[datensicherheit.de, 30.04.2025] In seiner Presseinformation zum mitunterzeichneten Statement der Nationalen Plattform Resilienz mit Kernforderungen an die neue Bundesregierung wies der Deutsche Verein des Gas- und Wasserfaches e. V. (DVGW) Anfang März auf die Notwendigkeit einer engen Verzahnung bestehender Gesetze zum Schutz Kritischer Infrastrukturen hin: Energie- und Wasserversorgungssysteme abzusichern, ist eine zentrale Aufgabe. Die zunehmende Zahl von immer komplexeren Angriffen auf die IT-Sicherheit ist Anlass zu großer Sorge.

Cyberbedrohungen im Wassersektor immer komplexer

Tatsächlich sehen sich die Akteure des Wassersektors immer komplexeren und ausgefeilteren Cyberbedrohungen gegenübergestellt. Obwohl bereits Anstrengungen unternommen wurden, müssen die Organisationen ihre Abwehrstrategien entsprechend der Kritikalität ihrer Tätigkeit verstärken. Wasser ist eine lebenswichtige, kritische Ressource. Ein erfolgreicher Angriff kann schwerwiegende Folgen haben, wenn er beispielsweise zu Versorgungsunterbrechungen oder zur Verunreinigung von Trinkwasser führt.

Veralterung der Komponenten und Architekturen

Dieser Sektor ist Cyberangriffen besonders ausgesetzt, was auf die verteilte Natur des Netzes, aber auch auf die Obsoleszenz bestimmter Systeme und den Mangel an Investitionen in die Cybersicherheit zurückzuführen ist. Die Infrastrukturen verwenden manchmal veraltete Betriebssysteme und industrielle Systeme, die vor 20 oder 30 Jahren entwickelt wurden. Diese Veralterung der Komponenten und Architekturen ist oft gleichbedeutend mit zahlreichen Schwachstellen. Darüber hinaus erweitert die zunehmende Digitalisierung der Infrastrukturen mit der Integration von vernetzten Objekten, ja sogar des IIoT (Industrial Internet of Things), die potenziellen Angriffsvektoren und macht diese Anlagen noch anfälliger für Cyberbedrohungen. Eine weitere Schwachstelle betrifft insbesondere kleine und mittlere Gebietskörperschaften, denen die Mittel fehlen, um die Implementierung der Cybersicherheit ihrer Systeme zu bewältigen. Dadurch stehen sie in diesem Bereich teilweise ohne Ansprechpartner da und den Cyberbedrohungen hilflos gegenüber.

Verschärfte Behördenanforderungen an die Cybersicherheit

In diesem Zusammenhang verschärfen die Behörden schrittweise die Anforderungen an die Cybersicherheit für kritische Infrastrukturen, einschließlich denen des Wassersektors. Die europäische NIS2-Richtlinie, die in Deutschland voraussichtlich erst im Herbst 2025 umgesetzt wird, dürfte die Wasserwirtschaftsorganisationen zur Einführung verstärkter Maßnahmen in den Bereichen Governance, Verteidigung, Schutz und Resilienz gegenüber Cyberbedrohungen verpflichten.

Uwe Gries, Country Manager DACH bei Stormshield, Bild: Stormshield

In Erwartung dessen ist es über die notwendige Konformität hinaus bereits möglich, bestimmte Ansätze zu verfolgen, um sich vor Cyberbedrohungen zu schützen. Die Akteure des Wassersektors können beispielsweise den Empfehlungen des DVGW zur Verbesserung ihres Sicherheitsniveaus folgen, aber auch denen des BSI, etwa bezüglich der tiefgreifenden Verteidigung. Dieser Ansatz basiert auf mehreren Schlüsselprinzipien, insbesondere dem der Netzwerksegmentierung, die es ermöglicht, die verschiedenen Systeme zu unterteilen, um die Ausbreitung eines Angriffs durch die Isolierung von Subsystemen zu begrenzen. Dies beinhaltet die Trennung zwischen IT- und OT-Netzwerken, wobei letztere die operativen Systeme umfassen, die Geräte steuern. Die Segmentierung kann allerdings auch intern innerhalb der operativen Infrastrukturen erfolgen.

Andererseits ermöglicht die Implementierung von speziell für industrielle Umgebungen entwickelten, gehärteten Firewalls und Systemen zur Identifizierung von Anomalien, jeden Manipulationsversuch von Netzwerkprotokollen oder Befehlen zu erkennen. Diese verstärkte Überwachung trägt dazu bei, die Integrität der Prozesse zu gewährleisten und potenzielle Bedrohungen zu antizipieren. Die Industrie muss schrittweise sicherere Lösungen einführen und gleichzeitig die Prinzipien der Cybersicherheit in jede betriebliche Phase integrieren. Dies erfordert eine kontinuierliche Modernisierung der Infrastrukturen und eine regelmäßige Aktualisierung der Systeme.

Betreiberschulung in Best Practices der Cybersicherheit

Darüber hinaus müssen die Betreiber solcher Infrastrukturen in den Best Practices der Cybersicherheit geschult werden, um bei einem Vorfall effektiv reagieren zu können. Sensibilisierung ist entscheidend, um eine Cybersicherheitskultur zu entwickeln und die Widerstandsfähigkeit gegenüber Angriffen zu verbessern.

