[datensicherheit.de, 24.08.2025] Der aktuelle „Financial Sector Threats Report“ von KnowBe4 liefert als zentrale Erkenntnis, dass Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen sind als andere Branchen. Besonders kritisch ist demnach, dass 45 Prozent der Mitarbeiter großer Banken in Simulationen auf gefährliche Links klicken – vor allem im Kontext solcher durch Künstliche Intelligenz (KI) unterstützten Phishing-Kampagnen.

Abbildung: KnowBe4

Der aktuelle „Financial Sector Threats Report“ mit besorgniserregenden Erkenntnissen

KnowBe4-Bericht liefert wichtige Erkenntnisse über eskalierende Cybersicherheitskrise im globalen Finanzsektor

KnowBe4 hat die neueste Ausgabe des eigenen Forschungsberichts „Financial Sector Threats Report” veröffentlicht. Dieser Bericht soll wichtige Erkenntnisse über die eskalierende Cybersicherheitskrise im globalen Finanzsektor liefern.

• Dieser Report zeige, dass Finanzinstitute einem „perfekten Sturm“ aus KI-gestützten Angriffen, Diebstahl von Zugangsdaten und Schwachstellen in der Lieferkette ausgesetzt seien. Diese stellten systemische Risiken für die globale Finanzbranche dar.

Die zugrundeliegende Untersuchung habe ergeben, „dass 97 Prozent der großen US-Banken im Jahr 2024 Sicherheitsverletzungen durch Dritte erlitten haben“. Gleichzeitig hätten gezielte Angriffe auf Finanzinstitute im Vergleich zum Vorjahr um 109 Prozent zugenommen.

KnowBe4-Bericht beschreibt, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten

Besonders besorgniserregend sei, „dass Tests in großen Finanzinstituten ergaben, dass rund 45 Prozent der Mitarbeiter wahrscheinlich auf einen bösartigen Link klicken oder eine infizierte Datei herunterladen würden“. Dadurch würden Angriffspunkte für Bedrohungsakteure geschaffen.

• Der Bericht hebe hervor, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten, um überzeugendere Phishing-Kampagnen zu erstellen. Gleichzeitig entfernten sie sich von der traditionellen Ransomware-Verschlüsselung und wendeten sich Daten-Exfiltration und mehrstufigen Erpressungsschemata zu.

Dadurch könnten Angreifer legitime Anmeldedaten verwenden, was die Erkennung erheblich erschwere. Laut Berichten der Federal Reserve Bank of New York könnte bereits eine eintägige Unterbrechung der Zahlungsverkehrsdienste großer Banken 38 Prozent der Netzwerkbanken weltweit beeinträchtigen.

Die wichtigsten Erkenntnisse des aktuellen KnowBe4-Berichts:

• 97 Prozent der größten US-Banken seien 2024 von Sicherheitsverletzungen durch Dritte betroffen gewesen, während 100 Prozent der führenden Finanzunternehmen in Europa Sicherheitsverletzungen durch Lieferanten erlitten hätten. Dies mache die Schwachstellen in den „Ökosystemen“ der Anbieter deutlich.
• Die Analyse von über drei Millionen Beiträgen im sogenannten DarkWeb zeige, dass gestohlene Zugangsdaten den Diebstahl von Kreditkartendaten bei Weitem überträfen. Die Versuche, „Infostealer“ zu installieren, hätten im Jahr 2024 um 58 Prozent zugenommen, wobei 68 Prozent der Angriffe über E-Mails erfolgt seien.
• 60 Prozent aller Ransomware-Angriffe auf Finanzinstitute entfielen auf die USA. Zusammen mit Großbritannien machten sie über 70 Prozent der Angriffe aus. Die Aktivitäten in den aufstrebenden Märkten Südasiens und Lateinamerikas nähmen zu.
• Zu Beginn liege die „Phish-Prone Percentage“ (PPP) bei großen Finanzinstituten bei 44,7 Prozent. Durch gezielte „Awareness“-Schulungen lasse sich dieser Wert jedoch auf unter fünf Prozent senken.

Kampf zwischen Cyberangreifern und potenziellen Opfern auf menschlicher Ebene

„Die Gegner verschaffen sich einen Vorteil gegenüber dem Finanzsektor“, erläutert James McQuiggan, „Security Awareness Advocate“ bei KnowBe4. Herkömmliche Abwehrmaßnahmen reichten nicht mehr aus.

• Die Angreifer hätten erkannt, dass der Diebstahl gültiger Anmeldedaten effektiver sei als Ransomware, da sie sich so unentdeckt bewegen könnten.

McQuiggan unterstreicht abschließend: „Der Kampf findet auf menschlicher Ebene statt: Finanzinstitute müssen das Risikomanagement für ihre Mitarbeiter priorisieren, um diese kritische Sicherheitslücke zu schließen!“

Weitere Informationen zum Thema:

knowbe4
About US /KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day.

KnowBe4, 2025
Financial Sector Threats: The Shifting Landscape

knowbe4, Human Risk Management Blog
James McQuiggan – Security Awareness Advocate

FEDERAL RESERVE BANK of NEW YORK, Thomas M. Eisenbach & Anna Kovner & Michael Junho Lee, Mai 2021
Cyber Risk and the U.S. Financial System: A Pre-Mortem Analysis

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyberangriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

[datensicherheit.de, 25.02.2025] Eine weltweite Studie von Omdia hat ergeben, dass 80 Prozent der Fertigungsunternehmen im letzten Jahr einen erheblichen Anstieg an Sicherheitsvorfällen oder -verletzungen insgesamt zu verzeichnen hatten, aber nur 45 Prozent in Bezug auf ihre Cybersicherheit angemessen vorbereitet sind.

