[datensicherheit.de, 17.01.2026] Dr. Martin Krämer, „CISO Advisor“ bei KnowBe4, führt in seiner aktuellen Stellungnahme aus, dass Kleine und Mittlere Unternehmen (KMU) demnach zunehmend von Cybervorfällen betroffen sind und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ externe Angriffe deutlich effektiver macht. Laut einem aktuellen Bericht hätten 81 Prozent der KMU einen schädlichen Vorfall verzeichnet und 38 Prozent danach ihre Preise erhöht – dies unterstreiche die wirtschaftlichen und gesellschaftlichen Folgen von Cyberattacken auf den Mittelstand.

Foto: KnowBe4

Dr. Martin Krämer: Cyberangriffe sollen nicht nur erkannt, sondern auch organisatorisch abgefangen werden!

Zunahme des Missbrauchs KI-gestützter „Social Engineering“-Methoden

„Kleine und mittlere Unternehmen werden immer häufiger Ziel von Cyberangriffen. Sicherheits und Datenvorfälle sind für viele KMU inzwischen kein Ausnahmefall mehr, sondern ein Risiko, das im Alltag mitläuft“, so Krämer.

• Ein aktueller Bericht vom Identity Theft Resource Center zeige dies deutlich: 81 Prozent der KMU hätten im vergangenen Jahr – 2025 – einen Sicherheitsvorfall gehabt und 38 Prozent danach ihre Preise erhöht, um die Folgen abzufedern.

„Auffällig ist zudem, dass sich die Ursachen verschieben. Statt böswilliger Insider stehen häufiger externe Angreifer hinter den Vorfällen.“ Gleichzeitig setzten diese zunehmend auf KI-gestützte „Social Engineering“-Methoden.

Wesentlicher Effekt cyberkrimineller KI-Nutzung Entwicklung liegt in steigender Qualität täuschender Inhalte

Ein wesentlicher Effekt dieser Entwicklung liege in der steigenden Qualität täuschender Inhalte. Klassische Warnsignale wie Tippfehler, holprige Formulierungen oder offensichtlich unpassende Tonalität verlören an Aussagekraft.

• Angriffe könnten dadurch glaubwürdiger wirken, sich stärker an Kommunikationsstile anpassen und in größerem Maßstab ausgespielt werden.

Krämer warnt: „Der Vorteil, den Insider bislang durch ihre Kenntnis interner Prozesse, Hierarchien und Gepflogenheiten hatten, lässt sich so zunehmend auch von externen Akteuren nachbilden.“

Wirtschaftlichen Folgen solcher mittels KI inszenierter Vorfälle ebenfalls spürbar

Für Unternehmen bedeutet das laut Krämer vor allem eines: „,Security Awareness’ muss sich weiterentwickeln! Schulungen, die primär auf offensichtliche Merkmale von Phishing und Betrugsversuchen setzen, reichen in diesem Umfeld weniger aus. Der Fokus sollte stärker auf Verifikation, klaren Freigabeprozessen und der Fähigkeit liegen, ungewöhnliche oder besonders dringliche Anfragen konsequent zu prüfen.“

• Auch Hinweise auf KI-generierte Inhalte könnten eine Rolle spielen, etwa subtile visuelle Artefakte bei manipulierten Videos, fehlende emotionale Nuancen bei geklonten Stimmen oder eine auffällig perfekte Sprache in E-Mails.

Die wirtschaftlichen Folgen solcher Vorfälle seien ebenfalls spürbar: „Ein Teil der betroffenen Unternehmen sieht sich gezwungen, die Preise zu erhöhen, um die Kosten der Vorfälle abzufedern.“

KMU im cyberkriminellen KI-Visier unter operativem und finanziellem Druck

Die ernste Bedrohungslage und das immer professioneller werdende „Social Engineering“ erhöhten für KMU den operativen und finanziellen Druck. Neben unmittelbaren Kosten für Schadensbegrenzung, Wiederanlauf und Kommunikation könnten Folgewirkungen wie Preisanpassungen zum Faktor werden und die Wettbewerbsfähigkeit belasten.

• Gleichzeitig steige das Risiko, dass täuschend echte Inhalte interne Abläufe aushebeln könnten, etwa durch vermeintlich dringende Anfragen oder glaubwürdig wirkende Freigaben.

