Thomas Masicek, Head of Portfolio Unit ­Cyber Security T-Systems Alpine, in einem Kommentar über aktuelle Cyberbedrohungen und Arten möglicher Angriffe auf Unternehmen und Organisationen.

Corona hatte nicht nur große Auswirkungen auf das Geschäftsleben. Von einem Tag auf den anderen waren Unternehmen gezwungen, neue Arbeitsformen zu etablieren und ganze Belegschaften auf Remote-Working umzustellen. Viele Unternehmen waren darauf aber nicht vorbereitet. Technische Plattformen für einen Remote-Zugriff fehlten, mobile Arbeitsplätze waren häufig nicht korrekt gegen Cyber-Angriffe abgesichert, aber auch Mitarbeiterinnen und Mitarbeiter waren unzureichend in Bezug auf Cyber Security geschult.

Kriminelle Organisationen haben diese teilweise chaotische Zeit genutzt, um mit verstärkten Cyber-Angriffen gutes Geld zu verdienen. Im ENISA Threat Landscape Report 2021 wird europaweit Ransomware dabei als die größte Bedrohung, gefolgt von Malware sowie Cryptojacking genannt. Dies deckt sich auch mit unseren Beobachtungen sowie auch der großen Anzahl an Incident Response-Anfragen von Kunden, die aufgrund von vollständig verschlüsselten IT-Infrastrukturen ihren Betrieb nicht mehr aufrechterhalten konnten.

Ein Ransomware-Angriff startet dabei meist mit einer Phishing-Attacke, bei der täuschend echt aussehende E-Mails an Unternehmen verschickt werden, die jedoch eine Schadsoftware beinhalten. Alternativ werden bestehende Schwachstellen in IT-Systemen ausgenutzt, um eine Schadsoftware direkt ins Unternehmensnetzwerk einzuschleusen. Über diese Schadsoftware ist es dem Angreifer anschließend möglich, ins Netzwerk einzudringen. Dieser inventarisiert dann sukzessive das Netzwerk und installiert aus Redundanzgründen mehrere Hintertüren. Dieser Prozess kann bei kleinen IT-Landschaften nur wenige Stunden benötigen, aber auch mehrere Wochen andauern, bis alle Vorbereitungsaktivitäten abgeschlossen sind – um alle wichtigen Systeme zu verschlüsseln und damit unbrauchbar zu machen oder sensible Daten zu kopieren und mit deren Veröffentlichung zu drohen. Ebenso wird versucht, vorhandene Online-Backups unbrauchbar zu machen. Beide Varianten werden genutzt, um Lösegeld zu erpressen.

Angreifer versprechen, die Computer wieder zu entsperren sowie Dateien zu entschlüsseln oder von einer Veröffentlichung der entwendeten Daten abzusehen, nachdem ein Lösegeld in Form einer Kryptowährung bezahlt wurde. Viele Unternehmen haben keine andere Möglichkeit, als zu zahlen, da meist auch erfolgreich Backups gelöscht wurden und somit keine Möglichkeit der Wiederherstellung besteht. Mit jeder Zahlung wird jedoch das Geschäftsmodell der Angreifer am Leben erhalten sowie deren Professionalisierung mitfinanziert. Kriminelle Organisationen können deshalb immer professioneller und effizienter agieren.

Thomas Masicek, T-Systems Alpine: »Mitarbeiter*innen können mit einer regelmäßigen IT-Security-Schulung sensibilisiert werden, auf Indizien zu achten, ob eine E-Mail authentisch ist.« (Bild: T-Systems Alpine)

Somit entwickelt sich Ransom als Bedrohungsszenario stetig weiter. Vor einigen Jahren reichte es aus, Daten zu verschlüsseln. Mit besseren defensiven Fähigkeiten wurden später aktiv Backups angegriffen. Die Veröffentlichung von Daten war dabei oftmals ein Alternativszenario für die Angreifer. Da die kriminellen Organisationen auch auf Effizienz und somit mehr Profit bedacht sind, zeichnet sich mittlerweile der Trend ab, dass die Androhung der Veröffentlichung von gestohlenen Daten lukrativer ist als die Verschlüsselung.

Warum funktionieren Angriffe so gut?

