Fortinet, ein führender Anbieter von integrierten und automatisierten Cybersecurity-Lösungen, hat die aktuellen Vorhersagen seiner globalen Threat-Intelligence- und Forschungssparte FortiGuard Labs veröffentlicht. Für kommendes Jahr erwarten die Wissenschaftler*innen weiterentwickelte Angriffsmethoden und neue gefährdete Bereiche: insbesondere mit Blick auf den Trend zum Arbeiten von überall und den damit zunehmenden 5G-Netzwerk-Rändern, Unternehmens- und Heimnetzwerken sowie Satelliten-Internet.

„Cyberkriminelle verhalten sich immer mehr wie klassische Advanced Persistent Threat (APT)-Gruppen: mit Zero-Day-Methoden ausgestattet, zerstörerisch und jederzeit in der Lage, ihr Instrumentarium so weiterzuentwickeln, wie gerade nötig, um ihre Ziele zu erreichen. Ihre Angriffe werden zunehmend außerhalb des klassischen Unternehmensnetzwerks stattfinden, sogar im All,“ erklärt Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs.

„Hacker nutzen die Tatsache aus, dass der Perimeter fragmentiert ist und Teams sowie Tools isolierter sind. Außerdem kommt die stark erweiterte Angriffsfläche den Hackern entgegen. Oftmals überforderte IT-Teams versuchen dagegen, diese Bedrohungen abzuwehren, indem sie rechtzeitig alle Lücken in ihrem Sicherheitsnetz schließen. Um diese sich immer weiterentwickelnden Bedrohungen abzuwehren, benötigen Unternehmen eine Security Fabric Plattform auf Basis einer Cybersecurity-Mesh-Architektur.“


Längere Vorbereitung maximiert den Schaden

Experten für Cybersicherheit stufen Angriffe häufig anhand eines Modells wie dem MITRE ATT&CK Framework ein. Auf der linken Seite der Angriffskette stehen dabei die Aktivitäten im Vorfeld eines Angriffs. Dazu gehören Planung, Entwicklung und Bewaffnungsstrategien. Auf der rechten Seite steht die bekanntere Ausführungsphase der Angriffe. Die FortiGuard Labs prognostizieren, dass Cyberkriminelle zukünftig mehr Zeit und Aufwand in die Vorbereitung investieren werden. Indem sie ihre Ziele gründlicher
auf mögliche Schwachstellen und Angriffspunkte untersuchen, können Angreifer auch ihre Methoden und Technologien anpassen. So sind ihre Angriffe noch häufiger erfolg-
reich. Darüber hinaus können die Cyberkriminellen diese leider auch immer schneller umsetzen. Ein Treiber ist hier der expandierende Crime-as-a-Service-Markt.


Ransomware wird noch zerstörerischer

Crimeware bleibt weiter auf dem Vormarsch, der Fokus liegt dabei auf Ransomware. Schon jetzt kombinieren Cyberkriminelle Ransomware mit Distributed Denial-of-Service (DDoS)-Angriffen, um so IT-Teams zu überfordern. Damit wollen sie verhindern, dass mögliche Abwehrmaßnahmen in letzter Sekunde den Schaden noch abwenden könnten. Der zusätzliche Einsatz von Wiper-Malware, einer „tickenden Zeitbombe“, setzt Unternehmen noch stärker unter Zugzwang, zu zahlen.

Solch eine Schadsoftware kann nicht nur Daten zerstören, sondern ganze Systeme beschädigen – sogar Hardware. Wiper-Malware war zuletzt wieder sehr präsent, unter anderem durch einen Angriff auf die Olympischen Spiele in Tokio. Die Methoden der Cyberkriminellen Angriffe und APTs nähern sich immer mehr aneinander an. Insofern ist es nur noch eine Frage der Zeit, bis das zerstörerische Potenzial von Wiper-Malware Einzug in den Ransomware-Werkzeugkasten hält.


