Mitten im Traum ertönt der Alarm vom Smartphone. Ich öffne die Augen und schalte den Wecker mit der Smartwatch aus. Der Smart TV ist schon wach und präsentiert die neusten Nachrichten und das Wetter: Es ist ein eisiger Wintermorgen. Wie an jenem anderen Tag wartet das Auto draußen. Doch wenn ich jetzt nicht den Motor anlasse, wird das heute nichts mehr. Um ein wenig Zeit zu sparen, greife ich zum Smartphone und will das Auto von der Küche aus mit der Car App fernstarten. Sehr komfortabel. Das Auto startet nicht. Stattdessen erscheint eine Meldung auf dem Bildschirm meines Smartphones: „Ihr Auto wurde gesperrt. Wenn Sie es wieder benutzen möchten, überweisen Sie das Lösegeld in Höhe von 0,5 Bitcoins.“ Verdammt.
Zurück in der Realität. Wir fragen uns, in wie weit ist dieses Szenario in den nächsten Jahren denkbar? Wie anfällig sind die Internet of Things Geräte gegenüber Ransomware und wie wird das unseren Alltag beeinflussen? Als Sicherheitsforscher bei ESET haben wir uns diese Fragen gestellt. Einige Ideen sind in unser neustes Whitepaper ESET Trends 2017 eingeflossen.
Wie jedes Jahr denken wir über die kommenden Cyber-Bedrohungen nach und versuchen daraus Ableitungen für die nahe Zukunft zu bilden. Von daher basiert unser Bericht auf dem konstanten Monitoring der globalen Bedrohungslage und der Suche nach Mustern, um Bedrohungen zu erkennen, noch bevor sie zur echten Gefahr werden können.
Heute erscheint unser neuster Bericht – traditionell direkt aus den ESET Laboren. Acht Forscher haben an dem Whitepaper mitgewirkt. Hauptsächlich untersuchten sie, mit welcher Geschwindigkeit sich neue Technologien ausbreiten und wie sich dadurch die Angriffsoberfläche im Allgemeinen vergrößert.
Überblick über die Internetsicherheit 2017
Das Jahr 2016 geht definitiv als Jahr der Ransomware in die Geschichtsbücher der Internet Security ein. Das bevorstehende Jahr 2017 könnte das Jahr der Jackware werden, vermutet Stephen Cobb. Es könnte das Jahr werden, indem Ransomware die üblichen Plattformen wie Computer und Smartphone verlässt und Kontrolle über Geräte übernimmt, die nicht hauptsächliche der Datenverarbeitung oder digitalen Kommunikation dienen. Wie im Traum-Beispiel oben kommen uns da Connected Cars in den Sinn, also vernetzte Autos.
Smart Devices sind jedoch nicht die einzigen Geräte, die durch die Infrastruktur des Internets angreifbar sein werden. Mit hoher Wahrscheinlichkeit werden Angreifer vermehrt auch kritische Infrastrukturen erforschen und schädigen, sowie deren Services versuchen einzuschränken und wichtige Daten als Geiseln nehmen. Die potenziellen Attacken auf kritische Infrastrukturen untersuchten Stephen Cobb und Cameron Camp. Dabei gingen sie insbesondere auf die Kompromittierung von Daten und Diensten ein, die z.B. für die wirtschaftliche Stabilität und nationale Sicherheit essentiell sind – kurzum für die lebenserhaltenden Maßnahmen unserer Gesellschaft.
Und da wir gerade beim Thema lebenswichtig sind; Was könnte wichtiger sein, als das Gesundheitswesen zu schützen? Gerade bei unserer Gesundheit vertrauen wir auf vielerlei technischer Geräte. Praktizierende Ärzte schätzen ihre mittlerweile mit dem Internet verbundenen Geräte – Konsumenten dagegen ihre Fitnessarmbänder oder ähnliche mobile Fitnessgeräte. Leider ist es um die Sicherheit der Geräte mit den vielen sensiblen Informationen oft nicht so gut bestellt, meint Lysa Myers. In ihrem Abschnitt erklärt sie, welche Änderungen im Gesundheitswesen in der Zukunft stattfinden müssen.