Die Modernisierung der Systeme, die Segmentierung der Netzwerke, der Einsatz fortschrittlicher Überwachungslösungen und die kontinuierliche Schulung sind wesentliche Hebel zur Stärkung der Widerstandsfähigkeit gegenüber Angriffen. Dazu gehört die Intensivierung aller ergriffenen Initiativen, um einen wirksamen Schutz dieser lebenswichtigen Ressource zu gewährleisten. Ein proaktiver und kollaborativer Ansatz zwischen öffentlichen und privaten Akteuren ist unerlässlich, um diesen Herausforderungen zu begegnen sowie die Dienstkontinuität der Wasser- und Abwasserwirtschaft in einem sich ständig weiterentwickelnden digitalen Umfeld sicherzustellen – auch angesichts allgegenwärtiger Cyberbedrohungen.

Weitere Informationen zum Thema:

Stormshield
Vertrauenswürdige Europäische Cyber-Sicherheit

[datensicherheit.de, 30.04.2025] Trend Micro veröffentlicht eine neue Studie, die eine besorgniserregende Diskrepanz zwischen dem Erkennen von Angriffsrisiken und dem Einsatz spezieller Tools zur Bewältigung dieses Risikos aufzeigt.

Die globale Studie unter mehr als 2.000 Cybersecurity-Führungskräften weltweit ergab, dass 73 Prozent von ihnen bereits Sicherheitsvorfälle aufgrund von unbekannten oder nicht verwalteten Assets erlebten. Für Deutschland ist der Anteil mit 65 Prozent der Befragten etwas geringer. Die Zahl solcher Assets ist mit der Verbreitung generativer KI und der damit verbundenen höheren Komplexität sowie der ständig wachsenden Zahl von IoT-Geräten rapide angestiegen.

Management der Assets wirkt sich auf das Geschäftsrisiko aus

Infolgedessen bestätigen 91 Prozent der Befragten weltweit und 89 Prozent in Deutschland, dass sich das Management der Angriffsfläche auf das Geschäftsrisiko ihres Unternehmens auswirkt. Ein großer Teil der Befragten erkennt zudem, dass ein fehlendes Risikomanagement für exponierte Assets erhebliche negative Auswirkungen haben kann, die über unmittelbare Sicherheitsbedrohungen hinausgehen.

Unter anderem nennen sie negative Folgen für folgende Bereiche:

• Betriebliche Kontinuität (40 Prozent in Deutschland, 42 Prozent weltweit)
• Wettbewerbsfähigkeit (40 Prozent in Deutschland, 39 Prozent weltweit)
• Kundenvertrauen und Markenreputation (38 Prozent in Deutschland, 39 Prozent weltweit)
• Lieferantenbeziehungen (36 Prozent in Deutschland, 39 Prozent weltweit)
• Mitarbeiterproduktivität (32 Prozent in Deutschland, 38 Prozent weltweit)
• Finanzielle Performance (31 Prozent in Deutschland, 38 Prozent weltweit)

Wie die Studie zeigt, verwenden trotz dieser offensichtlichen Erkenntnis nur 36 Prozent der Unternehmen in Deutschland (43 Prozent weltweit) spezielle Tools für ein proaktives Risikomanagement ihrer Angriffsfläche. Mehr als die Hälfte (58 Prozent) gibt an, dass sie über keine Prozesse verfügen, um dies kontinuierlich zu tun. Das wäre jedoch notwendig, um Risiken proaktiv zu mindern und einzudämmen, bevor sie den Betrieb beeinträchtigen.

Im Durchschnitt sind nur 24 Prozent der Cybersecurity-Budgets in Deutschland (27 Prozent weltweit) für das Management von Angriffsflächenrisiken vorgesehen. Beinahe drei Viertel (73 Prozent) der deutschen Unternehmen geben an, dass ihre derzeitigen Ressourcen für die Bewältigung dieser Herausforderungen ausreichend sind – global sind es mit 77 Prozent etwas mehr.

Kevin Simzer, COO bei Trend Micro, Bild: Trend Micro

„Bereits 2022 waren Unternehmen weltweit besorgt, dass die Angriffsfläche für Cyberangriffe außer Kontrolle gerät. Heute ist die Herausforderung noch dringlicher“, weiß Kevin Simzer, COO bei Trend Micro. „Die meisten Unternehmen sind sich zwar der Auswirkungen auf das Geschäftsrisiko bewusst, aber nur wenige ergreifen proaktive Sicherheitsmaßnahmen, um das Risiko kontinuierlich zu mindern. Das Management von Cyberrisiken sollte für alle Unternehmen oberste Priorität haben.“

Über die Studie

Trend Micro beauftragte Sapio Research mit der Befragung von 2250 Personen, darunter 100 aus Deutschland, die für IT und/oder Cybersicherheit verantwortlich sind – über verschiedene Branchen, Unternehmensgrößen und 21 Länder in Europa, Nordamerika und APAC hinweg. Befragung im Februar 2025.

Weitere Infiormationen zum Thema:

Trend Micro
AI is Changing the Cyber Risk Game. Are You Keeping Up?

