Cyberbedrohungen sind eine Bedrohung für jede Art von Organisation. Von Kleinstunternehmen über Großkonzerne bis hin zu Regierungen mit umfangreichen Cybersicherheitsteams ist keine Organisation vor ihnen sicher. Die Folgen dieser Angriffe sind vielfältig und reichen von Datenschutzverletzungen, die zur Gefährdung oder zum Diebstahl vertraulicher Informationen führen, bis hin zu Systemen, die durch Ransomware lahmgelegt werden, die kritische Informationen verschlüsselt und somit unzugänglich macht.
Was sind Cyberbedrohungen?
Eine Cyberbedrohung oder Cybersicherheitsbedrohung ist ein Angriff auf digitale Systeme. Cyberbedrohungen, die durch Schadsoftware und die Ausnutzung von Technologien gekennzeichnet sind, verfolgen unterschiedliche Ziele. In manchen Fällen sind die Ziele finanzieller Natur, in anderen ideologisch motiviert.
Unabhängig von der konkreten Motivation einer Cyberbedrohung werden digitale Systeme gefährdet und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten (die CIA-Triade) beeinträchtigt. Nach einer erfolgreichen Cyberbedrohungskampagne müssen sich Unternehmen mit den Folgen von Verstößen gegen Datensicherheit und Datenschutz auseinandersetzen.
Was ist die Cybersecurity & Infrastructure Security Agency?
Die Cybersecurity and Infrastructure Security Agency (CISA) ist eine Gruppe innerhalb des Heimatschutzministeriums (DHS), die für das Verständnis, Management und die Minderung von Cyber- und kritischen Infrastruktur-Sicherheitsrisiken sowie für die Gewährleistung der Widerstandsfähigkeit im Falle eines Vorfalls verantwortlich ist. Zur Unterstützung staatlicher und privater Organisationen werden regelmäßig aktuelle Informationen über schwerwiegende Sicherheitsrisiken und Analysen neuer Cyberbedrohungen veröffentlicht.
Zu den Ressourcen, die CISA öffentlich zugänglich macht, gehören Tools und Lehrmaterial, darunter:
- Warnungen und Hinweise
- Best Practices und Richtlinien zur Sicherung von Netzwerken
- Erkennung, Reaktion und Prävention von Vorfällen
- Informationsaustausch mit Partnern auf der ganzen Welt
- Informationen zu Malware, Phishing und Ransomware
- Updates zu Advanced Persistent Threats und staatlichen Cyberbedrohungsakteuren
Arten von Cyberbedrohungen
Advanced Persistent Threats (APTs)
Advanced Persistent Threats (APTs) nutzen fortschrittliche Techniken, um komplexe Cyberangriffe über lange Zeiträume auszuführen. Hinter APTs stehen in der Regel Staaten und organisierte Cybercrime-Syndikate.
Übernahme von Unternehmenskonten (CATO)
Die Cyberbedrohung CATO zielt auf Unternehmen ab. Cyberkriminelle geben sich als autorisierte Vertreter eines Unternehmens aus und veranlassen Finanzinstitute, nicht autorisierte Überweisungen und ACH-Transaktionen durchzuführen.
Distributed-Denial-of-Service-Angriffe (DDoS)
DDoS-Angriffe können ein Netzwerk durch die Überflutung mit Junk-Anfragen von Botnetzen stören oder sogar komplett lahmlegen. Dies verlangsamt den Datenverkehr entweder drastisch oder verhindert die Erfüllung legitimer Anfragen. Es gibt verschiedene DDoS-Angriffstechniken, darunter:
- HTTP flood DDoS– Junk-Hypertext-Transfer-Protocol-Anfragen werden verwendet, um Systeme zu überlasten
- ICMP-Flut– eine Flut von Internet Control Message Protocol Echo Request-Paketen wird gesendet, wodurch übermäßig viel eingehende und ausgehende Bandbreite verbraucht wird.
