[datensicherheit.de, 31.07.2025] Cyberkriminelle entwickeln ihre Methoden stetig weiter. So nutzen sie in einer neuen Angriffswelle gezielt gefälschte Microsoft-OAuth-Anwendungen, um Zugangsdaten von Unternehmen zu stehlen und dabei selbst fortschrittliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung (MFA) zu umgehen. Das haben IT-Sicherheits-Experten von Proofpoint festgestellt. Die seit Anfang 2025 aktiven Kampagnen richten sich gegen Organisationen weltweit, unabhängig von deren Branche.

Attacken nutzen raffinierte Täuschung zur Überwindung von MFA

Im Zentrum dieser Attacken steht eine raffinierte Täuschung: Die Kriminellen versenden E-Mails, die scheinbar von vertrauenswürdigen Geschäftspartnern stammen. Die Nachrichten verwenden zumeist Themen wie Angebotsanfragen oder einen Vertragsabschluss als Köder. Hinter den in den Nachrichten enthaltenen Links verbirgt sich jedoch keine legitime Anwendung, sondern eine täuschend echt gestaltete Microsoft-OAuth-Seite. Hier werden die Opfer aufgefordert, einer vermeintlichen App – oft unter dem Namen bekannter Unternehmen wie Adobe, DocuSign oder RingCentral – bestimmte Zugriffsrechte zu gewähren. Die angeforderten Berechtigungen erscheinen harmlos. Doch unabhängig davon, ob der Nutzer zustimmt oder ablehnt, erfolgt stets eine Weiterleitung auf eine gefälschte Microsoft-Anmeldeseite.

Umgehung von MFA: Ein Köder mit enthaltener Phishing-URL, bei dem Adobe imitiert wird, Bild: proofpoint

Dabei kommt eine sogenannte „Man-in-the-Middle-Technik“ zum Einsatz, bei der spezialisierte Phishing-Kits wie „Tycoon“ als Vermittler zwischen Nutzer und der echten Microsoft-Seite agieren. So gelingt es den Angreifern, sowohl die Zugangsdaten als auch die MFA-Tokens abzufangen und in Echtzeit zu missbrauchen. Selbst Organisationen, die moderne Authentifizierungsverfahren einsetzen, sind vor diesen Angriffen nicht sicher. Nach erfolgreicher Kompromittierung können die Täter weitreichende Aktionen durchführen: vom Zugriff auf vertrauliche Daten über die Installation von Schadsoftware bis hin zur Durchführung zusätzlicher Phishing-Kampagnen mittels des kompromittierten Kontos.

Proofpoint hat nach eigenen Angaben diese Angriffsmethode in verschiedenen groß angelegten Kampagnen nachgewiesen. Auffällig ist, dass die Cyberkriminellen ihre Köder flexibel anpassen und gezielt auf bestimmte Branchen oder genutzte Softwarelösungen zuschneiden. Die Analyse der Cloud-Infrastruktur ergab, dass mehr als zwei Dutzend bösartige Anwendungen mit ähnlichen Merkmalen im Umlauf sind.

Besonders bemerkenswert ist die technische Raffinesse der eingesetzten Tools. So wird das Tycoon-Phishing-Kit etwa als Service im Cybercrime-Untergrund angeboten. Es ermöglicht das Abgreifen von Anmeldedaten und Sitzungs-Cookies in Echtzeit – ein effektiver Weg, MFA-Schutzmechanismen auszuhebeln. Im Jahr 2025 wurdem fast 3.000 versuchte Kompromittierungen von Accounts in über 900 Microsoft-365-Umgebungen beobachtet, wobei die Erfolgsrate der Angreifer bei über 50 Prozent lag. Zudem passen die Täter ihre Infrastruktur laufend an, um einer Entdeckung und Blockaden zu entgehen. So haben Cyberkriminelle zuletzt von russischen Proxy-Diensten zu US-amerikanischen Hosting-Anbietern gewechselt.

Microsoft verschäft Standard-Einstellungen für Drittanbieter-Apps

Microsoft reagiert auf diese Entwicklung und verschärft seit Juli 2025 die Standard-Einstellungen für Drittanbieter-Apps. Dennoch bleibt die Gefahr bestehen, denn die Angreifer entwickeln ihre Methoden kontinuierlich weiter. Unternehmen sind daher gefordert, ihre Schutzmaßnahmen zu verstärken, Mitarbeiter zu sensibilisieren und auf moderne Authentifizierungslösungen zu setzen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.05.2023
Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung

proofpoint
Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

[datensicherheit.de, 27.03.2025] Der IT-Sicherheitshersteller ESET veröffentlicht heute eine umfassende Analyse zur aktuellen Ransomware-Landschaft. Im Zentrum steht die Gruppe RansomHub, die sich innerhalb kürzester Zeit zur dominierenden Kraft unter den sogenannten Ransomware-as-a-Service (RaaS)-Anbietern entwickelt hat. RansomHub trat anscheinend in Erscheinung, nachdem internationale Strafverfolgungsmaßnahmen die Aktivitäten der früheren „Marktführer“ LockBit und BlackCat weitgehend zum Erliegen brachten.

Die Forschungsergebnisse wurden auf der diesjährigen ESET World präsentiert.

