Illustration: Absmeier WaldNob

Der Krieg in Europa und die Demokratisierung von Ransomware haben dazu geführt, dass die Zahl der Cyberangriffe immens angestiegen ist. Gleichzeitig haben die Attacken qualitativ zugelegt, was teilweise verheerende Auswirkungen hatte. Schnallen Sie sich an – 2023 wird das Tempo anziehen!

Das Jahr 2022 ist zu Ende. Und was für ein Jahr: Krieg, Energiekrise, Rezession, weltweite Nahrungsmittelknappheit und ein Leben nach und mit Covid-19. All das hat 2022 zu einem Jahr gemacht, das wir wohl alle nicht so schnell vergessen werden. Das gilt nicht zuletzt auch für den Bereich der Cybersicherheit. Es war ein Jahr, in dem die Angriffe sowohl an Intensität als auch an Volumen zugelegt haben, Lösegeldforderungen nach Ransomware-Attacken schier explodiert sind, und Cyberkriminelle kreativer denn je vorgehen.

Ob Ransomware, DDoS oder Brute-Force-Angriffe – auch deutsche Unternehmen gerieten 2022 immer wieder ins Visier von Cyberkriminellen. Ganz ähnlich erging es Behörden und nicht zuletzt den Betreibern kritischer Infrastrukturen. Ob Medizintechnikunternehmen wie die Richard Wolf GmbH, der Energieversorger Enercity, die in Hamburg ansässige Deutsche Presseagentur, der Großhandelskonzern Metro, Continental, der Autovermieter Sixt, die Deutsche Windtechnik, aber auch der Caritasverband, das Fraunhofer-Institut und die TÜV Nord Group waren unter den Opfern. Auch kritische Infrastrukturen werden massiv attackiert. Nicht nur in der Ukraine, sondern auch in Norwegen vermutet man russische IT-Kriminelle hinter etlichen Attacken. Aber auch grundsätzlich ist die Zahl der Angriffe, bei der die Hacker von staatlicher Seite unterstützt werden, gestiegen.

Was wird uns im Jahr 2023 erwarten? Meine Vermutung nach etlichen Jahren in der Branche ist, dass das kommende Jahr einschneidende Veränderungen für CIOs und CISOs bereithalten wird – aber auch für uns alle, die wir nur Zivilisten in einem Cyberkrieg sind, der zwischen Cyberkriminellen, Hacktivisten, staatlich gesponserten Hackern und Unternehmen sowie Staaten auf der anderen Seite ausgetragen wird.

KI wird es erschweren, Hacker-Angriffe als solche zu erkennen

KI-basierte Programme sind in den letzten Monaten viral gegangen. Ich denke zum Beispiel an DALL-I und MidJourney, Bildbearbeitungsprogramme auf Basis künstlicher Intelligenz, mit denen sich Kunstwerke produzieren lassen, die bereits Wettbewerbe gewinnen. Und noch mehr denke ich an Programme wie das neue ChatGPT. Die Software kann auf Basis von lediglich einer einzigen Zeile Text, glaubwürdiges Material in nahezu jeder Sprache erstellen. Eine Fähigkeit, die sich Cyberkriminelle zweifellos zunutze machen werden. Oder wie wäre es alternativ mit der explosionsartigen Zunahme von fortschrittlichen KI-Tools für das Face-Swapping – Deep Fakes, bei denen eine künstliche Intelligenz das Gesicht einer Person von einem Foto oder aus einem Video dem Körper einer anderen Person zuordnet – und das mittlerweile immer überzeugender. Es ist sogar möglich, mit Stimmen zu arbeiten. Überzeugende Videos mit Deepfakes von Prominenten, die etwa für betrügerische Seiten werben – und ich fürchte, das wird 2023 Realität werden.

Physische und virtuelle Angriffe in Kombination

Im Jahr 2022 wurde die Dänische Staatsbahn, DSB, Opfer eines Hackerangriffs. Zum Glück hielten sich Schaden und Kosten in Grenzen, und die Bahnen konnten zügig zurück auf die Schiene. In Deutschland war die Deutsche Bahn betroffen. Allerdings handelte es sich hier um einen physischen Angriff auf die Infrastruktur, bei dem Kabel in Norddeutschland sabotiert wurden. Und schließlich sollten wir die Explosion von Nord Stream 1 und 2 in der Baltischen See nicht außer Acht lassen. Allen gemeinsam ist, dass es sich um gezielte Angriffe auf kritische Infrastrukturen handelt. In Zukunft werden wir wahrscheinlich nicht nur eine wachsende Zahl dieser Angriffe beobachten können, sondern vor allem solche, die eine physische und eine virtuelle Komponente haben.

Dem privaten Sektor wird es kaum besser ergehen. Unternehmen sollten damit rechnen, dass sie zunehmend sowohl physischer Sabotage als auch virtuellen Angriffen gleichzeitig ausgesetzt sein werden. Zum Beispiel durch koordinierte Angriffe auf die Edge-/IoT-Geräte eines Unternehmens, die nach einer Kompromittierung oftmals den direkten Zugriff auf das Firmennetz erlauben.

Die NIS2 wurde von der EU bereits im November verabschiedet. Das heißt, die Richtlinie tritt spätestens 21 Monate später, also im Herbst 2024, in Kraft.

Unternehmen haben, unabhängig von ihrer Größe, also nicht allzu viel Zeit, um die neuen Anforderungen zu erfüllen. NIS2 soll die Cybersicherheit gegen Cyberbedrohungen in der gesamten EU stärken und vereinheitlichen. Das gilt sowohl für Unternehmen als auch für den öffentlichen Sektor. Und da sind längst nicht alle so gut aufgestellt wie die stark digitalisierten nordischen Länder. Viele Kommunen sind eher schlecht geschützt, weil Geld, Personal und klare Zuständigkeiten fehlen.

Aber es gibt auch Bereiche, in denen alle Unternehmen die Anforderungen von NIS2 erfüllen müssen. Dies betrifft beispielsweise die Gewährleistung eines sicheren Datenverkehrs bezüglich der E-Mail-Kommunikation. Besondere Anforderungen werden etwa an den Energie- und Verkehrssektor gestellt, aber auch Lebensmittelfirmen, einschließlich des Einzelhandels, sind betroffen.

NIS2 stellt unter anderem Anforderungen an die grundlegende »Cybersicherheitshygiene«, d. h. an die Schulung der Mitarbeiter hinsichtlich ihrer Cyber Awareness sowie an eine erweiterte Dokumentation und Protokollierung. Wer die Vorgaben von NIS2 nicht im Rahmen der vorgegebenen Frist erfüllt, muss mit einer Geldstrafe in Höhe von 2 Prozent seines Umsatzes rechen – und meistens wird diese Summe gleich mit einer DSGVO-Sanktion in derselben Höhe kombiniert. Wer also nicht gleich auf 4 Prozent seines Jahresumsatzes verzichten will – der sollte 2023 die Ärmel hochkrempeln.

Steffen Friis, VIPRE Security Group