a Randstad company
Login
GULP New Work Kompendium – Marktbarometer für Freelancer und ihre Auftraggeber
© Adobe Stock / Funtap

Erpressung im Cyberspace

25.08.2021
Susann Klossek - freie Journalistin und Autorin
Artikel teilen:

Cyberkriminelle werden zunehmend dreister und raffinierter. Vor allem Ransomware macht der globalen Wirtschaft zu schaffen und legt mitunter ganze Industriezweige lahm. Zeit für eine Verteidigungsstrategie.

Die Cyberkriminalität ist so hoch wie noch nie. In den letzten Monaten haben sich die Nachrichten zu Hackerangriffen auf Unternehmen beängstigend gehäuft. Schweizer Unternehmen wie der Pharmazulieferer Siegfried oder der Cloud Provider Swiss Cloud Providing wurden Opfer von Hackern. International wurde erst kürzlich der japanische Technologiekonzern Toshiba Opfer eines erpresserischen Hackerangriffs durch die Hackergruppe «DarkSide», die auch in Verdacht steht, das Kraftstoff-Leitungssystem von Colonial Pipeline in den USA lahmgelegt zu haben.

In der Schweiz wurden in der polizeilichen Kriminalstatistik (PKS) des Bundesamtes für Statistik (BFS) im Jahr 2020 erstmals auch Ergebnisse zu digitalen Straftaten veröffentlicht: Insgesamt wurden 24’398 Straftaten mit einer digitalen Komponente registriert.16’395 Straftaten gehen dabei auf Cyber Betrug zurück. In helvetischen Unternehmen werden von CEOs und CIOs daher auch Phishing und Social Engineering, sowie Ransom- und Malware als gefährlichste Bedrohungen wahrgenommen.

Angriffe auf Lieferketten und den Gesundheitssektor

Weltweit richtet sich mehr als ein Drittel aller Cyberangriffe gegen Industrieanlagen und IoT-Geräte. Laut dem «Global Threat Report 2021» des Security-Experten CrowdStrike machen eCrime-Angriffe 79 Prozent aller durch CrowdStrike aufgedeckten Einbrüche (per Hand-on Keyboard) aus. Ein besonders beliebter Angriffspunkt für Cyberkriminelle ist dabei die Lieferkette. Sie ermöglicht es böswilligen Akteuren, mit einer einzigen Attacke mehrere nachgelagerte Ziele zu erreichen. So kam es Ende 2020 zu einem hochentwickelten Lieferketten-Angriff, bei dem der Update-Mechanismus der IT-Verwaltungssoftware SolarWinds Orion kompromittiert wurde. Weltweit kam es bei Behörden, im Bildungswesen, bei Technologiekonzernen, Energieversorgern und im Gesundheitswesen zu Zwischenfällen aufgrund von eingeschleustem Schadcode. Seit Ausbruch der Covid-19-Pandemie wurde zudem vor allem der weltweite Gesundheitssektor verstärkt Opfer von Angriffen. 

Aber auch nationalstaatliche Angreifer infiltrieren zunehmend Netzwerke, um wertvolle Daten zu stehlen, die beispielsweise der Covid-19-Impfstoffforschung dienen. Auch chinesische Angriffe gegen Telekommunikationsunternehmen setzten ihren bereits 2019 begonnenen Trend fort. Zudem trieben Nordkorea, Russland, Iran, Indien, Pakistan und Vietnam ihre Massnahmen zur Generierung von Finanzmitteln durch zielgerichtete Kompromittierungen voran.

Profitieren Sie von vielen Vorteilen. Legen Sie los und finden Sie Ihr Projekt! 

