Security Trends – Was können wir von 2020 für 2021 lernen? | WeLiveSecurity

Security Trends – Was können wir von 2020 für 2021 lernen?

Das Corona-Jahr 2020 drückte der IT-Sicherheit seinen Stempel auf. Welche Bedrohungen erwarten uns 2021? Was können wir tun, um uns zu schützen?

Das Corona-Jahr 2020 drückte der IT-Sicherheit seinen Stempel auf. Welche Bedrohungen erwarten uns 2021? Was können wir tun, um uns zu schützen?

Neues Jahr, alles anders? Die Corona-Pandemie hat unser Leben 2020 in vielerlei Hinsicht auf den Kopf und uns vor viele Herausforderungen gestellt. Das betrifft sowohl unser öffentliches und privates Leben als auch unsere Arbeitswelt. Digitalisierung und IT-Sicherheit spielen dabei eine wichtige Rolle. Auch das kommende Jahr verspricht unter diesen Vorzeichen spannend zu werden. Hier sind einige Security Trend mit denen wir 2021 rechnen:

Home-Office für Kriminelle

Das Jahr 2020 wird in die Geschichte eingehen. Gründe dafür gibt es viele. Aber einer, der nebenbei die Arbeitswelt grundlegend verändert haben wird, ist der Wechsel aus dem Büro an den Heimarbeitsplatz. Ob nun „mobiles Arbeiten“ oder „Home-Office“, eins bleibt gleich: Unternehmensnetzwerke erstrecken sich über und vermischen sich mit zahllosen Privathaushalten. Das wird auch zukünftig die neue Realität bleiben.

Arbeitsgeräte aus dem Büro halten Einzug in die heimischen Wohn- und Arbeitsumgebungen. Bereits eine ESET-Umfrage im Sommer 2020 hat gezeigt, dass rund 26 Prozent aller Unternehmen Mitarbeiter im Home-Office zumindest teilweise mit privater Hardware arbeiten lassen. Der Einsatz unbekannter Geräte in einem Unternehmens-Netzwerk stellt ein enormes Sicherheitsrisiko dar.

Aktuelle Zahlen der ESET Sicherheitsforscher unterstreichen diese Ergebnisse. Allein im DACH-Raum kommt es täglich zu rund 7,1 Millionen Angriffe auf das Remote-Desktop-Protokoll (RDP). Cyberkriminelle haben diese Versäumnisse vieler Unternehmen längst bemerkt und sind in diesem Bereich massiv unterwegs, denn die Beute ist überaus lukrativ.

Im ersten Halbjahr 2020, und damit in der Zeit des Ausbruchs der Corona-Pandemie, kam es zu einen starken Anstiegs der Angriffe auf das RDP-Protokoll.

Ungeschlossene Schwachstellen bei Laptops oder Peripheriegeräten führen leicht zur Infektion der anderen Geräte im Netzwerk. Hier gilt es also 2021 verstärkt den Fokus auf die weiterhin bestehenden Heimarbeitsplätze zu legen. Firmen sind gut beraten, Best-Practice Anleitungen den Mitarbeitenden an die Hand zu geben.

2021 wird das entscheidende Jahr für viele Unternehmen: nicht nur finanziell. Die teilweise überstürzte Digitalisierung der Betriebsabläufe hat die Infrastrukturen vieler Unternehmen offen werden lassen wie Scheunentore. Die effektive Absicherung der dezentralen Strukturen und das Thema IT-Security blieben hier oftmals auf der Strecke. Hier gilt es nun nachzubessern, um die Unternehmensnetzwerke abzusichern. Themen wie Multi-Faktor-Authentifizierung und Verschlüsselung müssen höchste Priorität genießen.

Und ewig grüßt das Sportjahr

Es ist kein Geheimnis, dass 2020 so gut wie kein Großereignis stattfinden konnte. Die Olympischen Spiele 2020 finden nun vom 23. Juli bis 8. August 2021 statt, die Fußball EM der Männer 2020 wurde auf den Juni und Juli 2021 verlegt. Doch natürlich sollen im neuen Jahr auch andere Events wie Konzerte nachgeholt werden. Eine Vielzahl verschiedener Veranstaltungen werden nebeneinander stattfinden müssen.

Obwohl noch nicht klar ist, ob denn im Sommer das öffentliche Leben wieder soweit normalisiert werden kann, dass zehn- oder hunderttausende Menschen auf engerem Raum zusammenkommen können, läuft natürlich die Logistik bereits. Die Fans müssen sich einen Überblick verschaffen können, wann welcher Ersatztermin geplant ist und ob die Tickets umgetauscht werden müssen oder ihre Gültigkeit behalten. Das ruft auch Betrüger auf den Plan. So werden wir vermehrt gefälschte Angebote sehen, die versprechen, sich um die Ticketerstattung zu kümmern oder angeblich einen Benachrichtigungsdienst für Ersatztermine anbieten. Über gefälschte Webseiten und Apps sollen so die persönlichen, Ticket- und Bankdaten der Opfer erbeutet werden.