Krämers Fazit: „Für KMU wird damit entscheidend, ,Security Awareness’, Verifikationsroutinen und klare Prozessregeln so auszubauen, dass Angriffe nicht nur erkannt, sondern auch organisatorisch abgefangen werden!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Infosecurity Magazine, Phil Muncaster, 11.12.2025
“Cyber Tax” Warning as Two-Fifths of SMBs Raise Prices After Breach

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 10.06.2025] Laut aktuellen Erkenntnissen der Fastly Inc. Haben sich Angriffe auf den Onlinehandel im Jahresvergleich verdoppelt: 31 Prozent aller Cyberattacken treffen demnach den E-Commerce. Zudem hätten sogenannte Bots quasi das Netz übernehmen – 37 Prozent des Internetverkehrs seien automatisiert, indes 89 Prozent davon unerwünscht. Fastly hat am 4. Juni 2025 seinen „Threat Insights Report“ für das erste Quartal 2025 veröffentlicht: Dieser Bericht soll einen Überblick über Sicherheitstrends, Angriffsvektoren und Bedrohungen im Bereich der Anwendungssicherheit geben.

Abbildung: Fastly

Fastlys „Threat Insights Report“ für das erste Quartal 2025 soll einen Überblick über Sicherheitstrends, Angriffsvektoren und Bedrohungen im Bereich der Anwendungssicherheit geben

Unterscheidung zwischen erwünschtem und unerwünschtem „Bot-“Traffic für Unternehmen entscheidend

Die vorliegenden Ergebnisse zeigen laut Fastly: „Angriffe auf den Onlinehandel haben sich von 15  Prozent im ersten Quartal 2024 auf 31 Prozent im ersten Quartal 2025 verdoppelt.“ Dies deute auf einen veränderten Fokus der Angreifer hin. Zudem sei festgestellt worden, dass 37 Prozent des gesamten beobachteten Internetverkehrs von automatisiertem „Traffic“ oder „Bots“ stammten. Davon gälten 89  Prozent als unerwünscht. „Das unterstreicht die wachsenden Herausforderungen für das Online-Geschäft von Unternehmen!“

Die Unterscheidung zwischen erwünschtem und unerwünschtem „Bot-“Traffic sei für Unternehmen entscheidend: „Unerwünschter ,Bot’-Traffic, insbesondere durch schädliche ,Bots’, kann zu Konto-Übernahmen, Werbebetrug oder Datendiebstahl führen.“ Im Gegensatz dazu trügen Suchmaschinen-Crawler, welche 66  Prozent des erwünschten „Bot“-Traffics ausmachten, zur Sichtbarkeit und Reichweite von Websites bei. „Wer diese Unterschiede erkennt und managt, kann schädliche Aktivitäten blockieren, ohne den reibungslosen Betrieb essenzieller Dienste zu gefährden.“

Zwischen nützlicher und unerwünschter Automatisierung unterscheiden!

„Da ,Bots’ einen immer größeren Anteil des Internetverkehrs ausmachen, wird es zunehmend wichtiger, zwischen nützlicher und unerwünschter Automatisierung zu unterscheiden“, betont Simran Khalsa, „Security Researcher“ bei Fastly. Er warnt:„Unternehmen, die ,Bot’-Traffic nicht aktiv managen, riskieren, Ressourcen für schädlichen oder ineffizienten ,Traffic’ zu verschwenden – auf Kosten von Infrastruktur, Bandbreite oder Performance.“

Fastlys vierteljährlicher „Threat Insights Report“ basiere auf der Analyse von 6,5 Billionen monatlichen Anfragen über Fastlys „Next-Gen Web Application Firewall“ (WAF), Bot-Management- sowie DDoS-Schutzlösungen. Diese sicherten mehr als 130.000 Anwendungen und APIs in den unterschiedlichsten Branchen – darunter führende E-Commerce-, Streaming-, Medien-, Finanz- und Technologieunternehmen.

Zentrale Fastly-Erkenntnisse aus dem ersten Quartal 2025:

• Der Anteil an Angriffen auf den Onlinehandel habe sich auf 31 Prozent verdoppelt (Q1 2024: 15%).
• 37  Prozent des gesamten beobachteten „Traffics“ stammten von „Bots“ – 89 Prozent davon hätten als „unerwünscht“ gegolten.
• Onlineshops hätten den größten Anteil unerwünschten „Bot-Traffics“ auf sich (39%) gezogen.
• Technologieunternehmen seien insgesamt am stärksten betroffen gewesen und hätten 35 Prozent aller Angriffe ausgemacht.
• Im März 2025 seien im Schnitt täglich über 1,3 Millionen Login-Versuche mit kompromittierten Passwörtern registriert worden – oft automatisiert über Proxy-Dienste.

