2023 war ein ereignisreiches Jahr für die Cybersicherheit, und wenn wir über die Cyberangriffe des vergangenen Jahres nachdenken, können wir wertvolle Einblicke in potenzielle Muster und Trends gewinnen, die in den kommenden Jahren die neue Blaupause für Cyberbedrohungen werden könnten. Die Schlagzeilen in diesem Jahr wurden von öffentlichkeitswirksamen und staatlich geförderten Ransomware-Angriffen beherrscht, und wir wollen einen Blick darauf werfen, wie sich diese auf verschiedene Branchen auswirkten.
Die rasante Entwicklung von Technologie und generativer KI hat sowohl Unternehmen als auch Cyberkriminelle gestärkt, was für Unternehmen weltweit zu einem großen Problem geworden ist. Das Ergebnis ist eine steigende Zahl von Sicherheitsverletzungen, wobei bestimmte Branchen von Natur aus anfälliger für Cyberangriffe sind als andere.
Im Jahr 2023 beliefen sich die weltweiten Durchschnittskosten pro Datenschutzverletzung auf 4,45 Millionen US-Dollar, ein Anstieg gegenüber 4,35 Millionen US-Dollar im Jahr 2022 und damit eine Fortsetzung des Trends der vergangenen Jahre. Die höchsten durchschnittlichen Kosten für Datenschutzverletzungen sind in der Gesundheitsbranche zu verzeichnen. Angesichts der enormen Auswirkungen der Cyberkriminalität auf die Weltwirtschaft ist es für Unternehmen unabdingbar, diese potenziellen Bedrohungen zu verstehen. Laut Statista könnten die jährlichen Ausgaben für Cyberkriminalität bis 2026 weltweit 20 Billionen US-Dollar übersteigen, was einen enormen Anstieg von 150 Prozent gegenüber heute bedeutet.
Doch der höchste Preis, den ein Unternehmen zahlen muss, ist der Konkurs. Nach fast zwanzig Jahren Betrieb musste der dänische Cloud-Hosting-Anbieter CloudNordic dieses Jahr aufgrund eines verheerenden Ransomware-Angriffs im August 2023 schließen, der seine Systeme löschte und alle Daten seiner Kunden vernichtete. Obwohl dem Unternehmen die finanziellen Mittel fehlten und es sich weigerte, die Hacker zu bezahlen, blieb ihm keine andere Wahl, als den Betrieb einzustellen.
Angesichts solcher Tragödien müssen Unternehmen Ressourcen in den Umgang mit den wachsenden Kundendaten und in robuste Cybersicherheitsmaßnahmen investieren, um diese sensiblen Daten zu schützen. Trotz einer geringfügigen Zunahme der Angriffshäufigkeit haben Angreifer auch raffinierte Kampagnen inszeniert, indem sie legitime Tools für kriminelle Zwecke missbrauchen. Zu den jüngsten Beispielen gehören die Nutzung von KI-Modellen wie ChatGPT zur Codegenerierung, die Trojanisierung von Software wie der 3CXDesktop-App für Angriffe auf die Lieferkette und die Ausnutzung kritischer Schwachstellen wie der nicht autorisierten RCE-Schwachstelle im "Microsoft Message Queuing"-Dienst (MSMQ).
Selbstzufriedenheit ist keine Option, und Chief Information Security Officers (CISOs) müssen der Entwicklung und Umsetzung einer Sicherheitsstrategie, die blinde Flecken und Schwachstellen in ihrer gesamten digitalen Infrastruktur beseitigt, Priorität einräumen. Dazu gehört auch die Minderung von Risiken, die sich aus Schatten-IT-Entwicklungsumgebungen, Schwachstellen beim Fernzugriff oder potenziellen E-Mail-Vektoren ergeben, die für Sicherheitsverletzungen ausgenutzt werden könnten.
Die Statistiken für das erste Quartal 2023 zeigen einen Anstieg der durchschnittlichen wöchentlichen Angriffe um 7 % im Vergleich zum entsprechenden Zeitraum des Vorjahres, wobei jedes Unternehmen im Durchschnitt 1.248 Angriffen pro Woche ausgesetzt war.