Befragung unter mehr als 500 Führungskräften

Omdia befragte weltweit über 500 Führungskräfte aus dem Technologiebereich zur Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT) – oder physischen Systemen – in ihren Kerngeschäften und wie sie mit den Herausforderungen der Cybersicherheit umgehen und auf Cyberangriffe vorbereitet sind. Der Bericht für die Studie wurde in Zusammenarbeit mit Telstra International, dem globalen Unternehmensbereich des führenden Telekommunikations- und Technologieunternehmens Telstra, erstellt.

Cyberangriffen – Geänderte Rahmenbedinungen erhöhen das Risiko

Das erhöhte Risiko von Cyberangriffen entsteht, da Produktionsbetriebe dazu übergehen, IT-Ressourcen wie Cloud, KI und Internet der Dinge (IoT) als Teil ihrer digitalen Transformation zu nutzen – ein Prozess, der als Industrie 4.0 definiert wird. Die Konvergenz von IT und traditioneller OT kann zwar die Skalierbarkeit, Resilienz und Effizienz des Betriebs erhöhen, vergrößert aber auch die Angriffsfläche für Cyber-Bedrohungen. Kritische Branchen sind zunehmend lukrative Ziele für Cyberangriffe, einschließlich Ransomware.

Produktionsbetriebe, die von einem Cyberangriff betroffen waren, berichteten, dass ein Problem mit der Ausfallsicherheit oder Verfügbarkeit im Einzelfall zwischen 200.000 und zwei Millionen US-Dollar kosteten. Die größten Schäden entstanden, wenn Vorfälle Unternehmens- und Konzernsysteme oder die Produktionssteuerung betrafen.

Geraldine Kor, Head of Global Enterprise Business bei Telstra International, sagt: „Eine größere Konnektivität zwischen IT und OT ist notwendig, um fortschrittliche Technologien für Innovationen in der Produktion zu nutzen, aber sie erhöht auch die Risiken einer Sicherheitsverletzung.“ Allerdings seien nur wenige Unternehmen bei Schutz und Abwehr von Cyberrisiken ausreichend vorbereitet.

„Unsere Studie hat auch eine fragmentierte Herangehensweise bei der Sicherheitsverantwortung aufgedeckt, die dazu führen kann, dass Produktionsbetriebe keine klare Ausrichtung haben. Die Zuständigkeiten müssen eindeutig und einheitlich sein, so dass eine Gruppe oder Person die Befugnis hat, auf die Sicherheitsherausforderungen für unternehmenskritische Systeme zu reagieren.  Ebenso wichtig sind die richtigen Mitarbeitenden und eine sicherheitsorientierte Unternehmenskultur, da ihr Fehlen die Sicherheitsbereitschaft beeinträchtigt und technische Herausforderungen verstärkt,“ so Kor weiter.

Ganesh Narayanan, Global Head of Cyber Security bei Telstra International, merkt an, dass sich das verarbeitende Gewerbe und andere Industriezweige traditionell auf Air Gapping für die Sicherheit verlassen. OT-Systeme sind dabei typischerweise physisch von den IT-Systemen des Unternehmens getrennt, um sie vor externen Bedrohungen zu schützen.

Dieser Ansatz ist jedoch angesichts der zunehmenden IT-OT-Konvergenz, die die Angriffsfläche erheblich vergrößert, nicht mehr haltbar.

Er serklärt: „Die Integration von IT und OT schafft einen enormen Wert für Unternehmen in allen Branchen, aber Unternehmen müssen sich mit den Risiken auseinandersetzen, um das Potenzial sicher auszuschöpfen. Unternehmen sollten der IT/OT- und IoT-Sicherheit in sechs Kernbereichen Priorität einräumen: Zusammenarbeit und Planung, Festlegung einer Strategie, Stärkung des technischen Fachwissens, Zuweisung von Verantwortung und Rechenschaftspflicht, Nutzung der richtigen Tools und Beschleunigung der Bereitschaft durch Standards.“

Adam Etherington, Senior Principal Analyst bei Omdia, sagt: „Unsere Studie beleuchtet kritische Angriffsvektoren und daraus abgeleitete Lektionen, und bietet aktuelle Ratschläge für alle Führungskräfte, die für IT und OT verantwortlich sind.

Eine umfassendere Konnektivität zwischen IT und OT ist für das Design und die Verbesserung von Produktionssystemen, sowohl in neuen (Greenfield) als auch in bestehenden (Brownfield) Anlagen.  Um Innovation, Verfügbarkeit, Sicherheit und Schutz schrittweise zu verbessern, müssen Unternehmen Cloud, IoT, KI und private Netzwerke nutzen, wobei die IT/OT-Konvergenz diese Technologien zum Leben erweckt.

