IT Security Ausblick 2023: Zeiten der Unsicherheit, 9 Prognosen
von Tina Siering
Alle Prognosen für das neue Jahr 2023 deuten auf eine weitere Verschärfung der ohnehin hohen Bedrohungslage hin. Das oberste Ziel sollte daher sein, die Widerstandsfähigkeit in der IT-Sicherheit unter den gegebenen Rahmenbedingungen bestmöglich und dauerhaft zu stärken. Die folgenden 9 Punkte sollen helfen, sich auf potentielle Themen und Angriffsszenarien vorzubereiten.
Punkt 1: APIs als großes Risiko für Sicherheitsverantwortliche
Application Programming Interfaces (APIs) sind unabdingbar für den Austausch von Daten und stellen einen wichtigen Treiber für digitale Innovationen dar. Nicht zuletzt durch die wachsende Verbreitung von SaaS-Anwendungen hat die Nutzung von APIs in den letzten Jahren stark zugenommen. Die Schnittstellen rücken daher zunehmend auch in den Fokus von Cyberkriminellen. Für Sicherheitsteams ist es deswegen von großer Bedeutung, eine umfassenden Übersicht über die gesamte potenzielle Angriffsfläche zu haben. Dazu zählen alle APIs in der Umgebung, einschließlich dokumentierter und undokumentierter (Schatten-)APIs sowie nicht verwendeter oder veralteter APIs, die nicht deaktiviert wurden. Wir erwarten für 2023 eine weitere Zunahme von Sicherheitsvorfällen, die auf APIs abzielen. Denn trotz der bekannten Risiken sind APIs vielfach noch unzureichend geschützt – einem aktuellen Report der Sicherheitsexperten von Salt Security zufolge verfügt mehr als ein Drittel aller Unternehmen sogar über keinerlei API-Sicherheitsstrategie.
Punkt 2: Zunahme von Datenerpressung und von Data-Leak Marktplätzen
Die Methode "Datenerpressung und Datendiebstähle" wird die bekannten Techniken der Datenverschlüsselung mittels Ransomware mutmaßlich übertreffen. In Folge werden neue kriminelle Marktplätze entstehen, die sich ausschließlich der Vermarktung und dem Verkauf der gestohlenen Daten widmen. Cyberkriminellen wird ermöglicht sein, Unternehmen und Organisationen wiederholt über Taktiken wie die doppelte oder dreifache Erpressung anzugehen. Ransomware-as-a-Service (RaaS) Anbieter werden sich bei Software-Aktualisierung wahrscheinlich auf Methoden zum Ausschleusen und Veröffentlichen von Daten auf „Leak-Websites“ konzentrieren.
Punkt 3: Zero Day Schwachstellen: Wettlauf gegen die Zeit nimmt weiter zu
Angreifer entwickeln immer raffiniertere TTPs (Taktik, Technik und Prozedur), die explizit auf Zero-Day-Sicherheitslücken abzielen. Die Zahl der Zero-Day-Exploits hat in den letzten Jahren stark zugenommen, während gleichzeitig die Zeitspanne zwischen dem Bekanntwerden von Schwachstellen und dem aktiven Ausnutzen durch Cyberkriminelle immer kürzer geworden ist. In zahlreichen Fällen nutzen die Hacker bekannt gewordene Schwachstellen nahezu in Echtzeit aus. Die wachsende Anzahl von Zero-Day-Bedrohungen zeigt die Dringlichkeit von proaktiven Threat-Hunting-Lösungen, die in der Lage sind, Kompromittierungen in Netzwerken und Systemen unmittelbar zu detektieren und zu melden.