Cyberkriminelle nutzen KI für Deep Fakes

Künstliche Intelligenz (KI) ist als Abwehrmaßnahme bereits häufig im Einsatz. Sie kann etwa ungewöhnliche Aktivitäten erkennen, die auf einen Angriff hinweisen – üblicherweise von Botnetzen. Cyberkriminelle nutzen dagegen KI zur Täuschung der Algorithmen: Diese können ihren Angriff dadurch nicht mehr als einen solchen identifizieren. Eine echte Gefahr könnten  - durch ihren zunehmenden Realismus - Deep Fakes darstellen.

Deep Fakes nutzen KI, um menschliche Aktivitäten zu imitieren. Cyberkriminelle können diese Technik etwa zur Verbesserung von Social-Engineering-Angriffen missbrauchen. Zudem sind professionelle Anwendungen immer leichter kommerziell verfügbar und senken so die Schwelle, Deep Fakes zu erstellen. In absehbarer Zeit könnten Verbrecher so in Echtzeit über Audio- oder Video-Anwendungen eine täuschend echt wirkende Imitation erzeugen. Besonders heikel wird es, wenn diese Trugbilder sogar biometrischen Analysen standhalten können. Das gefährdet selbst sichere Formen der Authentifizierung wie die Stimm- oder Gesichtserkennung.


Mehr Angriffe auf bislang verschonte Systeme in der Lieferkette

In zahlreichen Netzwerken laufen viele der Computersysteme im Back-End mit Linux. Bis vor kurzem war das Betriebssystem noch kein primäres Ziel der Cyberkriminellen. Jüngst wurden allerdings schädliche Binärdateien entdeckt, die Microsofts WSL (Windows Subsystem for Linux) attackierten. Das ist eine Kompatibilitätsschicht, die das Ausführen von Binärdateien auf Windows 10, Windows 11 und Windows Server 2019 ermöglicht.

Darüber hinaus ist bekannt, dass die Gemeinde der Cyberkriminellen bereits an Botnetz-Malware für Linux-Plattformen arbeitet. Dadurch wächst die Angriffsfläche auf Unternehmensnetzwerke noch weiter, die abzuwehrenden Bedrohungen nehmen insgesamt zu. Gerade für die Betriebstechnologie (Operational Technology, OT) und Lieferketten im Allgemeinen ist das eine große Herausforderung, da zahlreiche Systeme auf Linux-Plattformen laufen.


Cyberkriminelle nehmen alles ins Visier

Die künftige Herausforderung für die Security-Experten, ist weit mehr als nur die steigende Zahl der Angriffe oder die sich weiterentwickelnden Techniken der Cyberangreifer. Cyberkriminelle entdecken immer neue Bereiche. Unternehmen erweitern derweil ihre Netzwerke und schaffen neue Edges, die durch Homeoffice-Möglichkeiten, Fernunterricht und neue Cloud-Dienste entstehen. Im privaten Bereich beschäftigen sich zudem viele mit Online-Spielen oder vernetztem Lernen. Schnelle Internetverbindungen und die zunehmende Vernetzung sind eine Steilvorlage für Cyberkriminelle. Diese werden sich in Zukunft verstärkt darauf konzentrieren, diese Randbereiche als Einfallstor zu nutzen.


Neues Angriffsziel Satelliten-Internet

Immer mehr Anwender nutzen einen Internetzugang per Satellit. Daher gehen die Experten der FortiGuard Labs davon aus, dass im Laufe des nächsten Jahres Cyberkriminelle gezielt Satellitenverbindungen mit neuen Proof-of-Concept (PoC)-Bedrohungen angreifen werden. Besonders interessante Ziele werden Unternehmen darstellen, die für niedrige Latenzzeiten auf Satelliten-Internet angewiesen sind. Dazu gehören etwa Anbieter von Online-Spielen oder fernverwalteten kritischen Diensten, aber auch Pipelines; Kreuzfahrtschiffe und Fluggesellschaften. Binden Unternehmen nun ehemals isolierte Systeme – wie OT in Remote-Standorten – in das Unternehmens-
netz ein, vergrößert das die Angriffsfläche. Dies werden Cyberkriminelle voraussichtlich für Ransomware-Angriffe ausnutzen.


