Alarmierende Zunahme politisch motivierter Cyber-Attacken
Symantec-Studie
Alarmierende Zunahme politisch motivierter Cyber-Attacken
26.04.2017 , München, Symantec
Jährlicher Sicherheitsreport zeigt, wie einfache Methoden bisher beispiellose Folgen haben
Mit politisch motivierten Attacken und neuen Angriffstypen hat Cyberkriminalität im vergangenen Jahr ein bisher ungekanntes Ausmaß erreicht. Das zeigt die 22. Auflage des Internet Security Threat Report von Symantec, die heute veröffentlicht wird.
Eine von 131 E-Mails enthielt bösartige Links oder Anhänge – höchster Wert der letzten fünf Jahre. In Deutschland ist sogar 1 von 94 E-Mails betroffen.
Ransomware um 36 Prozent gestiegen, meiste Opfer in den USA – dort bezahlen 64 Prozent der Betroffenen die Lösegeldforderung. In Deutschland sind es nur 16 Prozent.
CIOs haben keinen Überblick, wie viele Cloud-basierte Programme im Unternehmen verwendet werden – bei Befragung geben die meisten nicht mehr als 40 an, in der Realität sind es beinahe 1.000.
München, 26. April 2017 – Cyberkriminelle haben 2016 mit ihren Aktivitäten eine neue Dimension erreicht. Außergewöhnliche Angriffe wie millionenschwere virtuelle Banküberfälle oder die offenkundig staatlich-induzierten Versuche, den US-Wahlkampf zu beeinflussen, stechen besonders hervor. Das zeigt die 22. Auflage des Internet Security Threat Report (ISTR) von Symantec (NASDAQ: SYMC). Der jährlich erscheinende Bericht bietet einen umfassenden Überblick über die weltweite Bedrohungslandschaft. Er gibt zudem ausführliche Einblicke in globale Angriffsaktivitäten, Trends im Bereich Cyberkriminalität und die Motivation der Angreifer.
„Einfallsreichtum und Raffinesse bestimmen seit jeher die Bedrohungslandschaft. Dieses Jahr aber konnten wir einschneidende Veränderungen bei der Motivation und Ausrichtung der Attacken feststellen“, sagt Candid Wüest, Principal Threat Researcher bei Symantec. „Die Welt wurde Zeuge, wie einige Staaten ihre Bemühungen, politische Prozesse zu manipulieren und Sabotageaktionen durchzuführen, verdoppelt haben. Gleichzeit konnten Cyberkriminelle mit Cloud-Services und simplen IT-Werkzeugen Störungen in bislang unbekanntem Ausmaß verursachen.“
Einige der wichtigsten Ergebnisse im Überblick:
Angriffe mit dem Ziel der Sabotage und politischer Einflussnahme führend
Cyberkriminelle führen vermehrt verheerende, politisch motivierte Angriffe durch, um einer neuen Art von Zielen zu schaden. Die Cyberattacken gegen die Demokratische Partei in den USA und die anschließende Veröffentlichung gestohlener Informationen stehen stellvertretend für den neuen Trend: Kriminelle greifen offenkundig öffentlich wahrnehmbar Organisationen und Staaten an, um diese zu destabilisieren. Cyberattacken mit dem Ziel der Sabotage waren in der Vergangenheit relativ selten. Die als erfolgreich empfundenen Attacken wie bei den US-Wahlen und im Fall von Shamoon weisen nun hingegen auf die zunehmenden Versuche Krimineller hin, politische Vorgänge zu beeinflussen und in anderen Ländern Unruhe zu stiften.
