Blockchain, Chatbots und KI: Die Trends im Überblick
KI für die Cyber-Abwehr
Ein überaus fruchtbares Betätigungsfeld für Entwickler keimt im Bereich der Cyber-Abwehr auf. Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft. Die neue Rechtslage ruft bei Unternehmen das Thema der Cyber-Sicherheit auf den Plan. Was die Situation zusätzlich erschwert, ist die Tatsache, dass sich die Landschaft von Cyber-Bedrohungen im Lauf der letzten Monate massiv verändert hat – und sich auch weiter stetig zu ändern scheint. Die neue dynamische Bedrohungslage überfordert sehr oft die Administratoren der betroffenen Systeme; gefragt sind daher Entwickler mit DevSecOps-Kompetenz.
Noch nie war die Bedrohungslage so gravierend und die Angriffsvektoren so differenziert und wandlungsfähig. Denn die künstliche Intelligenz ist ein zweischneidiges Schwert. Wer möchte sich schon mit maschinell lernender Malware auseinandersetzen – doch eben dieses Szenario kommt auf die Unternehmen zu. Kryptowährungen wie Bitcoin haben den aktuellen Boom der Ransomware erst überhaupt möglich gemacht. Die Zahlungsmittel ermöglichen anonyme Transaktionen, die sich nicht annullieren lassen. Auf diese Weise ist für die Täter ein Traum wahr geworden: die problemlose Finanzierung ihrer perfiden Malware-Aktivitäten durch Erpressung.
Firmen-IT als Zielscheibe
Zum bevorzugten Ziel der Attacken wurde prompt die Unternehmensinformatik. Nicht nur verfügen die Unternehmen viel eher über die finanziellen Mittel, sondern sie besitzen oft auch die Motivation zur Zahlung von Lösegeld: Geschäftskritische Daten wie Kundendatenbanken mit persönlichen Informationen der Betroffenen, steuerlich relevante Finanzdaten, proprietärer Software-Code, technische Spezifikationen von Produktionsverfahren und andere ähnliche Betriebsgeheimnisse setzen die Betroffenen unter Zugzwang. Der Verlust relevanter Daten, das Bekanntwerden von Geschäftsgeheimnissen oder eine Betriebsstörung durch das Fehlverhalten von Computersystemen kann für die betroffene Organisation katastrophale Folgen haben. Eine typische Forderung nach Lösegeld beläuft sich derzeit auf umgerechnet durchschnittlich knapp 700 Franken, fand der IT-Security-Spezialist Symantec heraus. Hingegen berichtete IBM von vereinzelten vier- und fünfstelligen Lösegeldsummen. Die dafür verwendete Ransomware fällt generell in eine von zwei Basiskategorien:
- Locker-Ransomware schränkt die Funktionsfähigkeit eines Computers ein und fordert selbstständig Lösegeld für die Freischaltung (zum Beispiel verhindert Petya die Nutzung der verseuchten Computer, indem sie den Master Boot Record manipuliert).
- Crypto-Ransomware nutzt typischerweise eine bruchsichere Verschlüsselung, um Datenbestände in Geiselhaft zu nehmen (zum Beispiel die Ransomware Locky). Sie verlangt dann Lösegeld unter Androhung fortschreitender Datenvernichtung (Jigsaw und andere).
IoT rückt in den Fokus
Im Zuge der digitalen Transformation dürfte sich die Plage der Ransomware von der Unternehmens-IT auf IoT-Infrastrukturen wie Fahrzeuge oder Fertigungsroboter ausweiten. Eine Ransomware-Attacke kann das laufende Geschäft zum Stillstand bringen, unternehmenskritische Daten vernichten, die Produktivität senken und nebenbei noch einen Imageverlust verursachen. Die Zahlung von Lösegeld erscheint da vielen Verantwortlichen als eine vertretbare Methode der Krisenbewältigung. Doch weit gefehlt. Der Anstieg zielgerichteter Ransomware gegen handverlesene Opfer, wovon Symantec im Laufe des letzten Jahres berichtete, hat diese Dynamik gekippt. Wer Lösegeld zahlt, erkauft sich neue Attacken und gilt von nun an als leichte Beute.