In diesem Zeitraum war der Bildungs- und Forschungssektor mit durchschnittlich 2.507 Angriffen pro Organisation und Woche am stärksten betroffen - ein Anstieg um 15 % gegenüber Q1 2022. In den Sektoren Regierung, Militär und Gesundheitswesen gab es 1.725 bzw. 1.684 Angriffe pro Woche, was einen anhaltenden Trend zu Cyberbedrohungen für diese wichtigen Regierungssektoren zeigt.
Trotz anhaltender Herausforderungen kämpfen Einrichtungen im Bildungs- und Forschungssektor weiterhin mit der Sicherung ausgedehnter Netzwerke und Zugangspunkte, insbesondere beim Übergang zum Fernunterricht - ein Thema, das die Cybersicherheit in diesem Sektor weiterhin stark belastet.
Mittlerweile klingt es wie eine uralte Geschichte: Hacker haben es gezielt auf Krankenhäuser und medizinische Einrichtungen abgesehen und richten Chaos an, indem sie deren Systeme mit Ransomware lahmlegen. Dies unterbricht nicht nur ihre Fähigkeit, wichtige Pflege zu leisten, sondern gefährdet auch sensible Patientendaten. Obwohl die Zahl der Angriffe auf Krankenhäuser im Jahr 2021 ihren Höhepunkt erreichte, ist in den letzten drei Jahren ein Anstieg der durch Ransomware verursachten Datenschutzverletzungen zu verzeichnen. Bei diesen Verstößen wurden Daten gestohlen, was die Situation für Organisationen, die um die Aufrechterhaltung ihrer Systeme kämpfen, noch schlimmer macht.
Bei solchen Angriffen geht es nicht nur um die Reparatur der Systeme, sondern auch um die Bewältigung der Folgen. Das medizinische Personal muss ohne seine gewohnten Arbeitsmittel weiterarbeiten, was zu Unterbrechungen bei der Patientenversorgung führt. Die Behebung dieser Probleme ohne zuverlässige Backups erfordert viel Zeit und Ressourcen, und das in einem Sektor, in dem es ohnehin schon an Ressourcen mangelt.
Neben Ransomware-Angriffen gibt es auch ein häufiges menschliches Versagen, das als "Fehlzustellung" bezeichnet wird. Dies geschieht, wenn sensible Informationen, die für eine Person bestimmt sind, in den Händen einer ganz anderen Person landen. Stellen Sie sich ein Szenario vor, in dem eine private Gesundheitsakte, die für einen bestimmten Patienten bestimmt ist, an den falschen Empfänger geschickt wird. Dabei kann es sich um eine falsch geschriebene E-Mail-Adresse oder sogar um einen Fehler in der Post handeln, bei dem zu viele persönliche Informationen durch das Fenster eines Umschlags sichtbar sind. Ob es sich nun um versehentliche Datenlecks oder um Informationen handelt, die in die falschen Hände geraten sind, diese Fehler verursachen ernsthafte Probleme.
Jetzt können auch Mitarbeiter eine Bedrohung darstellen. Sie gehören zwar nicht mehr zu den drei größten Problemen, aber ihr Missbrauch von Privilegien und ihr neugieriges Herumschnüffeln stellen nach wie vor Sicherheitsbedrohungen dar. Manchmal tun sich mehrere Mitarbeiter zusammen, um Sicherheitsverletzungen zu verursachen, was für das Gesundheitswesen ein echtes Problem darstellen kann. Um solche Situationen zu vermeiden, müssen Organisationen des Gesundheitswesens genau auf potenzielle Bedrohungen und ungewöhnliche Datenzugriffsmuster achten, um die Sicherheit ihrer Systeme und der Patientendaten zu gewährleisten.
Im Februar 2023 griff die Hackergruppe Anonymous Sudan neun dänische Krankenhaus-Websites an, so dass sie offline gingen. Zuvor hatte die Gruppe ähnliche Angriffe auf dänische und schwedische Flughäfen gestartet. Infolge dieses Angriffs fielen die Website-Dienste in der Hauptstadtregion Kopenhagen vier Stunden lang aus.
