Der Blick nach vorn: Security-Vorhersagen 2023 (Teil 1)
Das Jahr 2022 ist vorbei und die Sicherheitsforscher von WatchGuard richten ihr Augenmerk bereits auf die Zukunft. Dazu gehören natürlich wie immer die Security-Prognosen. „Wie wird sich das Tagesgeschäft rund um Cybersecurity verändern?“, „Welche Rolle spielt der sichere Umgang mit Identitäten?“ und „Inwiefern birgt der Einsatz Künstlicher Intelligenz (KI) Risiken?“ lauten dabei brennende Fragen.
Cyberversicherungen: steigende Anforderungen bei zunehmender Vertikalisierung
Cyberversicherungen sind nach wie vor ein großes Thema. Aufgrund der Tatsache, dass gerade die zunehmenden Fälle von Ransomware und damit einhergehende Lösegeldthematiken immer wieder zu massiven Verlusten auf Seiten der Versicherer geführt haben, wurden über die letzten Jahre zum einen die Preise entsprechender Versicherungen spürbar angehoben. Zum anderen gelten inzwischen auch deutlich höhere Ansprüche hinsichtlich der technischen Voraussetzungen, die Unternehmen bei Abschluss einer entsprechenden Police zu erfüllen haben. Neben einem insgesamt immer weiter ansteigenden Preis- und Anforderungsniveau ist gleichzeitig von einer zunehmenden Vertikalisierung einschlägiger Angebote auszugehen. Schließlich zeichnet sich ab, dass einige Branchen im Jahr 2023 mehr und vor allem „schlagzeilenwirksamer“ mit IT-Sicherheitsbedrohungen zu kämpfen haben werden als andere – worauf natürlich auch die Versicherungsunternehmen reagieren, indem sie Kosten und Vorgaben für die spezifischen Zielgruppen gezielt nachjustieren. Im Fokus stehen hierbei vor allem Unternehmen des Gesundheitswesens, aus dem Bereich „Kritische Infrastrukturen“, dem Finanzsektor sowie Anbieter von Managed Services (MSP). Diese können sich mit hoher Wahrscheinlichkeit auf Mehrkosten und strengere Vorgaben bei Versicherungsabschluss einstellen. Laut Annahme der WatchGuard-Experten zielt das ebenso auf Anbieter von Cybersicherheitsprodukten ab. Es ist kaum auszuschließen, dass einige Versicherer Listen mit „zulässigen Sicherheitsanbietern“ einführen werden und nur noch Policen für Unternehmen zeichnen, die Sicherheitslösungen ausgewählter Hersteller verwenden.
Trau, schau, wem! Bewertung und Validierung von Lösungsanbietern wird zum Zünglein an der Waage
Angriffe auf die digitale Lieferkette haben seit zwei Jahren Hochkonjunktur. Hierfür reicht ein schwaches Glied in Bezug auf die eingesetzte Hard- und Software aus – beispielsweise bei einer Sicherheitslücke im Produkt selbst oder im Fall der Kompromittierung des jeweiligen Anbieters. Es besteht die immanente Gefahr, dass sich das Risiko auch auf Unternehmen, die dessen Lösung einsetzen, überträgt.
Gängige Beispiele sind die Attacken auf SolarWinds und Piriform, bei denen ein erfolgreiches Eindringen ins Herstellernetzwerk dazu führte, dass Produkte wie Orion und CCleaner „infiziert“ und deren Anwender ins Straucheln gebracht wurden. Nicht zu vergessen der Vorfall bei Kaseya: Hier wurde eine Zero-Day-Schwachstelle im beliebten Virtual System Administrator (VSA)-Produkt des Unternehmens genutzt, um dem Einschleusen von Ransomware auf Kundenseite den Weg zu bereiten. Diese Fälle sind nur die Spitze des Eisbergs und die Liste der Übergriffe auf die Lieferkette ließe sich noch beliebig fortsetzen.