[datensicherheit.de, 04/27/2025] The recent uncertainties surrounding the CVE program have made it clear how important reliable structures for vulnerability coordination are. According to Armis, this is exactly where it comes in – with its approval as a CVE numbering authority and its own freely accessible “Vulnerability Intelligence Database” for the targeted prioritization of security-relevant vulnerabilities. The “Armis Vulnerability Intelligence Database” is set to go live at the “RSAC 2025 Conference” and is now available for an initial preview.

Foto: Armis

Armis “CTO” Nadir Izrael: “We focus on going beyond detection and providing real security – before an attack, not after!”

“Armis Labs”, “Early Warning” and “Armis Asset Intelligence Engine” as the basis

Armis announced on April 23, 2025 that it is expanding its vulnerability detection and assessment capabilities with the free availability of the “Armis Vulnerability Intelligence Database”. This community-driven database is designed to integrate exploited vulnerabilities, emerging threats and AI-powered insights, providing the cybersecurity industry with the knowledge organizations need to better prioritize and mitigate threats in real-time.

The Armis Vulnerability Intelligence Database is powered by Armis Labs, Early Warning and the Armis Asset Intelligence Engine, and receives information from Armis Centrix for VIPR Pro – Prioritization and Remediation, enabling Armis customers to benefit from additional crowdsourced knowledge and effectively prioritize emerging vulnerabilities in their respective industries. By making security-critical information available more quickly than with conventional databases, Armis aims to help customers prioritize emerging vulnerabilities.

“Armis Vulnerability Intelligence Database specifically designed to meet the needs of cyber security teams

”As cyber attacks become more extensive and sophisticated, a proactive approach to risk mitigation is essential,“ emphasizes Nadir Izrael, ”CTO“ and co-founder of Armis. He explains: „The ‘Armis Vulnerability Intelligence Database’ is a significant and user-friendly resource designed specifically for the needs of security teams. It translates technical vulnerability data into tangible risks and helps organizations respond faster and make informed decisions when dealing with cyber threats.“

Currently, 58 percent of companies worldwide only react to threats once damage has already been done. In addition, almost a quarter (22%) of IT decision makers say that continuous vulnerability assessment is currently a gap in their security measures, with many vulnerabilities and security findings still being tracked using spreadsheets. “There is a clear need to close these gaps before negative impacts occur!”

As a CNA, Armis will review newly discovered vulnerabilities and assign CVE IDs to them

In addition, Armis has been authorized by the Common Vulnerabilities and Exposures (CVE®) Program as a CVE Numbering Authority (CNA). The role of this international program is to identify, define and catalog publicly known vulnerabilities. As a CNA, Armis can now review newly discovered vulnerabilities and assign them CVE IDs.

“We focus on going beyond detection and providing real security – before an attack, not after!” says Izrael. It is their duty and goal to increase cyber security awareness and measures across all industries. “This is crucial to effectively combat the entire lifecycle of cyber threats and manage cyber risks to ensure the safety of society.”

Further information on the topic:

CVE
Overview / About the CVE Program

ARMIS
Armis Vulnerability Intelligence Database

ARMIS
Armis Labs: Cybersecurity Insights From Experts and Billions of Assets

ARMIS
Armis Centrix for Early Warning

ARMIS
Armis Asset Intelligence Engine

ARMIS
Platform: Armis Centrix for VIPR Pro – Prioritization and Remediation

ARMIS, 2025
THE STATE OF CYBERWARFARE: Warfare Without Borders / AI’s Role in the New Age of Cyberwarfare

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 04/27/2025] According to a recent report by Onapsis, several security incidents in connection with “SAP NetWeaver” became known in April 2025: According to the report, cyber attackers allegedly exploited “JSP webshells” to perform unauthorized file uploads and execute arbitrary code. The vulnerability affects the “SAP Visual Composer” component of “SAP Java” systems and allows unauthenticated threat actors to upload arbitrary files, including remote webshells, to SAP applications. “This leads to an immediate and complete compromise of these systems!” Most critically, potential cyber attacks could bypass traditional ERP security mechanisms.

Onapsis summarizes findings on critical SAP NetWeaver zero-day vulnerability:

• Cyber criminals are actively exploiting a new highly critical zero-day vulnerability with “CVSS 10.0” in SAP applications.
• Attackers could gain complete control over critical business processes and information in SAP applications or install ransomware, which could lead to widespread disruption and loss.
• Cyber attacks could take place via the internet and be directed against cloud/internet-based SAP applications, but also against internal SAP systems.
• Potentially affected are all customers who use the vulnerable SAP NetWeaver component in Cloud/RISE with SAP environments, cloud-native and on-premise deployment models.

At-risk customers should apply the emergency patch provided by SAP as soon as possible. “If vulnerable systems were connected to the Internet, customers should assume a security breach and initiate emergency measures!”

“SAP Threat Intelligence System” by Onapsis confirms possibility of vulnerability exploitation

The “SAP Threat Intelligence System” from Onapsis has confirmed the possible exploitation of the vulnerability that was initially disclosed by ReliaQuest. In addition, the Onapsis Research Labs have identified thousands of SAP applications that may be at risk of cyber security breaches due to this vulnerability.