- NTP-Verstärkung– große Mengen an User Datagram Protocol (UDP)-Verkehr werden an die Network Time Protocol (NTP)-Server der Zielserver gesendet, um diese zu überlasten
- SYN-Flood-DDoS– nutzt die Synchronisierungsanforderung (SYN) und die SYN-ACK-Sequenz aus, indem eine Flut von SYN-Anforderungen gesendet und nicht auf SYN-ACK geantwortet wird.
- UDP-Flood-DDoS– überlastet Remote-Host-Ressourcen durch das Senden einer Flut von UDP-Paketen an zufällig ausgewählte Ports
Injektionsattacken
Injektionsangriffe fügen Schadcode ein, um Systeme, Dienste und Anwendungen zu kompromittieren. Zu den für Injektionsangriffe genutzten Vektoren gehören:
- Code-Injektion
- Cross-Site-Scripting (XSS)
- Lightweight Directory Access Protocol (LDAP)-Injektion
- Befehlseinschleusung für das Betriebssystem (OS)
- SQL-Injektion (Structured Query Language)
- Extensible Markup Language (XML)-Injektion externer Entitäten (XXE).
Schwachstellen im Internet der Dinge (IoT)
IoT-Geräte sind bekanntermaßen anfällig für Cyberbedrohungen und ein regelmäßiges Ziel dieser. Die Menge und Verbreitung von IoT-Geräten macht es schwierig, ihre Anwesenheit zu verfolgen, und es ist nahezu unmöglich, Patches auf bekannte Schwachstellen anzuwenden.
Malware-Angriffe (bösartige Software).
Malware ist Software, die darauf ausgelegt ist, Schadprogramme auf Geräten und Netzwerken auszuführen, einschließlich der Exfiltrierung von Daten, der Beschädigung von Dateien, der Übernahme der Kontrolle über Systeme, der Ausführung von Ransomware sowie der Verbreitung von Würmern und Viren. Dies ist die häufigste Art von Cyberbedrohung.
Cyberkriminelle nutzen unterschiedliche Taktiken, um Malware einzusetzen, die von der Art abhängt. Beispiele für die vielen Arten von Malware sind:
- Adware verfolgt die Surfaktivitäten der Benutzer, um Daten zu Verhaltensmustern und Interessen zu sammeln. Im Gegensatz zu Spyware wird Adware nicht auf den Geräten des Benutzers installiert und ist nicht immer bösartig. Cookies, die von legitimen Vermarktern verwendet werden, sind eine Form von Adware, aber vor der Erfassung der Informationen wird die Einwilligung des Benutzers erteilt, um seine Privatsphäre nicht zu gefährden.
- Dateilose Malware bearbeitet native Systemdateien (z. B. Windows Management Instrumentation (WMI) und PowerShell), anstatt Software auf einem Betriebssystem zu installieren. Durch die Änderungen werden die nativen Dateien verändert, sodass sie das Zielsystem infizieren und schädliche Aufgaben ausführen können. Dateilose Malware ist schwer zu erkennen, da sie in legitime Software eingebettet ist.
- KeyloggerKeylogger-Malware ist eine Art Spyware, die jeden Tastendruck eines Benutzers aufzeichnet. Es wird verwendet, um vertrauliche Informationen wie Anmeldeinformationen und andere persönlich identifizierbare Informationen (PII) zu erfassen.
- Ransomware ist eine Art von Malware, die über Anhänge verbreitet oder als legitimer Link oder App getarnt wird. Sobald es aktiviert ist, verbreitet es sich schnell und verschlüsselt Systeme, sodass sie unbrauchbar werden. Anschließend wird eine Lösegeldnachricht verschickt, in der eine Zahlung für die Entschlüsselung der Systeme verlangt wird. Ransomware gilt aufgrund des möglichen Ausmaßes ihrer Auswirkungen als die gefährlichste Art von Cyberbedrohung. Es ist auch sehr gut zugänglich. Ransomware-Angriffe nutzen häufig Ransomware-as-a-Service, was sie für Cyberkriminelle zugänglich macht, die nicht über die Fähigkeiten oder Ressourcen verfügen, um raffinierte Cyberbedrohungen zu starten.