Punkt 4: Cyberversicherungen werden strengere Bedingungen stellen
Immer mehr Unternehmen setzen auf die Absicherung finanzieller Risiken durch spezialisierte Cyberversicherungen. Allerdings ist die Anzahl und die Höhe der Versicherungsansprüche in den letzten Jahren exponentiell gestiegen. Versicherungsunternehmen sind daher gezwungen, die Risiken neu zu bewerten und die Abdeckung ggf. zu verringern. Dies führt dazu, dass es für viele, die ihre Versicherung erneuern oder erstmals eine solche abschließen möchten, schwierig sein wird, eine Police mit passenden, leistungsstarken Konditionen zu finden. Die zunehmende Nachfrage nach Cyberversicherungen und die gleichzeitige Verringerung der Abdeckung hat so zu einem hart umkämpften Markt geführt. Dieser Trend wird sich 2023 nochmals verschärfen. Der Vorstandsvorsitzende der Schweizer Versicherungsgesellschaft Zurich, Mario Greco, geht sogar noch weiter und befürchtet, dass für Unternehmen bestimmter Wirtschaftsbereiche (vor allem KRITIS) Schäden durch Cyberangriffe zukünftig nicht mehr versicherbar sind.
Punkt 5: Diebstahl von Anmeldedaten anstatt Phishing
Der Diebstahl von Passwörtern bildet eine Grundlage für massive Cyberangriffe mit schwerwiegenden Auswirkungen. Für den Diebstahl setzen Hacker vermehrt auf bequem und einfach verwendbare Tools wie Racoonstealer oder Vidar, die im Darknet bereits fertig vorkonfiguriert und günstig erhältlich sind. Gestohlene Anmeldedaten werden in Untergrund-Foren bereits heute gehandelt – und stellen damit eine preiswerte, zeitsparende Alternative zu komplexeren Phishing-Angriffen dar. Es ist eine Ausweitung von Anmeldedaten-Diebstahl durch vorkonfigurierte Tools zu erwarten und eine ebensolche Zunahme an gestohlenen Datensätzen, die im Darknet zum Kauf angeboten werden.
Punkt 6: Der IT-Fachkräftemangel wird sich weiter verschärfen
Der Mangel an IT-Fachkräften ist leider ein seit vielen Jahren bekanntes Problem. Laut einer aktuellen Studie der Bitkom fehlen allein in Deutschland derzeit 137.000 IT-Experten. Die Personallücke im Bereich Cybersicherheit hat sich 2022 in Deutschland im Vergleich zum Vorjahr sogar um 52,8 % erhöht, wie eine Studie der (ISC)2 zeigt. Die Lage wird sich in 2023 insoweit verschärfen, als dass es mutmaßlich zu schwerwiegenden Angriffen kommen wird, die direkt auf den Mangel an Cyber Security Experten, sowie auf überlastete und unterbesetzte IT-Sicherheitsteams zurückzuführen sein werden. Um dieses Risiko zu verringern ist es wichtig, neue Talente für vielen Berufsfelder in der IT-Sicherheit auszubilden und neue Tools und weitere Ressourcen zur Entlastung bereitzustellen. Eine Managed Detection and Response-Lösung, beispielsweise unser Active Syber Defense (ACD) Service mit 24/7-Überwachung durch unser SOC-Team hilft Unternehmen bei der unmittelbaren Erkennung von Angriffsmustern und bei der rechtzeitigen Reaktion zur Vermeidung erfolgreich durchgeführter Cyberangriffe.
Punkt 7: Gefahr durch staatliche Akteure
Der Krieg in der Ukraine und die dadurch eingeschränkte Verfügbarkeit von Energieressourcen könnten Unternehmen und Organisationen zu Zielen von nachrichtendienstlichen Operationen zur Informationsgewinnung machen. KRITIS-Unternehmen sind bei länderübergreifenden Konflikten bereits durch Cybersabotage gefährdet, nun wird dieses Risiko noch erhöht. Mehrfach war in jüngster Vergangenheit zu lesen, dass sich europäische Energieversorger auf staatlich gesponserte, russische Angriffe vorbereiten sollen, da der Kreml aufgrund der verhängten Sanktionen versuchen könnte so Länder unter Druck zu setzen. Ein Bedrohungsszenario: Angriffe mit Ransomware zur Störung der Stromversorgung.