  • Sie erstellen Ihr Freelancer Profil kostenlos

  • GULP erledigt die Projektakquise für Sie

  • Projektverträge unterzeichnen Sie elektronisch und vieles mehr​​​​​ 

GULP Profil erstellen

Erpressung mit gestohlenen Daten boomt

Hinzu kommt, dass der Reiz von «Big Game Hunting» (BGH; Grosswildjagd) – also Ransomware-Kampagnen gegen Ziele, die hohe Gewinne versprechen – dazu führte, dass diese Art von Cyber Verbrechen das Cybercrime-Ökosystem bereits im vergangenen Jahr dominierten, was wiederum dem Markt für Netzwerk-Access-Broker Auftrieb verlieh. Access Broker sind Bedrohungsakteure, die Backend-Zugänge zu verschiedenen Organisationen (sowohl Unternehmen als auch Behörden) erlangen und diese entweder in Untergrundforen oder über private Kanäle verkaufen.

BGH-Trends führten zu einer Verschiebung der typischen gezielten Cybercrime-Verhaltensweisen. Bedrohungsakteure wechselten beispielsweise von Angriffen gegen PoS-Systeme (Point-of-Sale) zu BGH-Attacken. Wizard Spider – ein etablierter BHG-Cybercrime-Grossakteur – setzte seine rasanten Operationen fort und wurde das zweite Jahr in Folge der am häufigsten gemeldete Cybercrime-Gegner. Ransomware-Operationen mit Daten Erpressung trafen im vergangenen Jahr vor allem Unternehmen aus der Industrie, sowie der Maschinenbau- und Fertigungsbranche. Letztere ist insofern besonders betroffen, da sie nicht nur unter der Erpressung leidet, sondern auch das Kerngeschäft schwer beeinträchtigt oder zum Erliegen kommt und Produktionsaufträge aufgrund von Systemausfällen nicht mehr erfüllt werden können. 

Die Phishing-Maschen via Social Engineering haben ebenfalls zugenommen und werden immer ausgefeilter. Sie reichen von der Ausnutzung einzelner Personen, um an Informationen, Tests oder Behandlungsmethoden zu kommen, über das Auftreten als medizinische Körperschaften wie die Weltgesundheitsorganisation (WHO) und das US-amerikanische Centers for Disease Control and Prevention (CDC) bis zu Betrug mit Angeboten zu Schutzausrüstungen sowie Vortäuschung oder Erschleichung staatlicher Finanzhilfen und Konjunkturpakete.

Angreifer immer professioneller

Um unentdeckt zu bleiben und sich in Netzwerken zu tarnen, verbessern die Angreifer ständig ihre Strategien und konnten so ihre Ziele oft täuschen. Auch bei Angriffen auf Finanzinstitute beispielsweise ist Wizard Spider das zweite Jahr in Folge der am häufigsten gemeldete Angreifer. Die Gruppe knüpft intensive Beziehungen zu Dritten, um die Ressourcen für Erstzugänge weiter auszubauen und hat ihr Toolkit und ihre Vorgehensweisen auf den neuesten Stand gebracht. Seitdem integriert sie so genannte Obfuskationstools in die Malware-Build-Prozesse und passt Standardtools für ihre Zwecke an. Diese Änderungen wurden höchstwahrscheinlich implementiert, um statische Erkennungsmethoden zu unterlaufen, schreibt CrowdStrike. Auch kriminelle Betreiber von Banktrojanern entwickeln ihr Betriebsmodell weiter und bieten neuerdings Zugänge für Dritte an.

Da der Grossteil der aufgedeckten interaktiven Kompromittierungen von Cyberkriminellen durchgeführt werden, sollte diesen Angreifergruppen und den Abwehrmassnahmen gegen ihre Taktiken, Techniken und Prozeduren unbedingt mehr Aufmerksamkeit gewidmet werden. Doch auch die zielgerichteten, durch Staaten unterstützten Angriffe, dürfen nicht aus dem Blickfeld geraten. Analysen von Cybercrime-Überwachern zufolge sind staatliche Angreifer weiterhin aktiv und müssen auch 2021 intensiv beobachtet werden