Staaten haben es auf große Beute abgesehen
Eine neue Art von Angreifern hat es auf große finanzielle Gewinne abgesehen, um mit diesen dann möglicherweise weitere verdeckte und subversive Aktivitäten zu finanzieren. Die größten Diebstähle passieren inzwischen virtuell, Cyberkriminelle stehlen dabei Milliarden. Während einige dieser Angriffe auf das Konto organisierter, krimineller Gruppierungen gehen, scheinen nun zum ersten Mal auch Nationalstaaten involviert zu sein. Symantec hat Belege, die Nordkorea mit Attacken auf Banken in Bangladesh, Vietnam, Ecuador und Polen in Verbindung bringen. „Bei diesem Fall handelt es sich um einen unglaublich dreisten Angriff. Zugleich war es das erste Mal, dass wir deutliche Hinweise hatten, dass staatliche Stellen an Cyberangriffen beteiligt waren, allein um sich zu bereichern“, erklärt Candid Wüest. „Die Angreifer haben mindestens 94 Millionen US-Dollar erbeutet, im Visier hatten sie aber noch wesentlich größere Summen.“
Angreifer machen gewöhnliche Software zur Waffe – E-Mail wird zum Mittel der Wahl
Im vergangenen Jahr wurden nach Recherchen von Symantec auch PowerShell – eine geläufige, auf PCs installierte Skriptsprache – und Microsoft Office-Dateien verstärkt für Angriffe genutzt. Während Systemadministratoren diese Tools häufig für ihre täglichen Aufgaben nutzen, verwenden Angreifer diese Kombination verstärkt für ihre kriminellen Aktivitäten, da sie schwerer zu entdecken sind und wenig Spuren hinterlassen. Durch ihre häufige Verwendung bei Angriffen waren deshalb 95 Prozent der im vergangenen Jahr von Symantec online untersuchten PowerShell-Dateien bösartig. Des Weiteren nutzten Cyberkriminelle 2016 verstärkt E-Mails als Angriffsvektor. Die Untersuchungen von Symantec haben ergeben, dass weltweit eine von 131 E-Mails bösartige Links oder Anhänge enthielt. Das ist der höchste Wert der vergangenen fünf Jahre. In Deutschland ist die Rate sogar noch höher: Hier war eine von 94 E-Mails mit einem bösartigen Link oder verseuchtem Anhang versehen. Außerdem wurden durch sogenannte Business E-Mail Compromise (BEC) Betrugsfälle über die letzten drei Jahre mehr als drei Milliarden Dollar erbeutet und dabei 400 Unternehmen pro Tag angegriffen. Für diese Art des Betrugs sind nicht mehr als sorgfältig zusammengestellte Spear-Phishing E-Mails nötig.
Digitaler Erpressung nachgeben: Amerikaner zahlen am ehesten Lösegeldforderungen
Ransomware wird immer mehr zum globalen Problem, da sie für viele Kriminelle ein lukratives Geschäft ist. Symantec hat im letzten Jahr 101 neue Malware-Familien identifiziert, dreimal so viele wie bisher bekannt. Weltweit stiegen die Ransomware-Attacken um 36 Prozent. Besonders im Visier der Angreifer sind die USA. Symantec fand dabei heraus, dass 64 Prozent der amerikanischen Opfer von Ransomware die geforderten Summen auch bezahlen, während weltweit nur 34 Prozent der Betroffenen das Lösegeld entrichten und in Deutschland sogar nur 16 Prozent. Das durchschnittlich gezahlte Lösegeld betrug im Jahr 2016 1077 US-Dollar und ist damit um 266 Prozent im Vergleich zum Vorjahr gestiegen.
Risse in der Cloud: Die nächste Ebene von Cyberkriminalität ist erreicht
Die steigende Abhängigkeit von Cloud-Services erhöht das Angriffsrisiko für Organisationen und Unternehmen. Zehntausende Cloud-basierter Datenbanken wurden 2016 mit Lösegeldforderungen gekapert, nachdem Benutzer veralteter Datenbanken diese ungeschützt und ohne notwendige Authentifizierung online zugänglich machten.