Der auf Fastlys Telemetriedaten basierende Bericht soll Sicherheitsteams helfen, „ihre Abwehrstrategien zu stärken, Ressourcen gezielter einzusetzen und effektiver auf gängige Bedrohungen zu reagieren“ – von „Bot“-Management über DDoS auf Anwendungsebene bis hin zu kompromittierten Zugangsdaten.

Weitere Informationen zum Thema:

fastly
REPORT: Explore the latest AppSec attack trends / Get the latest security intelligence from Fastly’s Security Research Team… 

datensicherheit.de, 30.05.2022
E-Commerce in Deutschland zweitgrößtes Ziel von Cyber-Angriffen

Ein Kommentar von Stephan von Gündell-Krohne, Sales Director DACH bei Forescout Technologies

[datensicherheit.de, 27.09.2019] Aktuell kämpft Rheinmetall Automotive laut Medienberichten mit den Auswirkungen von Cyberattacken. Es sieht so aus, als käme es weltweit zu Produktionsausfällen. Zudem gibt es Berichte über Hackerangriffe bei Airbus, bei denen die Angreifer bewusst die Partner des Unternehmens ins Visier nehmen, um Geschäftsprozesse zu unterbrechen. Beide Fälle verdeutlichen die neue Gefahr von Disruptionware: Schadsoftware, die darauf ausgelegt ist, Abläufe zu stören.

Veränderungen in der Gefahrenlandschaft

Sicherheitsexperten beschreiben im Bericht Rise of Disruptionware: A Cyber-Physical Threat to Operational Technology Environments die Veränderungen in der Gefahrenlandschaft und wie sich Organisationen vorbereiten sollten. Neben angepassten Schädlingen haben sich auch die Ziele der Angreifer verändert. Anstatt dem Diebstahl von Informationen oder Finanzbetrug sehen sie es gezielt auf Assets ab, die nur schwer Wiederherstellbar sind.

Bild: ForeScout

Stephan von Gündell-Krohne, „Sales Director DACH“ bei Forescout

Die Folgen sind so drastisch, dass sie wie im Falle von Rheinmetall oder Airbus der Öffentlichkeit nicht verborgen bleiben. Im Gegensatz zur früheren Cyberattacken geht es den Tätern um gezielte Sabotage. Wie im Beispiel Rheinmetall bleibt die klassische IT verschont oder steht zumindest nicht im Fokus, stattdessen geht man den leichteren Weg. In fast jedem Netzwerk finden sich mittlerweile unerwartete Endpunkte. Viele smarte Industrieanlagen, Klimasteuerungen und andere Geräte aus dem Internet der Dinge (IoT) sind nicht gegen Attacken geschützt.

Neue Angriffsvektoren entstehem

Unternehmen werden mit der zunehmenden Vernetzung zwar agiler, digitale Innovation ohne entsprechende Schutzmechanismen birgt aber auch ein Risiko, da neue Angriffsvektoren entstehen. Dies kann so weit gehen, dass Produktionsanlagen dauerhaft beschädigt werden.

Die Experten erkennen eine systematische Entwicklung und erwarten, dass sich die Bedrohungslage weiter verschlimmert. Grund ist die Zunahme von vernetzten Devices und die voranschreitende Digitalisierung. Während immer mehr Endpunkte über Onlineverbindungen miteinander kommunizieren, verharren viele IT-Entscheider aber gerade bei der OT-Sicherheit in alten Paradigmen. Dort spielt die Absicherung von Informationen und der Zugangsschutz zu Endgeräten und Netzwerken nur eine untergeordnete Rolle. Mögliche Schutzmechanismen werden nicht implementiert, da man Einschränkung bei der Performance fürchtet. Daher werden die Vorfälle bei Rheinmetall und Airbus keine Einzelfälle bleiben.

Weitere Informationen zum Thema:

datensicherheit.de, 17.06.2019
Mutmaßliche Ransomware-Attacke auf Flugzeugbau-Zulieferer

datensicherheit.de, 24.05.2019
Unternehmen brauchen Transparenz in der Digitalisierung

datensicherheit.de, 26.02.2019
Forescout-Studie: Unternehmen spüren veränderte Sicherheitslage

Von unserem Gastautor Armin Simon, Regional Director DACH bei Gemalto

[datensicherheit.de, 02.10.2017] Vor wenigen Tagen musste die US-Börsenaufsicht SEC [1] eingestehen, dass sie 2016 Opfer einer Cyberattacke wurde. Dabei gingen vertrauliche Informationen, die für den Insiderhandel genutzt werden können, verloren. Angeblich hatte die Behörde das volle Ausmaß erst im letzten August erkannt.

