Die gefährlichsten Angriffe sind diejenigen, die lange Zeit unentdeckt bleiben. Sie laufen unterhalb des Radars der üblichen Virenscannern. Diese heimlichen Cyberattacken bedrohen uns 2016.
Adobe Flash wurde in den letzten beiden Jahren am häufigsten angegriffen. Schwachstellen wie CVE-2015-0311 und CVE-2015-0313 waren in den Jahren 2015 und 2014 für fast ein Drittel aller entdeckten Zero-Day-Angriffe verantwortlich. Adobe behebt die erkannten Fehler schnell. Die Sicherheitsexperten von McAfee sagen deshalb voraus, dass dieser Angriffsvektor im nächsten Jahr an Beliebtheit verlieren wird. Auch wegen eines kürzlich veröffentlichten Flash-Player-Patch, der einige zusätzliche Sicherheitsfunktionen enthält.
Allerdings, so McAfee, habe sich - prinzipiell - an der Code-Qualität und der Komplexität von Flash nichts geändert. Deshalb werde diese Schnittstelle auch weiterhin viele Schwächen aufweisen. Einige Software-Entwickler fordern daher, Flash durch HTML5 zu ersetzen. Google Chrome wird Flash demnächst einschränken. Aber das Internet ist voll mit älteren Flash-Inhalten. Der Wechsel weg von Flash hin zu HTML5 kann deshalb nur langsam erfolgen und wird einige Zeit brauchen. Schwachstellen in Microsofts Internet Explorer (IE) sind zurückgegangen. Microsoft hat massiv in die Sicherheit investiert und neue Schutzfunktionen eingeführt: den erweiterten geschützten Modus, Virtual Table Guard, den Ablaufsteuerungsschutz, isolierten Heap und Speicherschutz. Tricks zur Umgehung dieser Funkltionen werden jedoch ständig veröffentlicht. Deshalb sei es nur eine Frage der Zeit, bis hochentwickelte Zero-Day-Angriffe stattfinden, die die aktuellsten Schutzfunktionen im Internet Explorer umgehen, meint McAfee.
Ist Microsoft Edge sicherer?
Für Microsofts neuen Browser "Edge" sagt McAfee einen "interessanten Wettbewerb" zwischen Hackern und Sicherheitsexperten voraus. Einerseits unterstützt Edge neue Web-Standards. Das macht ihn angreifbarer. Andererseits sei Edge mit verbesserten Vermeidungsfunktionen wie dem Memory Garbage Collector ausgestattet, was Angriffe wiederum erschwere. Die Anzahl kritischer Zero-Day-Attacken auf Office lag in den letzten Jahren nicht besonders hoch. Wenn sie aber passieren, können sie für die IT-Umgebung des angegriffenen Unternehmen sehr gefährlich werden. McAfee stuft zum Beispiel die Office-Funktion OLE (Office Linking and Embedding) als sehr angriffsgefährdet ein. OLE habe eine sehr grosse Angriffsfläche. Zudem seien die aktuellen Erkennungs- und Schutzmethoden für Angriffe auf Office-Schwachstellen noch nicht effektiv genug. Durch Verschlüsselung von Office-Dokumenten lasse sich die Erkennung umgehen, also - unfreiwillig - ausschalten. Deshalb werden im nächsten Jahr Office-Attacken zunehmen. Die Sicherheitsexperten rechen mit einem starken Anstieg von neuen Exploits im Nicht-Windows-Bereich. Gefährdet seien Varianten des Betriebssystems Unix, beliebte Smartphone-Plattformen, IoT-Systeme (zum Beispiel Tizen und Project Brillo) sowie verbreitete Komponenten und Bibliotheken (zum Beispiel Glibc oder OpenSSL). Insbesondere Open-Source-Framework-Tools seien nach Einschätzung von McAfee (noch) nicht sicher genug. Nächste Seite: Neue perfide Ransomware
Die berüchtige Ransomware, also Erpressersoftware, wird sich 2016 weiterentwickeln. Cyberkriminelle verschlüsseln die Dateien auf dem Rechner des Opfers, verunmöglichen dadurch den Zugriff und geben sie nur gegen ein "Lösegeld" wieder frei. McAfee rechnet im kommenden Jahr mit weiteren, noch gefährlicheren Varianten. So könnte Ransomware dazu übergehen, die Daten zunächst heimlich zu verschlüsseln. Der Angreifer wartet, bis das Opfer die infizierten Dateien gesichert hat, und entfernt erst dann den Schlüssel. Die verschlüsselten Dateien befinden sich also sowohl auf dem Primärsystem als auch auf dem Backup, der Sicherungskopie. Alles ist verschlüsselt. Dem Opfer bleibt nichts anderes übrig, als auf die Forderungen der Erpresser einzugehen. Eine weitere neue Ransomware-Variante könnte darin bestehen, sich mithilfe von Kernel-Komponenten in das Dateisystem des angegriffenen Rechners einzuklinken. Die Dateien werden erst in dem Moment verschlüsselt, wenn der Benutzer darauf zugreift und mit ihnen arbeiten will. Cyberkriminelle, die Ransomware einsetzen, sind auf den schnellen Profit aus. Sie bevorzugen daher wohlhabende Länder wie die Schweiz, Deutschland und Österreich, in denen sich die Opfer das Lösegeld leisten können. McAfee sieht vor allem Branchen wie Finanzinstitute und lokale Behörden im Fokus, die schnell Lösegelder zahlen werden, um wichtige Abläufe wieder herzustellen. Ransomware-Kriminelle greifen sehr effektiv an, hat McAfee beobachtet. Meist werden Microsoft Office-, Adobe Acrobat- und Grafikdateien verschlüsselt und damit zumindest zeitweise unbrauchbar gemacht. Der Fokus der Angreifer werde sich jedoch 2016 auch auf andere Dateiformate ausweiten, die typischerweise in Unternehmen eingesetzt werden. Nächste Seite: Attacken unter der Gürtellinie Die Attacken, die auf Hardware abzielen, haben sich 2015 grundlegend verändert. Sie sind gleichzeitig unauffälliger und raffinierter geworden. So war zum Beispiel die Malware der Equation Group in der Lage, die Firmware - also sehr hardwarenahe Software - von Festplatten und Solid State Disks (SSDs) neu zu programmieren.