- RootkitsRootkits sind Sammlungen schädlicher Software, die dazu dienen, ein Gerät zu übernehmen und weitere Schadsoftware zu verbreiten. Sie sind in der Regel tief eingebettet und daher schwer zu identifizieren und zu entfernen.
- Spyware wird verwendet, um unbefugten Zugriff auf Systeme (z. B. Browser, Anwendungen, Mobilgeräte und Workstations) zu erlangen. Sie versteckt sich im Hintergrund und sammelt vertrauliche Informationen wie Passwörter, Kontonummern und andere personenbezogene Daten. Die Spyware sammelt Informationen vom verbundenen Host und exportiert sie an die Cyberangreifer.
- Trojaner sind in Anwendungen und Anhängen eingebettet und geben sich als legitime Programme aus. Nach dem Download kann der Trojaner die Kontrolle über das System erlangen, Hintertüren erstellen, auf Informationen zugreifen oder Angriffe ermöglichen. Im Gegensatz zu Würmern oder Viren können sich Trojaner nicht replizieren.
- Viren sind Codefragmente, die sich in eine Anwendung einschleusen und dort schädliche Aktionen ausführen. Diese Art von Cyberbedrohung verbreitet sich schnell, da sie sich an legitime Dateien anheftet und sich über Netzwerke verbreitet. Bei der Ausführung führt sie schädliche Aktionen aus.
- Wiper sind eine Art von Schadsoftware, die den Zugriff auf Daten löscht oder zerstört. Diese Art von Bedrohung wird normalerweise von staatlichen Bedrohungsakteuren, böswilligen Insidern oder Hacktivisten eingesetzt, die in einem Unternehmen Zerstörung und Störungen anrichten wollen.
- Würmer sind Cyberbedrohungen, die Software-Schwachstellen und Hintertüren ausnutzen, um Zugriff auf ein Betriebssystem zu erhalten. Würmer können ganze Gerätenetzwerke infizieren und diese als Ausgangspunkt für Angriffe wie Distributed Denial of Service (DDoS) nutzen.
Man-in-the-Middle-Angriffe (MitMs)
Bei einem MitM-Angriff wird die Kommunikation zwischen zwei Punkten (z. B. einem Benutzer und einer Anwendung) abgefangen. Der Angreifer belauscht die Kommunikation, erbeutet vertrauliche Informationen oder manipuliert die Kommunikation in manchen Fällen.
Beispiele für MitM-Angriffe, bei denen verschiedene Ansätze verwendet werden, um Benutzer zu Betrügereien zu verleiten, die sie dazu bringen, vertrauliche Informationen preiszugeben oder Geld an den Angreifer zu überweisen, sind:
- DNS-Spoofing– Angreifer verwenden gefälschte Domänennamenserver, um Benutzer auf getarnte bösartige Websites umzuleiten
- E-Mail-Hijacking– Angreifer fälschen E-Mail-Adressen und verwenden diese, um Nachrichten zu versenden, die scheinbar von legitimen Absendern stammen.
- HTTPS-Spoofing– Angreifer verwenden das Präfix „Hypertext Transfer Protocol Secure“ (HTTPS) in einer bösartigen URL, um diese als sicher erscheinen zu lassen.
- IP-Spoofing– Angreifer fälschen IP-Adressen, um Benutzer dazu zu verleiten, eine bösartige Website aufzurufen.
- Wi-Fi -Abhören– Angreifer bauen eine betrügerische Wi-Fi-Verbindung auf und nutzen diese, um verbundene Benutzer zu überwachen und Übertragungen abzufangen
Social-Engineering-Angriffe
Social Engineering ist eine hochwirksame Cyberbedrohung, da es auf Menschen abzielt, die Fehler machen, die Maschinen nicht machen. Dieser Angriffsvektor umgeht technische Sicherheitskontrollen, indem er ahnungslose Benutzer ausnutzt und sie dazu verleitet, Zugriff oder Informationen zu gewähren.
