13 April, 2023
Für das Jahr 2022 stand sowohl im geopolitischen als auch im cyberkriminellen Mittelpunkt primär der Angriffskrieg Russlands auf die Ukraine. Für Angriffe im digitalen Raum setzen russische Akteure vor allem auf Sabotage mit Hilfe von Wiperware – einer speziellen Schadsoftware, die gezielt Dateien auf einem infizierten Computer korrumpiert und damit das System unbrauchbar macht. Dabei konzentrierten sie sich aber weitgehend auf die unmittelbare Konfliktzone, also auf die Ukraine und die von Russland annektierten Gebiete.
Neben dem Krieg in der Ukraine stellte vor allem die Zunahme finanziell motivierter Angriffe im wirtschaftlichen Sektor ein großes Problem im vergangenen Jahr dar. Zum 6. Jahr in Folge blicken wir im „Cyber Threats 2022: A Year in Retrospect“-Bericht auf die wichtigsten Cybercrime-Entwicklungen und evaluieren, wie es derzeit um die globale Cyber Security steht. Dieser detaillierte Rückblick auf Akteure, Techniken und Tools weist auch auf das laufende Jahr hin und gibt Hinweise, worauf Unternehmen 2023 achten sollten.
Sowohl private Unternehmen als auch öffentliche Organisationen sind zunehmend von geopolitischen Gefahren, Cyberattacken und Lieferkettenrisiken betroffen. CEOs, die nach eigenen Angaben geopolitischen Risiken ausgesetzt sind, ergreifen aktiv Maßnahmen um ihre Unternehmen umfassend zu schützen. Fast die Hälfte der Befragten gibt an, dass sie deutlich mehr in die Cybersicherheit oder den Datenschutz investieren, Anpassungen in ihren Lieferketten vornehmen, um die Sicherheit zu erhöhen, oder gar den Standort ihres Unternehmens überdenken, um angesichts rapider Veränderungen von politischen Allianzen schnell agieren zu können. Aufsichtsräte wollen genau wissen, wie hoch das Risiko für potenzielle Angriffe ist und mit welchen strategischen und geschäftlichen Initiativen sie dieses Risiko minimieren können.
Länderspezifisches Targeting durch Malware wird oft von staatlich unterstützten Gruppen oder kriminellen Banden durchgeführt, die in bestimmten Ländern oder Regionen operieren. Der Report identifiziert China, Russland und den Iran als zentrale Bedrohungsakteure. Cyberkriminalität wird also zum Teil politisch gelenkt. Das Bundesamt für Verfassungsschutz warnte etwa vor der Malware Red Phoenix, die im Jahr 2022 für eine anhaltende Cyberspionagekampagne gegen deutsche Unternehmen und Organisationen genutzt wurde.
Im Jahr 2022 konnten wir bedenkliche Entwicklungen im gesamten Cybercrime-Umfeld beobachten – etwa die Zunahme von „Hack-and-Leak“-Operationen, also opportunistische Angriffe auf ungeschützte Systeme. Dies geschieht häufig in Kombination mit der Auswahl hochkarätiger oder vermeintlich wertvoller Ziele auf der Jagd nach Aufmerksamkeit und Prominenz. Besonders lukrativ für Cyberkriminelle sind dabei Angriffe, wie Diebstahl, Erpressung und Betrug, wobei Ransomware-Angriffe den größten Teil dieser Angriffe ausmachen.
Ransomware-Bedrohungsakteure gingen im Jahr 2022 noch dreister vor, um Erpressungsopfer unter Druck zu setzen und Insider zu gewinnen – ein Trend, der sich in den kommenden Jahren noch verstärken wird. Für Unternehmen ist das schnelle Einspielen von Sicherheitsupdates also essenziell, wie beispielsweise auch die Log4Shell-Schwachstelle gezeigt hat.
Angreifende setzten bei ihren Attacken zunehmend verbesserte Tools und Frameworks ein, um Sicherheitsmaßnahmen zu überwinden. Sie kombinieren dabei neue Ansätze mit bewährten Methoden, etwa indem sie ungeschützte Instanzen des Remote-Desktop-Protokolls (RDP) und noch nicht mit Multi-Faktor-Authentifizierung gesicherte Systeme ausnutzen.
Für Verteidiger stellen diese Herangehensweisen und Tools aufgrund ihrer raschen Entwicklung eine große Herausforderung dar. Gelingt es Unternehmen aber, entsprechende Taktiken zu enthüllen, können sie in bestimmten Fällen auch ähnlich aufgebaute Frameworks mit übereinstimmenden oder verwandten Funktionsansätzen aufdecken.
