Internet of Things

IoT-Trends 2018: „Attacken, auf die die Welt nicht vorbereitet ist“

2018 scheint ein eher holpriges Jahr zu werden. Zumindest dann, wenn es um digitale Identitäten, Cyberkriminalität und den Zustand der digitalen Wirtschaft geht. Andreas Baumhof, CTO von Threat Metrix benennt in seinem Beitrag zwölf Risiken für Unternehmen und Verbraucher.

Schon 2017 gab es aus vielerlei Gründen wahrlich kaum einen Anlass zu feiern (es sei denn für Cyberkriminelle). WannaCry, NotPetya, der Diebstahl von Tools und Exploits der NSA sowie der Hack von Equifax, immerhin die größte Wirtschaftsauskunftei der USA, versetzten die Sicherheits- und Betrugsteams eher in eine depressive als in eine euphorische Stimmung.

Weltweit bis zu einer Billion US-Dollar - so hoch werden die Verluste durch digitale Attacken in 2017 geschätzt. Und wer meint, schlimmer könne es nicht werden, sollte sich vor Augen führen, dass es bereits im Jahr 2021 nach seriösen Prognosen bis zu sechs Billionen US-Dollar sein könnten, p. a. wohlgemerkt. Denn mit jedem neuen Tag werden die Risiken für jedes Unternehmen, das digital unterwegs ist, größer und größer.

Und das erwarten wir in 2018:

1. Die digitale Transformation schafft (und gefährdet) Branchen

Die Aktivitäten rund um die digitale Transformation (insbesondere im Bereich mobiler Services) werden intensiviert, um die Forderungen der Verbraucher nach einer schnellen, reibungslosen Nutzung der vielfältigen Services zu erfüllen. Vor allem Finanzdienstleister sehen sich hier mit neuen, aggressiv agierenden Marktteilnehmern konfrontiert, die sich nicht mit einer Last an Alt- und Bestandssystemen abmühen müssen. Forrester geht davon aus, dass es 20 Prozent der bestehenden Finanzdienstleister nicht schaffen werden, eine sinnvolle Transformation zu erreichen, was den Bestand des jeweiligen Unternehmens in 2018 gefährden wird.

2. "1-Click" schaltet den E-Commerce in einen höheren Gang

Seit September 2017 ist das "1-Click"-Patent von Amazon abgelaufen. Viele Online-Händler werden nun Services im Web anbieten, die Einkäufe mit einem einzigen Mausklick erlauben. Durch die Verkürzung der Checkout-Zeit um bis zu 40 Prozent können sie dann wahrscheinlich deutlich mehr Umsätze verzeichnen. Allerdings wird es nicht einfach sein, die richtige Balance zwischen einem höheren ROI (Return on Investment) und dem Schutz vor betrügerischen Aktivitäten zu finden – ohne entweder Kunden zu verlieren oder Cyberkriminellen digital Tür und Tor zu öffnen.

3. Online-Betrug und klassische Finanzkriminalität konvergieren

Cyberkriminelle haben in den letzten sechs Jahren minütlich rund 35.000 US-Dollar bei Finanzinstituten entwendet. Wie unsere selbst erhobenen Daten zeigen, hat sich die Zahl betrügerischer Kontoaktivitäten im 3. Quartal 2017 gegenüber dem Vergleichszeitraum 2015 um 240 Prozent erhöht. Und wir gehen davon aus, dass sich in 2018 die Geschäfte moderner Online-Betrüger und die der gewachsenen Sparte der klassischen Finanzkriminellen weiter aneinander annähern werden – etwa bei den "Money Mules" (Geld-Maulesel; Menschen, die ahnungslos Geldtransfers für Kriminelle vornehmen). Diese kommen etwa bei der Durchführung automatisierter Bot-Angriffe zur Beantragung betrügerischer Kredite oder bei Geldtransfers von fremden Konten, zu denen man sich Zugriff verschafft hat, in andere Länder zum Einsatz.