Gefälschte Angebote werden wir auch sehen durch einfache Info-Apps zu den jeweiligen Sportereignissen, schon jetzt gibt es eine Vielzahl an Anwendungen in den Stores – nicht alle mit offiziellem Bezug.

Schon jetzt gibt es viele Apps zum Thema Olympische Spiel. Manche kommen aus fragwürdigen Quellen.

Wir erwarten ebenfalls eine steigende Anzahl an dubiosen Webseiten, die das Streaming der Großereignisse versprechen, gerade wenn diese nicht im Free TV zu sehen sind. So wird die Formel 1 Saison 2021 in Deutschland nur noch im Pay-TV zu sehen sein- und das gerade mit der nächsten Generation Schumacher in der Rennserie. Da ist ein Hype nicht unwahrscheinlich, von dem Kriminelle in dieser Situation besonders profitieren könnten.

Wie also bereits bisher bei vielen Bundesligaspielen wird die Verlockung groß sein, statt einem teuren Abo bei einem offiziellen Streamingdienst eine „kostenlose Alternative“ im Netz zu suchen. Hier lauern allerdings große Gefahren. Nicht nur, dass die Angebote illegal sind, es warten auf die User häufig auch eigene Apps oder Tools zum Download, die vorgeben, das Streaming zu ermöglichen. Aber statt das Ereignis sehen zu können infizieren diese dann den PC, das Smartphone oder den SmartTV, um Anwender auszuspionieren oder ihnen Ransomware oder Kryptominern unterzuschieben.

Ein gutes Security Produkt, das gefälschte Webseiten und Drive-By Downloads erkennen kann ist also weiter Pflicht auf PC und Laptop. Gleiches gilt für Android Geräte aller Art – also auch den Fernseher! Laden Sie außerdem Apps und Anwendungen nur von den offiziellen Webseiten bzw. Stores.

Alte Tricks in neuem Gewand

Eine alte Webtechnologie findet 2020 ihr offizielles Ende. Adobe stellt den Support für Flash ein, einer Plattform, die vor über 20 Jahren dem Internet in seinen Kinderschuhen Bewegung beibrachte. Im Kern basiert Flash auf einer Skriptsprache, die es immer wieder anfällig für Exploits gemacht hat. Da moderne Webtechnologien einfacher und sicherer in der Lage sind, bewegte Inhalte auf Webseiten darzustellen, hat man sich nun auch bei Adobe endlich entschieden, Flash in Rente zu schicken. Bereits 2018 nutzten gerade einmal 5% aller Webseiten weltweit noch Flash.

Ein anderer „IT-Dinosaurier“ verschwindet zumindest auf den ersten Blick aus unserem Leben – die JavaRE Plattform wird seitens Oracle nicht mehr kostenfrei angeboten. Der Update-Support der letzten, für Privatnutzer noch kostenfreien, Version 8 endet ebenfalls im Dezember 2020.

Bei beiden Tools sind die Anwender daran gewöhnt, dass häufiger ein Updatefenster erscheint, dass zur Installation überreden möchte. Kriminelle nutzen schon seit langer Zeit diese „Gewöhnung“, um mittels gefälschter Dialogfenster die User zur Installation von Malware zu überreden. Der Vorteil für die Angreifer ist, dass es normal ist, dass für die Installation das Admin- oder root-Passwort eingegeben wird. Dass nicht jeder Fensterinhalt gründlich durchgelesen wird, bevor man auf „Weiter“ klickt, spielt den Gangstern hier zusätzlich in die Karten.

Der Flash Player ist endgültig reif für den Ruhestand.

Gefälschte Webseiten oder Apps, die vorgeben eine „freie Alternative“ zu den beendeten Plattformen anzubieten gibt es bereits länger und sie werden zunehmen. Normalerweise benötigt man aber heutzutage weder Flash noch Java im normalen Alltag.

Wer also beide Technologien noch im Einsatz hat, kann diese in der Regel problemlos deinstallieren.

Die Schulämter zum Nachsitzen

Man kann und sollte nichts beschönigen: Die Corona Pandemie hat eindrücklich gezeigt, wie sehr die Digitalisierung in deutschen Schulen verschlafen wurde! Unter dem Druck, ohne Präsenzunterricht den Schulbetrieb weiter aufrecht erhalten zu müssen, ist in kürzester Zeit viel IT-Wildwuchs entstanden. Das unterscheidet sich zwar auch stark von Region zu Region, doch wirklich gut vorbereitet war man nirgends. Ob nun „Schulcloud“, Open Source oder Angebote kommerzieller Dienstleister: über den Datenschutz und die Datensicherheit wurden sich bisher offensichtlich keine Gedanken gemacht.

An vielen Schulen kommen Microsoft Office 365 und Teams zum Einsatz. Die Datenschutzbeauftragten der Länder haben fast einstimmig erkannt, dass dies eigentlich unzulässig unter DSGVO Gesichtspunkten ist, dulden es aber in den meisten Fällen. Eine Berliner Schule musste jedoch in den „Digitalstreik“ treten, da ein Vater gegen die Verwendung der Microsoft Tools Beschwerde eingelegt hatte und die Datenschutzbeauftragte Berlins tätig werden musste. Das bedeutet Verbot des Einsatzes, aber ohne Alternative aufzuzeigen. Die betroffene Schule musste die Zeit um 20-30 Jahre zurückdrehen und Foto-Kopien der Unterrichtsmaterialien bereitstellen und abholen lassen.