Deutsche Unternehmen aus dem Sektor der kritischen Infrastruktur sind gemäß IT-Sicherheitsgesetz 2.0 dazu verpflichtet, ab 01.05.2023 nachzuweisen, dass die geforderten Maßnahmen für eine Integration von Systemen zur Angriffserkennung umgesetzt werden. 2023 wird somit vor allem eines mit sich bringen: Eine dringend benötigte Aufrüstung der vorhandenen IT-Sicherheitsmaßnahmen - größen- und branchenunabhängig. Vor allem der Einsatz von Lösungen für eine Angriffserkennung (z. B. im Rahmen eines Managed Detection and Response Service) sollte im kommenden Jahr nicht nur in KRITIS-Unternehmen mehr fehlen. In dieser angespannten Lage führt auch für kleine und mittelgroße Unternehmen kein Weg an geeigneten IT-Sicherheitsmaßnahmen vorbei.
Punkt 8: Investition in Managed Detection and Response (MDR)
Ob Konzern oder Mittelstand: Das vergangene Jahr zeigt, dass immer noch zu wenige angemessen gerüstet sind, um auf erfolgreiche Cyberangriffe rechtzeitig und "effektiv abwehrend" zu reagieren. Anzahl und Professionalität der erfolgreich durchgeführten Angriffe steigt kontinuierlich. Die Verbreitung von IoT-Netzwerken und „Remote-Mitarbeitern“ (als neuer Arbeitsstandard) erhöhen die Anzahl abzusichernder Endpoints. Ein Ansatz, um diese Risiken zu minimieren, ist der Einsatz eines Managed Detection and Response-Service (MDR). Um einen erfolgreichen Cyberangriff frühzeitig zu detektieren, ist es entscheidend, bei Sicherheitsvorfällen rechtzeitig und zielgerichtet zu reagieren. Das Monitoring des Netzverkehrs wird bei Nutzung eines MDR-Service durch ein externes SOC-Team gewährleistet. Auf Basis einer monatlichen Servicepauschale betreiben die Security Analysten aktives „Threat Hunting“ mit dem Ziel, Sicherheitsvorfälle auf Netzwerkebene zu erkennen, zu untersuchen und einzudämmen.
Punkt 9: Deepfakes werden immer besser
2023 dürfen Sie im Internet eines nicht mehr: Auf die Echtheit von Foto- oder Videoaufnahmen vertrauen. Deepfakes, die KI-basierte Manipulation von menschlichen Gesichtern oder Stimmen, werden in den kommenden Jahren ein völlig neues Niveau erreichen. Was im Unterhaltungssektor noch ganz amüsant sein kann – wir empfehlen einen Blick auf das Remake von „Matrix“ – kann in den falschen Händen zu einer echten Gefahr werden. Ein Video, in dem der ukrainische Präsident Selenskyj im März 2022 angeblich zur Kapitulation seiner Streitkräfte aufruft, war ein Deepfake. Unabhängig von der Absicht werden Deepfakes immer schwieriger zu erkennen und stellen demzufolge ein großes Sicherheitsrisiko dar, nicht nur als „Waffe“ für Social Engineers. Im Jahr 2023 könnten Deep Fakes so authentisch sein, dass es nur eine Frage der Zeit ist, bis Angreifer lebensechte digitale Avatare von jemandem erstellen können. Wenn dies der Fall sein wird, wird es für den User unglaublich schwierig sein, den Unterschied ohne Analyse der Quelldaten zu identifizieren.
Fazit
Eine stetig steigende Bedrohungslage, kaum vorhersehbare Unsicherheitsfaktoren, hochgerüstete, sehr gut vernetzte und äußerst professionell agierende Cybercrime Akteure werden 2023 viele Organisationen und Unternehmen weltweit erneut(!) vor große Herausforderungen stellen.
Kein Unternehmen sollte sich vor Angriffen in Sicherheit wiegen, denn im Fokus der Hacker sind (wie in der Vergangenheit) nicht nur Großkonzerne. Auch kleine und mittlere Betriebe, denen es an Fachkräften für eigene IT Security Teams mangelt, stehen im Fokus.
Intelligente Cyber Defense Maßnahmen, wie z. B. Lösungen wie eine effektive Angriffsfrüherkennung sollten folglich in der IT Security Maßnahmenplanung überall und branchenübergreifend eine hohe Priorität besitzen, um Cyberbedrohungen frühzeitig erkennen und abwehren zu können - und folglich die Cyberabwehr dauerhaft zu stärken.