Grundsätzlich bleibt Sicherheit in der Cloud für Chief Information Officers (CIOs) eine große Herausforderung. Laut den Daten von Symantec haben viele CIOs den Überblick darüber verloren, wie viele Cloud-basierte Programme in ihrem Unternehmen genutzt werden. Die meisten vermuten, dass es innerhalb ihrer Organisation nicht mehr als vierzig Applikationen sind. Dagegen haben die Recherchen von Symantec ergeben, dass es durchschnittlich sogar beinahe tausend sind. Diese Diskrepanz führt häufig zu fehlenden Vorgaben und Verhaltensrichtlinien für den Umgang mit Cloud-Services im Unternehmen, was deren Einsatz noch riskanter macht – die „Risse“ in der Cloud werden also größer. Laut Symantec müssen sich CIOs deshalb verstärkt um Cloud-basierte Programme und deren Einsatz kümmern. Andernfalls entstehen neue Einfallstore für Bedrohungen in das IT-System des Unternehmens.
Über den Internet Security Threat Report (ISTR)
Der Internet Security Threat Report bietet einen Überblick und eine Analyse der weltweiten Bedrohungsaktivitäten eines Jahres. Der Bericht basiert auf Daten aus dem Symantec Global Intelligence Network, mit dem Analysten von Symantec neu entstehende Trends bei Angriffen, bösartigem Code, Phishing und Spam identifizieren, analysieren und kommentieren.
Symantec veranstaltet am 4. Mai 2017, 12:00 Uhr ein Webinar zu den diesjährigen Ergebnissen des ISTR.
Den vollständigen Report sowie weitere Materialien finden Sie auch auf der Website von Symantec zum Download.
Bekannte Angriffsvektoren (Teil 1): Phishing und DDoS – was steckt dahinter? – HEGO-IT
Es gibt nichts zu beschönigen, die Zahl krimineller Angriffe auf Unternehmen steigt kontinuierlich und ebenso die Schadenssummen, die durch die Cyber-Attacken verursacht werden. Letztere sogar sprunghaft: im vergangenen Jahr konnte hierbei ein Rekordwert von 223 Milliarden Euro verzeichnet werden. Problematisch mittlerweile auch, dass es nicht nur alle Branchen trifft, sondern dass in zunehmendem Maße der Mittelstand im Fokus der Angreifer steht.
Genutzt werden hierfür primär sechs Angriffsvektoren, um Unternehmen auf unterschiedliche Art und Weise zu schaden – von Wirtschaftsspionage, Sabotage bis hin zur Erpressung. Wie Angreifer dabei vorgehen, werden wir Ihnen im Rahmen der nächsten Blogbeiträge vorstellen. Im ersten Beitrag erläutert Patrizio Ziino, Prokurist bei HEGO IT, warum Cyberkriminelle ihre Phishing- und DDoS-Angriffe so erfolgreich umsetzen können.
Frage: Es heißt, Mitarbeiter stehen oftmals im Visier – wie gehen Angreifer dabei vor und was ist deren Motivation?
PZ: Bei diesen Angriffen geht es in erster Linie um das Einschleusen von intelligenter Malware – hauptsächlich über IT-Endgeräte der Mitarbeiter. Damit können die Angreifer – neben vielfältiger weiterer Schadfunktionen – Informationen auf den Endgeräten ausspähen wie beispielsweise Passwörter oder einen Zugriff auf Unternehmensnetzwerke erlangen.
Ihr Ziel erreichen die Angreifer mit relativ trivialen Methoden. Etwa durch professionelle Manipulation oder Täuschung der Mitarbeiter, dem sogenannten Social Engineering. Hier gibt es vielfältige Möglichkeiten – beispielsweise das Verwenden bekannter E-Mail-Adressen von Kollegen respektive aus dem Bekanntenkreis des anvisierten Opfers oder ein Ausnutzen von Vorlieben, die sich leicht über soziale Netzwerke ermitteln lassen. Von daher ist es sehr zu empfehlen, insgesamt bei der Herausgabe von Informationen selektiv vorzugehen, denn bereits die Abwesenheitsnotiz in einer E-Mail kann Cyberkriminellen die Grundlage für ihren Angriff liefern.
