In welche Richtung sich die Cyber-Bedrohungslandschaft im Laufe des vergangenen Jahres entwickelt hat und worauf sich Unternehmen im kommenden Jahr einstellen sollten
Ein Beitrag von Tanja Hofmann, Lead Security Engineer bei McAfee Enterprise.
Malware, Ransomware, Phishing-Kampagnen: Täglich entstehen neue, vielfältige Cyber-Bedrohungen für Unternehmen. 2021 war hierbei keine Ausnahme – im Gegenteil: Dieses Jahr entwickelte sich die Bedrohungslandschaft vor dem Hintergrund der anhaltenden Pandemiesituation sogar aggressiv weiter.
In einer von McAfee Enterprise und FireEye durchgeführten Studie 1 berichten 81 Prozent der 1.451 befragten IT-Sicherheitsexperten, dass sich ihr Unternehmen seit Beginn der Pandemie einer erhöhten Anzahl von Cyber-Bedrohungen stellen musste. 56 Prozent erlebten eine massive, durch einen Cyber-Vorfall initiierte Downtime ihres Betriebs. Ein einzelner Vorfall konnte einen Schaden von mehreren 100.000 US-Dollar verursachen.
Ein Unternehmen, das mit einer solchen Störung zu kämpfen hatte, war der Pipeline-Betreiber Colonial Pipeline. Im Mai dieses Jahres konnten sich Cyber-Kriminelle über ein altes Mitarbeiterkonto Zugang zu deren System verschaffen, dort Ransomware platzieren und so die Treibstoffversorgung in Teilen der Ostküste lahmlegen. Dieser Angriff war nur einer von vielen Spielfiguren auf dem Schachbrett der Cyber-Akteure.
Doch wie konnte es zur heutigen Bedrohungslage kommen? Welche cyber-kriminellen Aktivitäten konnten wir 2021 beobachten und mit welchen ist 2022 zu rechnen?
Mit schlechtem Beispiel voran: Cyber-Kriminelle ließen sich von Erfolgen inspirieren
Der Colonial Pipeline-Vorfall hatte gleich zwei Entwicklungen zur Folge: Einerseits rückten cyber-kriminelle Aktivitäten, die es auf kritischen Infrastrukturen abgesehen haben, schlagartig in den Fokus der Regierung. Andererseits animierte dies Cyber-Kriminelle dazu, sich und ihre Techniken sowie Strategien weiterzuentwickeln, um noch größere Fische im Cyberspace zu angeln.
Im Vorjahr hatten Cyber-Kriminelle noch vornehmlich Einzelpersonen und Mitarbeiter kleinerer Betriebe über mehrere Ransomware-Kampagnen mit einheitlichen Angriffsmustern ins Visier genommen. In diesem Jahr verlagerten sie ihre Aufmerksamkeit zunehmend auf größere, lukrativere Unternehmen, um mit wenig Aufwand ein Maximum an Profit zu erpressen.
Dabei bewegten sie sich nicht nur im nordamerikanischen Raum: Auch hierzulande haben es Cyber-Kriminelle auf kritischen Infrastrukturen abgesehen. Besonders betroffen waren der öffentliche Sektor, das Gesundheitswesen, die Finanz- und Versicherungsbranche, Telekommunikation, Energieversorgungsbereiche sowie der Bildungssektor. Außerdem zielten Cyber-Kriminelle zunehmend auf den Fertigungsbereich ab, was unter anderem den steigenden Einsatz neuer Malware-Varianten zur Kompromittierung von IoT-Geräten unterstreicht.
Ransomware-as-a-Service: Das Geschäft mit der virtuellen Erpressung
Die steigende Zahl an Ransomware-Attacken – besonders auf KRITIS-Unternehmen – hat die Weiterentwicklung eines Geschäftsmodells der ganz besonderen Art befeuert. Zwar ist Ransomware-as-a-Service (RaaS) keine Neuheit, jedoch fand diese Form der cyber-kriminellen Dienstleistung in diesem Jahr besonders hohen Anklang.
