Das Jahr 2022 war geprägt von globalen Krisen. Allem voran der russische Angriffskrieg gegen die Ukraine hat die europäische Gemeinschaft ins Wanken gebracht. Die Folgen: Rohstoffverknappungen sowie soziale und wirtschaftliche Spannungen. Zudem stieg die Anzahl erfolgreicher Cyberangriffe an. Immer häufiger wurden Unternehmen der kritischen Infrastruktur sowie Politikerinnen und Politiker Ziel von gezielten Cyberattacken.
Auch im kommenden Jahr werden Cyberbedrohungen und Cyberattacken zum unternehmerischen Alltag gehören. Al Lakhani, Gründer und CEO von IDEE, zählt sieben Trends, auf die sich Firmen einstellen müssen:
1. Gestohlene Anmeldedaten und Identitätsdiebstahl bleiben die größte Bedrohung für Unternehmen
Viele Unternehmen haben Unsummen in die Multi-Faktor-Authentifizierung (MFA) investiert, um der Kompromittierung von Konten zu entgegenzuwirken. Leider können die meisten MFA-Lösungen nicht verhindern, dass Hacker Benutzerkonten übernehmen. Die Hacking-Techniken entwickeln sich ständig weiter, wie die Zunahme von Adversary-in-the-Middle-Angriffen (AiTM) zeigt, mit denen herkömmliche MFA-Lösungen umgangen werden können.
Damit bleiben Unternehmen zwei Möglichkeiten:
- Die bereits implementierte MFA mit einer bedingten Zugriffsrichtlinie weiter zu patchen oder
- eine Phishing-sichere MFA zu implementieren.
Zugriffskontrollen verringern das Risiko einer Kontenübernahme: Die bedingte Zugriffskontrolle erkennt und blockiert riskante und/oder verdächtige Login-Versuche. Doch dies löst das Problem noch nicht ganz, ein Angreifer muss nur Wege finden, die Richtlinie zu umgehen: Blockiert die Zugangskontrolle beispielsweise den Zugang aus bestimmten Ländern, kann ein Cyberkrimineller die gestohlenen Zugangsdaten an jemanden im selben Land wie das Opfer verkaufen, um das Konto zu kompromittieren. Darüber hinaus greifen die meisten Zugriffskontrollrichtlinien auf MFA zurück: Wird auf User-Seite abnormales Verhalten festgestellt, ist eine Verifizierung per MFA notwendig, um Zugang zu erhalten. Findet eine MFA Verwendung, die anfällig für Phishing ist, lässt sich diese Zugriffskontrolle umgehen.
Die zweite Option (Phishing-sichere MFA) ist der sicherste Weg, um die Kompromittierung eines Kontos zu verhindern. Sie kann selbst mit fortgeschrittenen Phishing-Techniken nicht gestohlen, weitergegeben oder umgangen werden. Es bleibt nur die Frage, was es Unternehmen kosten wird, auf eine solche MFA umzustellen und die teils enormen Summen zu verlieren, die bereits in eine konventionelle MFA investiert wurden.
2. Phishing wird 2023 raffinierter, um Phishing-sicherer Authentifizierung entgegenzuwirken
Über 80 Prozent aller Cyberverletzungen sind auf gestohlene Zugangsdaten zurückzuführen. Der einzige Weg nach vorne ist ein Berechtigungsnachweis, der nicht gestohlen werden kann. Infolgedessen werden immer mehr Unternehmen eine Phishing-sichere Authentifizierung implementieren, um Phishing-Angriffe auf Anmeldeinformationen sowie passwortbezogene Angriffe zu verhindern. Im Jahr 2023 und darüber hinaus wird sich Phishing dahingehend weiterentwickeln, dass die Technologie und nicht (nur) der Mensch ausgetrickst wird.
Cyberkriminelle sind in einer vorteilhaften Position, da zwischen ihnen und ihren Opfern Asymmetrien bestehen. Die Aufrechterhaltung und Verbesserung der Cybersicherheit erfordert von einer Organisation erhebliche Investitionen. Andererseits erfordert die Durchführung eines Cyberangriffs nur sehr geringe Investitionen, sodass Cyberkriminelle flexibel agieren können. Sie können sich schnell und zu vernachlässigbaren Kosten an eine sich verändernde technologische Landschaft anpassen und werden dabei von der Schattenwirtschaft unterstützt.
3. Cyber-Revenge
Die Zahl der von Nationalstaaten und Aktivisten gesponserten Cyberangriffe wird wahrscheinlich zunehmen, vor allem angesichts der sich verschärfenden geopolitischen Spannungen, des Klimawandels und der sich abzeichnenden Rezession, die andere gesellschaftliche Probleme wieder aufleben lassen.
Die russische Invasion in der Ukraine hat einen Präzedenzfall für den Einsatz von Cyber-Racheakten geschaffen. Sie zielen darauf ab, kritische Infrastrukturen lahmzulegen. Admiral Mike Rogers, ehemaliger Leiter der Nationalen Sicherheitsbehörde und des US-Cyberkommandos, räumte ein, dass »mindestens zwei oder drei Länder einen Cyberangriff starten könnten, der das gesamte Stromnetz der USA und andere kritische Infrastrukturen lahmlegen könnte«. Staaten könnten nächstes Jahr damit beginnen, Gegenangriffe als Abschreckung für von anderen Staaten gesponserte Cyberangriffe einzusetzen.
Auch Menschenrechtsaktivisten könnten, um sich Gehör zu verschaffen, Nationen und Organisationen im Cyberspace angreifen und ihre kritischen Infrastrukturen lahmlegen.