Mit der Entstehung neuer Geschäftsmodelle rund um den Vertrieb von Ransomware haben sich kriminelle Entwicklungsschmieden in eine neue Liga des Übels hineinkatapultiert. Ransomware wie Cerber, Cryptolocker oder Locky gibt es als Do-it-yourself-Kits im Preisbereich zwischen umgerechnet 30 und 3000 Franken zu kaufen. Viele dieser Tools sind sicherlich einfach Ramsch. Doch darum geht es nicht: Mithilfe dieser Malware-Kits können Täter, die hinter den Ohren ansonsten noch grün sind, ihre Opfer bereits mit Lösegeldforderungen terrorisieren. Als Top-Bedrohung gilt Ransomware as a Service. Der Einsatz KI-gestützter Lösungen zur Abwehr von Ransomware, insbesondere im Rahmen von DevSecOps-Initiativen, nimmt zu. Trotzdem gilt: Vorsorge statt Nachsorge bietet den besten Schutz vor Ransomware.
Zusatzinfo
Snapshots schützen vor Ransomware
Normalerweise läuft die Abwehr gegen Ransomware darauf hinaus, das Betriebssystem (in der Regel Windows) samt der passenden Antivirus-Software auf dem neusten Stand zu halten. Doch für die Hacker genügt es, die Antivirus-Software nur ein einziges Mal auszutricksen, um an ihr Ziel zu gelangen. Die Hacker sind dann in der Lage, alle Daten zu verschlüsseln und von den betroffenen Opfern die Zahlung eines Lösegeldes zu erzwingen.
Doch es geht auch anders: mit ZFS/OpenZFS dank Dateisystem-Snapshots auf der Block-Level-Ebene. Bei ZFS und OpenZFS handelt es sich um ein «Copy on Write»-Dateisystem, das jederzeit effiziente und zudem konsistente Snapshots des Dateisystems vorrätig hält. Jedes Snapshot enthält lediglich die Delta-Änderungen zwischen jeweils zwei Zeitpunkten und kann geklont werden, um eine beschreibbare Kopie eines bestimmten vorigen Zustands wiederherzustellen, ohne dabei die Originalkopie zu verlieren. Snapshots stellen die Basis der OpenZFS-Replikation oder Backups auf lokale oder Remote-Systeme dar.
Da bei ZFS und OpenZFS die Snapshots auf der Block-Level-Ebene stattfinden, ist das Dateisystem immer immun gegen Datei-Level-Verschlüsselung, wie sie bei Ransomware-Angriffen der Fall ist.
Entwickler auf FreeBSD, Illumos oder Linux können direkt auf ZFS-Daten zugreifen. Auch Windows-Programmierer müssen nicht aussen vor bleiben, denn sie können über das AFP-, iSCSI-, NFS- oder SMB-Protokoll Daten auf einem OpenZFS-Dateisystem nutzen. Die Windows-Anwender können die Daten beispielsweise auf einem NAS- und SAN-Storage-System wie zum Beispiel FreeNAS oder TrueNAS mit OpenZFS vorrätig halten und sind so vor Ransomware-Attacken gefeit.
Auch Entwickler, die das Betriebssystem macOS (10.8 bis 10.12) verwenden, können auf OpenZFS setzen. Unterstützung für die aktuelle Version macOS 10.13 (High Sierra) ist derzeit in Arbeit.
Sorgsam geplante und regelmässige OpenZFS-Snapshots bieten eine Low-Level-Isolation und damit volle Immunität gegen Ransomware-Attacken, da sich jeder vorige (Ransomware-freie) Zustand dank OpenZFS wiederherstellen lässt.