SAP made an emergency patch available on April 24 – vulnerable customers should apply it as soon as possible. “If Internet-enabled ‘cloud’ SAP systems are in use, customers should assume a security breach and take appropriate emergency measures, including applying ‘SAP Security Note 3594142’ or checking ‘3596125’ for possible solutions.”

Further information on this topic:

ONAPSIS
Erfahren Sie mehr über die wichtigsten Offenlegungen von ORL mit SAP und CISA

SAP
Management von Sicherheitsproblemen: SAP legt größten Wert darauf, Sicherheitsprobleme im Zusammenhang mit unserer Software und unseren Cloud-Lösungen zu ermitteln und zu beheben.

RELIAQUEST, ReliaQuest Threat Research Team, 25.04.2025
ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver

heise online, Dirk Knop, 25.04.2025
SAP patcht kritische Schwachstelle außer der Reihe / SAP veranstaltet monatliche Patchdays. Eine kritische Sicherheitslücke nötigt das Unternehmen nun zum Update außer der Reihe.

datensicherheit.de, 08.04.2021
Kritische SAP-Anwendungen im Fokus Cyber-Krimineller / CISA und Tenable warnen vor ungepatchten SAP-Systemen

datensicherheit.de, 22.01.2021
SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht / Tenable warnt vor Patch-Müdigkeit

Ein Beitrag von unseren Gastautoren Nischal Khadgi und Ujwal Thapa, Sicherheitsforscher bei Logpoint

[datensicherheit.de, 05.04.2025] ClickFix wird bereits von einer Reihe von nationalstaatlichen Akteuren wie APT 28 und Kimsuky genutzt. Besonders beliebt ist die Verbreitung von Stealer-Malware wie Lumma Stealer über die Social Engineering-Kampagne. Die Betreiber verleiten Benutzer dazu, bösartigen Code auf ihren Systemen auszuführen. Angreifer locken ihre Opfer auf scheinbar legitime, aber kompromittierte Websites, auf denen täuschen echt wirkende Pop-ups erscheinen. Diese Pop-ups fordern die Benutzer auf, auf Schaltflächen mit der Aufschrift „Reparieren“ oder „Ich bin kein Roboter“ zu klicken. Sobald sie angeklickt werden, wird automatisch ein Befehl in die Zwischenablage des Benutzers kopiert und der Benutzer dazu gebracht, ihn manuell zu kopieren und in sein Systemterminal einzufügen.

ClickFix-Angriffsvektoren, Bild: Logpont

ClickFix erstmalig Mitte 2024 entdeckt

Diese Technik wurde erstmals Mitte 2024 entdeckt und wird seither immer häufiger eingesetzt. Neben Phishing wurden auch Malvertising und SEO-Poisoning als Verbreitungstechniken beobachtet.

Die folgenden Tipps sollen Sicherheitsverantwortlichen bei der Erkennung und Behebung helfen:

ClickFix-InfektionsketteClickFix-Kampagnen stützen sich in hohem Maße auf Social Engineering-Techniken wie Phishing. Benutzer sollen dazu verleitet werden, auf Webseiten zu gehen, die bösartige Software herunterlädt. Daher müssen Unternehmen Wert auf regelmäßige Mitarbeiterschulungen legen, die sich auf das Erkennen von und die Reaktion auf Bedrohungen wie Phishing konzentrieren. Darüber hinaus sollten Unternehmen ein Verfahren für Mitarbeiter einrichten, die den Verdacht haben, Opfer eines Phishing-Angriffs geworden zu sein. Dies sollte eine Meldung an die zuständigen Behörden und der sofortigen Einleitung von Maßnahmen zur Eindämmung des Vorfalls und zur Minimierung möglicher Schäden behinhalten.

ClickFix-Infektionskette, Bild: Logpoint

„Defense-in-Depth“-Strategie für robuste Sicherheit

Unternehmen sollten eine „Defense-in-Depth“-Strategie anwenden, um eine robuste Sicherheit zu schaffen. Dazu gehören mehrere unabhängige Sicherheitskontrollen wie EDR, SIEM, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement sowie E-Mail-/Web-Filterung in der gesamten Infrastruktur. Dieser mehrschichtige Ansatz hilft dabei, Bedrohungen frühzeitig zu erkennen und zu neutralisieren und so den potenziellen Schaden zu minimieren.

Überblick behalten

Eine Protokollierung, Asset-Transparenz und ein kontinuierliches Monitoring der Systems sind unerlässlich, um Bedrohungen wie ClickFix zu erkennen und darauf zu reagieren. Diese Funktionen bieten einen ganzheitlichen Überblick über das Netzwerk und erleichtern die Identifizierung von Anomalien, die einen bevorstehenden Angriff signalisieren können. Ein konsequentes Monitoring des Endpunkt- und Netzwerkverkehrs kann helfen, verdächtige Verhaltensweisen zu erkennen.