Beispiele für Social-Engineering-Angriffe sind:
- Beim Baiting lockt der Angreifer einen Benutzer in eine Social-Engineering-Falle, normalerweise mit dem Versprechen eines attraktiven Angebots, beispielsweise eines Gratisgeschenks oder eines Geldpreises.
- PretextingPretexting ähnelt dem Baiting, allerdings übt der Angreifer unter Vorspiegelung falscher Tatsachen Druck auf das Opfer aus, Informationen preiszugeben. Beispielsweise gibt er sich als Autoritätsperson aus (z. B. ein IRS-Agent oder Polizist), um das Opfer dazu zu bringen, auf den Betrug hereinzufallen.
- Phishing ist eine Cyberbedrohung, die E-Mails als Angriffsvektor nutzt. Es gibt verschiedene Phishing-Varianten, doch in allen Fällen enthalten die E-Mails schädliche Links oder Anhänge. Phishing-Angriffe sind nicht zielgerichtet und die E-Mails werden an große Empfängerlisten gesendet. Spear-Phishing ist eine raffiniertere Form des Phishings, bei der Nachrichten aus gefälschten E-Mails versendet werden, um den Empfängern den Eindruck zu erwecken, sie stammten von einer vertrauenswürdigen Quelle. Die Nachricht enthält oft eine personalisierte Botschaft. Whale-Phishing-E-Mails zielen auf hochrangige Personen wie CEOs ab.
- Piggybacking, auch Tailgating genannt, ist eine Cyberbedrohung für physische Einrichtungen. Beim Piggybacking schafft eine nicht autorisierte Person einen Vorwand, um einem autorisierten Benutzer in ein Gebäude, einen Raum oder einen Bereich mit Zugangsbeschränkung zu folgen. Beispiele für Tricks beim Piggybacking sind, sich als neuer Mitarbeiter ohne Dienstausweis auszugeben oder einen Haufen Kisten zu tragen und keine Hände frei zu haben, um eine Tür zu öffnen oder einen Dienstausweis vorzuzeigen.
- Smishing (SMS-Phishing) ist dasselbe wie Phishing, mit dem Unterschied, dass Cyberangreifer Textnachrichten statt E-Mails verwenden.
- Vishing (Voice Phishing) ist dasselbe wie Phishing, mit dem Unterschied, dass Cyber-Angreifer hier Telefonanrufe oder Sprachnachrichten anstelle von E-Mails verwenden.
Angriffe auf die Lieferkette
Angriffe auf die Lieferkette dienen in der Regel als Sprungbrett, um sich Zugang zu größeren Organisationen zu verschaffen. Cyberkriminelle untersuchen Drittanbieter in der Lieferkette des Zielunternehmens.
In manchen Fällen besteht das Ziel darin, eine Organisation zu finden, deren Sicherheit relativ schwach ist und die kompromittiert werden könnte, um Zugriff auf das Ziel zu erhalten.
Technologieanbieter in einer Lieferkette werden häufig mit dem Ziel angegriffen, in die Software oder Firmware einzudringen, um schädlichen Code (z. B. Viren oder Hintertüren) einzubetten, der nach der Installation beim primären Ziel ausgeführt werden kann.
Cyberbedrohungsquellen
Cyberbedrohungsakteure können Einzelpersonen oder Gruppen sein. Ihre Motivationen sind unterschiedlich, doch alle Bedrohungsakteure nutzen Schwachstellen aus, um unbefugten Zugriff auf Systeme, Daten, Anwendungen und Netzwerke zu erlangen. Die Ziele reichen von relativ harmlos (z. B. Abschöpfung von Rechenleistung oder Bloßstellung eines Unternehmens) bis sehr schwerwiegend (z. B. Exfiltration vertraulicher Informationen oder Erpressung mit Ransomware).
