks, wie der KMU-Schnelltest, eine gemeinsame Initiative von ICTswitzerland, Bund, SATW, ISSS und weiteren. Hingegen sollten Unternehmen, die kritischen Daten halten, zwingend ein vollständiges ISMS betreiben.

Ein weiterer wichtiger Lösungsansatz ist die Integration eines externen, produktneutralen CERT-Dienstleisters, so Prof. Dr. Hannes Lubich. "Ein CERT erbringt in der Gesamt-Leistungskette der Informationssicherheit eine wesentliche und mit hohen Ansprüchen an die Verbindlichkeit, Verfügbarkeit, Vertraulichkeit und Integrität ausgestattete Funktion, nämlich die Bereitstellung von Expertise zur zeitnahen Behandlung akuter Sicherheitsvorfälle in ihrer jeweiligen Anspruchsgruppe. Das wesentliche Ziel dieser Aktivität ist also die Eingrenzung des Schadensausmasses."

Switch baut die angebotenen CERT-Dienstleistungen (Operational Threat Intelligence & Threat Detection/Prevention, Incident Response, Community Building für Fachspezialisten, etc.) in weiteren Sektoren der kritischen Infrastrukturen und in oben diskutierten Kompetenzfeldern des IT-Security-Betriebs gezielt aus. Beispielsweise in Themenfeldern wie Threat Intelligence Automatisierung zur schnellen Detektion und Verhinderung von Angriffen, Mobile Device Security oder IoT- und ICS-Security.

Zusammenfassend gesagt, wird eine Kombination aus Endpoint Protection & Response, AI-Methoden innerhalb SIEM-Lösungen sowie gut geschulten Experten in Zukunft immer wichtiger. Das Fundament aller Anstrengungen im Kampf gegen Cyberattacken ist und bleibt ein sauberes Hard- und Softwareinventar mit damit verbundenem Business Risk Assessment.

Michael Fuchs studierte Informatik an der ZHAW und erwarb den MAS in Informationssicherheit an der HSLU. Seit 6 Jahren arbeitet er als Senior Security Consultant im Team von Switch-CERT und ist auf die Geschäftsfeldentwicklung spezialisiert.

Die Kolumne von Switch über Sicherheit erscheint 6 Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.