Die Schattenwirtschaft der Schwachstellen

Das Jahr 2021 war geprägt von der beschleunigten Professionalisierung cyberkrimineller Organisationen. Die Malware-Industrie hat sich strukturiert und mit ihr hat sich eine regelrechte Schattenwirtschaft mit verschiedenen Berufsgruppen entwickelt. Wie begegnet man einer solchen Bedrohung? Sind alle Lösungen sinnvoll? Reicht eine Bug Bounty aus, um die in den IT-Infrastrukturen und -Systemen eines Unternehmens vorhandenen Schwachstellen aufzuspüren? Ist Cyber-Lösegeldverhandler ein Beruf der Zukunft?

Schwachstellen im Wert von zwei Millionen Dollar

Die Schattenwirtschaft der Cyberangriffe erbeutet jedes Jahr schätzungsweise fast 1,5 Billionen US-Dollar. Der Sektor gestaltet sich zunehmend wie ein klassischer Markt mit seinen Marktplätzen, Kommunikations- und Vertriebskanälen, seinen Mechanismen von Angebot und Nachfrage oder Wettbewerb. Es gibt sogar Kataloge: Auf der High-End-Seite befinden sich insbesondere Zero-Day-Lücken, die zu Höchstpreisen von 500.000 bis 2 Millionen Dollar verhandelt werden. Auf der Suche nach der höchsten Rentabilität gehen Cyberkriminelle nun von einem Produkt-/Tool-Ansatz zu einem Dienstleistungsansatz mit schlüsselfertigen Malware-Kampagnen (Ransomware-as-a-Service und Malware-as-a-Service) über. Laut Deloitte kann ein billiger Cyberangriff, der 34 Dollar pro Monat kostet, bis zu 25.000 Dollar einbringen. Ein Geldregen. Und zu allem Überfluss wenden die Gruppen von Cyberkriminellen manchmal auch Geschäftstechniken an, die denen von etablierten Unternehmen ähneln. Sébastien Viou, Direktor für Cybersicherheitsprodukte und Cyberexperte bei Stormshield, bestätigt: „Man findet heute Abonnements, um regelmäßig Angriffsmittel zu erhalten. Die Kriminellen bieten Rabatte, Sonderaktionen wie „11 Monate gekauft, einen geschenkt“ und sogar Post-Sales-Support an. Die exponentielle Entwicklung der Malware-as-a-Service wird vom Ökosystem der Ransomware getragen: Im Durchschnitt findet weltweit ein neuer Ransomware-Angriff alle 11 Sekunden statt,  dabei passen die Angreifer mittlerweile ihre Forderungen immer besser an die Beträge an, die ihre Opfer angesichts der steigenden Wiederherstellungskosten und des Risikos einer Rufschädigung durch die Offenlegung ihrer Daten wahrscheinlich zahlen würden. Dass die nationalen Cybersicherheitsagenturen zahlreicher Länder empfehlen, das Losegeld nicht zu zahlen, gehört ebenfalls zum Spiel. Doch in der Praxis ist diese Empfehlung nicht immer leicht zu befolgen.

Ansätze zur Gegenwehr

Um auf diese professionalisierte Cyberbedrohung zu reagieren, hat sich in der Tat auch die Wirtschaft im Bereich der Cybersicherheit strukturiert. Allein in Europa wurde der Markt im Jahr 2020 auf 23,7 Milliarden Euro geschätzt und soll bis 2026 schätzungsweise 43,8 Milliarden Euro erreichen.

Bug Bounties

Bug Bounties und Pen-Tests für das Aufspüren von IT-Schwachstellen können sich zwar als wirksam erweisen, haben aber auch ihre Grenzen. Einige Unternehmen glauben fälschlicherweise, dass dies für ihre Verteidigung ausreicht. Darüber hinaus ist das mit der Methode verbundene Geschäftsmodell fragwürdig, denn je nachdem was genau unter die Lupe genommen werden soll, sind die Teilnehmer sind oft relativ jung und in Ländern mit niedrigen Durchschnittslöhnen. So arbeiten sie ggf. wochenlang an einer Analyse, werden allerdings nicht bezahlt, wenn Sie nicht fündig werden bzw. haben keine Zahlungsgarantie, selbst wenn sie was finden. Vielverdiener unter den Testern sind selten. Umgekehrt sind die Summen, die im Darknet für den Weiterverkauf sensibler Informationen versprochen werden, oft attraktiver.