Unternehmen müssen über einen gut definierten Incident Response-Plan verfügen, um sicherzustellen, dass sie schnell und effektiv auf Sicherheitsvorfälle reagieren können. Ebenso wichtig ist die Durchführung regelmäßiger Übungen zur Reaktion auf sicherheitsrelevante Vorfälle. Diese Übungen tragen dazu bei, Lücken in der Reaktionsstrategie aufzudecken und die Benutzer bei der Erkennung sowie der richtigen Reaktion zu befähigen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.03.2025
2024/2025: Alle 14 Sekunden ein Cyber-Angriff auf Unternehmen

Logpoint
ClickFix: Another Deceptive Social Engineering Technique

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

Von unserem Gastautor Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement

[datensicherheit.de, 31.03.2025] Die Umfrage „Preparedness Gap: Warum Cyber-Recovery einen anderen Ansatz erfordert als Disaster Recovery“ von Commvault und ESG aus dem Jahr 2024 unterstreicht die große Komplexität moderner Cyberresilienz. Nur 26 % der Befragten sind zuversichtlich, alle geschäftskritischen Anwendungen und Daten schützen zu können. Und nur 20 % sind überzeugt, alle für den Betrieb erforderlichen Apps und Daten zu schützen. 85 % geben an, dass eine Wiederherstellung ohne die Einrichtung einer Cleanroom-Umgebung ein erhebliches Risiko einer erneuten Infektion birgt. Ähnlich viele Befragte (83 %) befürchten, dass eine überstürzte Wiederherstellung nach einem Cyber-Vorfall wertvolle Beweise zerstören könnte. Die Lehre daraus? Konforme und zuverlässige Cyber-Resilienz und Backups sind keine leichte Aufgabe.

Cyberresilienz als Antwort auf immer raffiniertere Cyberangriffe

Mangelndes Risikobewusstsein bei gleichzeitig zunehmenden und immer raffinierteren Cyberangriffen machen eine solide Backup- und Recovery-Strategie für die Kontinuität des Geschäftsbetriebs unerlässlich. Die Bedrohung durch Ransomware, der anhaltende Trend zu SaaS-Anwendungen wie Office 365 und Salesforce und die Frage nach der Sicherheit von Cloud-Daten zeigen, dass ein funktionierendes Backup wichtiger denn je ist.

Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement Professionals, Bild: privat

Diese fünf Tipps helfen bei der Auswahl einer Backup-Lösung

1. Eine einzige Backup-Lösung einsetzen.
   Wenn sich Unternehmen bei einem Vorfall auf mehrere Backup-Pakete verlassen müssen, wirkt sich dies oft negativ auf die Qualität aus. Da Backups in Unternehmen lange Zeit vernachlässigt wurden, sind die Managementkapazitäten oft nicht ausreichend, um die Lösung ordnungsgemäß zu warten. Darüber hinaus kostet eine Lösung mit mehreren Paketen zusätzlichen Speicherplatz, da globale Effizienztechniken fehlen.
2. Sicherstellen, dass das Backup vollständig ist.
   Es klingt einfach, aber es passiert immer noch viel zu oft, dass IT-Teams vergessen, einen neuen Server in das Backup aufzunehmen. Dies kann aus verschiedenen Gründen geschehen, wie Arbeitsüberlastung oder Kommunikationsfehler. Ein vollständiges Backup ist jedoch unerlässlich, um Datenverluste zu vermeiden. Das Backup muss zu einem festen Bestandteil von Projekten und Implementierungen werden.
3. Eine Backup-Richtlinie erstellen.
   Auch dies ist eine Selbstverständlichkeit, aber allzu oft entspricht die Praxis nicht den Erwartungen. Grundlegende Fragen wie die Häufigkeit und Aufbewahrung von Backups gilt es zu besprechen und die Ergebnisse festzuhalten. Ebenso ist darauf zu achten, dass die Anforderungen und Wünsche jährlich mit dem Setup übereinstimmen.
4. Neueste Technologie für die Backup-Lösung einsetzen.
   Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless – dies sind nur einige der Stichworte des modernen IT-Alltags. Geschäftskritische Daten in allen Umgebungen müssen gesichert werden. Die IT-Abteilung muss sicherstellen, dass ihre Backup-Lösung dafür eingerichtet ist. Dies erfordert es, bei der Einführung neuer Technologien frühzeitig in einem Projekt oder Prozess das Thema Backup aktiv anzusprechen. Zu berücksichtigen sind auch Aspekte wie Deduplizierung, Live-Wiederherstellung und Speicherintegration, um das Backup gut und effizient zu machen.
5. Testen, testen, testen
   Mindestens zweimal im Jahr ist es sinnvoll, eine Reihe von Szenarien zu testen. Nichts ist ärgerlicher, als nicht zu wissen, ob eine Wiederherstellung funktioniert oder wie lange sie dauert, wenn man sie wirklich braucht. Wenn möglich, ist es vorteilhaft, diese Tests zu automatisieren und sich Berichte erstellen zu lassen.
   Vermehrte Cyberkriminalität, die wachsende Unverzichtbarkeit digitaler Daten für den Geschäftsbetrieb und die wachsende Beliebtheit von Cloud-Services haben sich auch die Anforderungen für das Backup erweitert. Recovery muss sicherstellen, dass die Anforderungen der Behörden erfüllt werden und dass nur kontaminationsfreie Daten wiederhergestellt werden. Gerade für die Bereiche Disaster Recovery und Cyber Recovery bieten sich Cloud-Backups an, weil sie einem vom betroffenen Unternehmen getrennten Standort liegen. Die Daten sind meistens mit Air Gap und Verschlüsselungen besonders „gehärtet“ worden. Auch kann die Wiederherstellung eins Cloud-Backups in der Cloud effizient die Geschäftskontinuität sicherstellen.