Die meisten Unternehmen haben jedoch mit teuren Ausfällen und Sicherheitsvorfällen zu kämpfen, weil die traditionellen Sicherheitskontrollen, -richtlinien und -kulturen nicht Schritt halten können. Angesichts des Ausmaßes der Kosten für Ausfallzeiten aufgrund von Sicherheitsverletzungen oder Netzwerkvorfällen, die den Betrieb beeinträchtigen, ist es wichtig, die Ursachen besser zu verstehen, um proaktiv Abhilfe schaffen zu können.“

Weitere Infoirmationen zum Thema:

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion

Telstra International
Secure manufacturing: the challenges of IT/OT convergence

[datensicherheit.de, 30.11.2023] Tenable® betont heute, dass 44 % der Cyberangriffe, denen deutsche Unternehmen in den vergangenen zwei Jahren ausgesetzt waren, erfolgreich verliefen. Sicherheitsteams sind daher gezwungen, Arbeitszeit und Maßnahmen auf eine reaktive Eindämmung von Cyberangriffen zu fokussieren, anstatt diese schon im Vorfeld zu verhindern. Da weniger als die Hälfte (48 %) der deutschen Unternehmen davon überzeugt ist, die eigene Risikoexposition mithilfe ihrer Cybersecurity-Verfahren erfolgreich reduzieren zu können, besteht offenkundig Handlungsbedarf. Diese Ergebnisse basieren auf einer Studie unter 102 deutschen Cybersecurity- und IT-Führungskräften, die Forrester Consulting 2023 im Auftrag von Tenable durchgeführt hat.

Faktor Zeit spielt Sicherheitsteams nicht in die Karten

Aus der Studie wurde deutlich, dass der Faktor Zeit Sicherheitsteams nicht in die Karten spielt. Nahezu drei Viertel der Befragten (73 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde. Doch die Hälfte der Befragten (50 %) gibt an, dass das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt ist, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren.

Besonderte Risiken im Zusammenhang mit Cloud-Infrastrukturen

Besonders besorgt zeigten sich die Befragten über Risiken in Zusammenhang mit Cloud-Infrastrukturen, da dort die Korrelation von Nutzer- und Systemidentitäten, Zugang und Berechtigungsdaten äußerst komplex ist. Deutschland wurde bei der Nutzung von Cloud Computing als eines der wachstumsstärksten Länder Europas identifiziert, was sich auch in der Studie zeigt: Sieben von zehn Unternehmen (77 %) geben an, Multi-Cloud- und/oder Hybrid Cloud-Umgebungen einzusetzen. Dennoch führen 60 % der Befragten Cloud-Infrastruktur als einen der Bereiche mit dem größten Cyberrisiko in ihrem Unternehmen an. Der Reihe nach geordnet entstehen die größten wahrgenommenen Risiken aus der Nutzung von Multi-Cloud- und/oder Hybrid Cloud-Infrastruktur (24 %), Public Cloud-Infrastruktur (22 %) und Private Cloud-Infrastruktur (15 %).

Genaues Bild der Angriffsoberfläche fehlt

Cyber-Experten zufolge ist eine reaktive Haltung zum größten Teil darauf zurückzuführen, dass ihre Teams Schwierigkeiten haben, sich ein genaues Bild von ihrer Angriffsoberfläche zu machen, inklusive Einblick in unbekannte Assets, Cloud-Ressourcen, Code-Schwachstellen und Systeme für Benutzerberechtigungen. Die Komplexität von Infrastruktur – und die damit verbundene Abhängigkeit von mehreren Cloud-Systemen, zahlreichen Tools zur Verwaltung von Identitäten und Berechtigungen sowie verschiedenen Assets mit Internetanbindung – hat zur Folge, dass es an diversen Stellen zu Fehlkonfigurationen und übersehenen Assets kommen kann. Mehr als die Hälfte der Befragten (62 %) führen an, dass mangelnde Datenhygiene sie daran hindert, hochwertige Daten aus Systemen für Benutzer- und Zugriffsmanagement sowie aus Schwachstellen-Management-Systemen zu gewinnen. Die meisten Befragten (71 %) geben zwar an, Benutzeridentitäten und Zugriffsrechte zu berücksichtigen, wenn sie Schwachstellen für Patching- und Behebungsmaßnahmen priorisieren. Doch 52 % erklären, dass es ihrem Team an einer effektiven Möglichkeit fehlt, solche Daten in ihre präventiven Cybersecurity- und Exposure-Management-Verfahren einzubinden.

Cybersecurity – Mangelnde Kommunikation verschäft die Situation

Ein Mangel an Kommunikation auf höchster Ebene verkompliziert und verschärft das Cybersecurity-Problem in Unternehmen. Während Angreifer Umgebungen fortlaufend unter die Lupe nehmen, finden Meetings zu geschäftskritischen Systemen bestenfalls in monatlichen Abständen statt. Knapp über die Hälfte der Befragten (54 %) trifft sich eigenen Angaben zufolge monatlich mit Geschäftsverantwortlichen, um zu erörtern, welche Systeme geschäftskritisch sind. Bei 17 % finden solche Besprechungen jedoch nur einmal im Jahr und bei 2 % überhaupt nicht statt.