Im Endeffekt steckt hinter all dem die Absicht, einen Nutzer dazu zu verleiten, eine Handlung auszuführen. Also entweder auf den Anhang einer E-Mail zu klicken oder auf einen Link in der E-Mail, der auf eine Webseite weiterleitet, die logischerweise infiltriert ist. Die Intention dahinter ist in beiden Fällen, dadurch einen Prozess zu starten, der das Installieren einer Schadsoftware ermöglicht. Ersteres ließ sich lange Zeit erfolgreich über recht simple Phishing-E-Mails erreichen. Da diese Methode jedoch bereits sehr oft eingesetzt wurde, ist ein Großteil der Nutzer mittlerweile dahingehend mehr sensibilisiert – folglich werden die Angriffsmechanismen seitens der Cyberkriminellen sukzessive verfeinert, zum Beispiel durch noch zielgenauere Personalisierung, also unter anderem mit Spear-Phishing.
Frage: Wie können Webseiten kompromittiert werden und welches Ziel steckt dahinter?
PZ: Über die Kompromittierung von Webseiten ist es sowohl möglich, Informationen wie Zugangsdaten von Nutzern abzugreifen als auch – durch Drive-by-Downloads – Schadsoftware auf deren Endgeräte zu schleusen. Dabei spielt es den Kriminellen in die Hände, dass manche Unternehmen ihre Internetauftritte oft über mehrere Monate nicht aktualisieren. Denn dementsprechend werden auch die aktuellen Sicherheits-Updates nicht installiert. Über die bekannten Schwachstellen der überwiegend genutzten Weblog-Software ist es für Angreifer somit ein Leichtes in das Backend einer Webseite einzudringen, um dann beispielsweise Links einzufügen, die zu einer geklonten Phishing-Webseite führen. Auf diesem Wege wird es dann möglich, die gewünschten Informationen, zum Beispiel Passwörter oder Kontonummern, abzufragen. Die Implementierung einer Schadsoftware im Backend eröffnet des Weiteren auch die Option, die Endgeräte von Besuchern der Webseite zu infizieren.
Auch hier finden Cyberkriminelle immer neue Möglichkeiten, um ihre Ziele zu erreichen – aktuell werden CAPTCHAs mit Malware infiziert. Das zeigt, dass die Angreifer nicht ausschließlich auf Phishing-E-Mails setzen, um Nutzer dazu zu verleiten, auf kompromittierte Webseiten zu gehen und macht deutlich, wie wichtig es für Unternehmen ist, sich kontinuierlich mit den Angriffsvektoren auseinanderzusetzen, um ihr angemessenes Schutzniveau aufrechterhalten zu können.
Frage: Welche Absicht verfolgt ein Angreifer mit einem DDoS-Angriff – Sabotage oder Erpressung?
PZ: Im Prinzip beides – die Strategie ist jeweils absolut identisch. Für diesen Angriff wird ein IT-System – etwa ein Webserver – ganz gezielt mit einer großen Anzahl von dedizierten Anfragen überflutet, wodurch die verfügbaren Ressourcen – wie Bandbreite oder CPU – komplett ausgereizt werden, was zur Lahmlegung des attackierten IT-Systems führt. Erfolgreich realisieren lässt sich dies in der Regel unter Einsatz von Botnetzen, deren Bots die Schadfunktion „DDoS“ aktiviert haben, sowie weiteren Verstärkungsmechanismen. Dadurch ist es letztendlich möglich, zum Beispiel ganz gezielt bestimmte IT-Dienste außer Betrieb zu setzen.
Doch auch wenn die Vorgehensweise immer gleich ist, können die Motive der Cyberkriminellen sehr unterschiedlich sein: Denkbar ist, dass auf diesem Wege ein IT-Dienst – etwa das Buchungssystem für ein Konzert oder Fußballspiel – für eine definierte Zeit zum Stillstand gebracht werden soll, um so den Kartenverkauf zu verhindern, oder eben ganz allgemein einen Konkurrenten zu schädigen. Aber ebenso ist es möglich, dass der Angriff beziehungsweise eine entsprechende Androhung mit der Absicht erfolgt, ein Unternehmen zu erpressen – also um eine bestimmte Summe verlangen zu können, damit der DDoS-Angriff gestoppt oder gar nicht erst durchgeführt wird.