Die meisten Lehrkräfte sind zudem schlecht mit den neuen Tools geschult worden oder waren gezwungen Hardware für den Teleunterricht selbst zu beschaffen. Die Videokonferenzplattform Zoom ist bei vielen im Einsatz, hat es aber erst im Laufe des Jahres geschafft, die IT-Security auf ein Minimum anzuheben.

Das Speichern von Daten in der Cloud, gleich bei welchem Anbieter geschieht in der Regel ebenfalls unverschlüsselt und ohne 2-Faktor-Authentifizierung. Der Zugriff auf die besonders schützenswerten Daten der Schülerinnen und Schüler, auf Noten, Unterrichtspläne usw. ist aus Security-Sichtweise als nicht sicher zu bezeichnen.

Und obwohl über den Sommer alle Experten vor der nun eingetretenen zweiten Welle gewarnt haben, ist auch in den Ferien wenig bis gar keine Planungsarbeit geleistet worden, um die Missstände zu beheben.

2021 gilt es also auf politischer und Schulplanungsebene, das Thema IT-Security ganz nach oben im hoffentlich voranschreitenden Digitalisierungsprozess zu setzen. Dazu gehören Weiterbildungen für die Lehrkräfte, die Schülerinnen und Schüler und enorme Budgetanstrengungen. Vielleicht wird es endlich möglich, dass sich die Schulen aus der freien Wirtschaft Hilfe holen dürfen, wenn sie an der ein oder anderen Stelle oder dem ein oder anderen Bildungsangebot alleine nicht weiterkommen.

Gesundheit! Healthcare in Geiselhaft

Cyberkriminelle sind schlechte Menschen. Das ist nicht neu, aber 2020 besonders deutlich geworden, als die ohnehin schon durch Corona überlasteten Krankenhäuser zur Zielscheibe von Erpressern wurden. Die Gangster setzen auf das allgemeine Chaos und die Anstrengungen  der Verantwortlichen, den Klinikbetrieb aufrechterhalten zu müssen. Diese Stresssituation erhöhte die  die Chancen schnell Lösegelder erpressen zu können. Dass dabei Menschenleben auf dem Spiel stehen, interessiert die Angreifer nicht. Das Internet anonymisiert.

Die Corona-Lage, die zunehmende Digitalisierung der Krankenhäuser und die Vernachlässigung von IT-Security Standards und erhöhten Anforderungen lassen auch 2021 Kliniken lohnenswerte Ziele bleiben. Aber auch niedergelassene Ärzte, deren IT stellenweise veraltet ist, sowie Testlabors geraten mehr und mehr in den Fokus der Kriminellen. Auch Forschungszentren zur Impfstoffentwicklung sind von besonderem Interesse. Das kann politische, aber allem voran immer finanzielle Gründe haben. Das Rennen um Corona und andere Vaccine zur Behandlung oder Vorbeugung von Krankheiten nimmt weiter Fahrt auf und verleitet neben dem Kampf ums Knowhow zur Erpressung.

Außerdem warnt Interpol bereits davor, dass Kriminelle falsche Impfstoffe anbieten oder die Lieferketten der Impfstoffversorgung angreifen wollen.

Deswegen sollte es ein gesamtgesellschaftliches Anliegen sein, für die Sicherheit unserer medizinischen Einrichtungen zu sorgen. Bund, Länder und andere Klinikbetreiber, private Forschungseinrichtungen, Ärzte und Labors müssen verstehen, dass ohne IT Security auch die Sicherheit der Bevölkerung nicht gewährleistet werden kann und entsprechende Planungen und Budgets bereitstellen!

Fazit

2021 wird ein entscheidendes Jahr sein. 2020 hat schmerzlich aufgezeigt, wie sehr Deutschland in Sachen Digitalisierung und Notfallplanung hinterer hängt. Wird 2021 nicht IT-Security als integraler Bestandteil der neuen Lebensrealität verstanden, werden uns nicht nur Pandemien vor enorme Herausforderungen stellen.

Wie auch im privaten Sektor sollten Vorsorgemaßnahmen in Form von Plänen, Übungen und dem Einsatz geeigneter Sicherheitstools als wesentlich kostengünstiger verstanden werden, als im Chaos schnell reagieren, und dann die „Scherben“ aufkehren zu müssen.

2021 sollte daher die Absicherung der Digitalisierung im Vordergrund stehen. Dennoch sollten auch Lehren gezogen werden. Viele Herausforderungen, gerade in Unternehmen, die durch die raschen Veränderungen hervorgerufen worden sind, hätten mit einer besseren Vorsorge und einer stetigen Überprüfung betrieblicher Prozesse vermieden werden können.

 

Weitere Security-Trends 2021 finden Sie in unserem englischsprachigen Paper:

 

Picture Credits: ©jacinta lluch valero/Flickr

Newsletter-Anmeldung

Hier können Sie mitdiskutieren