„Deutsche Unternehmen standen der Nutzung von Cloud-Technologie in der Vergangenheit eher zurückhaltend gegenüber. Doch dies hat sich in den letzten Jahren drastisch geändert, wie unsere Studie bestätigt. Angesichts der immer komplexer werdenden Angriffsoberfläche muss sich etwas ändern, um die Flut an erfolgreichen Angriffen aufzuhalten“, so Roger Scheer, Regional Vice President of Central Europe. „Sicherheitsteams haben erkannt, dass ein präventiver Sicherheitsansatz weitaus effektiver ist als ein reaktiver. Doch sie sind überfordert von der schieren Menge an Cyberangriffen, die es für einen solchen Fokuswechsel zu bewältigen gilt. Der deutsche Digitalverband Bitkom gab vor kurzem bekannt, dass Cyberkriminalität die deutsche Wirtschaft im Jahr 2023 insgesamt 206 Milliarden € kosten wird. Um den Ansturm erfolgreicher Cyberangriffe aufzuhalten, sind Veränderungen notwendig. Sicherheitsverantwortliche müssen frühzeitiger in unternehmerische Entscheidungen auf höchster Ebene eingebunden werden, wie etwa in Strategien der Cloud-Bereitstellung, damit das Team nicht überrumpelt wird. Funktionsübergreifende Zusammenarbeit verbunden mit ganzheitlicher Transparenz über die Infrastruktur des Unternehmens ist notwendig, um auftretende Risiken effektiv und effizient zu reduzieren und Cyberangriffe schon im Vorfeld zu unterbinden.“

Ein Whitepaper mit weiteren Ergebnissen aus der Studie ist verfügbar. Es zeigt unter anderem auf, wie Unternehmen die Herausforderungen bewältigen und von einer reaktiven Sicherheitsaufstellung zu einem präventiven Ansatz übergehen können.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2023
Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit

[datensicherheit.de, 23.08.2021] KnowBe4, Anbieter einer weltweit verfügbaren Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, hat anlässlich des Cybersecurity Awareness Month im Oktober ein Ressourcenpaket veröffentlicht.

Kostenlose Schulungsvideos

Das KnowBe4-Ressourcenpaket für den Cybersecurity Awareness Month enthält einen Leitfaden für das Paket und Kampagnenideen, die IT-Administratoren den Einstieg erleichtern. Zudem einen wöchentlichen Schulungsplan, zwei kostenlose Schulungsvideos, Infografiken, Tippblätter und Desktop-Hintergründe. Die beiden kostenlosen Schulungsvideos – „Your Role: Internet Security and You“ und „2021 Social Engineering Red Flags“ – sind in verschiedenen Sprachen verfügbar.

Foto: KnowBe4

„Diese Cybersecurity-Ressourcen, die wir IT-Administratoren anbieten, sollen sie bei ihren Schulungsplänen und anderen Initiativen zur Förderung des Sicherheitsbewusstseins im Oktober unterstützen“, sagt Stu Sjouwerman, CEO von KnowBe4. „Böswillige Akteure lassen bei ihren Angriffen auf alle Bereiche – von kritischen Infrastrukturen bis hin zu kleinen Unternehmen – nicht nach. Daher müssen Unternehmen ihre Mitarbeiter schulen, indem sie sie über die neuesten Bedrohungen und Angriffsvektoren aufklären. Der Cybersecurity Awareness Month ist eine Initiative, bei der wir unsere Bemühungen auf den Monat Oktober konzentrieren können, während wir gleichzeitig das ganze Jahr über unsere Organisationen besser schützen.“

Motto des Cybersecurity Awareness Month 2021: „Do Your Part. #BeCyberSmart“

Das Thema des diesjährigen Cybersecurity Awareness Month 2021 der National Cybersecurity Alliance lautet „Do Your Part. #BeCyberSmart“. Das Thema soll Einzelpersonen und Organisationen ermutigen, eine entscheidende Rolle beim Schutz ihres Teils des Cyberspace zu spielen. Jeder kann seinen Teil dazu beitragen, unsere vernetzte Welt für alle sicherer und widerstandsfähiger zu machen, indem er stärkere Sicherheitspraktiken einführt, das Bewusstsein der Gemeinschaft schärft, gefährdete Zielgruppen aufklärt oder Mitarbeiter schult.

Weitere Informationen zum Thema:

KnowBe4
Ressourcenpaket für den Cybersecurity Awareness Month 2021

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt

[datensicherheit.de, 22.01.2021] Den Ermittlungsergebnissen von NSA und FBI zufolge lässt sich der gezielte Angriff auf den texanischen IT-Dienstleister Solarwinds auf russische Urheber zurückverfolgen. Diese haben ein Update einer Netzwerk-Management-Software von SolarWinds manipuliert, welches weltweit von vielen staatlichen Behörden und Betreibern kritischer Infrastruktur genutzt wird. Auch deutsche Behörden, darunter 16 Ministerien und Bundesämter, sind einer Untersuchung zufolge davon betroffen. Der Digitalexperte der FDP Manuel Höferlin, der die Anfrage an die Bundesregierung stellte, die zur erwähnten Untersuchung geführt hatte, spricht daher auch vom „massivsten Angriff auf die westliche Welt seit Jahrzehnten“.

Lessons learned für Unternehmen und Behörden aus dem Solarwinds-Hack

Die Ermittlungen sind derzeit noch in vollem Gange. Es ist jedoch davon auszugehen, dass es sich bei dem Hack um eine Spionageaktion handelt, die nicht auf Manipulation oder Vernichtung von Daten abzielte. Vielmehr sollte ein Zugang zu Geheiminformationen erlangt werden, möglichst unentdeckt und lange beständig. Bei einer solchen Vorgehensweise ist es besonders schwierig, die Eindringlinge zu entdecken, da sie sich äußerst vorsichtig und unauffällig im System bewegen und darauf bedacht sind, keinen Alarm auszulösen. Auf diese Weise kann die Hintertür einer Schwachstelle lange Zeit verschleiert werden, was einen längeren Zugriff auf interne Daten der Opfer verspricht. Ist die Sicherheitslücke nämlich erst einmal entdeckt worden, kann sich der Softwarehersteller umgehend um die Behebung kümmern und einen Hotfix an alle Kunden ausspielen, um somit die Datenspione wieder vor die Tür zu setzen.