Verhandlungsvermittler

Um die Ransomware herum beobachtet man ebenfalls die Entwicklung einer Wirtschaft rund um Ransomware. Sie beruht insbesondere auf Unterhändlern, die im Rahmen eines Ransomware-Angriffs zwischen Unternehmen und Cyberkriminellen vermitteln. Diese beschränken sich nicht nur darauf, mit den Angreifern zu verhandeln, Sie helfen den Opfern auch, sich besser zu organisieren, um diese belastende Erfahrung zu überwinden. Doch die Daseinsberechtigung von Verhandlungsmittlern ist umstritten.Die Pariser Staatsanwaltschaft hat z.B. eine Abteilung für Cyberkriminalität eingerichtet, die verhindern soll, dass diese Art von Vermittlern von Ransomware leben kann. Die Frage, ob sie gänzlich verboten werden sollten, bleibt offen“, so Viou.

Cyber-Vollkaskoversicherung

Ist die Beauftragung eines Versicherers, der die Folgen eines Cyberangriffs abdeckt, wie bei jedem anderen Schadensfall auch, die Wunderlösung? Die Initiative ist löblich, doch eigentlich wären staatlich versicherte Entschädigungen nach dem gleichen Modell wie bei Naturkatastrophen adäquater. Mehrere Versicherungen haben versucht, in diesen Markt einzusteigen, weigerten sich jedoch schließlich, das Lösegeld zu zahlen. Die meisten haben aufgehört, da das Risiko und die Kosten für die Versicherung sehr hoch und für die Zukunft schwer vorhersehbar sind. Dazu kommt ein weiterer ethischer Aspekt: Prinzipiell  erscheint es schlüssig, sich gegen den Diebstahl seines geistigen Eigentums oder digitaler Assets in einem Unternehmen zu versichern. Wenn die Versicherung jedoch das Lösegeld bezahlt, ist sie dann nicht ein Komplize? Unterhält sie nicht das Geschäft mit Ransomware? „In Frankreich beschäftigt sich die Regierung seit einigen Monaten mit dem Thema und erwägt ein Verbot von Lösegeldzahlungen durch Versicherungen oder sogar ein Verbot solcher Cyberversicherungen“ bestätigt Viou.

Der bessere Ansatz

Es ist wichtig, sich daran zu erinnern, dass es keine maximale Sicherheit gibt. Man kann von einer virtuosen Infrastrukturüberwachung träumen, wodurch Schwachstellen frühzeitig entdeckt werden und keine Website oder kein System gehackt werden kann, aber das ist unrealistisch. „Die beste mögliche Lösung ist es immer noch, den Angreifern geeignete mehrstufige Eintrittsbarrieren zu setzen und zu versuchen, sie so weit wie möglich zu demotivieren, indem man dafür sorgt, dass die Kosten eines Cyberangriffs höher bleiben als sein potenzieller Nutzen“ empfiehlt Viou abschließend.

 

Über Stormshield
Weltweit müssen Unternehmen, Regierungsinstitutionen und Verteidigungsbehörden die Cybersicherheit ihrer kritischen Infrastrukturen, sensiblen Daten und Betriebsumgebungen gewährleisten. Die auf höchster europäischer Ebene zertifizierten Stormshield-Technologien sind die richtige Antwort auf IT- und OT-Risiken und erlauben den Schutz der Geschäftstätigkeit. Unsere Mission: Cybersorglosigkeit für unsere Kunden, damit sie sich auf ihre Kerntätigkeiten konzentrieren können, die für das reibungslose Funktionieren von Institutionen, Wirtschaft und Dienstleistungen für die Bevölkerung so wichtig sind. Die Entscheidung für Stormshield ist eine Entscheidung für eine vertrauenswürdige Cybersicherheit in Europa.

Weitere Informationen finden Sie unter www.stormshield.com/de/