Vergangene Woche veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (LINK) seinen jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland 2016. Neben der Betrachtung, welche Rahmenbedingungen sich wie auf die Gefährdungslage in Deutschland auswirken (Nutzung von Cloud Services, Analyse von Soft- und Hardware-Schwachstellen, kryptografische Mechanismen etc.) liegt ein Schwerpunkt des Berichts auf den Angriffsmethoden und –mitteln, die in den vergangenen Monaten verstärkt zum Zuge kamen.   Hauptangriffsvektor ist dabei wie bereits in den vergangenen Jahren die E-Mail. Sie trägt Schadprogramme und Links zu Malware oder Drive-By-Downloadseiten in die Unternehmen hinein, sofern kein adäquater Schutz vorhanden ist. Festzustellen ist zudem, dass die Güte der Angriffe von Jahr zu Jahr steigt. Das heißt konkret: Die absolute Zahl an Spam-Nachrichten nimmt ab, dafür erhöht sich die Qualität der Texte und der Verschleierung von Malware und Links. Zudem stellt das BSI folgende zentrale Aspekte fest:  
  • Täglich werden 380.000 Trojaner-Varianten identifiziert – hochgerechnet bedeutet dies, dass bis August 560 Millionen Varianten entdeckt wurden!
  • Die Angreifer entwickeln immer schneller Schädlinge. Herkömmliche Antivirenprogramme kommen oft nicht hinterher, um ihre Signatur-Datenbanken zu aktualisieren.
  • Der menschliche Faktor ist nach wie vor eine zentrale Schwachstelle für erfolgreiche Angriffe.
Neben diesen Informationen sind vor allem die Detaileinschätzungen zu einzelnen Angriffstypen von Bedeutung, bestätigen sie doch das, was Hornetsecurity bereits seit einem knappen Jahr feststellt: Ransomware, Social Engineering, Blended Attacks und digitale Spionage in Form von Advanced Persistent Threats sind die aktuell drängendsten Themen in Sachen E-Mail-Sicherheit. Werfen wir einen näheren Blick auf einige dieser Bereiche.  

Ransomware

Ransomware oder Erpressersoftware ist seit ca. einem Jahr verstärkt im Umlauf und hielt vor allem in der ersten Jahreshälfte 2016 die IT-Sicherheitsexperten auf Trab. Bei Locky, Tesla, Cerber und Co. handelt es sich vor allem um polymorphe Viren, die in nur kleiner Stückzahl, über einen sehr kurzen Zeitraum und dafür in sehr vielen unterschiedlichen Varianten versendet wurden. Sie verschlüsseln vor allem lokale Festplatten, aber auch externe USB-Sticks und ganze Netzwerk-Laufwerke. Nur gegen Zahlung von Lösegeld – daher der Name – kann es sein, dass die Angreifer den Entschlüsselungscode bereitstellen.   Das BSI stellte hierzu fest, dass  
  • Ein Drittel der befragten Unternehmen schon von Ransomware-Infektionen betroffen war, davon gingen 75 Prozent auf infizierte E-Mail-Anhänge zurück.
  • Die häufigsten Infektionswege eines Systems mit Schadprogrammen Attachments und Drive-by-Downloads sind, gefolgt von Links zu Schadprogrammen.
  • „Klassische, signaturbasierte AV-Produkte weiterhin nur einen Basisschutz bieten, denn neue Varianten von Schadprogrammen werden schneller erzeugt, als sie analysiert werden können. Schadprogramm-Verteilwellen sind oft schon beendet, bevor AV-Signaturen erstellt und eingespielt werden konnten.“

Social Engineering

Bei dieser besonders arbeitsintensive Form von Angriffen werden gezielt Personen in einem Unternehmen ausgewählt und ausspioniert mit dem Ziel, entweder Schadsoftware in das Unternehmen einzuschleusen, Informationen zu gewinnen oder die Zielpersonen zu anderen Handlungen, etwa einer Banküberweisung auf ein fremdes Konto, zu bewegen. Hierbei nutzen die Angreifer soziale Netzwerke und/oder das Telefon, geben sich als Personen von seriösen oder befreundeten Unternehmen oder Einrichtungen aus und erschleichen sich so das Vertrauen der Zielpersonen. Einige Fakten:  
  • CEO-Fraud: Seit 2013 250 bekannte Betrugsfälle, davon 68 erfolgreich; Gesamtschaden insgesamt 110 Mio. Euro.
  • Angreifer zeichnen sich durch gute Recherche- und Social Engineering-Fähigkeiten aus.
  • Awareness-Maßnahmen finden zwar bei mehr als zwei Drittel aller befragten Unternehmen, jedoch meist nur sporadisch.
 

Advanced Persistent Threats

Hierbei handelt es sich um komplexe, zielgerichtete und über einen längeren Zeitraum andauernde Angriffe. Ziel der Attacken sind häufig IT-Infrastrukturen und vertrauliche Daten in Unternehmen und Behörden.  
  • Advanced Persistent Threats sind Cyberangriffe, die oftmals politisch motiviert sind und auf Behörden und Regierungskreise abzielen.
  • Diese zielgerichteten Attacken dienen zudem dem Ausspähen von Informationen (Wirtschaftsspionage).
 

Spam

Wer kennt es nicht? Spammails in der E-Mail-Kommunikation sind zum Alltag geworden, zumindest auf privater Basis bei einem Freemailer, aber auch bei dem einen oder anderen Unternehmen, das keinen absoluten Schutz vor unerwünschten E-Mails bietet. Und dennoch hat sich in den vergangenen Monaten etwas verändert – laut BSI hat die absolute Zahl an Spamnachrichten im E-Mailverkehr im Vergleich zum Vorjahr um ca. 73 Prozent zugenommen, und die Nachrichten selbst werden immer professioneller gestaltet, um einerseits die AV-Programme zu überlisten, aber auch, um den Empfänger dazu zu bewegen, zu klicken. Hinzu kommen folgende Aspekte:  
  • Die Zahl an Spam mit Malware-Anhängen ist seit Dezemper 15 explodiert und hat herkömmliche Spam-Mails damit deutlich überflügelt.
  • Malware-Anhänge beinhalten vor allem MS Office-Dokumente mit Makros und Java-Skript-Dateien.
  • Die Anhänge werden stetig weiterentwickelt, um die signaturbasierte AV-Programme zu umgehen.
  • Oftmals finden sogenannte Blended Attacks statt: Links oder Schadprogramme werden mit Hilfe von mehrstufigen Verschleierungstechniken versteckt, um ein Entdecken durch klassische Abwehrprogramme zu verhindern.
Mit Hornetsecurity Advanced Threat Protection werden all diese genannten Angriffswege andressiert und geschlossen. Wichtig dabei: Dies geschieht bereits ab der ersten potenziell schädlichen E-Mail. Hierzu nutzt der Service verschiedenste Mechanismen, um noch unbekannte Schadprogramme, die von signaturbasierten Filtern nicht erkannt werden können, zurückzuhalten und somit die Kunden zu schützen.