Christoph Volkmer, VP DACH bei Tanium, © Tanium

Für Firmen ist es von existenzieller Bedeutung, alle im Unternehmen genutzten Applikationen und digitalen Dienstleistungen im Blick zu behalten und stets zu wissen, auf welchen Endgeräten möglicherweise veraltete Versionen oder Sicherheitsupdates installiert sind. Veraltete Endgeräte sind das Haupteinfallstor für Cyberkriminelle, um sich einen nachhaltigen Zugang zur IT-Infrastruktur zu sichern.

Ist das Ziel der Hacker, wie im Fall von Solarwinds, sich unbemerkt und langfristig im Netzwerk von Behörden und Unternehmen einzunisten, so ist es ohne lückenlose Sichtbarkeit aller IT-Assets nahezu unmöglich den Eindringling zu entdecken.

Denn es reicht schon ein einzelner Firmenlaptop mit veralteten Softwareversionen, um die Integrität der IT-Sicherheit in der gesamten Organisation zu kompromittieren.

Lückenloses Update-Management ist die beste Waffe im Kampf gegen Schwachstellen

Um Lückenlosigkeit in der firmeninternen IT-Sicherheitsstrategie zu gewährleisten, ist es von äußerster Wichtigkeit, alle Endpunkte und deren Update-Status jederzeit überblicken zu können. Eine agentenbasierte Lösung ist hierbei die beste Wahl, da sie zum einen jeden Endpunkt in Echtzeit kontrollieren kann und zum anderen eine signifikante Steigerung der Reaktionsgeschwindigkeit und Agilität im Vergleich zu zentralisierten Update-Strategien bietet. Nur ein Rechner, der sichtbar ist, kann auch auf veraltete Software hin kontrolliert werden. Nur ein Laptop, der wenige Minuten nach Launch eines Sicherheitsupdates gepatcht wird, verhindert eine unbemerkt klaffende Sicherheitslücke, die im schlimmsten Fall existenzbedrohende Ausmaße annehmen kann – für die eigene Organisation sowie auch deren Kunden und Partner gleichermaßen.

Besonders wenn öffentliche Einrichtungen und Unternehmen der kritischen Infrastruktur eines Landes betroffen sind, dürfen bei der IT-Sicherheit keine Kompromisse eingegangen und keine notwendigen Kosten gescheut werden. Bei der Reaktion auf solche Cyberangriffe ist Entschlossenheit und Geschwindigkeit oberstes Gebot. Man spielt kein Russisch Roulette, wenn es möglicherweise um die Sicherheit eines ganzen Landes und die Gesundheit seiner Bevölkerung geht.

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2020
EMA: Europäische Arzneimittelagentur gehackt

[datensicherheit.de, 07.01.2021] Check Point Research maß die Zunahme von Cyberangriffe gegen Krankenhäuser in den letzten zwei Monaten in Prozent. Stärker als in Deutschland mit 220 Prozent war der Anstieg nur in Kanada mit 250 Prozent zu verzeichnen. Bereits der dritte Platz, Spanien, liegt weit dahinter mit einem Anstieg um 100 Prozent.

Abbildung 1: Anstieg der Attacken im Gesundheitsbereich nach Ländern, Bild: Check Point Software Technologies Ltd.

Außerdem war Zentraleuropa von allen gemessenen Regionen mit 145 Prozent am stärksten betroffen. Weltweit stieg die Zahl der Angriffe gegen Krankenhäuser um 45 Prozent. Alle anderen Sektoren der Weltwirtschaft zusammen ergeben dagegen nur einen Anstieg um 22 Prozent.

Abbildung 2: Anstieg der Attacken im Gesundheitsbereich nach Regionen der Welt, Bild: Check Point Software Technologies Ltd.

Hauptsächlich sahen die Sicherheitsforscher verschiedene Ransomware als Waffe im Einsatz, darunter Ryuk und Sodinokibi. Hinzu kommen Angriffe durch Bot-Netze, Remote Code Execution (Ausführung von Schad-Code über Fernzugriff) und DDoS-Attacken, um Systeme lahm zu legen.