Den digitalen Geldbeutel im Blick

Geldinstitute verbessern kontinuierlich die Verschlüsselung ihrer Transaktionen und bauen eine mehrstufige Authentifizierung (MFA) ein. Das erschwert es Angreifern, Überweisungen abzufangen. Digitale Wallets hingegen haben ein höheres Sicherheitsrisiko. Gegenwärtig lohnt sich der Angriff auf einzelne Wallets noch nicht besonders. Das könnte sich aber ändern, wenn Unternehmen verstärkt digitale Wallets für Online-Transaktionen verwenden. In diesem Fall werden Cyberkriminelle voraussichtlich Malware entwickeln, die gespeicherte Anmeldedaten auslesen und so digitale Wallets ausspähen kann.


Zielscheibe E-Sport

Beim E-Sport handelt es sich um organisierte Multiplayer-Videospielwettbewerbe, an denen oft professionelle Spieler und Teams teilnehmen. Die Branche boomt und wird in diesem Jahr voraussichtlich einen Umsatz von mehr als 1 Milliarde US-Dollar erzielen. E-Sport lockt Cyberkriminelle an. Einerseits ist eine ständige Internetverbindung notwendig, andererseits verbinden sich die Spieler oft aus unzureichend gesicherten Heimnetzwerken oder in Umgebungen mit zahlreichen offenen Wi-Fi-Zugängen.

Dabei greifen die Cyberkriminellen auf viele unterschiedliche Instrumente zurück, zum Beispiel DDoS-Angriffe, Ransomware oder Finanz- und Transaktionsdiebstahl. Die interaktive Natur der Spiele macht sie auch zu einem attraktiven Ziel für Social-Engineering-Angriffe. Angesichts der zunehmenden Beliebtheit und steigender Investitionsvolumina werden E-Sport und Online-Gaming im Jahr 2022 voraussichtlich große Angriffsziele darstellen.


Angriffspunkte am Netzwerk-Rand

In der aktuellen IT-Landschaft steigt die Anzahl der eingesetzten Internet-of-Things- (IoT) und Betriebstechnologie- (OT) Geräten stetig an. Dazu finden, befeuert von 5G
und KI, immer mehr intelligente Geräte Einsatz. Diese zunehmende Vernetzung ermöglicht Transparenz in Echtzeit, schafft jedoch auch eine wachsende Anzahl an Netzwerk-
Rändern. Cyberkriminelle werden das gesamte Netzwerk als potenziellen Einstiegspunkt in Betracht ziehen, insbesondere aber die Ränder.

Daher ist damit zu rechnen, dass sie neue, speziell darauf zugeschnittene, Angriffsmöglichkeiten entwickeln werden. Sie werden alle potenziellen Sicherheitslücken ausnutzen und dadurch Bedrohungen in noch nie dagewesenem Umfang schaffen. Da Edge-Geräte immer leistungsfähiger werden und mehr Funktionen besitzen, werden neue Angriffe diese Möglichkeiten direkt für ihre Zwecke nutzen. Da Unternehmen vermehrt IT- und OT-Netzwerke zusammenführen, ist eine steigende Anzahl von Angriffen auf OT-Geräte, insbesondere an Netzwerk-Rändern, wahrscheinlich.


Cyberkriminelle profitieren vom Edge

„Living off the Land“ (LotL)-Angriffe nutzen bestehende Anwendungen in kompromittierten Umgebungen, um Attacken als legitime Systemaktivitäten zu tarnen. Der Angriff bleibt dadurch lange Zeit unbemerkt. Die Hafnium-Angriffe auf Microsoft Exchange-Server nutzten dieseTechnik, um sich in Domänen-Controllern zu verstecken. Die Kombination aus LotL-Strategien und Edge-Access-Trojanern (EATs) könnte dazu führen, dass Angreifer sich nicht nur im System selbst, sondern direkt am Netzwerk-Rand einnisten. Das lohnt sich für Angreifer in dem Maße zunehmend, in dem Edge-Geräte über immer mehr Rechte verfügen. Edge-Malware kann so ein steigendes Volumen an Aktivitäten und Daten überwachen. Schließlich können die Angreifer unentdeckt wichtige Systeme, Anwendungen und Informationen stehlen, kapern oder Lösegeld erpressen.