Im Umkehrschluss geben Unternehmen, um sich von Cyberattacken zu schützen, immer mehr Geld aus: Marktforscher Gartner schätzt, dass zwischen 2017 und 2021 etwa eine Billion US-Dollar für Cybersecurity ausgegeben wird. Das Geschäft mit der Sicherheit boomt. Nutzniesser sind Cyber Security-Spezialisten. Sowohl auf der Seite der Anbieter, deren Kerngeschäft es ist, derartige Bedrohungen mittels Sicherheitssoftware und Hardware-Lösungen zu bekämpfen, als auch in den Reihen der Freelancer:innen und Expert:innen, die Sicherheitsprodukte entwickeln und bei ihren Kund:innen implementieren.

Schweiz hinkt hinterher

Ende 2020 hat das Marktforschungsinstitut gfs-zürich im Auftrag von digitalswitzerland, der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW), der Mobiliarversicherung, dem Nationalen Zentrum für Cybersicherheit (NCSC), und der Schweizerischen Akademie der Technischen Wissenschaften (SATW) über 500 CEOs von Schweizer KMU befragt. Die Ergebnisse waren erschreckend: Jedes zweite KMU war bereits Opfer eines folgenschweren Cyberangriffs mit teilweise finanziellem oder mindestens Reputationsschaden sowie Verlust von Kundendaten. Trotzdem hat auch nur jedes zweite KMU einen Notfallplan, um im Falle eines Angriffs die Geschäfte fortzuführen. Hinzu kommt, dass etwa zwei Drittel weder regelmässige Mitarbeiterschulungen anbieten, noch ein Sicherheitskonzept implementiert haben. 

In Sachen Cyber Security steht die Schweiz im internationalen Vergleich eher schlecht da. Gemäss dem am 29. Juni 2021 veröffentlichten, «Global Cybersecurity Index» der Fernmeldeunion ITU rangiert die Schweiz auf Platz 42 (2018: 37) von 194 untersuchten Ländern. Sowohl weit hinter den drei Erstplatzierten USA, Grossbritannien und Saudi Arabien, als auch viele Ränge hinter unseren Nachbarn Frankreich (9), Deutschland (13), Italien (20) und Österreich (29). Wird nur die Region Europa betrachtet, liegt Helvetien auf Rang 27 von 46, also nur im Mittelfeld. Es besteht also noch Luft nach oben. 

Immerhin hat der Bund das NCSC geschaffen, in das MELANI, die Melde- und Analysestelle Informationssicherung letzten Sommer integriert wurde und unter dessen Dach sich neu auch das nationale Computer Emergency Response Team (GovCERT) als technische Fachstelle befindet. 

Auch die einzelnen Kantone werden aktiv. St. Gallen hat beispielsweise eine Cyberschutz-Strategie erstellt und die Abteilung Cybercrime der Kantonspolizei Zürich mit Cyberpolice.ch eine Webseite ins Leben gerufen, die tagesaktuell über Cyberbedrohungen informiert. Und auch die Schweizer Armee rüstet in Sachen Cyberabwehr auf und wird per 1. Januar 2022 neben dem bereits bestehenden Cyberbataillon einen Cyberfachstab bilden.

Fazit und Empfehlungen

Cyberkriminelle werden immer versierter und flexibler und werden auch künftig nach Methoden suchen, mit denen sie ihre Ziele maximal effektiv erreichen. Dazu werden sie nicht-traditionelle Ziele innerhalb von Unternehmen mit eigenen Entwicklungen angreifen. Mit zunehmender Ausgereiftheit ihrer Prozesse werden sowohl opportunistische Bedrohungsakteure als auch zielgerichtete Angreifer neue Methoden entwickeln und implementieren, um Entdeckungen zu vermeiden und Analysen durch Forscher zu erschweren.