Anzeichen bevorstehender Cyberangriffe erkennen

Aufgrund der vielen Ransomware raten die Sicherheitsforscher allen Unternehmen danach, die ersten Anzeichen für eine bevorstehende Attacke zu erkennen und daher nach Trojaner im Netzwerk zu suchen. Diese können das Unternehmen aushorchen und Hintertüren öffnen, um den Angriffsweg zu ebenen. Sie weisen weiter darauf hin, dass Ransomware-Attacken im vergangenen Jahr vornehmlich am Wochenende und während der Ferien durchgeführt wurden. Entsprechend muss die Sicherheitsstrategie angepasst sein. Zusätzlich gibt es mittlerweile spezialisierte Anti-Ransomware-Sicherheitslösungen und ganze IT-Sicherheitsarchitekturen, die eine Reihe von Gegenmaßnahmen zentral steuern. Die Schulung der Mitarbeiter und Fachkräfte durch spezielle Kurse an Akademien darf außerdem nicht vernachlässigt werden. Schließlich hilft es gerade Krankenhäusern, die auf ihre Systeme oft keinen Patch einspielen können, weil sonst alle Maschinen angehalten werden müssten, ein sogenanntes Intrusion Prevention System (IPS) zu nutzen, wodurch Patches sich virtuell einspielen lassen. Auf diese Weise kommen die Einrichtungen doch in den Genuß der Verbesserungen durch das Update.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, führt zu den Ergebnissen aus: „Es ist kein Wunder, dass derzeit die Angriffe gegen und Erpressungen von Krankenhäusern so stark zunehmen: In vielen Fällen können Kriminelle so schnelles Geld verdienen. Den Einrichtungen kommt nicht nur eine wichtige Rolle an sich zu, sondern, wegen der Corona-Krise, auch viel Aufmerksamkeit. Wird eine Lösegeldforderung durch eine Ransomware, die kritische Systeme des Krankenhauses lahm legt, gestellt, so können Leben von Patienten auf dem Spiel stehen. Darum neigen diese Einrichtungen natürlich stärker dazu, den Forderungen nachzugeben und zu bezahlen. Der vermehrte Einsatz der Ransomware Ryuk lässt außerdem darauf schließen, dass gezielte Attacken beliebter sind, als breit angelegte Spam-Kampagnen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender

Check Point Software
Attacks targeting healthcare organizations spike globally as COVID-19 cases rise again

[datensicherheit.de, 14.07.2020] KnowBe4, Anbieter einer Plattform für Security Awareness Trainings und simuliertes Phishing, veröffentlicht die Ergebnisse seiner Umfrage „2020 What keeps you up at Night“. Die Studie wurde vom Marktforschungsinstitut Innofact AG im Februar 2020 mit 300 B2B-IT-Entscheidern durchgeführt. Die Zahlen zeigen, dass es innerhalb deutscher Unternehmen eine Reihe gemeinsamer Themen gibt, die mit dem Wandel von Cyberangriffen, der Verfügbarkeit von Sicherheitslösungen und dem wachsenden Druck zur Einhaltung von Compliance-Vorschriften zusammenhängen. Im Durchschnitt waren 51 Prozent der Unternehmen in gewissem Maße besorgt über ein im Fragebogen angesprochenes Sicherheitsproblem. Trotz dieser Tatsachen antwortete nur etwa die Hälfte (47 Prozent) der Befragten, dass ihr Unternehmen ein Security Awareness Training anbietet.

Die wichtigsten Eckdaten der Umfrage sind:

• Unachtsame Nutzer spielen eine entscheidende Rolle bei der Frage, ob deutsche Unternehmen im Bereich IT-Security besorgt sind. Die Sorge vor Cyberangriffen in diesem Zusammenhang ist um durchschnittlich 206 Prozent angestiegen.
• Ransomware führt die Liste der Angriffstypen an, wobei 63 Prozent der deutschen Unternehmen eine gewisse Besorgnis zu dieser Angriffsart zum Ausdruck bringen.
• Trotz der Problematik „unachtsame Benutzer“ haben lediglich 47 Prozent der befragten Unternehmen Security Awareness Trainings im Einsatz.
  Dreizehn verschiedene Arten von Cyberangriffen bereiten durchschnittlich 59 Prozent der deutschen Unternehmen Sorgen.
• Die Einhaltung der Compliance-Vorgaben ist für 48 Prozent der Unternehmen nach wie vor eine Herausforderung, obwohl die Einzelheiten der Richtlinien schon seit geraumer Zeit bekannt sind.
• Die Personalbeschaffung in den Bereichen Sicherheit und IT scheint für 60 Prozent der Unternehmen eine Herausforderung zu bleiben, herbeigeführt durch unzureichende Budgets und mangelnde Unterstützung der Unternehmensführung.
  Sicherheitsstrategie und Sicherheitskultur

Sicherheitsstrategie und Sicherheitskultur sind zwar vorhanden, aber es bedarf noch weiterer Bemühungen. Durchschnittlich 49 Prozent der Befragten gaben an, dass sie an Sicherheitsinitiativen arbeiten oder damit beginnen müssen, und 59 Prozent von ihnen verfügen noch gar nicht über eine ausgereifte Sicherheitsstrategie.

Die mit Abstand größte Sorge von IT-Führungskräften stellt der Benutzer selbst dar. 71 Prozent der IT-Entscheidungsträger sind besonders besorgt über das Risiko, dass Benutzer Passwörter mehrfach nutzen, und 67 Prozent sind besorgt über unachtsame Benutzer im Allgemeinen. Die Benutzer müssen zunächst ihre Rolle in der Sicherheitsstrategie des Unternehmens verstehen und dann lernen, Phishing-Angriffe, das Klicken auf unsichere Links, die Angabe von Zugangsdaten für gefälschte Websites und die mehrfache Nutzung von Passwörtern zu unterlassen. Das alles beginnt mit dem Etablieren einer Sicherheitskultur.

