Was Cyberkriminelle 2017 vorhaben
Die schlechten Vorsätze fürs neue Jahr
Fortsetzung des Artikels von Teil 1
Cyber-Propaganda & EU-DS-GVO
5. Sicherheitslücken: Adobe und Apple überholen Microsoft
2016 wird Adobe zum ersten Mal Microsoft bei der Anzahl aufgedeckter Sicherheitslücken überholen. Zu den von der Zero-Day-Initiative veröffentlichten Lücken 2016 betrafen 135 Adobe- und 76 Microsoft-Lösungen. Für Apple war es das Jahr mit den meisten Sicherheitslücken, bis November wurden deren 50 offengelegt – im vergangenen Jahr waren es 25.
Diese Entwicklungen haben damit zu tun, dass Microsofts PC-Verkäufe in den vergangenen Jahren zugunsten von Smartphones und Tablets zurückgegangen sind – dass aber die Verbesserungen Microsofts in puncto Sicherheit die Cyberkriminellen auch dazu getrieben haben, nach Alternativen zu suchen. Dass beispielsweise Apple das „iPhone 4S“ nicht mehr unterstützt, wird zu weiteren Exploits führen. Generell wird die Aufdeckung von Sicherheitslücken unweigerlich zur Entwicklung von Exploits führen, die wiederum in Exploit-Kits integriert werden. Deren Nutzung ging in diesem Jahr zwar zurück, nachdem der Entwickler des „Angler Exploit Kit“ verhaftet wurde, doch wie schon mit „BlackHole“ und „Nuclear“ stehen andere in solchen Fällen bereit.
6. Cyberpropaganda: Auswirkungen bis hin zur Bundestagswahl 2017
2016 hat nahezu die Hälfte der Erdbevölkerung (46,1 Prozent) Zugang zum Internet, sei es über traditionelle Computer, Smartphones oder Internet-Cafés. Dadurch können immer mehr Menschen schnell und einfach auf Informationen zugreifen, unabhängig von Quelle und Glaubwürdigkeit – und Interessierte die öffentliche Meinung beeinflussen. Die fehlende Überprüfung, ob Informationen glaubwürdig sind, hat zusammen mit übereifrigen Nutzern, die andere vom eigenen Glauben überzeugen wollen, zur weiten Verbreitung gefälschter Inhalte beigetragen. Was es noch schwieriger macht, zwischen Fakt und Fälschung zu unterscheiden.
Welche Macht soziale Medien und Online-Informationsquellen haben, wenn es um politische Entscheidungen geht, haben 2016 einige Beispiele veranschaulicht: Wie WikiLeaks für Propaganda eingesetzt wird, zeigte sich bei den US-Präsidentschaftswahlen, als belastendes Material eine Woche vor der Wahl durchsickerte. Beim stetigen Monitoring des cyberkriminellen Untergrunds stießen Trend Micros Sicherheitsforscher auf so genannte Script-Kiddies, die mit ihren Einnahmen durch gefälschte wahlbezogene Nachrichten warben. Sie behaupteten, etwa 20 US-Dollar im Monat verdient zu haben, indem sie Internet-Verkehr zu vorgefertigten Inhalten über die Präsidentschaftskandidaten umleiteten. Dedizierte „Cyber-Agenten“ werden sogar dafür bezahlt, Propagandamaterial in sozialen Medien zu posten.
Es bleibt abzuwarten, wie die kommenden Wahlen in Deutschland und Frankreich sowie die EU-feindlichen Strömungen in Großbritannien von elektronischen Medien beeinflusst werden – dass dies passieren wird, steht außer Frage.
7. EU-Datenschutz-Grundverordnung: Mehr Aufwand, mehr Kosten
Ab dem 25. Mai 2018 kommt die bereits in Kraft gesetzte EU-Datenschutz-Grundverordnung zur unmittelbaren Anwendung, dann werden Unternehmen bei fehlender Compliance Strafen von bis zu vier Prozent ihres Umsatzes zahlen müssen. Nicht allein die EU-Mitgliedsstaaten sind betroffen, sondern Organisationen weltweit, die persönliche Daten von EU-Bürgern sammeln, verarbeiten und speichern. Die damit einhergehenden Änderungen in Richtlinien und Geschäftsprozessen werden zu erheblichen administrativen Zusatzkosten führen.
So wird unter anderem ein „Data Protection Officer“ Pflicht, d.h. eine neue Rechnungsposition (für Einstellung, Schulung und Stelle eines entsprechend geschulten Mitarbeiters) wird in den Unternehmensausgaben auftauchen. Noch ist es ein weiter Weg bis dahin, bis Ende dieses Jahres werden weniger als die Hälfte der Unternehmen einen DPO eingestellt haben.
Zudem müssen Nutzer über ihre neuen Rechte informiert werden – und Unternehmen sicherstellen, dass die Nutzer ihre Rechte auch wahrnehmen können. Die dem individuellen Grundrecht auf informationelle Selbstbestimmung entspringende Einsicht, dass EU-Bürger ihre persönlichen Daten selbst besitzen und somit gesammelte Daten bestenfalls nur „ausgeliehen“ sind, wird die gesamten datenbezogenen Arbeitsabläufe beeinflussen.
8. Anti-Evasion-Lösungen: Neue Taktiken für gezielte Angriffe
Die ersten Kampagnen für gezielte Angriffe wurden vor zehn Jahren dokumentiert. Seitdem gehen Cyberkriminelle viel raffinierter vor, während die Netzwerkinfrastrukturen weitgehend gleich geblieben sind. Diese Lernkurve wird Methoden hervorbringen, die in erster Linie darauf ausgerichtet sind, die meisten modernen Sicherheitstechnologien der vergangenen Jahre zu umgehen.
Cyberkriminelle werden sich vermehrt um die Erkennung von Sandboxen kümmern, um zu sehen, ob unbekannte Dateien in eine Sandbox geschoben werden. Sie werden Sandboxen sogar angreifen und „überfluten“.
- Die schlechten Vorsätze fürs neue Jahr
- Cyber-Propaganda & EU-DS-GVO
Lesen Sie mehr zum Thema