Trotz seines Namens steht Anonymous Sudan nicht in Verbindung mit der seit langem bestehenden Gruppe Anonymous. Ihre Hauptmethode sind DDoS-Angriffe, bei denen die Website oder Webinfrastruktur einer Organisation mit einer überwältigenden Menge an bösartigem Datenverkehr überflutet wird. Dieser Datenverkehr kann dazu führen, dass eine Website abgeschaltet wird, so dass legitime Nutzer nicht mehr darauf zugreifen können.
Während die Gruppe später behauptete, ihre Angriffe seien eine Reaktion auf die Koranverbrennungen in Dänemark und Schweden gewesen, lassen Berichte des Cybersicherheitsunternehmens TrueSec auf enge Verbindungen zur russischen Regierung schließen. Im zweiten Quartal 2023 arbeitete die Gruppe bei weiteren Angriffen mit der pro-russischen Hackergruppe Killnet zusammen.
Im Gegensatz zu vielen anderen Angriffsgruppen weisen Untersuchungen darauf hin, dass Anonymous Sudan für seine Angriffe kein Botnetz aus infizierten persönlichen und IoT-Geräten verwendet. Stattdessen setzen sie für ihre Angriffe eine Gruppe gemieteter Server ein, die in der Lage sind, einen höheren Datenverkehr als persönliche Geräte zu erzeugen. Die finanziellen Möglichkeiten, diese Server zu mieten, lassen einige Forscher zweifeln, ob die Gruppe wirklich die Hacktivisten von der Basis repräsentiert, die sie zu sein vorgibt.
Die Finanzbranche ist ein wahrer Jackpot für Cyberkriminelle. Banken verfügen nicht nur über viel Bargeld, sondern verwalten auch sensible Kundendaten und haben Zugang zu diesen. Cyberkriminelle verfügen über eine Vielzahl von Tricks, um Banken und andere Finanzinstitute zu schädigen, z. B. Phishing, Ransomware und raffinierte Social-Engineering-Betrügereien.
Und da alles, was mit Geld zu tun hat, immer digitaler wird, eröffnen sich für diese Hacker neue Möglichkeiten. Mobiles Banking, digitaler Zahlungsverkehr - all das sind neue Angriffsflächen und erhöhen das Risiko von Problemen. Von Malware für mobile Geräte über die Übernahme von Online-Konten bis hin zu gefälschten Transaktionen - die Liste der Möglichkeiten ist lang.
Die Cybersicherheit im Finanzsektor muss so ernst genommen werden, wie einige ihrer Vertreter aussehen: Multi-Faktor-Authentifizierung, regelmäßige Software- und Sicherheitsupdates sowie häufige Mitarbeiterschulungen sind unerlässlich und Standard.
Aber warum sollte man sich anstrengen, wenn man mit wenig Aufwand manchmal sehr weit kommt? Man würde sich wundern, wie oft sich Hacker einfach mit roher Gewalt einen Weg in ein Netzwerk bahnen oder Passwörter verwenden, die sie von anderen Datenschutzverletzungen kennen. Diese einfachen Angriffe sind für die Bösewichte sogar ziemlich erfolgreich. Die nicht so komplexen Basic Web Application Attacks-Muster scheinen für Cyberkriminelle gut zu funktionieren, da sie in dieser Branche am häufigsten vorkommen.
Andere Angriffsmuster sind Fehlauslieferungen, bei denen Daten an die falsche Person geschickt werden - sei es ein Brief oder eine E-Mail, die im falschen Posteingang landet.
Interessanterweise ist Ransomware im Finanzbereich heutzutage nicht mehr so beliebt, und der Anteil der Systemeinbrüche ist von 27 % auf 14 % im Jahr 2023 gesunken. Vielleicht liegt es daran, dass die Hacker die Ärmel hochkrempeln und sich wirklich anstrengen müssen, während andere, einfachere Angriffe ein besseres Kosten-Nutzen-Verhältnis zu haben scheinen. Nichtsdestotrotz bereiten Ransomware-Angriffe weiterhin Kopfzerbrechen.