Detlev Weise, Senior Adviser, Bild: KnowBe4

„Unternehmen können die neuesten Sicherheitslösungen einführen und Millionen für das IT-Budget ausgeben, aber wenn ihre Mitarbeiter immer noch auf jeden Link klicken, der in ihren Posteingang kommt, dann bringt das alles nichts. Da nur 47 Prozent der Befragten angeben, dass sie ein Security Awareness Training im Einsatz haben, wird diese Situation nicht rechtzeitig bewältigt werden können. Unternehmen aller Größen müssen Security Awareness Trainings einführen und sollten ihre Benutzer regelmäßig auf die Erkennung von Phishing-Mails schulen, um das Gefahrenbewusstsein der Mitarbeiter zu schärfen und Sicherheit als Teil ihrer Arbeitsaufgaben und Unternehmenskultur zu integrieren. Nicht oder nicht ausreichend geschulte Anwender stellen eine potenzielle Bedrohung für ihr Unternehmen dar. Das muss sich ändern: Die Mitarbeiter sollten die erste und stärkste Verteidigungslinie im Unternehmen darstellen“, erläutert Detlev Weise, Senior Adviser bei KnowBe4.

Weitere Informationen zum Thema:

KnowBe4
WHAT KEEPS YOU UP AT NIGHT – REPORT 2020

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

[datensicherheit.de, 26.06.2020] Die Serie von Ransomware-Angriffen, die auf deutsche Unternehmen und Endanwender gleichermaßen abzielen, reißt nicht ab. Bereits in den vergangenen Wochen kam es nach Erkenntnissen von Proofpoint zu mehreren Cyberangriffen in Deutschland, bei denen als Schadsoftware Ransomware zum Einsatz kam. Die Experten bei Proofpoint waren nun in der Lage, eine neue Ransomware-Kampagne in Deutschland zu identifizieren, die als Köder auf eine gefälschte E-Mail im Namen der Bundesregierung setzt. Dabei kommt die Ransomware „Philadelphia“ zum Einsatz. Darüber hinaus gab Proofpoint heute bekannt, dass neben der aktuellen Angriffswelle in Deutschland auch andere Länder und Regionen derzeit mit Ransomware-Kampagnen zu kämpfen haben – im Unterschied zu den Attacken hierzulande werden dabei jedoch Verschlüsselungstrojaner der Ransomware-Familien Avaddon und Mr. Robot verbreitet.

Zahlreiche Ransomware-Kampagnen in Deutschland

Erst Anfang dieser Woche teilte das US-Cybersicherheitsunternehmen Proofpoint mit, dass es eine Ransomware-Attacke auf deutsche Unternehmen und Verbraucher entdeckt hatte. Die Ransomware Hakbit sollte mittels vermeintlicher Rechnungen von 1&1 die PCs der potenziellen Opfer bei der Attacke in Deutschland verschlüsseln. Jetzt konnten die IT-Sicherheitsspezialisten hierzulande eine neue Kampagne von Ransomware-Angriffen aufdecken, bei der Cyberkriminelle versuchen, die Philadelphia-Ransomware zu verbreiten.

Cyberkriminelle mit gefälschter E-Mail

In der aktuellen Kampagne fälschen die Cyberkriminellen eine E-Mail, die angeblich im Namen der Bundesregierung an deutsche Unternehmen versendet wurde. Am Kopf der E-Mail prangt ein gefälschtes Logo der Bundesregierung in englischer Sprache und als Absender nutzten die Hintermänner die Adresse „state [at] germany-government [dot] eu“, um ihrer E-Mail einen offiziellen Anschein zu geben. Die Kampagne adressiert vor allem deutsche Unternehmen aus dem verarbeitenden Gewerbe sowie die Lebensmittel- und Getränkeindustrie.

Aufmerksamkeit gefragt

Aufmerksame Empfänger können durchaus erkennen, dass es sich bei der E-Mail nicht um eine offizielle Nachricht der Bundesregierung handelt. Allerdings kann der Betreff der Mail dennoch den ein oder anderen durch die COVID-19-Pandemie besorgten Unternehmer zu einem vorschnellen Klick auf den enthaltenen Link verleiten. Denn als Betreff wählten die Angreifer: „Die Entscheidung, Ihr Unternehmen aufgrund von COVID-19 zu schließen“ (siehe Abbildung).

Gefälschte E-Mail der Bundesregierung, Bild: Proofpoint

Wer nun aus Sorge oder Neugier auf den Link klickt, unter dem angeblich weitere Dokumente zum Vorgang heruntergeladen werden können, der erhält statt weiterführenden Informationen direkt den Verschlüsselungstrojaner Philadelphia. Sobald der PC des Opfers damit verschlüsselt wurde, wird der betroffene Nutzer aufgefordert, ein Lösegeld in Höhe von 200 Euro in Bitcoin zu entrichten, um seine Daten wieder freizugeben (siehe Abbildung 2). Interessant an der Entscheidung der Cyberkriminellen für den Verschlüsselungstrojaner Philadelphia ist insbesondere, dass dieser Ransomware-Typ seit fast drei Jahren in keiner Kampagne mehr zum Einsatz kam.