Cyberbedrohungsakteure unterscheiden sich auch in ihrer Raffinesse, wobei diejenigen auf den unteren Ebenen einfache, bekannte Angriffstechniken auf hoch organisierte Gruppen (z. B. Verbrechersyndikate oder staatliche Cyber-Teams) anwenden, die Zero-Day-Angriffe einsetzen. Im Folgenden sind einige der häufigsten Arten von Cyberbedrohungsakteuren aufgeführt.
Wirtschaftsspione und organisierte Cybercrime-Syndikate
Obwohl ihre spezifischen Motivationen unterschiedlich sind, sind Wirtschaftsspione und organisierte Cybercrime-Syndikate beide hochentwickelte Cyberbedrohungsakteure und stellen eine ernsthafte Gefahr für die von ihnen angegriffenen Organisationen dar. Beide verfügen über die notwendige Technologie und die Ressourcen, um groß angelegte, koordinierte Angriffe durchzuführen, die selbst die robustesten Sicherheitssysteme kompromittieren können.
Wirtschaftsspione versuchen in der Regel, Geschäftsgeheimnisse oder andere geschützte Informationen (z. B. Verkaufs- und Kundendaten oder Produkteinführungspläne) zu stehlen. Dabei konzentrieren sie sich meist auf eine einzelne Organisation oder kleine Gruppe.
Organisierte Cybercrime-Syndikate konzentrieren sich in der Regel auf gewinnbringende Diebstähle, wie den Diebstahl vertraulicher Informationen, die von der Gruppe genutzt oder verkauft werden können, sowie auf Gelddiebstahl oder die Durchführung von Ransomware-Angriffen zur Erpressung. Die Cyberbedrohungen durch organisierte Cybercrime-Syndikate sind in der Regel weitreichend und zielen mit Malware und Social-Engineering-Angriffen auf viele Organisationen ab.
Nationalstaaten
Staatliche Cyberbedrohungsakteure sind feindselige Länder, die aus verschiedenen Gründen Cyberangriffe auf Institutionen und Organisationen anderer Regierungen starten, um ihre geopolitischen Ziele voranzutreiben. Diese Angriffe verfolgen verschiedene Ziele, darunter den Diebstahl von Geld oder vertraulichen Informationen, die Verursachung von Störungen und Unruhen, die Unterbrechung der Kommunikation und die Verursachung von Schäden.
Wie Wirtschaftsspione und organisierte Cybercrime-Organisationen sind auch staatliche Bedrohungsakteure hochentwickelt und in der Lage, groß angelegte Angriffe durchzuführen. Sie gelten als die größten Risiken, da sie in der Regel die ausgefeiltsten Cyberangriffe durchführen und über die Ressourcen verfügen, Angriffe zu planen und durchzuführen, die jahrelang andauern können.
Diese Gruppen verfügen über dedizierte Ressourcen und Personal für die Durchführung ihrer Programme und beauftragen häufig staatlich geförderte Cyberbedrohungsakteure mit deren Durchführung oder Unterstützung. Staatliche Bedrohungsakteure gelten als Urheber zahlreicher Advanced Persistent Threats und der Schaffung unzähliger Botnetze (d. h. Gruppen von Computern, die mit Malware infiziert sind und zur Unterstützung von Angriffen eingesetzt werden).
Terroristische Organisationen
Terroristen sind besonders furchteinflößend für Cyberkriminelle, da ihre Ziele verheerend sein können. Manchmal wollen sie einfach nur Geld oder vertrauliche Informationen stehlen, um sie zu verkaufen.