Risiko Nummer eins ist und bleibt der Faktor Mensch: Die meisten Menschen sind von Haus aus hilfsbereit. Durch die immer authentischer aussehenden Phishing-E-Mails wird es für Mitarbeiter*innen immer schwieriger, zu erkennen, welche E-Mail echt oder eben gefälscht ist und daher eine Gefahr darstellt. Sehr häufig fehlt auch eine regelmäßige IT-Security-Schulung der Mitarbeiter*innen. Dadurch sind diese nicht sensibilisiert, auf Indizien zu achten, anhand derer erkannt werden kann, ob eine E-Mail authentisch ist.

Erleichtert wird ein erfolgreicher Phishing-Angriff nicht selten durch eine unzureichende oder meist überhaupt fehlende sicherheitstechnische Absicherung der IT-Infrastruktur. Dabei geht es nicht nur um die Anschaffung moderner Security-Software, sondern vor allem auch um die Basis-Absicherung durch eine korrekte Konfiguration der Sicherheitseinstellungen der Betriebssysteme sowie Applikationen. Eines ist jedoch auch klar: Ein traditioneller Antivirenschutz ist schon lange nicht mehr ausreichend – der gezielte Einsatz von erweiterten Methoden wie modernen »Endpoint Detection and Response«-Lösungen zur Erkennung und Abwehr von Angriffen ist mittlerweile ein Muss, um eine wirksame Abwehr solcher Angriffe ermöglichen zu können. Aufgrund der Komplexität empfiehlt sich die Auswahl eines geeigneten Managed-Security-Service- Providers, damit diese Softwareprodukte auch ihre volle Wirkung entfalten können.

Seit dem Ende der Corona Zeit sehen wir weltweit weiterhin ein relativ stetig leicht steigendes Angriffsvolumen. Verstärkt hat sich dabei nicht nur die Anzahl der Angriffe, sondern auch die Auswirkung dieser Attacken. Opfer werden dabei nicht mehr nur die Großkonzerne, sondern sehr häufig auch Mittelstandsunternehmen, aber auch Einrichtungen der öffentlichen Verwaltung, deren Security-Level meist niedriger ist und die auch unternehmens- und organisationsintern meist nicht über die nötige Security-Expertise verfügen. Auch werden beispielsweise Ransomware-Angriffe meist am Wochenende oder in der Nacht gestartet, da viele Unternehmen keinen IT-Betrieb rund um die Uhr haben und somit der Angriff erst sehr spät erkannt wird.

Prognose für 2023

Ransomware sowie Malware-Angriffe werden auch im zweiten Halbjahr 2022 sowie auch 2023 den Großteil der Attacken ausmachen. Unsere Sicherheitsanalysten sehen jedoch auch eine Zunahme von Zero-Day-Attacken sowie eine immer höhere Komplexität und Ausgereiftheit der eingesetzten Schadsoftware sowie der Vorgehensweise der Angreifer Gruppen, was auf jeden Fall auch deren Erkennung erschwert. Solange Ransomware ein lukratives Geschäftsmodell bleibt, wird sich daran auch nichts ändern.

Ebenso sehen wir eine immer größere werdende Gefahr von sogenannten Supply-Chain-Angriffen. Bei einem solchen Angriff wird versucht, weniger gut abgesicherte Hardware oder Softwaremodule, die Schwachstellen aufweisen, oder auch Kooperationspartner auszunutzen, um unberechtigt in ein Unternehmensnetzwerk eindringen zu können. Große Bekanntheit erlangten zum Beispiel Log4j beziehungsweise Log4shell – beides sind weitverbreitete Softwaremodule, die in nahezu jedem Applikationsserver zum Einsatz kommen.

Diese Softwaremodule wiesen schwerwiegende Schwachstellen auf, die es dem Angreifer ermöglichten, in unzählige Computersysteme einzudringen. Ein weiteres Beispiel stellte 2020 die Software SolarWinds dar. Eine Hackergruppierung nutzte eine Schwachstelle in der Monitoring Software von SolarWinds aus, um Unternehmen, die SolarWinds Monitoring-Produkte im Einsatz haben, mit Schadsoftware zu identifizieren.

Als weiteren Trend sehen wir Deepfakes – als Deepfake bezeichnet man authentisch wirkende mediale Inhalte, die aber mit künstlicher Intelligenz verändert wurden. Diese sollen in erster Linie dazu dienen, die Empfänger*innen zu täuschen. Mit der richtigen technischen Ausstattung lassen sich Videoinhalte erstellen, die nur schwer als Fake erkennbar sind. Gerade rund um den Ukraine-Krieg werden Deepfakes gezielt eingesetzt, um Falschinformationen zu verbreiten. Aktuelles Beispiel waren die vor kurzem als Deepfake bekannt gewordenen vermeintlichen Videokonferenzen von Wladimir Klitschko mit mehreren europäischen Vertretern der Politik. Genauso wird diese Methode von Angreifern angewendet werden, um Finanztransaktionen mittels Videotelefonat zu autorisieren.