Spezialisierte Anbieter stellen unterschiedliche Varianten der Offsite-Cloud-Speicherung bereit. Darüber hinaus bieten Hybrid-Cloud-Lösungen die Produktion der Apps, Files und Datenbanken als Notfallbetrieb an. Weitere wichtige Funktionen sind Compliance und Sicherheit. Cloud-Backups erfüllen gesetzliche Anforderungen (z.B. DSGVO) und bieten durch Verschlüsselungen sowie physische Sicherheitsmaßnahmen Schutz vor unbefugtem Zugriff.

Darüber hinaus skalieren Cloud-Lösungen besser als On-prem-Backups, die weiterhin für operationale Backup- und Restore-Tätigkeiten mit LAN-Geschwindigkeit notwendig bleiben, falls Unternehmen sich noch in der Cloud-Transformation befinden. Last but not least werden Kosten für den Betrieb eines weiteren Rechenzentrums sowie Hardware- und Admin-Kosten eingespart. In Summe muss eine Backup-Strategie die Risiken minimieren, Daten sicher speichern und langfristig den Geschäftsbetrieb gewährleisten.

Compliance-Fragen beim Backup

Ein aktuell kontrovers diskutiertes Thema ist die Fragestellung, ob deutsche bzw. europäische Unternehmen in erster Linie auf heimische Anbieter setzen sollten, wenn es um Backups in- bzw. aus der Cloud geht. Die klassischen US-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriffsrechte auf gespeicherte Daten einräumt. Dies steht in krassem Widerspruch zur DSGVO. Das Trans Atlantic Data Privacy Framework (TADPF) sollte diesen Widerspruch überwinden, steht jedoch – auch aufgrund der aktuellen politischen Lage in den USA – auf instabilem Fundament. Fällt das TADPF, so entsteht quasi über Nacht ein Compliance-Risiko. Europäische Unternehmen sind also gut beraten, sich jetzt über alle Aspekte ihrer Cyber-Resilienz-Strategie Gedanken zu machen.

Weitere Informationen zum Thema:

DMP–Data Management Professionals
Your data in safe hands

[datensicherheit.de, 31.03.2025] Heute, am 31. März, tritt die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft – Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen – darunter auch starke Multi-Faktor-Authentifizierung (MFA). Obwohl diese Maßnahmen bereits seit einiger Zeit als Best Practices gelten, ist ihre vollständige Umsetzung nun verpflichtend.

Alexander Koch, SVP Sales EMEA bei Yubico, &Copy; Yubico

Alexander Koch, SVP Sales EMEA bei Yubico, bewertet PCI DSS 4.0 und erklärt, wie Unternehmen die Sicherheit im Zahlungsverkehr stärken können:

„Der heutige Stichtag für PCI DSS 4.0 bedeutet, dass Unternehmen, die Zahlungskartendaten verarbeiten, zwingend robuste Sicherheitsvorkehrungen treffen müssen – einschließlich moderner MFA. Das ist besonders relevant, da diese Unternehmen durch die Fülle sensibler Finanzdaten bevorzugte Ziele für Cyberkriminelle sind – etwa durch Phishing-Angriffe.

Ein Versäumnis, die neuen Vorgaben vollständig umzusetzen, führt nicht nur zum Verlust der Zertifizierung und zu hohen Bußgeldern – es erhöht auch das Risiko, Opfer immer raffinierterer Cyberangriffe wie Phishing zu werden. Unternehmen in Branchen mit Zahlungsverkehr – etwa Finanzdienstleister oder der Einzelhandel – riskieren darüber hinaus einen erheblichen Reputationsschaden und Vertrauensverlust bei Kunden und Stakeholdern, sollte es zu einem Angriff kommen. Eine solche Krise ist in diesen Branchen nur schwer zu bewältigen.

Besonders wichtig: PCI DSS 4.0 schreibt den Einsatz starker, moderner MFA vor – im Einklang mit den Best Practices der FIDO Alliance, die auf FIDO-basierte Authentifizierung setzt. Das stärkt die Cybersicherheit von Finanzinstituten und Organisationen, die mit Zahlungsinformationen umgehen. Um konform zu bleiben, müssen Unternehmen phishing-resistente MFA für alle Mitarbeitenden einführen und gleichzeitig ihre Belegschaft für den Umgang mit Phishing sensibilisieren. MFA-Lösungen mit phishing-resistenten, gerätegebundenen Zugangsschlüsseln stellen sicher, dass selbst bei kompromittierten Zugangsdaten kein Zugriff auf Informationen möglich ist – es sei denn, der physische Sicherheitsschlüssel ist ebenfalls in Besitz der Angreifer. Der Einsatz solcher hochsicheren Lösungen hilft Unternehmen nicht nur, den Anforderungen von PCI DSS 4.0 gerecht zu werden, sondern unterstreicht auch ihr Engagement für den Schutz von Kundendaten und die Integrität ihrer Marke.

