Maik Morgenstern ist CTO des AV-TEST Instituts und Keynote-Speaker auf den ISD Digital 2020. In seinem Vortrag spricht er über das Testen der IT-Sicherheit und über die stärkere Bedrohungslage für Unternehmen.
Herr Morgenstern, das AV-TEST Institut hat jüngst seine Sicherheitsreport 2019/2020 veröffentlicht. Wie hat sich die Bedrohungslage für Unternehmen verändert?
Wie die Analysen unseres aktuellen Sicherheitsreports eindrücklich zeigen, haben wir es aktuell mit einer geteilten Bedrohungslage zu tun: Auf der einen Seite sehen wir die starke Zunahme von Massen-Malware, die von Cyberkriminellen automatisiert produziert und per E-Mail, über verseuchte Websites und Downloads verbreitet wird. Diese Entwicklung betrachten wir seit geraumer Zeit. Das vergangene Jahr bildet da keine Ausnahme. So stieg die Rate solcher Massen-Malware stark an. Mit mehr als 114 Millionen neuen Schadprogrammen gab es 2019 einen Höhepunkt bei den IT-Angriffen und diese Entwicklung hält ungebrochen an. Aktuell erfasst die Datenbank des AV-TEST Instituts weit über 718 Millionen unterschiedliche Schadprogramme. Schon in den ersten drei Monaten dieses Jahres erfassten unsere Erkennungssysteme über 43 Millionen neu-programmierte Samples. Aktuell liegt die Entwicklungsrate neuer Malware bei 4,3 Samples pro Sekunde. Diese Bedrohung betrifft sowohl Unternehmen wie Privathaushalte.
Auf der anderen Seite beobachten wir immer mehr zielgerichtete taktische Attacken auf Unternehmen, staatliche Institutionen und kritische Infrastruktur mit ausgeklügelter Malware und komplexen Angriffsmustern. Solche APT-Angriffe erfordern hohen logistischen und finanziellen Aufwand, den Standardkriminelle nicht leisten können und der sich für sie auch nicht lohnt. Dementsprechend sind hier Angriffe zwischen Staaten oder durch Organisationen anzunehmen, die über die entsprechenden Mittel und Kapazitäten verfügen und diese beispielsweise für militärische Aufklärung, Industriespionage und Sabotage, aber auch zur Überwachung regierungskritischer Oppositionen im eigenen Land nutzen.
Wie lassen sich solche Attacken denn feststellen, beziehungsweise Schutzsysteme auf ihre Widerstandsfähigkeit gegen solche gezielten Bedrohungen testen?
Die Schutzwirkung von Sicherheitsprodukten gegen „Commodity-Malware“, also meist automatisiert erstellt und verbreitete Massen-Malware, testen wir bereits seit über 15 Jahren erfolgreich. Sicherheitsprüfungen von Schutzsystemen gegen taktische APT-Angriffe bietet das AV-TEST Institut aber auch an. Unsere Testreihen zur Abwehr von Advanced Persistent Threats basieren auf bereits erkannten und analysierten Angriffsmustern und Taktiken. Zudem überprüfen wir Sicherheitsprodukte darüber hinaus durch Simulationen möglicher spezialisierter Angriffe in unseren eigenen „Red Team-Szenarien“. Hier testen wir insbesondere die Schutzwirkung von Endpoint Protection-Systemen (EPP) und Entpoint Detection & Response-Lösungen (EDR), um ein breites Bild der Endpunktsicherheit für Unternehmen zeichnen zu können. Darüber hinaus umfassen unsere Tests zudem die Sicherheit von E-Mail- und Webgateway-Lösungen.
Welchen Gefahren sind IoT-Produkte und Dienstleistungen ausgesetzt?
Tatsächlich ist die Bedrohung von IoT-Produkten und Services viel realer, als es sich Nutzer, Hersteller und Anbieter oft ins Bewusstsein rufen. Kaum ein IT-Marktsektor legte in den letzten Jahren und Monaten vergleichbare Wachstumsraten vor, das ist natürlich auch Cyberkriminellen nicht entgangen. Umso schlimmer ist die Tatsache, dass viele Hersteller und Anbieter von Produkten, die mit dem Internet verbunden sind, dieselben Fehler wiederholen, die bereits beim Schutz von Computern und danach bei Smartphones und anderen mobilen Endgeräten gemacht wurden. Für einen schnellen Markteinstieg von Produkten opfern sie häufig die Sicherheit und die Privatsphäre ihrer Kunden.
Der IoT-Bereich unserer Threat Intelligence Platform „AV-ATLAS“ veranschaulicht die aktuelle Bedrohungslage für vernetzte Geräte recht anschaulich. Angriffsziele können die Geräte selbst, angebundene Apps und Mobilgeräte, sowie Cloud-Anbindungen sein. Das gilt für Endanwenderprodukte, wie etwa Fitness-Tracker, IP-Kameras und Sprachassistenten, wie auch für industrielle Produktionsanlagen. Die möglichen Angriffsziele sind dagegen entsprechend unterschiedlich: Während Angreifer von Produktionsanlagen von deren Besitzern Schutzgeld für das Beenden teurer Produktionsausfälle verlangen, haben beispielsweise Massen-Angriffe auf Consumer-Produkte etwa die Zusammenschaltung zu Botnetzen als Ziel. Die Mirai-Attacken im Jahr 2016 sind dafür ein erstes eindrucksvolles Beispiel gewesen. Seither gibt es, trotz langjährig vorausgehender Warnungen durch AV-TEST, von staatlicher Seite wenig Interesse an der Thematik. Glücklicherweise reagierten einige Hersteller von IoT-Produkten deutlich früher und ließen ihre Geräte und Dienste von uns auf Datensicherheit und Datenschutz testen und zertifizieren. Denn der Schutz von Nutzerdaten, etwa bei Überwachungskameras, Sprachassistenten oder Gesundheitsprodukten wie Fitness-Trackern, ist ein weiteres wichtiges und oft unterschätztes Testfeld!
