6 mutige Security-Prognosen für 2023

Die Security-Researcher von WatchGuard haben sich Gedanken über Sicherheitsrisiken im neuen Jahr gemacht. Folgende Prognosen sind dabei herausgekommen.

1. Cyberversicherungen: Auf die Branche kommt es an

Cyberversicherungen bleiben 2023 ein Thema. Die hohe Zahl der Ransomware-Angriffe und der damit einhergehenden Lösegeldzahlungen haben den Versicherern schmerzhafte Verluste zugefügt. Entsprechend wurden über die letzten Jahre die Preise angehoben. Ebenso gelten mittlerweile deutlich höhere Ansprüche bezüglich der technischen Vorkehrungen, die Unternehmen vornehmen müssen, um überhaupt erst einen Vertrag abschließen zu können.

WatchGuard erwartet aber nicht nur, dass die Preise und Anforderungen weiter steigen. Das Unternehmen geht auch davon aus, dass es mehr branchenspezifische Versicherungsangebote geben wird. Es zeichne sich ab, dass einige Branchen im neuen Jahr mehr mit IT-Sicherheitsbedrohungen zu kämpfen haben werden als andere. Darauf würden die Versicherungsunternehmen reagieren, indem sie Kosten und Vorgaben für die spezifischen Zielgruppen gezielt nachjustierten.

Auf Mehrkosten und strengere Vorgaben bei einem Versicherungsabschluss können sich demnach Unternehmen des Gesundheitswesens, dem Finanzsektor und dem Bereich Kritische Infrastrukturen einstellen, ebenso Anbieter von Managed Services (MSP). Außerdem glauben die WatchGuard-Experten, dass Versicherer Listen mit "zulässigen Sicherheitsanbietern" vorhalten werden und nur noch Policen mit solchen Unternehmen zeichnen, die Sicherheitslösungen dieser Hersteller verwenden.

2. Supply-Chain-Sicherheit: IT-Anbieter müssen die Hosen runter lassen

Angriffe auf die digitale Lieferkette haben seit zwei Jahren Hochkonjunktur. Hierfür reicht schon ein schwaches Glied in der eingesetzten Hard- und Software aus. Das kann eine Sicherheitslücke direkt im Produkt sein, ebenso gut ist es möglich, dass der jeweilige Anbieter kompromittiert wurde. Damit besteht immer die Gefahr, dass sich das Risiko auf Unternehmen überträgt, die dessen Lösung einsetzen.

Bekannte Beispiele sind die Attacken auf SolarWinds und Piriform, bei denen Angreifer bei den Firmen eindrangen und Produkte wie Orion und CCleaner infizieren. Dabei gerieten die Anbieter durchaus ins Straucheln. Nicht zu vergessen auch der Vorfall bei Kaseya: Hier wurde eine Zero-Day-Schwachstelle im beliebten Virtual-System-Administrator-(VSA)-Produkt genutzt, um Ransomware bei VSA-Usern einschleusen zu können. Diese Fälle sind nur die Spitze des Eisbergs, die Liste der Übergriffe auf die Lieferkette ließe sich noch beliebig fortsetzen.

Unternehmen schauen bei der Auswahl von Herstellern und Partnern mittlerweile genauer hin, Sicherheitsaspekte spielen eine wichtigere Rolle. Sie wollen sich ihr eigenes Security-Konzept nicht durch Fehler von anderen ins Wanken bringen lassen. Inzwischen ist die Validierung und Risikoanalyse von Softwareanbietern schon zu einem Geschäftsfeld geworden. Spezifische Produkte helfen, die Sicherheitsprogramme von externen Anbietern zu überprüfen. Wie Anbieter mit dem Thema Sicherheit umgehen, wird zu einem wichtigen Auswahlfaktor - bei Software, Hardware und Dienstleistungen.

3. Metaverse: Schlaraffenland für Hacker

Unternehmen wie Meta (Facebook, Instagram) und ByteDance (TikTok) investieren Milliarden in die neuen virtuellen Welten, von denen sie glauben, dass sie ein fester Bestandteil der Gesellschaft sein werden. Doch Virtual Reality (VR) schafft auch einen Nährboden für gezielte Manipulationen und Social Engineering. Schon heute geben viele Menschen private Daten an ihren Tastaturen und Bildschirmen preis. Wenn jetzt noch zahlreiche Kameras und Infrarot- und Tiefensensoren hinzukommen, die Kopf-, Hand-, Finger-, Gesichts- und Augenbewegungen erfassen, potenziert sich das Risiko von Manipulationen ins Unendliche.

