IT-Sicherheit in 2021: Schlimmer geht immer

Eigentlich sollten an dieser Stelle die traditionellen Prognosen für die IT-Sicherheit im Jahr 2021 stehen, zusammengestellt aus den diversen Pressemitteilungen der Hersteller im Sicherheitsbereich. Die müssen etwas warten, zumindest bis zur zweiten Hälfte des Artikels. Den Logenplatz des Beitrags erhält – natürlich – der SolarWinds-Hack. Aktuell ist der Tenor in den meisten Meldungen noch zurückhalternd, aber das hat etwas mit Schockstarre zu tun. Denn was die Angreifer damit erreicht haben, geht bei weitem über den konkreten Fall hinaus: Sie konnten Malware in die Software eines bekannten und seriösen Anbieters von Netzwerkmanagement-Software einschleusen, die automatisch an alle Kunden verteilt wurde. Damit haben sie den Proof-of-Concept erbracht, dass ein weit verbreitetes Liefermodell kompromittiert werden kann. Nicht nur bei Produkten von SolarWinds sondern theoretisch bei jedem Anbieter, der automatische Updates seiner Software an die Kunden verteilt. Was wäre beispielsweise, wenn Angreifer es schaffen würden, die Patch-Tuesday-Updates von Microsoft zu verseuchen?

Die Implikationen des Hacks werden sich erst in den nächsten Wochen zeigen, zumindest der Teil davon, der tatsächlich öffentlich gemacht wird. Doch schon jetzt ist klar, dass alle Organisationen so schnell wie möglich ein Zero-Trust-Modell einführen müssen, um bei einem Angriff dieser Dimension zumindest Schadensbegrenzung betreiben zu können. Dazu werden Netz und alle Ressourcen segmentiert und durch funktionale Zuordnungen getrennt. Ein Administrator für Exchange-Server darf nicht auch die Berechtigung zum Management von Oracle-Datenbanken haben. Darüber hinaus müssen Firmen eine Privileged-Access-Management Strategie anwenden, die Accounts mit höheren Rechten besonders umfassend sichert. Nachdem sich Organisationen meist langsam bewegen und solche Änderungen neben der Technik vor allem Änderungen in der Struktur der Zuständigkeiten bedeuten, sind das keine ad-hoc Maßnahmen. Doch jeder, der in seinem Unternehmen für die Informationssicherheit zuständig ist, sollte durch den SolarWinds-Hack seine Prioritätenliste für 2021 neu ordnen.

Als wäre das nicht genug, haben Sicherheitsfirmen weitere maßgebliche Trends für 2021 identifiziert. Etwas überraschend, wenn man die letzten Jahre betrachtet, ist das Fehlen von künstlicher Intelligenz. KI taucht als Bestandteil moderner Abwehrmechanismen auf, aber die „Robot Wars“ zwischen Angreifern und Verteidigern der letzten Prognosen sieht man nicht mehr. Dafür steht Home-Office, und alles was damit zu tun hat, im Fokus. Mitarbeiter benötigen für ihren Zugang zu den Firmenressourcen nicht nur Bandbreite, sondern auch ein funktionierendes Berechtigungskonzept. Warten die Ressourcen in einer Public Cloud auf den Zugriff, ändern sich darüber hinaus Zugangswege und Perimeterkontrollen, was durch Mechanismen wie CASB und SASE abgedeckt werden soll. Auch wenn Home-Office heute funktioniert, wird es in vielen Organisationen erst im nächsten Jahr die Zeit geben, das, was in 2020 auf die Schnelle eingerichtet wurde, umfassend zu sichern und in die firmenweite Richtlinienstruktur aufzunehmen.

Besonders wenig Zeit dafür haben wohl Organisationen im Bereich Gesundheit und Administration. Hier vermuten die Auguren verstärkte Angriffe in 2021, vor allem durch Ransomware, weil sich damit am einfachsten Geld verdienen lässt. Die Anzahl der bekannt gewordenen, größeren Ransomware-Angriffe lag schon in 2020 im oberen dreistelligen Bereich, die gezahlten Summen überschritten die 100 Millionen Dollar Grenze. Neue Vorgehensweisen wie die Veröffentlichung von erbeuteten Daten, um Druck auf die Opfer auszuüben, lassen nichts Gutes für die nächsten Monate vermuten. In die gleiche Kerbe schlägt ein Anbieter von Backup-Software. Völlig korrekt argumentiert er, dass ein Backup nicht nur die schnellste, sondern auch die einzige Methode ist, einen Ransomware-Angriff abzuwehren. Seiner Einschätzung nach werden sich Backup-Strategien und Programme in den nächsten Monaten verändern, um diese gestiegene Bedeutung zu reflektieren.

Und dann gibt es noch eine eigentlich nicht überraschende aber irgendwie doch erstaunliche Prognose: Der Mensch wird auch 2021 das Einfallstor Nummer Eins für Angriffe und Schadsoftware bleiben, per E-Mail nämlich. Das ist wenig überraschend, weil er das auch schon in den letzten paar Jahren war. Trotzdem erstaunlich ist es, weil es nach wie vor nur wenige und recht oberflächliche Awareness-Schulungen in den Organisationen gibt. Hier ließe sich mit wenig Aufwand viel für die Gesamtsicherheit tun.