Thought Leadership
2019 war das Jahr der Diskussionen um die Laufzeiten von SSL-Zertifikaten sowie großer technischer Neuerungen. Gleichzeitig war das abgelaufene Jahr aber auch ein Gefährliches, in dem es vorzugsweise Unternehmen nicht nur mit neuem Schadcode wie Sodinokibi zu tun bekamen, sondern auch mit alten Bekannten.
Denn etliche großangelegte Hackerangriffe der Vorjahre zogen ihre Kreise bis ins vergangene Jahr hinein. Zudem machten verstärkt DDoS-Angriffe, bei denen es Angreifern gelingt, eine komplette Website zeitweise aus dem World Wide Web zu verbannen, Unternehmen zu schaffen. Die IT-Sicherheitsexperten der PSW GROUP blicken zurück auf ein abwechslungsreiches Jahr:
SSL-Zertifikate: Diskussionen und neue Lösungen
Im Juni 2019 legte Ryan Sleevi als Google-Vertreter dem CA/B-Forum den Vorschlag vor, die Gültigkeit von SSL-Zertifikaten auf 13 Monate herabzusetzen. Das Forum entwickelt Standards und Praktiken, die das Web im Allgemeinen und das öffentliche PKI-Ökosystem im Besonderen sicherer gestalten sollten. Sleevis Vorschlag hat Sicherheitsgründe: Ein kompromittiertes SSL-Zertifikat könne innerhalb seiner Gültigkeitszeit für bösartige Zwecke missbraucht werden. Wird die Gültigkeit herabgesetzt, ließe sich Cyberkriminalität reduzieren. Viele Zertifizierungsstellen sehen dies anders und argumentieren mit hohen Kosten für den Verbraucher sowie einem erhöhten Verwaltungsaufwand zulasten des Komforts.
„Während die Vertreter des CA/B-Forums noch stritten, erschien die Zertifizierungsstelle Sectigo mit einer wahrhaft praktikablen Lösung. Die CA, die einst unter dem Namen Comodo bekannt war, bietet nun SSL-Zertifikate mit einer Laufzeit von bis zu 5 Jahren an. Diese lange Laufzeit besteht lediglich auf kaufmännischer Seite, technisch hält sich Sectigo an die aktuellen Vorgaben des CA/B-Forums. Besitzer eines solchen Sectigo-SSL-Zertifikats werden nach zwei Jahren aufgefordert, das SSL-Zertifikat für weitere zwei Jahre herunterzuladen. Eine weitgehende Automatisierung verringert den Verwaltungsaufwand immens“, zeigt sich Patrycja Tulinska, Geschäftsführerin der PSW GROUP, begeistert von der Sectigo-Lösung.
Apropos SSL-Zertifikate: Mit der neu entwickelten PSW Konsole wurde die Zertifikatsverwaltung 2019 für Kunden des IT-Sicherheitsunternehmens noch einfacher. „Eine intuitive Bedienung sorgt für Einfachheit und Benutzerfreundlichkeit. Unsere Kunden reduzieren Kosten und Komplexität, eliminieren Verwaltungsaufgaben und können ganz nach ihrem Bedarf agieren“, ergänzt Tulinska.
Sicherheitslücken & Hacks: Alte Bekannte und neue Bedrohungen
Viele Sicherheitslücken und Hacks aus den Vorjahren machten 2019 noch einmal von sich Reden: Die Gefahr, die von Meltdown und Spectre – die Sicherheitslücken, die seit mehr als zehn Jahren in Intel-Prozessoren lauern – ausgeht und 2017 bekannt wurde, war in 2019 noch nicht vorüber. Im Gegenteil: Intel gab im November bekannt, den Support für alle eigenen Consumer-Mainboards einzustellen. Auch der Equifax-Hack aus 2017 zeigte seine Auswirkungen bis ins letzte Jahr hinein, in dem die Opfer noch um Entschädigungen mit dem Unternehmen stritten. Beim Hack auf die größte Wirtschaftsauskunftei der USA zogen Hacker die Daten von mehr als 140 Millionen Equifax-Kunden aus drei Ländern ab, darunter Geburtsdaten, Adressen, Kreditkarten- und Führerscheinnummern, sowie Sozialversicherungsnummern. Zudem sorgte Emotet im abgelaufenen Jahr noch einmal für viel Verwirrung: Der Trojaner aus dem Jahr 2017 legte 2019 noch einmal so richtig los und befielt allein in Berlin zwei Schulen, das Kammergericht und die Humboldt Universität betroffen.