Diese Frist markiert einen entscheidenden Wendepunkt für Unternehmen, die Zahlungsinformationen verarbeiten. Die Einhaltung der neuen Anforderungen ist essenziell, um Sicherheitslücken zu schließen, Strafen zu vermeiden und langfristige Schäden abzuwenden.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
PCI DSS: Verizon 2018 Payment Security Report veröffentlicht

[datensicherheit.de, 27.03.2025] TXOne Networks, ein  Unternehmen im Bereich der Sicherheit von Cyber-Physical Systems (CPS), hat seinen jährlichen Bericht zur Cybersicherheit von Betriebstechnologien (OT) veröffentlicht. Darin werden verschiedene Risiken, wie Schwachstellen in der Versorgungskette, veraltete Infrastrukturen, Patching-Schwierigkeiten und Lücken bei der Reaktion auf Vorfälle, ausführlich beschrieben. Der neue Bericht, der öffentlich zum kostenlosen Download zur Verfügung steht, zeigt die wachsende Besorgnis über digitale Schwachstellen, die bei der Einführung von industriellen Kontrollsystemen (ICS), darunter intelligente Sensoren, Edge-Computing-Geräte, Asset-Tracking-Lösungen und Fernüberwachungs-Tools, auftreten können.

Herausforderung Cybersicherheit

„Wie können Unternehmen diese vernetzten Systeme effektiv gegen Cyber-Bedrohungen schützen? Das ist die dringende Herausforderung, der sich Chief Information Security Officers (CISOs) weltweit stellen müssen“, heißt es im Annual Report 2024 von TXOne Networks zur OT/ICS-Cybersecurity: „Traditionell konzentrierten sich Cybersecurity-Strategien auf den Schutz von IT-Systemen (Informationstechnologie) und deren digitalen Assets. Mit der fortschreitenden Digitalisierung der Industrie werden kritische Infrastrukturen jedoch zunehmend in einheitliche digitale Ökosysteme integriert, was die Angriffsfläche vergrößert. Aufgrund der wesentlichen Unterschiede zwischen OT- und IT-Systemen sind IT-zentrierte Sicherheitsmaßnahmen in OT-Umgebungen aber oft unzureichend. Da die OT-Systeme inzwischen eng verzahnt sind, werden diese Unzulänglichkeiten herkömmlicher IT-Schutzmaßnahmen deutlich, insbesondere im Hinblick auf die Sicherheit, Verfügbarkeit und Zuverlässigkeit dieser Systeme.“

Die Ergebnisse des Berichts basieren auf einer groß angelegten Umfrage, die gemeinsam von TXOne Networks und Frost & Sullivan durchgeführt wurde und an der 150 Führungskräfte aus Asien, Europa, dem Nahen Osten und Nordamerika teilnahmen. Die Studie deckt mehrere Industriesektoren ab, z.B. die Automobilindustrie, die Lebensmittelindustrie, die Öl- und Gasindustrie, die pharmazeutische Industrie und die Halbleiterindustrie, die alle für die Weltwirtschaft von entscheidender Bedeutung sind und in besonderem Maße den Herausforderungen der OT-Cybersicherheit ausgesetzt sind.

94 Prozent der befragten Unternehmen im vergangenen Jahr von OT-Cyber-Vorfällen bedroht

Der Bericht zeigt, dass 94 Prozent der befragten Unternehmen angaben, im vergangenen Jahr von OT-Cyber-Vorfällen bedroht gewesen zu sein, während 98 Prozent IT-Vorfälle hinnehmen musste, die auch ihre OT-Umgebungen betrafen. Während Ransomware-Vorfälle von 47 Prozent der Befragten im Jahr 2023 auf 28 Prozent im Jahr 2024 zurückgingen, erwiesen sich staatlich-gestützte Angriffe auf Kritische Infrastrukturen (KRITIS) als wachsendes Problem. Advanced Persistent Threats (APTs), Schwachstellen in der Supply-Chain-Software und fortschrittliche Malware, wie Fuxnet und FrostyGoop, gehören daher zu den vielfältigen Bedrohungen, die im 2024 Annual OT/ICS Cybersecurity Report dokumentiert sind.

Der Bericht von TXOne Networks beleuchtet darüber hinaus wichtige Erkenntnisse zu einer Reihe von Themen:

• Veränderte Bedrohungslandschaft in OT-Umgebungen.
• Priorisierung von Schwachstellen und Bewältigung von Patching-Herausforderungen.
• Trends bei Regulierung und Standardisierung.
• Fallstricke überwinden und somit die Zukunft sichern.