Dabei vermieten Ransomware-Entwickler ihre Schadsoftware auf Darknet-Portalen an zahlende Kunden, die so ohne großes Vorwissen ihre eigenen Ransomware-Kampagnen starten können. Einige Gruppen bieten sogar Full-Service-Modelle an. Bezahlt wird üblicherweise in Bitcoin – als einmalige oder Abonnement-Gebühr oder in Form eines Affiliate-Programms, bei dem die Anbieter am Lösegeld-Gewinn beteiligt werden.
Solche RaaS-Kampagnen wurden unter anderem durchgeführt, um von großen Unternehmen aus verschiedenen Branchen massive Geldsummen zu erpressen – sehr zur Freude von Ransomware-Entwicklern, die nicht einmal selbst Hand anlegen mussten.
Coin-Mining-Malware: Kryptowährung ist hoch im Kurs – doch nicht nur an der Krypto-Börse
Im letzten Jahr waren Kryptowährungen immer häufiger in den Nachrichten zu finden. Die Kurse steigen und fallen und manchmal verhilft der ein oder andere Tweet berühmter Personen zum Aufschwung. Im letzten Jahr erfreuten sich Bitcoin und Co. zunehmender Beliebtheit.
Auch Cyber-Kriminelle haben das sicher zu transferierende, kaum nachzuverfolgende Kryptogeld mittlerweile für sich entdeckt: Das Lösegeld von Ransomware-Attacken wird immer häufiger in Form von Kryptowährung gefordert und RaaS-Anbieter lassen sich mittels Bitcoin königlich entlohnen. Daher war es nur eine Frage der Zeit bis Cyber-Kriminelle verstärkt Kryptowährung generierende Coin-Mining-Malware entwickeln. 2021 stieg dieser Markt um 117 Prozent aufgrund der Zunahme von 64-Bit-CoinMiner-Anwendungen an.
What lies ahead? Auf diese Bedrohungen müssen sich Unternehmen 2022 einstellen
Da auch im kommenden Jahr weiterhin der Remote-Work-Trend anhalten wird, werden Unternehmen ihre Cloud-Sicherheitsstrategie ausbauen und entsprechende Lösungen implementieren müssen. Bei 56 Prozent der befragten IT-Sicherheitsexperten stehen Cloud Security-Tools daher ganz oben auf der To-do-Liste.
Auch wenn „nur“ 36 Prozent der Befragten Ransomware-Attacken als die bedrohlichsten Cyber-Risiken für Unternehmen im Jahr 2022 einstufen, müssen sich Sicherheitsteams auf fortgeschrittene Taktiken sowie Strategien seitens der Cyber-Kriminellen und Ransomware-Gruppen einstellen. Diese werden aktiv weitere Gruppenmitglieder anwerben, um ihr Netzwerk zu vergrößern.
Gleichzeitig werden RaaS-Anbieter ihr „Serviceangebot“ sowie ihre Reichweite ausweiten, um mehr „Cyber-Crime-Laien“ die Möglichkeit zu verschaffen, eigenständig gezielte Ransomware-Kampagnen durchzuführen. Darüber hinaus werden Social-Media-Plattformen vor allem für Nation-State-Akteure zu einem immer beliebteren Angriffsvektor, um an potenzielle (hochkarätige) Opfer mittels Social Engineering zu gelangen. Technologien wie 5G und IoT bleiben weiterhin interessant für Cyber-Angreifer, da sie über anfällige APIs kritische Daten abgreifen können.
1 Methodik der Studie:
McAfee beauftragte den globalen unabhängigen Marktforschungsspezialisten MSI-ACI mit der Durchführung der Studie. Zwischen September und Oktober 2021 wurde die quantitative Studie durchgeführt, bei der 1.451 Entscheidungsträger aus der IT und der Geschäftsleitung befragt wurden. Die Befragten kamen aus den USA, Großbritannien, Australien, Frankreich, Deutschland, Indien, Singapur, Südafrika und den Vereinigten Arabischen Emiraten.
Die Befragten mussten in der IT-Branche tätig sein, sich mit IT-Sicherheit befassen und für ein Unternehmen mit mehr als 500 Mitarbeitern tätig sein. Die Interviews wurden online durchgeführt, wobei ein strenges mehrstufiges Auswahlverfahren angewandt wurde, um sicherzustellen, dass nur geeignete Kandidaten die Möglichkeit zur Teilnahme erhielten.