Eine Anfang Juli 2023 aufgedeckte Datenpanne bei mehreren Finanzdienstleistern ist größer als bisher angenommen. Neben der Deutschen Bank und der Postbank, die bereits den unbefugten Zugriff auf sensible Kundendaten eingeräumt hatten, waren auch weitere Finanzinstitute betroffen: Sowohl die ING als auch die zur Commerzbank gehörende Comdirect arbeiteten mit dem Dienstleister Kontowechsel24.de zusammen.
Die Firma Majorel, zu der auch Kontowechsel24.de gehört, nannte eine Sicherheitslücke in ihrer Software MOVEit als Ursache für die Datenpanne. Während die genaue Anzahl der betroffenen Kunden nicht genannt werden konnte, wurde angegeben, dass die gestohlenen Daten aus Kundennamen und internationalen Bankkontoinformationen bestanden.
Es ist nach wie vor unklar, wer für die Datenschutzverletzung verantwortlich ist.
Da die Produktion immer technologielastiger und vernetzter wird, werden sie zu höchst interessanten Zielen für Cyberangriffe. Fertigungsunternehmen sind mit allen möglichen Gefahren konfrontiert, z. B. Unterbrechungen der Lieferkette, Spionage von geistigem Eigentum und dem Klassiker - Ransomware-Angriffe. Bei etwa 67 % der Vorfälle in diesem Sektor handelt es sich jedoch um Denial-of-Service-Angriffe, und diese Zahl steigt seit einiger Zeit an.
Hacker können ganze Lieferketten in Geiselhaft nehmen, indem sie sich in deren Systeme einschleichen, oder sie sind in der Lage, geistiges Eigentum zu stehlen, um es für ihre eigenen Zwecke zu nutzen oder es einfach weiterzuverkaufen.
Ransomware-Angriffe sind auf dem Vormarsch, denn sie können ganze Produktionslinien stören und sogar die Lieferketten beeinträchtigen. Diese Kopfschmerzen können diese Unternehmen enorme Einnahmen und darüber hinaus ihren guten Ruf kosten.
Cyberkriminelle wissen, wie wichtig die Industrie ist und dass unser tägliches Leben von bestimmten Lieferketten abhängt. Sie sehen in der Ausnutzung dieses Sektors eine große Chance, Geld zu verdienen. Daher sind finanziell motivierte externe Akteure immer noch das größte Problem für diese Branche.
Zusammengefasst: Wenn wir uns die Welt der Hersteller genauer ansehen, ist klar, dass Hacking und Malware die Hauptakteure sind. Auch soziale Angriffe sind mit von der Partie. Ransomware, die bei Systemverletzungen für viel Chaos sorgt, schleicht sich in dieser Branche langsam ein.
Im Oktober 2023 wurde Röhr+ Stolberg, Deutschlands führender Hersteller von Walzblei und Bleiwolle, Opfer eines Ransomware-Angriffs, wie das Unternehmen mitteilte. Der Vorfall führte zu erheblichen Störungen des Betriebs und erschwerte die Kommunikation mit Kunden und Lieferanten, da alle Server abgeschaltet werden mussten.
Das Unternehmen teilte am 30. Oktober 2023 mit, dass alle Server nach einer Woche erfolgreich neu gestartet wurden, so dass die Kommunikation über sichere Kanäle wie Telefon und andere Geräte, die nicht mit den betroffenen Netzwerkteilen verbunden waren, gewährleistet ist.
Röhr+ Stolberg schloss nicht aus, dass Cyberkriminelle die Daten des Unternehmens gestohlen haben könnten. Der Vorfall und seine Folgen führten jedoch zu einer schwerwiegenden Unterbrechung der Geschäftsabläufe des Unternehmens.
