Attacken unter der Gürtellinie

Die Attacken, die auf Hardware abzielen, haben sich 2015 grundlegend verändert. Sie sind gleichzeitig unauffälliger und raffinierter geworden. So war zum Beispiel die Malware der Equation Group in der Lage, die Firmware - also sehr hardwarenahe Software - von Festplatten und Solid State Disks (SSDs) neu zu programmieren.

Der Angriff blieb trotz umfassender Entfernungsmaßnahmen wie Betriebssystem-Neuinstallationen und Laufwerk-Neuformatierungen persistent. Er flog sozusagen unter dem Radar der Hygiene-Maßnahmen. Laut McAfee ein hervorragendes Beispiel dafür, wie genaue Kenntnisse über Firmware- und Referenzcodes der Hersteller dafür genutzt werden, die Malware besonders persistent, also reinigungsfest zu machen.

Derartige Bedrohungen unterhalb der Gürtellinie werden 2016 leider weiter zunehmen. Heutige Sicherheitslösungen (wie Virenscanner) blockieren Angriffe auf Endgeräte, Peripherie und Gateways immer besser. Deshalb gehen Cyberkriminelle zu Angriffsmethoden über, die sich gar nicht auf Dateien - wie ein infiziertes Mail-Attachement - beziehen. Unter Ausnutzung von Schwachstellen in BIOS (Basic Input Output System), Gerätetreibern und anderer Firmware umgehen die Angreifer die Schutzmaßnahmen, indem sie Befehle direkt in den Arbeitsspeicher injizieren oder dort Funktionen manipulieren, um eine Infektion zu starten, warnt McAfee.

Diese Angriffe seien nicht leicht durchzuführen und verlangten einiges an Know-how, sodass die Anzahl zurzeit noch relativ klein sei. Wie andere Techniken auch würden sie jedoch im Laufe der Zeit einfacher und standardisierter, sodass sie leichter und damit häufiger eingesetzt werden könnten. Auch andere dateilose Angriffsvarianten werden in den nächsten Jahren zunehmen: Das Kapern von Remote-Shell- und Fernsteuerungsprotokollen wie VNC, RDP, WMI und PowerShell. Die Cyberkriminellen erhalten dadurch direkte Kontrolle über die Systeme und können bösartigen Code installieren, ohne einen Alarm auf Endgeräten auszulösen.

Die Sicherheitsexperten rechnen zudem damit, dass Anmeldeinformationen künftig zu einem Primärziel werden. Damit erstehlen sich Kriminelle den Zugriff auf unzählige, wertvolle Konto-/Account-Informationen. Wir werden Angriffe erleben, die über einen längeren Zeitraum erfolgen - mit "Schläfern", die monatelang auf ihre Aktivierung warten, bevor sie aus ihren Sandbox-Umgebungen ausbrechen und zuschlagen. Infektionen, die heimlich Daten kompromittieren, ohne dass der Benutzer überhaupt etwas davon mitbekommt. 

Eine weitere, raffinierte Angriffstechnik funktioniert wie ein klassischer Zaubertrick: Eine sichtbare, aktive Malware oder ein Botnet ziehen die Aufmerksamkeit des Sicherheitsteams auf sich. Der eigentlich Angriff aber erfolgt derweil an ganz anderer Stelle. 

Ihre Hoffnung setzt die Sicherheitsbranche auf Verhaltensanalysen, wie sie Banken zum Schutz gegen Betrügereien schon heute einsetzen. Diese Werkzeuge erstellen Basislinien für normales Verhalten und überwachen Vorgänge, um reguläre Datenströme und Aktivitäten legitimer Benutzer zu erkennen. Bei irregulären Aktionen läuten sie Alarm.

Benutzt ein Mitarbeiter normalerweise diese bestimmte Anwendung bei der Arbeit? Wird die Aktivität während normaler Arbeitszeiten, an typischen Standorten und mit überprüften Geräten durchgeführt? Technologien zur Verhaltensanalyse stecken immer noch in einem frühen Entwicklungsstadium. Sie werden aber in den nächsten Jahren, auch unter Einsatz von "Machine Learning", "Big Data" und Analytics, schnell reifen.