Es gibt auch noch einen ganz anderen Sektor, in dem die Integrierung von mobilen Geräten mit Internetzugang stark ansteigt. Es geht um Videospiele. Cassius Puodzius beschreibt die potenziellen Risiken der Integrierung von Konsolen in Computer. Das führe zu diversen Schwachstellen oder Malware-Kompromittierungen, die persönliche oder finanzielle Daten kapern, so der ESET Forscher.
Es stimmt, dass das Ausnutzen von Schwachstellen ein wichtiger Angriffsweg bleibt. Wir dürfen den sich dorthin entwickelnden Trend nicht aus den Augen verlieren. Lucas Paus bestätigt das. Alleine der Umfang der Bedrohungen reichte 2016 nicht an das Niveau von 2015 heran. Aber ungefähr 40% der Bedrohungen sind als kritisch eingestuft. In dem Punkt übersteigt 2016 das Jahr 2015. Kurz gesagt: Es gibt nicht mehr Bedrohungen als im Jahr 2015, dafür aber mehr kritische. In diesem Abschnitt versuchen wir das Phänomen zu erläutern.
Abschließend betrachten wir den Sachverhalt von „Mobile Malware“ im Kontext des unaufhaltsamen technologischen Fortschritts, der neue Angriffe ermöglicht. Wir sind davon überzeugt, dass das Erstarken von Virtual Reality nicht nur ein neues Sicherheitsrisiko für digitale Informationen hervorrufen, sondern auch das körperliche Wohlbefinden des Users beeinflussen wird. Durch das unbändige Datensammeln von sensiblen Informationen der dazugehörigen Anwendungen wächst Mobile Malware nicht nur unaufhaltsam, sondern erscheint immer komplexer. Für uns bedeutet das die Notwendigkeit einer steten Entwicklung neuer Sicherheitskonzepte.
Damit haben wir einige der Schlüsselthemen im neuen Trendbericht 2017 umrissen. Außerdem erläutern wir noch die Schwierigkeit bei der Implementierung von international wirksamen Rechtsvorschriften von Internet Security. Obgleich es einige bedeutende Regelungen gibt, sehen sich Staaten, Firmen und Bürger auf der ganzen Welt mit einigen Herausforderungen konfrontiert, die Miguel Mendoza in seinem Abschnitt analysiert.
Für die Antivirus-Industrie erklärt David Harley die aktuelle Sicht der Dinge. Er zeigt uns die Unterschiede zwischen der „traditionellen“ Malware-Erkennung und der „Next-Generation – signature-less“ Erkennung. Gerade um letzteres ranken sich viele Mythen, die Harley in seinem Abschnitt entzaubert.
Schwachstellen in Systemen und ... bei Menschen?
Ein ganz wichtiges Element zieht sich wie ein roter Faden durch die Themen im neuen Trendbericht 2017. Es geht um die Aufklärungsarbeit bei Mitarbeitern, Kunden und Vertriebspartnern. Sie sollen momentane und zukünftige Bedrohungen und Risiken verstehen und besser einschätzen können. Die Ära der Konnektivität setzt eine Veränderung der Einstellung voraus. Der gemeinsame Nenner aller Abschnitte im Whitepaper ist also der Faktor Mensch. Wir müssen daran arbeiten, dass der Mensch nicht mehr das schwächste Glied für die Sicherheit von Unternehmen ist. Schaffen wir das nicht, bleiben wir in dem Stadium, indem wir zwar die neuste Technologie besitzen, aber mit den gleichen Sicherheitskonzepten wie vor zehn Jahren arbeiten. Da trägt auch die beste und neuste Technologie nicht zur Sicherheit im Unternehmen bei.
Wir kommen im Trendbericht 2017 zu dem Schluss, dass wir die Menschen nicht nur aufklären, sondern das auch Regierungen legislative Rahmenbedingungen annehmen müssen, um Internet Security zu unterstützen. Neben formaler Bildung wollen wir den ordnungsgemäßen Schutz kritischer Infrastrukturen erreichen. In diesem Sinne ist es auch zwingend notwendig, dass Unternehmen sich dazu verpflichten, ein ordnungsgemäßes Information Security Management zu betreiben und dass Entwickler die Usability eines Produkts nicht über deren Sicherheit stellen.
ESET Trend 2017: Der ganze Bericht befindet sich auch in unserem Whitepaper-Abteil Dokumente hier bei WeLiveSecurity. Nur wer einen Blick in das PDF wirft, kann nützliche Informationen über die Informationssicherheit im kommenden Jahr 2017 erfahren.