Die Security Outcomes Study 2021, eine globale Cisco-Umfrage unter 4800 IT-Sicherheitsprofis in Unternehmen ergab, dass fast 90 Prozent der Befragten eine optimale Sicherheit über alle Netzwerke, Geräte, Clouds und Anwendungen bis ins Homeoffice erreichen wollen. Ihre Prioritäten für 2021 und 2022 liegen bei der Netzwerksicherheit (55 Prozent), Multi-Cloud-Infrastrukturen (53 Prozent) und Collaboration-Technologien (49 Prozent). Da sie in Cloud-Applikationen investieren, die entsprechend gesichert sein müssen (60 Prozent), und weil die Mitarbeiter:innen auch künftig verteilt arbeiten wollen (50 Prozent), haben 73 Prozent der Schweizer IT-Entscheider:innen bereits SASE (Secure Access Service Edge)-Lösungen etabliert.

Wollen Sicherheitsteams in modernen Umgebungen Angreifer erfolgreich blockieren und Abläufe unterbrechen, sind Übersicht und Geschwindigkeit das A und O. Dafür benötigen sie vollständigen Einblick in alle Umgebungen und müssen potenzielle Schwachstellen identifizieren und proaktiv schliessen, noch bevor diese von Angreifern ausgenutzt werden können.

Zu denken, ein Unternehmen sei zu klein oder zu unwichtig, um Opfer von Cyberattacken zu werden ist ebenso ein Irrtum wie zu glauben, End-Point-Software schütze vor Cyberattacken. Die Liste, um End-Point-Software zu umgehen oder zu deaktivieren wächst stündlich. Auch das Blockieren von IP-Adressen etwa aus  Russland, Nordkorea oder China bietet ein falsches Gefühl von Sicherheit, da diese ihre schädliche Infrastruktur in unzähligen Ländern hosten. Backups schützen auch nicht vor Ransomware, wenn sie mit dem Netzwerk verbunden sind. Automatische Backups sind in den meisten Fällen von der Ransomware ebenfalls betroffen und es ist naiv zu glauben, dass Security-Spezialisten einmal entstandenen Schaden rückgängig machen und Originaldaten wieder herstellen können. 

Unternehmen müssen Identitäten und Zugänge schützen und passwortlose Multifaktor-Authentifizierung für alle von aussen erreichbaren Mitarbeiterdienste und Portale verpflichtend einführen. Zero-Trust-Lösungen helfen, Datenzugriffe einzugrenzen und zu beschränken und potenzielle Schäden durch nicht autorisierten Zugang zu vertraulichen Informationen zu minimieren.

Die Bedrohungssuche sollte Expert:innen überlassen werden. Es empfiehlt sich potenziellen Angreifern mithilfe von Bedrohungsanalysen immer einen Schritt voraus zu sein. So lassen sich Motivation, Kompetenzen und Arbeitsweisen von Angreifern verstehen und mit diesem Wissen, künftige Angriffe verhindern und sogar vorhersagen. Und Achtung: Auch wer einen Cyberangriff verhindert oder überlebt, ist danach nicht automatisch sicher. Zudem kann selbst ein Unternehmen, das Lösegeld gezahlt hat, nach einem Ransomware-Angriff im seltensten Fall alle Daten wieder herstellen. 

Zudem ist eine Cybersicherheitsrichtlinie unabdingbar, die das Arbeiten im Homeoffice oder an anderen Remote-Arbeitsplätzen inklusive Zugriffsverwaltung für Remote-Nutzer:innen, die Verwendung privater Geräte sowie aktualisierte Datenschutzvorschriften für den Mitarbeiterzugriff auf Dokumente und andere Informationen berücksichtigt. Es ist mittlerweile zu anspruchsvoll, sich mit dem Thema Cyber Security im Detail zu befassen. Für Mitarbeiter:innen genügt es, die allgemeinen Risiken zu kennen. Falsch wäre es allerdings zu denken, die Mitarbeitenden kennen sich grundsätzlich mit IT-Sicherheit aus. Etablieren Sie eine Sicherheitskultur: Programme zur Verbesserung des Sicherheitsbewusstseins aller Mitarbeitenden helfen, die ständige Bedrohung durch Phishing und ähnliche Social-Engineering-Angriffe zu minimieren. Letztlich ist die gute Zusammenarbeit zwischen IT, Security und dem Business entscheidend.