Im Gedächtnis blieb auch der die Sicherheitszustände demonstrierende Hack der Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, den die beiden in einem Klärwerk ausführten. „Dieser Hack zeigte sehr klar, dass der Schutz kritischer Infrastrukturen vielfach ungenügend ist. Sinnlose Zugangsdaten, die leicht zu erraten oder schon vorausgefüllt waren, waren der Grund, weshalb die Forscher einfach ins Klärwerk einsteigen konnten. Doch auch ein Kostendruck zwingt Betreiber kritischer Infrastrukturen, auf Sicherheit zu verzichten. Das allerdings darf keine Ausrede sein, denn auch mit kleinen Mitteln kann es gelingen, Strukturen abzusichern“, mahnt Tulinska.
Das „/.well-known/“-Verzeichnis schaffte es 2019 zu zweifelhafter Berühmtheit: Dieses Verzeichnis, so fanden Forscher heraus, wird von Cyberkriminellen gern als Malware-Versteck genutzt. Auch DDoS-Angriffe waren ein wichtiges Thema: Das BSI stellte in seinem 2019 veröffentlichten Lagebericht zur IT-Sicherheit in Deutschland fest, dass die Bedrohung durch DDoS-Angriffe nach wie vor hoch ausfällt. „DDoS-Services haben sich im letzten Jahr als Trend etabliert. Das verwundert leider kaum, sind doch IoT-Geräte eine für Cyberkriminelle willkommene Schwachstelle. Schutz können KI und das maschinelle Lernen bringen, jedoch auch Awareness-Maßnahmen“, so Tulinska.
Der Juli zeigte zudem, dass auch öffentliche Einrichtungen wie Krankenhäuser ihre IT-Sicherheit nicht vernachlässigen dürfen. So legte ein Cyberangriff einen ganzen Verbund an Krankenhäusern und Altenpflegeheimen lahm: „In den zum DRK Rheinland-Pfalz gehörigen Einrichtungen trieb eine Ransomware ihr Unwesen und verschlüsselte nach und nach die Datenbanken. Zwar war der Betrieb in den Häusern noch möglich, jedoch musste man auf Stift und Papier ausweichen“, erinnert sich Tulinska.
Im Oktober trieb die Sodinokibi-Ransomware vorrangig in Personalabteilungen ihr Unwesen. Fake-Bewerbungen waren Ausgangspunkt dafür, dass sich diese Ransomware zügig verbreiten konnte. Sie arbeitet nach ihrem Vorbild GandCrab und konnte sich binnen kürzester Zeit zur fünfthäufigsten Ransomware-Familie mausern.
Technische Neuerungen in 2019
Immerhin: In technischer Hinsicht hatte das Jahr 2019 einiges zu bieten. So wurde das langersehnte Update von TLS 1.2 auf TLS 1.3 endlich vollzogen und TLS 1.3 wurde zum offiziellen Standard für die Transportverschlüsselung im World Wide Web. „Mit der Geburtsstunde von TLS 1.3 geht auch das Ende der veralteten Versionen TLS 1.0 und 1.1 einher. Ab diesem Jahr werden viele Browser diese veralteten und unsicheren Versionen des Verschlüsselungsstandards nicht mehr akzeptieren, so dass spätestens jetzt Website-Betreiber ihren Webserver auf mindestens TLS 1.2 umstellen sollten, damit die Websites im Browser abrufbar bleiben“, erinnert Tulinska eindringlich.
Eine großartige Neuerung in 2019 war die Entwicklung von MTA-STS, einem von der IETF verabschiedeten Standard, der den E-Mail-Empfang und -Versand sicherer gestaltet. MTA-STS ermöglicht dem empfangenden Mailserver, dem versendenden Mailserver über DNS mitzuteilen, dass TLS als Transportverschlüsselung genutzt werden soll. Noch vor dem E-Mail-Versand kann eine MTA-STS-Policy vom Webserver abgerufen werden, in der definiert wird, welche E-Mail-Server Mails per TLS entgegennehmen.
Weitere Informationen finden Sie hier.
www.psw-group.de