Die Regierung ist eine wahre Schatztruhe für alle Arten von sensiblen Informationen. Daher ist es nicht verwunderlich, dass in diesem Sektor spionagebedingte Angriffe stets zu den häufigsten gehören. Ob es nun externe, interne oder beide Akteure sind, die zusammenarbeiten, um Daten zu stehlen, und die Angriffe werden oft von Nationalstaaten oder staatlich geförderten Gruppen durchgeführt.
Insider-Bedrohungen, ob absichtlich oder versehentlich, wie z. B. die versehentliche Weiterleitung sensibler Informationen an den falschen Empfänger durch einen Regierungsmitarbeiter, stellen ebenfalls ein großes Problem für den öffentlichen Sektor dar. Unterschätzen Sie nicht die Rolle von Social-Engineering-Angriffen wie Phishing- oder Spear-Phishing-Angriffen, denn auch Behördenmitarbeiter sind in erheblichem Umfang mit diesen Angriffen konfrontiert.
Und was noch schlimmer ist? Manchmal tun sich diese Hacker mit unglücklichen Insidern zusammen. Die gute Nachricht ist, dass diese internen Bedrohungsakteure im Jahr 2019 ihren Höhepunkt erreicht haben und seitdem leicht rückläufig sind. Aber wenn man diese Spionage-Insider frühzeitig erwischt, kann man sich eine Menge Ärger ersparen.
Ransomware, die nach dem Muster des Systemeinbruchs eingesetzt wird, ist nach wie vor eine der beliebtesten Methoden für Cyberkriminelle, um Störungen zu verursachen und Geld zu verdienen. Die Daten deuten jedoch darauf hin, dass sie aufgrund ihres leichten Rückgangs weniger beliebt sein könnte.
Bei der Betrachtung des Bildungssektors ist eine Verschiebung bei den drei wichtigsten Mustern festzustellen. Die üblichen Fehler, wie das Senden von Informationen an die falsche Stelle und andere Fehler, haben leicht zugenommen. Social Engineering hat von 14 % (2022) auf 21 % (2023) zugenommen, insbesondere Phishing, das bei 18 % der Sicherheitsverletzungen auftrat. Hacking und Malware spielen mit 80 % aller Sicherheitsverletzungen eine große Rolle, wobei Ransomware fast ein Drittel aller Sicherheitsverletzungen in diesem Bereich ausmacht.
Was für den Bildungssektor gleich bleibt, ist, dass finanziell motivierte Externe sowie spionierende Nationalstaaten die am meisten interessierten Bedrohungsakteure sind und personenbezogene Daten weiterhin die am häufigsten gestohlene Datenart sind.
Im August 2023 wurden an fünf Schulen in Süddänemark nach einem umfassenden Hackerangriff durch die Gruppe Rhysida sensible persönliche Daten von Schülern und Lehrern veröffentlicht. Der Angriff erfolgte, nachdem ein Schüler am 27. August einen infizierten Computer an das Schulnetz angeschlossen hatte.
Der Vorfall wurde am 31. August entdeckt, als die Hacker das Netzwerk verschlüsselt hatten und das Schulpersonal nicht mehr darauf zugreifen konnte. Am 22. September wurde bekannt, dass die Hackergruppe auf große Datenmengen zugegriffen hatte, darunter CPR-Nummern (dänische persönliche Identifikationsnummern) und Telefonnummern, von denen einige Minderjährigen gehörten.
Einigen Experten zufolge war der Angriff einer der schwersten Fälle in Dänemark. Die Hacker forderten ein Lösegeld von 5 Bitcoins, was 1 Million DKK entspricht.
In der Entwicklungsabteilung von Muninn trifft Innovation auf Cybersicherheit. Unser vielseitiges Team aus Software-Ingenieuren und Netzwerkspezialisten arbeitet unermüdlich daran, die Netzwerke und digitalen Werte unserer Kunden zu schützen. Neugierde und kontinuierliche Verbesserung sind unser Mantra, denn wir glauben, dass es die Menschen sind, die die Innovation vorantreiben.
Abonnieren Sie unseren Newsletter, um neue Beiträge direkt in Ihrem Posteingang zu erhalten