Der Blick auf das Jahr 2022 zeigt deutlich, dass alle Seiten ihre Investitionen für ihre Angriffs- und Verteidigungskapazitäten erhöhen und ihre Teams, Prozesse und Tools kontinuierlich weiterentwickeln. Die gute Nachricht: Verteidiger nehmen nicht mehr nur die Opferrolle ein, sondern können mit Threat Intelligence auch aktiv Verstärkungen vornehmen und so die Oberhand in der Sicherheitslage für ihre digitale Infrastruktur erlangen.
Wir gehen davon aus, dass die Bedrohungen im Jahr 2023 durch das gezielte Aushebeln von Identitätsverifizierungen und des Privileged Access Management (PAM) dominiert wird. Spionageorientierte Angreifende werden zunehmend digitale Lieferketten ins Visier nehmen und 0-Days als Einfallstore ausnutzen, die das Potenzial bergen internationale Spannungen zu verschärfen oder gar eskalieren lassen zu können. Große Organisationen mit sensiblen Daten rücken also zunehmend ins Visier von staatlich gesteuerten Cyberkriminellen.
Vorfälle wie die Log4Shell-Schwachstelle haben gezeigt, dass opportunistische Angriffe jedes System treffen können. Schnelles Reagieren und Threat Intelligence, also Verteidigungsmaßnahmen auf Basis von Echtzeit-Bedrohungsdaten, gewinnen jetzt weiter an Bedeutung. Verbraucher, Mitarbeitende und Investoren verlassen sich darauf, dass Unternehmen ihre Cyberresilienz weiterentwickeln und das Bewusstsein für die Bedrohungslage in der heutigen digitalen Landschaft konstant schärfen.
Haben wir eine “Defense-in-Depth”-Sicherheit implementiert, d.h. verfügen wir über mehrere Verteidigungsebenen, die füreinander einspringen, wenn ein Mechanismus versagt, um den Angriff zu vereiteln? Beinhaltet dies ein starkes Identitäts- und Zugriffsmanagement, kontinuierliche Überwachung und Zero Trust? Ist unser Remote-Desktop-Protokoll mit dem Internet verbunden? Wenn ja, haben wir es richtig abgesichert?
Kennen wir unsere kritischen Abhängigkeiten genau? Haben wir unsere Systeme kartiert? Sichern wir unsere Systeme und Daten, und können wir schnell darauf zugreifen?
Haben wir unsere Pläne für Krisenmanagement, Disaster Recovery, Business Continuity und Katastrophenmanagement getestet? Verfügen wir über eine bestimmte Führungskraft, die befugt ist, diese Bemühungen unternehmensweit zu leiten?
Kennen wir die Entscheidungen, die wir im Falle eines Angriffs schnell treffen müssen? Unter welchen Umständen würden wir ein Lösegeld zahlen, wenn überhaupt? Verfügen wir über die Informationen zu den potenziellen Schäden – betrieblich, finanziell, rechtlich und in Bezug auf den Ruf –, um eine gute Entscheidung treffen zu können? Steht unser Prozess im Einklang mit unseren Unternehmenswerten?
Wie informieren wir den Vorstand und den CEO? Wie und wann würden wir einen Angriff innerhalb des Unternehmens und gegenüber unseren Aktionären kommunizieren?
Haben wir eine Cyberversicherung, und reicht sie aus, um unsere Verluste zu decken? Wofür zahlt sie? Deckt sie Lösegeldzahlungen ab? Wie funktioniert sie? Wenn wir keine Cyberversicherung haben, wie sieht unser Plan zur Deckung der Kosten aus?
Betrachten wir Datenschutz-, Privatsphäre- und Cybersicherheitsregeln in einem größeren Zusammenhang – zum Beispiel, dass Nationen sie möglicherweise nutzen, um ihre eigene wirtschaftliche Wettbewerbsfähigkeit zu verbessern? Wenn wir mit einem vorgeschlagenen Datenschutzgesetz oder mit Wirtschaftssanktionen konfrontiert werden, wollen wir dann in diesem Markt weiterhin auf unserem derzeitigen Niveau oder überhaupt Geschäfte machen? Lohnt es sich, dieses Risiko einzugehen? Wollen wir unser Portfolio umstrukturieren und uns ganz oder teilweise auf andere Märkte konzentrieren? Sind wir besorgt, dass unser geistiges Eigentum angreifbar sein könnte? Wenn ja, wie können wir es schützen?
„Das Jahr 2022 hat gezeigt, dass Cyberangriffe zunehmend staatlich gelenkt werden. Cyberkriminalität wird also noch organsierter, aber auch komplexer, und immer schwieriger zu durchschauen. Die Fähigkeit schnell auf Cyber Threats reagieren zu können ist also für alle Akteure im digitalen Raum von höchster Signifikanz.“