Spätestens seit dem Angriff auf den Bundestag im Jahr 2015 wissen IT-Verantwortliche, dass sich die Gefahrenlage geändert hat. Durch Zero-Day-Schwachstellen und ausgeklügelte Malware ist es nur eine Frage der Zeit, bis Sicherheitsmechanismen umgangen und Netzwerke kompromittiert werden können. Cybercrime hat sich zu einem organisierten Geschäftsfeld entwickelt und mit Malware-as-a-Service-Angeboten braucht es kein technisches Know-how mehr, um Attacken zu starten.

In der Praxis geschieht zu wenig

Trotzdem geschieht in der Praxis zu wenig und SEC ist nur eines der Beispiele für Fahrlässigkeit und mangelnde Vorbereitung. Als wichtigste Aufsichtsbehörde steht man natürlich im Fadenkreuz, trotzdem war man nicht in der Lage die Daten richtig zu schützen oder den Sicherheitseinbruch umgehend zu erkennen. Zudem kann die SEC keine Angaben über die betroffenen Datensätze machen. Leider wird schnell klar, dass es in den meisten Unternehmen ähnlich aussieht und interne Prozesse nicht an die Bedrohungslage angepasst worden sind.

Eigentlich sollte man aus Fehlern lernen

Die schlechte Informationslage und die verspätete Erkenntnis sind exemplarisch für die mangelhafte Sicherung von Informationen. Eine Analyse aller bekannten Datenverluste weltweit im Breach Level Index [2] verdeutlicht, dass die Anzahl der Sicherheitseinbrüche immer weiterwächst und Unternehmen sich nicht richtig auf die Situation eingestellt haben. In den ersten sechs Monaten dieses Jahres wurden 918 Breaches gemeldet, dies sind 13 Prozent mehr als im zweiten Halbjahr 2016. Erschreckend ist dabei die Explosion der gestohlenen Datensätze: Insgesamt wurden bei den Vorfällen 1.9 Milliarden Datensätze illegal kopiert, dies entspricht einer Steigerung um 164 Prozent in sechs Monaten.

Bild: Gemalto

Armin Simon, Regional Director DACH bei Gemalto

Da in der Untersuchung nur öffentlich bekannte Datenlecks untersucht werden, dürfte die Dunkelziffer nochmals höher liegen. Viele Organisationen besitzen keine ausreichenden Mechanismen zum Schutz ihrer Informationen. In 59 Prozent aller gemeldeten Incidents ist die Anzahl der betroffenen Datensätze nicht bekannt. Dies deutet darauf hin, dass die Angreifer nach der Überwindung des Netzwerks- und Perimeterschutzes ungesehen auf Informationen zugreifen konnten. Die SEC ist also keine Ausnahme, IT-Abteilungen stehen nach Datenverlusten vor einem Scherbenhaufen: Obwohl Angriffe fast schon zum Alltag gehören, sind sie nicht in der Lage Datenschutz zu gewährleisten.

Überraschend ist die große Anzahl an versehentlichen Verlusten, denn 86 Prozent aller entwendeten Datensätze wurden infolge von Fahrlässigkeit verloren. Zwar sind Außentäter immer noch die Hauptursache für Sicherheitseinbrüche, allerdings kommen immer wieder große Mengen an Daten durch mangelnde Sorgfalt abhanden.

IT-Verantwortliche sollten nicht in Panik verfallen, trotzdem müssen Sicherheitsstrategien umgehend angepasst werden. Deshalb ist der Einsatz von starker Verschlüsselung wichtig, trotzdem wird nicht ausreichend auf entsprechende Mechanismen zurückgegriffen. Nur fünf Prozent aller gehackten Datensätze in Deutschland waren entsprechend geschützt, obwohl unter IT-Entscheidern ein breiter Konsens über die Wirksamkeit von Kryptografie herrscht.

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das BSI sprechen sich für ihren Einsatz aus. Verschlüsselte Daten sind ohne den Schlüssel erst mal nutzlos und geschützt, auch wenn sie sich außerhalb der Reichweite der Administratoren befinden oder umliegende Systeme Opfer einer Cyberattacke wurden.