VR- oder Mixed-Reality-Headsets (MR) wie das Meta Quest Pro bilden Zimmer, Möbel, sogar ganze Häuser in 3D ab - und immer noch auch die Computertastaturen. Wird die Software, die diese Daten speichert, Ziel von Hackern, steht dem Verbrechen nicht mehr viel im Wege. So könnten Cyber-Bösewichte im Zuge krimineller Machenschaften beispielsweise ein virtuelles Deepfake von Online-Avataren erstellen, das sich genauso bewegt und verhält wie der ursprüngliche Besitzer.

Selbst wenn solche Bedrohungen noch fünf bis zehn Jahre entfernt sind, bedeutet das nicht, dass das Metaverse nicht schon jetzt ins Visier genommen würde. Die WatchGuard-Experten gehen davon aus, dass der erste Metaverse-Angriff auf Unternehmen an einer Stelle ansetzen, die bereits heute als Angriffsvektor bekannt ist und durch VR-Optionen eine ganz neue Sprengkraft entwickelt.

Ende 2022 brachte Meta das Meta Quest Pro als Enterprise-VR/MR-Headset zur Unterstützung von Produktivitäts- und Kreativitätsinitiativen im geschäftlichen Umfeld auf den Markt. Darüber lässt sich unter anderem eine Remote-Verbindung zum herkömmlichen Computer-Desktop herstellen, so dass Anwender den Bildschirm ihres Computers in einer virtuellen Umgebung betrachten und darüber hinaus weitere virtuelle Monitore und Arbeitsbereiche für den Computer erstellen können.

Dezentral agierende Mitarbeiter werden zudem in die Lage versetzt, virtuelle Besprechungen zu starten, die angeblich eine viel menschlichere Interaktion ermöglichen sollen als Videokonferenzen. Im Zuge dessen kommen im Wesentlichen altbekannte Remote-Desktop-Technologien wie Microsoft Remote Desktop oder Virtual Network Computing (VNC) zum Tragen, auf die es Cyberkriminelle bereits in der Vergangenheit unzählige Male abgesehen haben. Daher liegt die Vermutung nahe, dass 2023 der erste große Metaverse-Hack mit Auswirkungen für Unternehmen auf der Kombination bekannter Schwachstellen und neuen VR-Möglichkeiten basiert - beispielsweise bei Verwendung von Remote-Desktop durch ein VR/MR-Headset der neuesten Generation.

4. Multifaktor-Authentifizierung: Einladung zu Social Engineering

Anwender von Multifaktor-Authentifizierungs-(MFA-)Lösungen sind für Angreifer besonders interessant geworden. Wie eine Studie von Thales bestätigt, erfreut sich diese Form des Identitätsschutzes inzwischen hoher Beliebtheit: Die MFA-Nutzung im Unternehmensumfeld ist 2022 um weitere sechs Prozentpunkte auf 40 Prozent geklettert. Daher werden Angreifer in den kommenden Monaten nach Wegen suchen, um diese zusätzliche Ebene der Validierung zu knacken. Sollte ihnen es nicht gelingen, solche Mechanismen zu umschiffen, würden sie einen Großteil ihrer potenziellen Zielgruppe verlieren.

WatchGuard glaubt daher, dass 2023 etliche neue MFA-Schwachstellen und Umgehungstechniken aufkommen werden. Dabei ist und bleibt die erfolgreichste und häufigste Art und Weise der MFA-Umschiffung geschicktes Social Engineering. So ist beispielsweise der Erfolg von Prompt-Bombing kein MFA-Versagen, sondern eine Folge menschlicher Schwächen. Warum sollten sich Angreifer an den hohen technischen Barrieren der MFA-Lösung die Zähne ausbeißen, wenn sie viel einfacher deren Benutzer austricksen und so zermürben können, dass diese irgendwann ganz von allein auf einen bösartigen Link klicken?

Ebenso geht von Man-in-the-Middle-(MitM)-Techniken im Zuge einer legitimen MFA-Anmeldung auf Anwenderseite eine Gefahr aus, wenn Hacker versuchen, auf diese Weise in den Besitz von Authentifizierungssitzungs-Token zu gelangen. In jedem Fall ist im Jahr 2023 mit vielfältigen Social-Engineering-Angriffen zu rechnen, die auf MFA abzielen.