4. Cloud Computing und Insider-Bedrohungen sind der Albtraum eines CISO
Das Modell der geteilten Verantwortung in der Cloud (Shared Responsibility Model) bedeutet, dass Unternehmen keine Kontrolle über das »Bare Metal«, also die Hardware an sich, haben. Das Gleiche gilt für Bedrohungen durch Insider: Sie können kontrollieren, wer auf Unternehmensdaten zugreift, aber nicht, wem die Daten zugespielt werden, insbesondere in einer dezentralen Arbeitsumgebung.
Die Besorgnis wächst, dass Hacker Geld dafür bieten, dass Mitarbeitende sensible Informationen im Unternehmensnetzwerk preisgeben. Insider werden zu Vermittlern von Erstzugängen – und dieser Trend wird weiter zunehmen. Initial Access Brokers, die diese Zugänge weiterverkaufen, haben einen schnellen Return on Investment: Insider haben daher einen Anreiz, Zugangsdaten und/oder Informationen über ausnutzbare Schwachstellen an Cyberkriminelle weiterzugeben, um in die Netzwerke des Unternehmens einzudringen und Lösegeld zu verlangen.
Die Zunahme von Cyberaktivismus könnte dazu führen, dass Insider ganze Cloud-Infrastrukturen lahmlegen.
5. Die Lieferkette wird zu einem gefährlichen Angriffsvektor
62 Prozent der Systemeinbrüche entfielen laut Verizon DBIR 2022 auf die Lieferkette. Der Grund: Ein Unternehmen muss alle bekannten Schwachstellen abwehren, während Cyberkriminelle nur die schwächste Eintrittspforte ausfindig machen müssen, um einen Cyberangriff zu starten. Eine Schwachstelle in einem Unternehmen reicht aus, um andere Unternehmen in einer Lieferkette zu kompromittieren, wie etwa die Sicherheitsverletzungen bei SolarWinds und Okta gezeigt haben. Ein erfolgreicher Angriff kann sich so auf hunderte anderer Unternehmen auswirken.
Ein Gedankenspiel: Microsoft oder seine Vertragspartner werden kompromittiert und ihre Systeme mit Ransomware verschlüsselt. Die Folgen wären für Millionen von Unternehmen katastrophal, die auf ihre Dienste zurückgreifen, sei es als Partner oder Kunde.
Die Versicherungsbranche berücksichtigt mittlerweile das Cybersicherheitsrisiko als einen der wichtigsten Faktoren bei der Entscheidung über Geschäftsbeziehungen mit Dritten. Zertifizierungen und Standards reichen nicht mehr aus, um eine geringere Risikoposition zu beweisen, vielmehr müssen Organisationen eine klare Cybersicherheitsstrategie vorweisen – und sie in die Tat umsetzen, beispielsweise in Form einer Phishing-sicheren Multi-Faktor-Authentifizierung.
6. Ransomware wird weiterhin eine große Bedrohung für Unternehmen darstellen
Solange Hacker von Erpressung profitieren und Zahlungen von Opfern erhalten, wird Ransomware weiterhin eine Gefahr für Unternehmen darstellen.
Maschinelles Lernen (ML) und künstliche Intelligenz (KI) können zwar wichtige Werkzeuge für die Cyberabwehr sein, sie können aber auch Waffen für Cyberkriminelle darstellen. Polymorphe Malware, die erst durch ML und KI möglich ist, macht es beispielsweise noch schwieriger, erfolgreiche Angriffe zu erkennen und daran zu hindern, Systeme mit Ransomware zu infizieren: Sie modifiziert sich selbst, um Malware-Erkennungsprogramme zu täuschen oder sogar zu umgehen.
7. Künstliche Intelligenz könnte die Achillesferse von Zugangskontrollen und verhaltensbasierten Sicherheitsmaßnahmen werden
KI und ML könnten von Hackern für prädiktive Analysen genutzt werden, um ideales Nutzerverhalten zu ermitteln und dann die beobachteten Muster zu nutzen. Hiermit täuschen sie die Abwehrmechanismen, die das Nutzerverhalten und kontextbezogene Attribute nutzen, um verdächtige Aktivitäten zu erkennen und zu blockieren. Die Folge: Eine Lösung zur verhaltensbasierten Anomalieerkennung nimmt verdächtige Aktionen, die sonst auf eine Schadsoftware hinweisen (zum Beispiel überdurchschnittlich viele User-Aktionen innerhalb eines kurzen Zeitraums) nicht wahr, weil sich die Schadsoftware wie ein echter Mensch verhält. Bis der Angriff erkannt wird, kann der Angreifer großen Schaden anrichten, indem er beispielsweise Unternehmensinformationen abgreift.
Fazit
Die gute Nachricht ist: Unternehmen müssen diesen Trends nicht fatalistisch entgegensehen. Vielmehr können sie sich vorbereiten, indem sie geeignete Abwehrmaßnahmen einrichten und ihre Mitarbeitende zum richtigen Umgang mit Cyberbedrohungen schulen.
Vor allem aber sollten sich Organisationen mit den Möglichkeiten Phishing-sicherer Multi-Faktor-Authentifizierung befassen. Selbst Cyber-Security-Spezialisten sind nicht vor immer raffinierteren Phishing-Angriffen gefeit und fallen früher oder später auf eine Phishing-Mail herein. Ist eine entsprechende MFA eingerichtet, bleiben Unternehmensdaten trotzdem sicher.