Weitere Erkenntnisse aus dem CrowdStrike Report

  • Die Gesundheitsbranche wird weiterhin mit erheblichen Bedrohungen durch kriminelle Gruppen konfrontiert sein: Allein letztes Jahr haben 18 verschiedene «Big Game Hunting»-Enterprise-Ransomware-Familien insgesamt 104 Gesundheitsorganisationen infiziert.

  • Angreifer aus Nordkorea werden aufgrund von Covid-19 und einer daraus resultierenden Lebensmittelknappheit motiviert sein, ihre Cyberoperationen im Jahr 2021 weiter zu verstärken.

  • Erpressungen mit Daten werden durch die Einführung von Dedicated Leak Sites (DLS) weiter zunehmen. 

  • China wird sich auf die Kompromittierung von Lieferketten und das Anvisieren wichtiger westlicher Branchen konzentrieren, um den 14. Fünfjahres- und den COVID-19- Impfstoff-Plan zu unterstützen – einschliesslich der Bereiche Wissenschaft, Gesundheitswesen, Technologie, Fertigung und Luft- und Raumfahrt.

Im Report gibt CrowdStrike auch Empfehlungen zu technischen Abwehrmassnahmen für Sicherheitsteams.

Hier geht's zum kompletten Report

BFH mit neuen Forschungsgruppen

Die Berner Fachhochschule (BFH) hat zwei neue Forschungsgruppen ins Leben gerufen. «Cyber Threat Intelligence» wird auf dem Gebiet der daten- und analysegestützten Cyberabwehr forschen. In Zusammenarbeit mit Industriepartnern sollen Softwareprodukte zur Erkennung und Prävention von Cyber-Angriffen sowie neue Techniken und Tools für Reverse Engineering in Malware entwickelt werden.

«FinTech Security» erforscht sichere und offene Bezahlsysteme, sowie virtuelle und Kryptowährungen. Dabei sollen Methoden zur Prävention, Erkennung und Untersuchung von Cyber Fraud entwickeln sowie die kriminelle Untergrundwirtschaft und Online-Geldwäscherei erforscht werden. Zudem bündelt die Fachhochschule ab sofort ihre Cybersicherheit-Aktivitäten mit dem Institute for Cybersecurity and Engineering (ICE – zuvor RISIS, Research Institute for Security in the Information Society).

Lesermeinungen zum Artikel

5 von 5 Sternen | Insgesamt 1 Bewertung und 0 Kommentare

Ihre Meinung zum Artikel

Bitte verwenden Sie keine Links in Ihrem Kommentar.

Ihr Kommentar wird zunächst geprüft. Möchten Sie informiert werden, wenn er veröffentlicht wurde?
Bitte tragen Sie dazu Ihre E-Mail-Adresse ein:
Wir konnten Ihre Bewertung leider nicht speichern. Bitte geben Sie zuerst Ihr Feedback ab. Bitte aktivieren Sie die Checkbox "Ich bin kein Roboter", um das Formular senden zu können. Die Captcha Überprüfung war ungültig. Bitte versuchen Sie es erneut.
Lieber Leser, vielen Dank für Ihr Feedback.
Ihre Bewertung für den Artikel wurde gespeichert. Wir prüfen Ihren Kommentar bezüglich Netiquette und Datenschutzrichtlinien und veröffentlichen ihn danach in Kürze. Sie werden von uns per E-Mail darüber benachrichtigt.
Ihre GULP Redaktion.