Frage: Besteht die Gefahr, dass die Art des Angriffs zukünftig zunehmen wird?
PZ: Ja – diese Gefahr besteht tatsächlich, das können wir auch beobachten. Allein aufgrund der stetig steigenden Anzahl von IoT-Geräten. Denn diese können sehr gut für DDoS-Attacken ausgenutzt werden, da sie meistens nur unzureichend geschützt sind. Von daher ist es für die Cyberkriminellen das reinste Kinderspiel diverse Endgeräte wie Überwachungskameras oder Smartwatches mit Malware zu infizieren und diese dann für ihre DDoS-Angriffe einzusetzen.
Das mögliche Ausmaß des Bedrohungspotentials zeigte sich bereits 2020 durch einen DDoS-Angriff von 2,3 Terabit pro Sekunde (TBit/s) auf Amazon, unter anderem mittels IoT-Botnetzen. Aus diesem Grund müssen sich Unternehmen darauf mit On-Site-Robustheitsmaßnahmen oder Off-Site-Dienstleistungsmodellen vorbereiten, um nicht auf diese Weise erpressbar zu sein.
Cyberkriminalität und ihre Auswirkungen - AHW Unternehmerkanzlei
Die Welt der Cyberkriminalität steht nicht still, ganz im Gegenteil. Sie wächst und wächst. Hacker werden immer tückischer, die Schadenssummen dabei immer größer. Hacker machen dabei vor niemandem Halt. Verbraucherinnen und Verbraucher, Unternehmen, Regierungen oder Bildungseinrichtungen, jeder könnte betroffen sein. Dabei verfolgen Internetkriminelle meist ein Ziel: Geld. In manchen Fällen können die Angriffe auch politisch motiviert sein.
Aber was genau umfasst die Kriminalität rund um die digitale Welt und wieso ist sie so lukrativ geworden? Wie können sich Unternehmen, Verbraucherinnen, Verbraucher und Co. schützen?
Was ist Cyberkriminalität?
Unter Cyberkriminalität versteht man eine kriminelle Aktivität, die einen Computer entweder als Werkzeug für eine Straftat verwendet oder als Ziel dessen dienen soll.
Mit der voranschreitenden Digitalisierung und der weltweiten Vernetzung liegt es auch in der Natur der Cyberkriminalität, dass sich diese mitverändert und sogar weiterentwickelt. Die Angriffsfläche für kriminelle Aktivitäten im digitalen Raum wird dabei immer größer.
Cyberkriminalität ist dabei geprägt vom Kauf und Verkauf von Malware. Des Weiteren werden im Darknet auch Dienstleistungen angeboten, in denen z.B. die Robustheit eines Virus getestet wird. Im Darknet finden sich Angebote über Waren, Daten und Dienstleistungen. Cyberkriminelle haben eine Hotline errichtet, an die sich andere Kriminelle wenden können, um z.B. Fehler eines illegalen Hacker-Servers zu lokalisieren und zu beheben.
Die Cyberkriminalität ist mittlerweile so strukturiert, dass sie einem unternehmerischem Geschäftsmodell ähnelt, nur das sie eben illegal ist und einen immensen Schaden für die Betroffenen anrichtet.
Diese Gerissenheit sorgt letzten Endes dafür, dass die Schadenssummen, die die Hacker anrichten, von Jahr zu Jahr exponentiell steigen. Die deutsche Wirtschaft hatte aufgrund von Cyberkriminalität einen wirtschaftlichen Schaden von mehr als 220 Milliarden Euro zu verzeichnen. Dies wiederum macht Cyberkriminalität zu einem lukrativen Geschäft für Kriminelle.
Wie viele Unternehmen sind betroffen?