4. Schneller zahlen heißt auch: schnellerer Diebstahl

Auf Peer-to-Peer- und Sharing-Economy-Plattformen dürften in 2018 deutlich mehr Probleme zukommen. Da bei der Abwicklung von Transaktionen immer mehr vor allem die Geschwindigkeit zählt, kommen Technologien zum Einsatz, die Prozesse durch Vereinfachung beschleunigen. Kehrseite der Medaille: Die Unternehmen erhalten so immer weniger Transparenz, Information und Kontrolle. Mögliche, beispielhafte Ergebnisse: Buchung und Abrechnung von Uber-Fahrten, die nie stattfinden. PayPal-Transaktionen am Samstagnachmittag, die sich am Montagmorgen in Alpträume verwandeln.

5. Das Internet der Dinge bildet ein Internet der Gefahren

Im kommenden Jahr wird es mehr vernetzte Geräte geben, als ein Botnetz aufnehmen kann. Von Fitnessuhren hin zu Thermostaten und Kühlschränken bis zu den Babyfones – die Zahl der IoT-Geräte wird von 8,4 Milliarden in 2017 bis 2020 auf geschätzte 20,4 Milliarden wachsen. Diesen lukrativen Informationsquellen wecken bei illegitimen Datensammlern Begehrlichkeiten. Daher werden Unternehmen allen IoT-Geräten einen ähnlichen Schutz zukommen lassen müssen wie den Benutzersystemen innerhalb geschäftlicher Infrastrukturen. Denn es gilt: Legitime Benutzer sicher und genau erkennen, Betrüger ausschließen, Reibungsverluste vermeiden.

6. Fake News können jeden treffen

Es ist leicht nachvollziehbar, warum "Fake News" vom Collins Dictionary zum "Word of the Year" gekürt wurde. Verbinden wir diesen Begriff bislang aber vor allem mit der politischen Landschaft, wird sich im Jahr 2018 auch eine wachsende Zahl von Unternehmen mit imageschädigenden Kampagnen, meist in Verbindung mit anderen betrügerischen Aktivitäten, auseinandersetzen müssen. Beispiel gefällig? Das Unternehmen Pure Daily Care aus Los Angeles beklagte den Verlust von 400.000 US-Dollar, weil ein Konkurrent seine Marketingaussagen kopiert und Kunden dazu verleitet habe, schlechte Amazon-Bewertungen abzugeben. Kleinere Firmen werden wohl nur wenig in dieser Richtung zu befürchten haben, aber große Unternehmen könnten schon bald ins Fadenkreuz von Betrügern geraten.

7. Digitale Identitäten und Credentials vom Wühltisch

Die Daten zu digitalen Identitäten erleben einen massiven Preisverfall, denn das Angebot ist riesig. Laut einer aktuellen Studie von Google wurden in nur einem Jahr fast zwei Milliarden Datensätze mit Anmeldedaten im Dark Web zum Verkauf angeboten. So könnte der Preis für eine Kreditkartennummer im Jahr 2018 auf bis zu einen US-Dollar sinken. "Fullz" – also der komplette, detaillierte Satz persönlicher Daten – sind dann für zehn US-Dollar erhältlich. Für Sozialversicherungsnummern, Geburtsdaten, Benutzernamen, Passwörter, Antworten auf Sicherheitsabfragen und vieles mehr dürften bald Paketsonderangebote kursieren.

8. Weltweit immer mehr Ziele, weltweit immer mehr Angriffe

Nach den neuesten Untersuchungen von Threat Metrix nahm die Zahl der Cyberattacken in 2017 vor allem durch die weltweit hohe Verfügbarkeit gestohlener digitaler Identitäten zu. Auffällig war die stark steigende Angriffshäufigkeit nach großen Datendiebstählen – die entwendeten Informationen wurden also sofort missbräuchlich eingesetzt. In 2018 werden sich die Ausgangsländer für Angriffe regelmäßig verschieben, wobei sich die USA, Brasilien, Indien und China weit oben in der Hitliste platzieren. Die Angriffe selbst werden international erfolgen.