Sie führen Cyberangriffe jedoch auch mit der ausdrücklichen Absicht durch, katastrophalen Schaden zu verursachen, beispielsweise körperliche Schäden an ihren Zielen zu verursachen, wirtschaftliche Störungen herbeizuführen, kritische Infrastrukturen zu zerstören, Desinformationen zu verbreiten oder die nationale Sicherheit zu gefährden. Die Raffinesse terroristischer Cyberbedrohungsakteure variiert stark, ihre Absichten sind jedoch stets böswillig.
Hacker
Personen, die eine Cyberbedrohung darstellen, fallen in die Kategorie der Hacker. Sie greifen Organisationen mit verschiedenen Angriffstechniken an, die in der Regel nicht besonders ausgefeilt sind, aber effektiv sein können, insbesondere wenn es sich um böswillige Insider handelt.
Hacker nutzen für ihre Verbrechen in der Regel vorhandene Cyberbedrohungsvektoren. Die Motivationen von Hackern reichen von der Verbesserung des persönlichen Status über Rache bis hin zu finanziellem Gewinn.
Böswillige Insider
Böswillige Insider stellen aufgrund ihrer Kenntnisse über ein Unternehmen eine besonders große Cyberbedrohung dar. Je nach ihrer Rolle kann eine Cyberbedrohung durch einen böswilligen Insider verheerend sein (z. B. wenn ein IT-Sicherheitsadministrator zum böswilligen Insider wird).
Die Motive böswilliger Insider reichen von Rache bis hin zu finanziellem Gewinn. Häufig sind böswillige Insider verärgert oder wurden von einem organisierten Cybercrime-Syndikat kompromittiert.
Hacktivisten
Hacktivisten arbeiten einzeln als Hacker und auch in Gruppen. Ihre Cyberbedrohungen zielen darauf ab, ideologisch motivierte Ziele zu verfolgen.
Wie bei Hackern sind auch die Taktiken von Hacktivisten in der Regel nicht sehr ausgefeilt, können aber effektiv sein und nutzen in der Regel vorhandene Angriffsmethoden. Hacktivistische Cyberbedrohungen zielen im Allgemeinen auf Organisationen oder Regierungsbehörden ab, um ein Zeichen zu setzen, den Ruf zu schädigen oder Dienstleistungen zu stören.
Naturkatastrophen
Mutter Natur stellt eine Cyberbedrohung dar, der große Aufmerksamkeit geschenkt werden muss. Naturkatastrophen wie Stürme oder Erdbeben können erhebliche Störungen der IT-Infrastruktur verursachen.
Zufällige Insider
Auch wenn sie keine Schädigung beabsichtigen, können unbeabsichtigte Insider Schaden anrichten. Dabei handelt es sich um autorisierte Benutzer, die versehentlich vertrauliche Informationen preisgeben oder auf Social-Engineering-Betrug hereinfallen, der Angreifern Zugriff auf Netzwerke oder andere Systeme gewährt.
Fehler
Eine weitere Form unbeabsichtigter Bedrohungen sind Fehler. Dabei kann es sich um alles Mögliche handeln, von offenen Ports bis hin zu Fehlkonfigurationen.
Mindern Sie Cyberbedrohungen mit einem ganzheitlichen Ansatz
Cyberbedrohungen zielen typischerweise auf Organisationen mit mehreren Vektoren ab und suchen nach dem schnellsten und einfachsten Zugangspunkt. Um die Risiken effektiv zu minimieren, müssen Cybersicherheitsprogramme einen ganzheitlichen Ansatz verfolgen, der alle Benutzer einbezieht.
Robuste Sicherheitssysteme und Rahmenkonzepte zur Bedrohungsabwehr sollten durch umfassende, regelmäßige Schulungen zum Sicherheitsbewusstsein ergänzt werden. Cybersicherheit muss eine unternehmensweite Initiative sein, bei der alle Benutzer verstehen, welche Angriffsziele Cyberbedrohungen für sie darstellen und wie sie sich davor schützen können (z. B. Social-Engineering-Angriffe und Versuche, sich unbefugten physischen Zugang zu Einrichtungen zu verschaffen).