Unternehmen müssen somit ihre Hausaufgaben machen, Mitarbeiterinnen und Mitarbeiter schulen, IT-Systeme ordnungsgemäß absichern sowie moderne Schutzsysteme einsetzen  – oder sich idealerweise einem Managed-Security-Provider anvertrauen. Dieser hilft, die IT sicher zu gestalten, um nicht Opfer eines Angriffs zu werden. Eine hundertprozentige Sicherheit wird es aber nie geben.

Mittelpunkt der digitalen Welt

Die zweite Ausgabe des »International Digital Security Forum« lud internationale Akteure der digitalen Sicherheitslandschaft zum Dialog. Vom 31. Mai bis 2. Juni wurde Wien zur internationalen Bühne für globale Sicherheitsthemen. Organisiert vom AIT Austrian Institute of Technology in Partnerschaft mit der ARGE Sicherheit und Wirtschaft der Wirtschaftskammer Österreich, bot die #IDSF22 ein dreitägiges Programm mit über 100 Speaker*innen. Mit mehr als 250 Teilnehmenden vor Ort und über 500 Online-Aufrufen aus insgesamt 41 Ländern führte das 2020 zu Beginn der Corona-Pandemie virtuell initiierte Konferenzformat heuer in hybrider Form unter dem Motto »Secure Digitalization for a Safe, Green and Sustainable Future« dessen Erfolgsgeschichte fort.

Die #IDSF22 bot heuer Raum für persönliche Begegnungen und Netzwerken vor Ort im Museumsquartier in Wien. (Bild: Katharina Schiffl)

Nach einer Videobotschaft von Bundeskanzler Karl Nehammer stimmten Florian Tursky, Staatssekretär für Digitalisierung im Bundesministerium für Finanzen, die Botschafter*innen Faouzia Mebarki (Algerien/UN), Tadeusz Chomicki (Polen/OSCE) und Rasa Ostrauskaite (EU) sowie Erich Albrechtowitz, Ministerialrat im Bundeskanzleramt, und Raffi Gregorian, Deputy to the Under-Secretary-General and Director, United Nations Office of Counter-Terrorism (UNOCT), mit aktuellen politischen Reflexionen zum Stand der Digitalisierung und dem Status quo bei Cybersecurity die Besucher*innen auf das Programm ein. Die Vortragenden betonten dabei einhellig den wichtigen Dialog zwischen Forschung, Wirtschaft und öffentliche Hand.

Helmut Leopold, Head of AIT Center for Digital Safety & Security und Initiator des IDSF: »Ein globaler nachhaltiger Dialog zwischen Forschung, Industrie und Behörden ist eine notwendige Grundlage, um die Digitalisierung so zu gestalten, dass diese auch unseren Zielen und Werten entspricht.«

Zero-Trust-Policy als Grundsatz 

Erich Manzer, Huawei: »Nichts annehmen, niemandem glauben, alles überprüfen.« (Bild: Alissar Najjar)

Erich Manzer, Deputy CEO bei Huawei Technologies Austria, über Gefahren im Netz und worauf man als Einzelperson besonders achtgeben sollte: »Das Teilen von persönlichen Neuigkeiten auf sozialen Plattformen ist im digitalen Zeitalter längst zur Normalität geworden. Die meisten Nutzer*innen beachten aber kaum, dass sie damit Data Scraping – das automatische Sammeln von Daten auf Websites – ermöglichen. Zum Schutz der Nutzer*innen arbeiten Technologieunternehmen wie Huawei ständig daran, die Sicherheit durch Software-Updates konstant zu erhöhen. Ganz entscheidend für eine sichere Umgebung im Netz ist das Einhalten einer Zero-Trust-Policy, also des Null-Vertrauen-Prinzips: nichts annehmen, niemandem glauben, alles überprüfen. Das Öffnen sämtlicher E-Mails von unbekannten Personen sowie die Nutzung von unsicheren Websites sollte man stets vermeiden, besonders wenn sie in Verbindung mit der Preisgabe von sensiblen Daten und Zahlungsdurchführungen stehen. So schafft man eine sichere Umgebung im Netz.«