Cyberkriminelle müssen sich aber nicht ausschließlich auf bereits vorhandene Identitätsdaten konzentrieren, denn es gibt reichlich neues Futter. Allein in 2018 könnte die Zahl der neuen Internetnutzer eine Milliarde erreichen. Diese addieren sich dann zu den laut Information Age weltweit bereits vorhandenen 3,8 Milliarden. 2020 werden es dann, vorsichtig geschätzt, 6 Milliarden sein - und mit dem Anstieg der Transaktionsvolumina blüht auch die Cyberkriminalität weiter auf. Wir vermuten, dass die bisherige Bestmarke von 171 Millionen Cyberattacken weltweit aus dem dritten Quartal 2017 in 2018 fallen wird.

9. Unerfahrene Verbraucher sind willkommene Ziele

In den aufstrebenden Volkswirtschaften werden fast eine Milliarde Menschen, die noch nie ein Bankkonto besaßen, bald ihre gesamten Finanzen auf mobilen Geräten verwalten können – ohne um die Gefahren von Phishing-Angriffen oder anderen Formen des Online-Betrugs zu wissen. Parallel werden in den Industriestaaten viele jüngere Menschen ihre neuen Geräte mit dem Internet verbinden und viele Senioren sich online wagen, ohne sich Gedanken über Privatsphäre oder Sicherheit zu machen. All dies sind für Cyberkriminelle gern ins Visier genommene Opferzielgruppen.

10. Cybercrime finanziert Terrorismus

Von Nationalstaaten und/oder vernetzten Ideologen unterstützte Gruppierungen werden sich zunehmend als Cyberkriminelle betätigen, um Geld für Terroranschläge oder andere aggressive Aktivitäten zu sammeln – und um diese zunehmend auch gleich online durchzuführen. So ist davon auszugehen, dass die der Bangladesh Central Bank online gestohlenen 81 Millionen US-Dollar für das Nuklearprogramm Nordkoreas verwendet wurden. Auch für den WannaCry-Angriff im Frühjahr, der wichtige Infrastrukturen in 150 Ländern lahmlegte, machen zumindest die USA Nordkorea verantwortlich. Wir gehen davon aus, dass in 2018 Länder wie Russland und der Iran sowie Gruppierungen wie ISIS samt assoziierter Organisationen ihr Engagement im Bereich der Internetkriminalität verstärken werden.

11. "Attacken, auf die die Welt nicht vorbereitet ist"

Anfang dieses Jahres wurde das Unternehmen IDT von einem Cyberangriff überrascht, bei dem zwei von der NSA gestohlene Online-Tools als Waffen zum Einsatz kamen, die praktisch nicht entdeckt werden können. Die Hacker setzten Ransomware ein, und stahlen unter dem Deckmantel dieses Angriffs die Anmeldeinformationen von Mitarbeitern, was ihnen freien Zugang zu den digital gespeicherten Daten des Unternehmens verschaffte. IDT war aber nicht allein, weltweit wurden mehr als 10.000 Computer auf dieselbe Art angegriffen. "Das ist eine nukleare Explosion im Vergleich zu WannaCry", sagte IDT CIO Golan Ben-Oni der New York Times. "Die Welt ist darauf nicht vorbereitet." Dem stimmen wir zu und erwarten für 2018 mindestens eine derartige Attacke.

12. Es braucht ein Netzwerk, um sich zu wehren

Das digitale Wissen und Know-how eines einzelnen Unternehmens, aber auch die Informationen aus einem Dutzend Unternehmen, reichen nicht aus, um bei Zugriffen über das Netzwerk den legitimen Nutzer zuverlässig vom Cyberkriminellen zu unterscheiden, der gestohlene Identitätsnachweise einsetzt. Wir stehen als Unternehmen hinter dem weltweit größten Digital Identity Network und wissen daher: Um Cyberkriminellen wirkungsvoll entgegenzutreten, braucht es ein globales Netzwerk aus Tausenden von Unternehmen aller Branchen. Denn nur so lässt sich die Rechenleistung und der Informationsaustausch realisieren, die notwendig sind, um sicherzustellen, dass in dem Moment, in dem von einem Mitgliedsunternehmen dieses globalen Netzes ein Angreifer oder eine Attacke erkannt wird, diese zur Abwehr unerlässlichen Informationen allen zur Verfügung stehen.

Angesichts der Flut und der Ausprägung der digitalen Bedrohungen, die uns 2018 erwarten dürften, kann dies die einzige Chance sein, sich erfolgreich zu wehren.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.