Dark Web macht Angriffe auf kritische Infrastrukturen skalierbar

Cyberkriminelle haben erkannt, dass sie ihre Malware als Service online verkaufen können. Anstatt mit Anbietern ähnlicher Tools zu konkurrieren, werden sie ihr Portfolio um OT-basierte Angriffe erweitern. Die steigende Konvergenz von OT und IT an den Schnittstellen begünstigt das. Die Betreiber solcher Systeme und kritischer Infrastrukturen zu erpressen, ist für Cyberkriminelle ein lukratives Geschäft. Für Unternehmen kann sie jedoch schwerwiegende Folgen haben – und für die Bevölkerung sogar lebensgefährlich werden.

Da die Netzwerke zunehmend miteinander verbunden sind, kann praktisch jeder Zugangspunkt genutzt werden, um in ein IT-Netzwerk einzudringen. Traditionell waren Attacken auf OT-Systeme bislang die Domäne spezialisierterer Angreifer. Zunehmend stellen jedoch kriminelle Gruppen Angriffspakete zusammen, die sie im Dark Web verkaufen. Dadurch können wesentlich mehr Cyberkriminelle diese Möglichkeiten nutzen.


Gegenmaßnahme: Eine Security Fabric Plattform auf Basis einer Cybersecurity-Mesh-Architektur

Der Perimeter ist immer fragmentierter, und die Cybersecurity-Teams arbeiten oft in Silos. Gleichzeitig stellen viele Unternehmen auf ein Multi-Cloud- oder Hybrid-Modell um.
Das spielt Cyberkriminellen in die Hand, denn die verfolgen einen ganzheitlichen, ausgeklügelten Ansatz. Eine Cybersecurity-Mesh-Architektur sorgt für integrierte Sicherheit auch über dezentrale Netzwerke und Anlagen hinweg. Zusammen mit einem Security Fabric-Ansatz können Unternehmen von einer einheitlichen Sicherheitsplattform profitieren: Sie schützt alle Ressourcen, egal ob vor Ort, im Rechenzentrum, in der Cloud und am Netzwerkrand gleichermaßen. Cybersecurity-Experten müssen jetzt vorausschauend planen.

Dafür sollten sie die Möglichkeiten von Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) nutzen, um Bedrohungen zu verhindern, schneller zu erkennen und auf sie
zu reagieren. Moderne Endpunkt-Technologien wie Endpoint Detection and Response (EDR) können dabei helfen, schädliche Aktivitäten anhand ihres Verhaltens zu identifi-
zieren. Zudem wird eine Zero-Trust-Network-Access (ZTNA)-Strategie für den sicheren Zugriff auf Anwendungen entscheidend sein, um den Schutz auch auf mobile Mitarbeiter und Lernende auszuweiten, während Secure SD-WAN die WAN-Ränder schützt.

Um die seitliche Bewegung von Cyberkriminellen innerhalb eines Netzwerks einzuschränken und Sicherheitsverletzungen auf einen kleinen Teil des Netzwerks zu beschränken, bleibt die Segmentierung ein grundlegender Ansatz. Da die Geschwindigkeit der Angriffe weiter zunimmt, kann das Bereitstellen gesammelter Erkenntnisse in handlungsorientierter Form Unternehmen helfen, Angriffe in Echtzeit abzuwehren.

Unabhängig von Branche und Unternehmensgröße ermöglichen Partnerschaften und miteinander geteilte Daten eine wirksamere Abwehr und bessere Vorhersage zukünftiger Angriffsmethoden. Das könnte kriminelle Bemühungen abschrecken. Bevor Cyberkriminelle sich noch stärker miteinander vernetzen, sollten Unternehmen ein gemeinsames Abwehrbollwerk schaffen.


Mehr Informationen zu den Forschungsergebnissen der FortiGuard Labs finden Sie unter folgendem Link: www.fortinet.com