Genau aus diesem Grund schauen Unternehmen bei der Auswahl von Herstellern und Partnern mittlerweile deutlich genauer hin: Sicherheitsaspekte spielen eine zunehmend stärkere Rolle. Schließlich sollte das Security-Konzept in den eigenen Reihen nicht durch Fehler von anderen ins Wanken gebracht werden. Die Herstellervalidierung und Risikoanalyse von Drittanbietern sind inzwischen sogar zu einem eigenen Geschäftszweig geworden: Hierbei helfen spezifische Produkte, um die Sicherheitsprogramme von externen Anbietern zu überprüfen und zu verfolgen. Der Umgang mit dem Thema Sicherheit auf Anbieterseite wird künftig zu einem der wichtigsten Auswahlfaktoren werden – sowohl bei Soft- und Hardware als auch im Rahmen von Dienstleistungen – und sich direkt hinter Kriterien wie Preis und Leistung einordnen.
Einbindung des Metaversums im Rahmen neuer Unternehmensprozesse öffnet Angreifern die Tür
Ob man die Idee nun liebt oder hasst: Das Metaversum hat in letzter Zeit für Schlagzeilen gesorgt. Riesige Unternehmen wie Meta (Facebook) und die Muttergesellschaft von TikTok, ByteDance, investieren Milliarden in den Aufbau neuer vernetzter virtueller Welten, von denen sie glauben, dass sie in nicht allzu ferner Zukunft ein fester Bestandteil der Gesellschaft sein werden. Allerdings entsteht aus den modernen Möglichkeiten rund um Virtual Reality (VR) weiterer Nährboden für gezielte Manipulationen und Social Engineering. Bereits heute geben viele Menschen ihre privaten Daten online via Maus und Tastatur preis – wenn jetzt noch Geräte mit zahlreichen Kameras und Infrarot- (IR) sowie Tiefensensoren hinzukommen, die Kopf-, Hand-, Finger-, Gesichts- und Augenbewegungen erfassen, potenziert sich das Risiko von Manipulationen ins Unendliche. VR- oder Mixed-Reality-Headsets (MR) wie das Meta Quest Pro bilden bei Benutzung Zimmer, Möbel, sogar ganze Häuser in 3D ab – und nicht zuletzt auch Computertastaturen. Sobald die Software, die diese Daten speichert, Ziel von Hackern wird, steht dem Verbrechen kaum noch etwas im Wege. So könnten Cyberbösewichte im Zuge krimineller Machenschaften beispielsweise ein virtuelles Deepfake von Online-Avataren erstellen, das sich genauso bewegt und verhält wie der ursprüngliche Besitzer.
Selbst wenn solche spezifischen Bedrohungen noch fünf bis zehn Jahre entfernt sind, bedeutet das nicht, dass das Metaversum nicht schon jetzt ins Visier genommen wird. Die WatchGuard-Experten gehen davon aus, dass der erste Metaverse-Angriff auf Unternehmen an einer Stelle ansetzt, die bereits heute als Angriffsvektor bekannt ist und durch VR-Optionen ganz neue Sprengkraft entwickelt. Ende 2022 brachte Meta das Meta Quest Pro als „Enterprise“-VR/MR-Headset zur Unterstützung von Produktivitäts- und Kreativitätsinitiativen im geschäftlichen Umfeld auf den Markt. Darüber kann unter anderem eine Remote-Verbindung zum herkömmlichen Computer-Desktop hergestellt werden, sodass Anwender den Bildschirm ihres Computers in einer virtuellen Umgebung betrachten und darüber hinaus viele weitere virtuelle Monitore und Arbeitsbereiche für den Computer erstellen können. Dezentral agierende Mitarbeiter werden zudem in die Lage versetzt, virtuelle Besprechungen zu starten, die (im Gegensatz zu Videobesprechungen) angeblich eine viel menschlichere Interaktion ermöglichen. So neumodisch dies auch klingen mag: Im Zuge dessen kommen im Wesentlichen bekannte Remote-Desktop-Technologien wie Microsoft Remote Desktop oder Virtual Network Computing (VNC) zum Tragen, auf die es Cyberkriminelle bereits in der Vergangenheit unzählige Male abgesehen hatten. Daher liegt die Vermutung nahe, dass 2023 der erste große Metaverse-Hack mit Auswirkungen für Unternehmen auf der Kombination bekannter Schwachstellen und neuen VR-Möglichkeiten basiert, beispielsweise bei Verwendung von Remote-Desktop durch ein VR/MR-Headset der neuesten Generation.
Im nächsten Blogbeitrag wird die Liste der Vorhersagen fortgesetzt. Hierbei rückt insbesondere das Thema „Künstliche Intelligenz“ ins Zentrum der Betrachtung.