Lösegeldforderung der aktuellen Philadelphia-Ransomware, Bild Proofpoint

Laut Proofpoint illustriert aber auch ein weiterer Aspekt dieser Kampagne einen Paradigmenwechsel auf Seiten der Angreifer: Im Gegensatz zu Angriffen der vergangenen Jahre, bei denen Ransomware verwendet wurde, wird die Schadsoftware hier direkt als so genannte „First-Stage Payload“ eingesetzt. Seit 2018 war es unter Cyberkriminellen hingegen üblich, zunächst einen Downloader als initiale Payload zu verbreiten, die dann wiederum die Ransomware nachlud. Es wurden in der Folge kaum Angriffe beobachtet, bei denen Verschlüsselungstrojaner als direkte Payload Verwendung fanden.

Damit scheint es nun jedoch vorerst vorbei zu sein, denn diesen Trend konnte das Sicherheitsunternehmen auch bei aktuellen Ransomware-Kampagnen in anderen Ländern beobachten.

So war Proofpoint in der Lage, eine Ransomware-Kampagne zu identifizieren, bei der der Verschlüsselungstrojaner Avaddon vorwiegend in den USA verbreitet werden sollte. Auch hierbei lädt der ausgeführte Dateianhang mittels Powershell die Schadsoftware herunter und führt sie direkt aus. Im Rahmen der Angriffswelle mit Avaddon wurden zwischen dem 4. und 10. Juni dieses Jahres über eine Million E-Mails verschickt, davon allein 750.000 Nachrichten an einem Tag (6. Juni).

Darüber hinaus deckte Proofpoint eine weitere Kampagne auf, bei der ebenfalls ein Verschlüsselungstrojaner als initiale Payload diente. Hier handelte es sich um die Ransomware Mr. Robot, die zwischen dem 19. Mai und dem 1. Juni 2020 vorwiegend an US-Unternehmen aus den Bereichen Entertainment, dem produzierenden Gewerbe sowie dem Baugewerbe verschickt wurde. Als Köder dienten dabei Themen, die einen Bezug zu COVID-19 aufwiesen.

Die aktuellen Ransomware-Kampagnen verdeutlichen einmal mehr die Wandlungsfähigkeit von Cyberkriminellen. Während in den vergangenen Jahren vorwiegend andere Arten von Schadsoftware Verwendung fanden, scheint es nun unter den Angreifern wieder eine Rückbesinnung auf alte Angriffswerkzeuge zu geben. Auch die Art und Weise, wie die Opfer mit Malware infiziert werden sollen, befindet sich durch die Nutzung von Ransomware als First-Stage Payload offenbar im Wandel.

Weitere Informationen zum Thema:

Poofpoint
Ransomware as an Initial Payload Reemerges: Avaddon, Philadelphia, Mr. Robot, and More

datensicherheit.de, 24.05.2020
ZLoader: Malwareanalyse von Proofpoint belegt neue Variante

Ein Kommentar von Tim Wellsmore, Director, Mandiant Government Solutions, Asia Pacific bei FireEye

[datensicherheit.de, 21.06.2020] Die Meldung über die Cyberangriffe auf australische Institutionen ist eine besorgniserregende, aber nicht unerwartete Erinnerung an das Ausmaß der ernsthaften Cyberbedrohungen, die in diesem Land und in dieser Region auftreten. In Australien gab es in jüngster Zeit eine beträchtliche Anzahl aufsehenerregender Vorfälle. Dies ist ein weiterer Bericht über schwerwiegende Cyberbedrohungen.

Thema im Fokus nationaler Sicherheit

Der australische Premierminister sowie der Verteidigungsminister gehen mit dieser Art von Information nicht leichtfertig um. Die einheitliche Botschaft von ihnen lautet, dass es sich um staatlich geförderte Aktivitäten handelt, wodurch das Thema in den Fokus der nationalen Sicherheit rückt. Gegenwärtig gibt es beträchtliche geopolitische Spannungen, in die Australien verwickelt ist. Wir wissen, dass staatlich geförderte Cyber-Bedrohungsaktivitäten geopolitische Spannungen direkt abbilden. Daher ist es wahrscheinlich, dass die gemeldeten Aktivitäten und der Bericht der Regierung miteinander in Zusammenhang stehen.

FireEye kennt die gemeldeten Vorfälle und die Art der Ausnutzung von Systemen, die derzeit stattfinden. Wir haben aber nur wenige damit zusammenhängende Auswirkungen auf unseren Kundenstamm gesehen. Was wir jedoch sehen, ist, dass sich sowohl staatlich geförderte als auch kriminelle Cyber-Bedrohungsakteure immer mehr darauf konzentrieren, Common Vulnerabilities and Exposures (CVE’s) auszunutzen, und zwar kurz nachdem sie öffentlich bekannt gegeben wurden. Die Systeme der Opfer werden häufig nicht schnell genug gepatcht. Wir haben quasi täglich mit staatlich geförderten Bedrohungen gegen unsere Kunden zu tun.

Die im Bericht des Australian Cyber Security Centre der australischen Regierung zu diesem Thema enthaltenen Informationen sind sehr detailliert und bieten eine gute Orientierungshilfe. Sie dienen als rechtzeitige Mahnung für Unternehmen, damit diese bei ihren Cyber-Sicherheitsprogrammen – einschließlich der Verwendung von Patches und Multi-Faktor-Authentifizierung in ihren Netzwerken – Wachsamkeit walten lassen. Es ist leider zu erwarten, dass wir weiterhin eine Zunahme der Aktivitäten im Bereich der Cyberbedrohungen auch in Australien feststellen werden, da unsere Welt technologisch immer abhängiger wird.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
FireEye Insights: Aktuelle Ransomware-Trends 2020