5. Robotaxis: Ein Fest für Hacker

Technologieunternehmen wie Cruise, Baidu oder Waymo haben in Städten wie San Francisco und Peking damit begonnen, Robotaxis auf ihre Praxistauglichkeit zu testen. Dabei handelt es sich um selbstfahrende Autos, die Nutzern eine Uber- oder Lyft-ähnliche Erfahrung bieten, ohne dass ein Fahrer am Steuer sitzen muss. So heißt es bei Baidu, dass bereits mehr als eine Million solcher autonomen Fahrten erfolgreich durchgeführt worden seien.

Die bisherigen Pilotprojekte liefen bei weitem nicht immer glatt. Im Juni war eines der Robotaxis von Cruise in einen Unfall verwickelt, bei dem die drei Insassen und auch der Fahrer eines anderen Fahrzeugs verletzt wurden. Cruise behauptet zwar, dass die Schuld beim vom Menschen gesteuerten Fahrzeug gelegen habe, doch trägt dieser Vorfall nicht unbedingt dazu bei, das Vertrauen in die künstliche Intelligenz (KI) von Autos zu stärken.

Schon früher haben Sicherheitsstudien gezeigt, dass Autos, die mit dem Internet verbunden sind, gehackt werden können. Ebenso besteht kein Zweifel daran, dass Menschen eine KI mit einfachen Mitteln manipulieren können. Das alles - in Kombination mit einem mobiltelefonbasierten Service, den jeder nutzen kann - birgt große Risiken.

Viel spricht dafür, dass Robotaxis auf den Radar von Hackern gelangen werden und wir in diesem Zusammenhang 2023 mindestens einen IT-Security-bezogenen Vorfall erleben werden. Da sich die autonomen Fahrzeugdienste noch in der Testphase befinden, ist nicht davon auszugehen, dass dies zu einem gefährlichen Unfall führen wird. Aber es besteht eine hohe Wahrscheinlichkeit, dass sich Sicherheitsforscher oder Grey-Hat-Hacker einen Spaß damit erlauben und ein solches Fahrzeug beispielsweise im Verkehr stecken lassen und diesen dadurch zum Erliegen bringen werden.

6. Automatische Codierung: Der Teufel steckt in den Traingsdaten

Auch die letzte Prognose von WatchGuard ist mit dem Thema KI verknüpft. Obwohl maschinelles Lernen (ML) und KI nicht ganz so mächtig sind, wie manche Tech-Evangelisten behaupten, haben sich die damit einhergehenden Themenfelder doch erheblich weiterentwickelt - mit vielen neuen praktischen Möglichkeiten. Mit einschlägigen Tools lässt sich nicht nur Kunst auf Ansage schaffen, sondern auch Code zur Unterstützung fauler (oder cleverer) Entwickler generieren. In beiden Fällen greift die KI auf vorhandene Daten zurück, um daraus neue Kreationen zu bilden.

Bei Copilot von GitHub handelt es sich um ein solches automatisiertes Codierungstool. GitHub trainiert Copilot anhand von Milliarden Codezeilen, die in seinen Repositories zu finden sind. Wie bei jedem KI-/ML-Algorithmus steht und fällt die Qualität des Ergebnisses mit der Qualität der zugrundeliegenden Trainingsdaten und zu verarbeitenden Eingabeaufforderungen. Anders ausgedrückt: Wenn in den Quellen bereits der "Wurm" ist, können darauf basierende KI-erzeugte Codierungen nicht mit Unfehlbarkeit glänzen.

Studien haben gezeigt, dass der von Copilot generierte Code in bis zu 40 Prozent aller Fälle sicherheitsrelevante Schwachstellen aufweist. Dieser Prozentsatz erhöht sich noch, wenn Schwächen im Code des Entwicklers hinzukommen. Entsprechend verwundert es kaum, dass GitHub Nutzer ausdrücklich darauf hinweist, dass sie bei der Verwendung von Copilot selbst dafür verantwortlich sind, die Sicherheit und Qualität des Codes sicherzustellen.

Folglich sind die Experten von WatchGuard überzeugt davon, dass 2023 ein unwissender oder unerfahrener Entwickler, der sich zu sehr auf Copilot oder ein ähnliches KI-Codierungstool verlässt, eine App veröffentlichen wird, die eine auf automatische Codierung zurückführbare, kritische Sicherheitslücke enthält. (hv)