Dr. Terence Liu, CEO von TXOne Networks, Bild TXOne Networks

„Da große Unternehmen ihre Sicherheitsvorkehrungen verstärken, erweitert sich der Fokus der OT-Cyber-Sicherheit über die Sichtbarkeit hinaus auf Schutz, fortschrittliche Bedrohungserkennung und robuste Sicherheitssteuerung“, erklärt Dr. Terence Liu, Chief Executive Officer (CEO) von TXOne Networks. „Asset Discovery und Schwachstellen-Management sind somit lediglich der Anfang. Die anhaltende Zunahme von OT-Cyber-Angriffen, wie sie im diesjährigen Bericht hervorgehoben wird, unterstreicht die Notwendigkeit, dass Unternehmen – insbesondere solche, die über keine speziellen OT-Sicherheitsmaßnahmen verfügen – dringend handeln müssen. Die Anbieter von Sicherheitsprodukten müssen dabei den Weg weisen, indem sie durch Wissensaustausch und Innovation die Lücken schließen. Wir bei TXOne Networks setzen uns dafür ein, die globalen OT-Sicherheitsstandards zu heben und eine widerstandsfähigere Zukunft für die industrielle Cyber-Sicherheit zu gestalten.“

Weitere Informationen zum Thema:

TXOne Networks
Annual OT/ICS Cybersecurity Report 2024

[datensicherheit.de, 27.03.2025] Der IT-Sicherheitshersteller ESET veröffentlicht heute eine umfassende Analyse zur aktuellen Ransomware-Landschaft. Im Zentrum steht die Gruppe RansomHub, die sich innerhalb kürzester Zeit zur dominierenden Kraft unter den sogenannten Ransomware-as-a-Service (RaaS)-Anbietern entwickelt hat. RansomHub trat anscheinend in Erscheinung, nachdem internationale Strafverfolgungsmaßnahmen die Aktivitäten der früheren „Marktführer“ LockBit und BlackCat weitgehend zum Erliegen brachten.

Die Forschungsergebnisse wurden auf der diesjährigen ESET World präsentiert.

„2024 markierte gleich zwei Wendepunkte – der Niedergang der beiden größten Ransomware-Gruppen und ein Rückgang der Lösegeldzahlungen um rund 35 Prozent“, so ESET Forscher Jakub Souček, der die Untersuchungen leitet. „Gleichzeitig stieg jedoch die Zahl öffentlich gemeldeter Opfer um 15 Prozent. Ein Großteil davon geht auf das Konto von RansomHub.“

Schematischer Überblick über die Verbindungen zwischen Medusa, RansomHub, BianLian und Play , Bild: ESET

EDR-Killer: Maßgeschneidertes Tool gegen Sicherheitssoftware im Einsatz

Eine zentrale Rolle spielt ein gefährliches, besonders perfides Tool: EDRKillShifter. Dabei handelt es sich um einen sogenannter EDR-Killer (Endpoint-Detection-&-Response), der gezielt Sicherheitslösungen auf kompromittierten Rechnern ausschaltet. Hierzu missbraucht die Schadsoftware einen fehlerhaften Treiber im System des Zielgeräts. Unternehmen, die ESET Lösungen nutzen, sind vor solchen EDR-Killern sicher.

EDRKillShifter – Werkzeug wurdevon RansomHub selbst entwickelt

Entwickelt wurde das Werkzeug von RansomHub selbst, was eine Seltenheit im Bereich der RaaS-Angebote ist. Es wird den Partnern der Gruppe bereitgestellt, um Sicherheitsmaßnahmen gezielt auszuhebeln. Laut ESET findet der EDRKillShifter mittlerweile auch in Angriffen anderer Ransomware-Gruppen wie Play, Medusa und BianLian Verwendung.

Die Verbindung zwischen diesen Gruppen ist ein brisanter Befund. „Es ist bekannt, dass einige Affiliates – also Partner, die im Auftrag der Betreiber arbeiten – gleichzeitig für mehrere Gangs aktiv sind. Dass sie intern entwickelte Tools gruppenübergreifend einsetzen, zeigt: Selbst in der Welt der Ransomware gibt es keine vollständige Abschottung“, so Souček weiter.

Ransomware als Geschäft – mit ungewöhnlichen Geschäftsmodellen

Wie jede aufstrebende RaaS-Gruppe mussten auch in diesem Fall Partnerangeworben werden, die die Dienste der Gruppe anmieten. Die Gruppe rekrutierte seine ersten Partner Anfang 2024 über das russischsprachige RAMP-Forum, nur acht Tage bevor die ersten Opfer gemeldet wurden. Auffällig: Partner dürfen die gesamte Lösegeldsumme behalten – lediglich eine freiwillige Beteiligung von zehn Prozent wird an die Entwickler erwartet. Ein Vertrauensmodell, das in der Cybercrime-Szene als ungewöhnlich gilt.

Ungewöhnlich ist zudem, dass einzelne Akteure von RansomHub gleichzeitig für drei rivalisierende Banden arbeiten: Play, Medusa und BianLian. Eine plausible Erklärung hierfür ist, dass vertrauenswürdige Mitglieder von Play und BianLian nebenbei mit anderen Gruppen wie RansomHub zusammenarbeiten und dabei Werkzeuge, die sie dort erhalten, auch für ihre eigenen Angriffe verwenden.

Angriffe auf Ziele in Russland, Nordkorea, China und Kuba sind bei RansomHub untersagt – ein Muster, das auf politische Rücksichten oder geografische Ursprünge hinweist. ESET sieht in RansomHub keinen bloßen Nachfolger von LockBit, sondern einen neuen Schlüsselakteur, der das Machtgefüge im Ransomware-Markt neu ordnet – mit eigener Toolentwicklung, aggressiver Partnerpolitik und zunehmender Sichtbarkeit.

Weitere Informationen zum Thema:

welivesecurity by ESET
RansomHubs EDRKillShifter: Ein Werkzeug geht auf Reisen