Extrem hartnäckige Malware
Der Angriff blieb trotz umfassender Entfernungsmassnahmen wie Betriebssystem-Neuinstallationen und Laufwerk-Neuformatierungen persistent. Er flog sozusagen unter dem Radar der Hygiene-Massnahmen. Laut McAfee ein hervorragendes Beispiel dafür, wie genaue Kenntnisse über Firmware- und Referenzcodes der Hersteller dafür genutzt wird, die Malware besonders persistent, also reinigungsfest zu machen. Derartige Bedrohungen unterhalb der Gürtellinie werden 2016 leider weiter zunehmen. Heutige Sicherheitslösungen (wie Virenscanner) blockieren Angriffe auf Endgeräte, Peripherie und Gateways immer besser. Deshalb gehen Cyberkriminelle zu Angriffsmethoden über, die sich gar nicht auf Dateien - wie ein infiziertes Mail-Attachement - beziehen. Unter Ausnutzung von Schwachstellen in BIOS (Basic Input Output System), Gerätetreibern und anderer Firmware umgehen die Angreifer die Schutzmassnahmen, indem sie Befehle direkt in den Arbeitsspeicher injizieren oder dort Funktionen manipulieren, um eine Infektion zu starten, warnt McAfee. Diese Angriffe seien nicht leicht durchzuführen und verlangten einiges an Know-how, sodass die Anzahl zurzeit noch relativ klein sei. Wie andere Techniken auch würden sie jedoch im Laufe der Zeit einfacher und standardisierter, sodass sie leichter und damit häufiger eingesetzt werden könnten. Auch andere dateilose Angriffsvarianten werden in den nächsten Jahren zunehmen: Das Kapern von Remote-Shell- und Fernsteuerungsprotokollen wie VNC, RDP, WMI und PowerShell. Die Cyberkriminellen erhalten dadurch direkte Kontrolle über die Systeme und können bösartigen Code installieren, ohne einen Alarm auf Endgeräten auszulösen. Die Sicherheitsexperten rechnen zudem damit, dass Anmeldeinformationen künftig zu einem Primärziel werden. Damit erstehlen sich Kriminelle den Zugriff auf unzählige, wertvolle Konto-/Account-Informationen. Wir werden Angriffe erleben, die über einen längeren Zeitraum erfolgen - mit "Schläfern", die monatelang auf ihre Aktivierung warten, bevor sie aus ihren Sandbox-Umgebungen ausbrechen und zuschlagen. Infektionen, die heimlich Daten kompromittieren, ohne dass der Benutzer überhaupt etwas davon mitbekommt.
Angriff als Zaubertrick
Eine weitere, raffinierte Angriffstechnik funktioniert wie ein klassischer Zaubertrick: Eine sichtbare, aktive Malware oder ein Botnet ziehen die Aufmerksamkeit des Sicherheitsteams auf sich. Der eigentlich Angriff aber erfolgt derweil an ganz anderer Stelle. Ihre Hoffnung setzt die Sicherheitsbranche auf Verhaltensanalysen, wie sie Banken zum Schutz gegen Betrügereien schon heute einsetzen. Diese Werkzeuge erstellen Basislinien für normales Verhalten und überwachen Vorgänge, um reguläre Datenströme und Aktivitäten legitimer Benutzer zu erkennen. Bei irregulären Aktionen läuten sie Alarm. Benutzt ein Mitarbeiter normalerweise diese bestimmte Anwendung bei der Arbeit? Wird die Aktivität während normaler Arbeitszeiten, an typischen Standorten und mit überprüften Geräten durchgeführt? Technologien zur Verhaltensanalyse stecken immer noch in einem frühen Entwicklungsstadium. Sie werden aber in den nächsten Jahren, auch unter Einsatz von "Machine Learning", "Big Data" und Analytics, schnell reifen.