Im Jahr 2019 lag die Anzahl der Opfer von Cyberkriminalität in Deutschland bei rund 17,7 Millionen. Die Dunkelziffer liegt wahrscheinlich höher. Die Statistiken sind erschreckend: Knapp 223 Milliarden Euro Schadenssumme hatten deutsche Unternehmen in den Jahren 2020 und 2021 zu verzeichnen, jedes neunte Unternehmen wurde Opfer von Cyberkriminalität.
Hauptursachen für Cyberkriminalität
Für deutsche Unternehmen haben sich ziemlich schnell zwei Hauptursachen herausgefiltert, die zu Cyberkriminalität führen. Das ist zum einen das sog. Social Engineering und das insb. pandemiebedingte Homeoffice.
Social Engineering
Unter Social Engineering versteht man eine Manipulationstechnik, die die Mitarbeitenden dazu bringt, dass vertrauliche Informationen herausgegeben werden. Diese Vorgehensweise nutzt den menschlichen Urinstinkt aus, um an sensible Unternehmensdaten zu gelangen.
Dabei genügt eine E-Mail, ein Anruf oder eine Textnachricht, in dem sich z.B. als Kollege ausgegeben wird. So gelangen die Kriminellen an Passwörter, Daten oder ins Netzwerk der betroffenen Unternehmen und können so Daten stehlen oder eine Malware installieren.
Homeoffice
Aufgrund der Covid-19 Pandemie haben viele Arbeitgeberinnen und Arbeitgeber ein hybrides Arbeiten ermöglicht. Um diese Arbeitsweise ermöglichen zu können und Zugriffsmöglichkeiten außerhalb der Betriebsstätte zu gewähren war es erforderlich, dass die Netzwerke und Cloud-Dienste umgestellt werden.
Diese Umstellung führte jedoch zu erhöhten Cyberrisiken, welche die Cyberkriminellen zu ihren Vorteilen ausgenutzt haben.
Wie schütze ich mich vor möglichen Angriffen?
Um sich umfangreich vor Cyberattacken zu schützen, sollte erst einmal das Bewusstsein dafür geschaffen werden, dass jeder ein potentielles Opfer darstellt. Anschließend empfiehlt es sich, dass Sie sich mit sämtlichen Sicherheitsregeln befassen und möglichst viele davon umsetzen.
Verwenden Sie ein Antiviren-Programm und untersuchen Sie regelmäßig Ihr System.
Erstellen Sie sichere Passwörter und verwenden Sie nie dasselbe Passwort. Es empfiehlt sich, die Passwörter in regelmäßigen Abständen zu erneuern.
Installieren Sie regelmäßig Ihre Software mit dem neusten Update. Andernfalls besteht die Gefahr, dass Cyberkriminelle bestehende Sicherheitslücken ausnutzen, um in Ihr Netzwerk zu gelangen.
Stärken Sie Ihr WLAN-Netzwerk mit einem sicheren Verschlüsselungspasswort. Ein VPN verschlüsselt den gesamten ausgehenden Datenverkehr, der über Ihre Geräte gesendet wird.
Schulen und sensibilisieren Sie auch Ihre Mitarbeitenden. Denn nur wenn man man die möglichen Gefahren kennt, kann man präventiv agieren. Hier sollte insb. an das Social Engineering erinnert werden. Überprüfen Sie eingehende Mails oder Textnachrichten und achten auf Spamnachrichten. Klicken Sie nicht auf Links, die Sie zu dubiosen Webseiten weiterleiten.
Fazit
Cyberkriminelle sind tückisch, strukturiert und richten Schäden in Milliardensummen an. Viele Unternehmen waren bereits Opfer von Cyberkriminalität. Demnach ist es äußerst wichtig, die Gefahren zu erkennen und vorbeugend Schutzmaßnahmen zu ergreifen.
Unsere IT-Spezialisten helfen Ihnen bei der Installierung und Umsetzung der Schutzmaßnahmen. Für sämtlichen Fragen rund um Cyberkriminalität und passende Schutzmaßnahmen steht Ihnen Herr Christian Arlt, Geschäftsführer der IT per E-Mail (info@ahw-digital.de) oder telefonisch unter der 02236 3982-470 zur Verfügung.