Die Zahlen sind erdrückend und dies geht zulasten der Wirtschaft und der Bürger, deren persönliche Daten entwendet wurden – ohne das sie darüber informiert wurden. Ab März 2018 wird die DSGVO anwendbar und wird dies grundlegend ändern. Beispielsweise gibt es eine Meldepflicht für Sicherheitseinbrüche, falls persönliche Daten entwendet wurden. Ansonsten drohen hohe Bußgelder.

Der Breach Level Index befasst sich seit 2013 mit Incidents und erscheint mittlerweile halbjährlich. Es ist wahrscheinlich, dass sich aufgrund der neuen Verpflichtungen die Datengrundlage für die Analyse ab 2018 deutlich erweitern. Unternehmen sollten bis dahin den Empfehlungen folgen und persönliche Informationen durch starke Verschlüsselung schützen.

Fazit

Vorfälle wie beim SEC sind leider alltäglich geworden und genau deshalb sollte ein Ruck durch IT-Abteilungen von Unternehmen gehen. Natürlich werden Daten immer wieder durch Cyberkriminelle gestohlen, aber genau deshalb sollte man sich sorgfältig auf den Fall der Fälle vorbereiten. Leider zeigen aktuelle Analysen, dass genau das Gegenteil der Fall ist.

Trotz der nahenden Anwendbarkeit der DSGVO steigt die Anzahl der Incidents. Vor allem versehentliche Datenverluste nehmen stark zu und immer häufiger können die betroffenen Unternehmen keine genauen Opferzahlen nennen, obwohl persönliche Informationen entwendet wurden.

Starke Verschlüsselung durch Key-Management und der Einsatz von HSMs sind eine gute Möglichkeit, wichtige Grundlagen für mehr Datenschutz zu schaffen. Sie erlauben eine praktische Umsetzung von Behörden- und die EU-Empfehlungen. Zudem eignet sich eine durchgängige Verschlüsselung als nachhaltige Sicherheitsstrategie.

[1] Spiegel online 2017: „Hacker klauen Daten von SEC“

[2] Gemalto 2017: „Breach Level Index H1 2017“

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt

[datensicherheit.de, 06.10.2016] Zielgerichtete Cyberangriffe werden teils unter falscher Flagge durchgeführt. Dabei kommen zunehmend diverse Täuschungstechniken wie gefälschte Zeitstempel, Sprachketten oder Malware zum Einsatz, mit denen die Zuschreibung einer Cyberattacke erschwert wird. Operationen können so unter dem Deckmantel nicht existierender Akteure durchgeführt werden. Diese Erkenntnisse gehen aus einer aktuellen Analyse von Kaspersky Lab [1] hervor.

Wachsende Komplexität und Unsicherheit bei der Zuordnung von Cyberbedrohungen

Wer tatsächlich hinter einer Cyberattacke steckt, ist eine Frage, die beantwortet werden will; auch wenn es schwer bis unmöglich ist, exakt zu bestimmen, wer die Täter sind. Um die wachsende Komplexität und die Unsicherheiten bei der Zuordnung heutiger Cyberbedrohungen zu demonstrieren, haben Experten von Kaspersky Lab untersucht, wie fortschrittliche Bedrohungsakteure Operationen unter falscher Flagge durchführen, um Opfer und Sicherheitsexperten zu täuschen.

„Die Zuordnung zielgerichteter Angriffe ist kompliziert, unzuverlässig und subjektiv. Bedrohungsakteure versuchen zunehmend, gängige Indikatoren zu manipulieren, um Spuren zu verwischen“, erklärt Brian Bartholomew, Sicherheitsforscher bei Kaspersky Lab. „Wir glauben daher, dass eine genaue Zuordnung oftmals nahezu unmöglich ist.“

Indikator Zeitstempel

Malware-Dateien enthalten Zeitstempel, die einen Hinweis auf das Erstellungsdatum liefern. Werden genug verwandte Malware-Samples gesammelt, können Rückschlüsse auf die Arbeitszeiten der Entwickler gezogen werden und damit auf die Zeitzone, in der sie arbeiten. Laut des Kaspersky Labs sind Zeitstempel allerdings sehr einfach zu fälschen, beispielsweise um eine falsche Spur zu legen.

Indikator Sprache

Malware-Dateien enthalten oft Zeichenketten und Debug-Pfade. Die dort verwendete Sprache beziehungsweise das Niveau der Sprache könnten Hinweise auf den Autor des Codes geben. Auch enthalten Debug-Pfade teils Nutzer- sowie interne Projekt- und Kampagnennamen. Bei Phishing-Dokumenten können zudem Metadaten entnommen werden, die Statusinformationen über den Computer des Autors enthalten.

Allerdings können Angreifer diese Hinweise leicht manipulieren und für Verwirrung sorgen. Ein Beispiel: die Malware des Bedrohungsakteurs ,Cloud Atlas‘ [2] enthielt falsche Sprachhinweise, arabische Zeichen bei der BlackBerry-Version, Hindi-Zeichen in der Android-Version sowie die Wörter ,JohnClerk‘ im Projektpfad der iOS-Version. Dennoch hatten viele eine Gruppe mit osteuropäischen Verbindungen im Verdacht. Der Bedrohungsakteur ,Wild Neutron‘ [3] nutzte sowohl rumänische als auch russische Sprachketten, um für Verwirrung zu sorgen.

Indikator Infrastruktur

Eine Command-and-Control-Server (C&C)-Infrastruktur kann teuer und schwer zu unterhalten sein. Die Folge: auch finanziell gut ausgestattete Akteure greifen gerne auf bestehende C&C-Systeme oder Phishing-Infrastrukturen zurück. Backend-Verbindungen können ebenfalls einen flüchtigen Blick auf die Angreifer geben, wenn diese bei den durchgeführten Operationen nicht adäquat anonymisiert werden. Allerdings können auch so falsche Fährten gelegt werden, geschehen bei ,Cloud Atlas‘ [2], wo zur Täuschung südkoreanische IP-Adressen verwendet wurden.

Indikator verwendete Tools

Angreifer setzen auf öffentliche, aber auch auf selbst entwickelte Tools wie Backdoors oder Exploits, die sie wie ihre Augäpfel hüten, Forschern jedoch Hinweise auf deren Ursprung geben könnten. Das machte sich der Bedrohungsakteur ,Turla‘ [4] zu Nutze, indem die im Opfersystem eingeschleuste Malware ein seltenes Exemplar einer chinesischen Malware installierte, die mit einem in Peking lokalisierten System kommunizierte. Während das Vorfalluntersuchungsteam der falschen Fährte nachging, deinstallierte sich die eigentliche Malware im Hintergrund und verwischte alle Spuren auf den Opfersystemen.

Indikator Opfer

Die von den Angreifern attackierten Zielobjekte werden für Interpretationen und Analysen verwendet. Die Liste der Opfer im Fall ,Wild Neutron‘ [3] war jedoch so heterogen, dass sie bei möglichen Zuordnungsversuchen nur für Verwirrung sorgte.

Darüber hinaus nutzen manche Bedrohungsakteure das öffentliche Verlangen nach einer Verbindung von Angreifern und ihren Opfer aus, indem sie unter dem Deckmantel einer – oft nicht existenten – Hacktivisten-Gruppierung operieren. So versuchte sich die ,Lazarus‘-Gruppe [5], als die Hacktivisten-Gruppe ,Guardians of Peace‘ zu tarnen, als sie im Jahr 2014 Sony Pictures Entertainment attackierte. Bei dem unter dem Namen ,Sofacy‘ bekannten Bedrohungsakteur wird von vielen eine ähnliche Taktik vermutet, weil er sich als unterschiedliche Hacktivisten-Gruppen in Szene setzte.

Auch gab es Fälle, bei denen Angreifer versuchten, einen anderen Bedrohungsakteur mit einer Attacke in Verbindung zu bringen. Dies geschah beim bisher nicht zugeordneten Akteur ,TigerMilk‘ [6], der seine verwendeten Backdoors mit demselben gestohlenen Zertifikat signierte, das auch bei Stuxnet verwendet wurde.

Weitere Informationen zum Thema:

SECURELIST.COM
Report „Wave your false flags!“

[1] https://securelist.com/analysis/publications/76273/wave-your-false-flags/

[2] https://de.securelist.com/blog/analysen/58714/cloud-atlas-apt-roter-oktober-ist-wieder-im-spiel/

[3] https://de.securelist.com/blog/analysen/68609/wild-neutron-wirtschaftsspionage-bedrohung-kehrt-mit-neuen-tricks-zurck/

[4] https://de.securelist.com/analysis/veroffentlichungen/59356/die-epic-turla-operation-aufklrung-einiger-mysterien-rund-um-snakeuroburos/

[5] https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/

[6] Ein Bericht über TigerMilk steht Kunden der APT Threat Intelligence Services von Kaspersky Lab zur Verfügung.