„2024 markierte gleich zwei Wendepunkte – der Niedergang der beiden größten Ransomware-Gruppen und ein Rückgang der Lösegeldzahlungen um rund 35 Prozent“, so ESET Forscher Jakub Souček, der die Untersuchungen leitet. „Gleichzeitig stieg jedoch die Zahl öffentlich gemeldeter Opfer um 15 Prozent. Ein Großteil davon geht auf das Konto von RansomHub.“

Schematischer Überblick über die Verbindungen zwischen Medusa, RansomHub, BianLian und Play , Bild: ESET

EDR-Killer: Maßgeschneidertes Tool gegen Sicherheitssoftware im Einsatz

Eine zentrale Rolle spielt ein gefährliches, besonders perfides Tool: EDRKillShifter. Dabei handelt es sich um einen sogenannter EDR-Killer (Endpoint-Detection-&-Response), der gezielt Sicherheitslösungen auf kompromittierten Rechnern ausschaltet. Hierzu missbraucht die Schadsoftware einen fehlerhaften Treiber im System des Zielgeräts. Unternehmen, die ESET Lösungen nutzen, sind vor solchen EDR-Killern sicher.

EDRKillShifter – Werkzeug wurdevon RansomHub selbst entwickelt

Entwickelt wurde das Werkzeug von RansomHub selbst, was eine Seltenheit im Bereich der RaaS-Angebote ist. Es wird den Partnern der Gruppe bereitgestellt, um Sicherheitsmaßnahmen gezielt auszuhebeln. Laut ESET findet der EDRKillShifter mittlerweile auch in Angriffen anderer Ransomware-Gruppen wie Play, Medusa und BianLian Verwendung.

Die Verbindung zwischen diesen Gruppen ist ein brisanter Befund. „Es ist bekannt, dass einige Affiliates – also Partner, die im Auftrag der Betreiber arbeiten – gleichzeitig für mehrere Gangs aktiv sind. Dass sie intern entwickelte Tools gruppenübergreifend einsetzen, zeigt: Selbst in der Welt der Ransomware gibt es keine vollständige Abschottung“, so Souček weiter.

Ransomware als Geschäft – mit ungewöhnlichen Geschäftsmodellen

Wie jede aufstrebende RaaS-Gruppe mussten auch in diesem Fall Partnerangeworben werden, die die Dienste der Gruppe anmieten. Die Gruppe rekrutierte seine ersten Partner Anfang 2024 über das russischsprachige RAMP-Forum, nur acht Tage bevor die ersten Opfer gemeldet wurden. Auffällig: Partner dürfen die gesamte Lösegeldsumme behalten – lediglich eine freiwillige Beteiligung von zehn Prozent wird an die Entwickler erwartet. Ein Vertrauensmodell, das in der Cybercrime-Szene als ungewöhnlich gilt.

Ungewöhnlich ist zudem, dass einzelne Akteure von RansomHub gleichzeitig für drei rivalisierende Banden arbeiten: Play, Medusa und BianLian. Eine plausible Erklärung hierfür ist, dass vertrauenswürdige Mitglieder von Play und BianLian nebenbei mit anderen Gruppen wie RansomHub zusammenarbeiten und dabei Werkzeuge, die sie dort erhalten, auch für ihre eigenen Angriffe verwenden.

Angriffe auf Ziele in Russland, Nordkorea, China und Kuba sind bei RansomHub untersagt – ein Muster, das auf politische Rücksichten oder geografische Ursprünge hinweist. ESET sieht in RansomHub keinen bloßen Nachfolger von LockBit, sondern einen neuen Schlüsselakteur, der das Machtgefüge im Ransomware-Markt neu ordnet – mit eigener Toolentwicklung, aggressiver Partnerpolitik und zunehmender Sichtbarkeit.

Weitere Informationen zum Thema:

welivesecurity by ESET
RansomHubs EDRKillShifter: Ein Werkzeug geht auf Reisen

[datensicherheit.de, 17.06.2020] Das produzierende Gewerbe bildet die Grundlage der deutschen Wirtschaft – und ist gerade deshalb ein besonders attraktives Ziel für Cyberkriminelle. Was aktuell der entscheidende Innovationstreiber für die Industrie ist und zahlreiche Vorzüge bietet, macht es cyberkriminellen Angreifern allerdings besonders leicht: die Digitalisierung des industriellen Sektors und die Verschmelzung von IT und OT. Hans-Peter Bauer, Vice President Central Europe bei McAfee, berichtet über gehackte Autos, lahmgelegte Produktionsumgebungen und gibt Tipps, wie sich die Industrie am besten schützen kann.

Hans-Peter Bauer, Vice President Central Europe bei McAfee, Bild: McAfee

Grenzen zwischen OT und IT verschwimmen

Wer die Digitalisierung der Industrie verschläft, bleibt zurück – davon sind mittlerweile auch 94 Prozent der deutschen Industrieunternehmen überzeugt, so eine neue Studie des Branchenverbands Bitkom. Und hinter diesen Aussagen stehen auch Taten, denn 73 Prozent geben an, ihr Geschäftsmodell entsprechend der digitalen Transformation anzupassen. So verschwimmen die Grenzen zwischen operationeller Technologie (OT) und Informationstechnologie (IT) im Zuge der Industrie 4.0, dem IoT und Cloud Computing immer mehr. Diese Entwicklung bringt Unternehmen zahlreiche Vorteile: effizientere Produktionsprozesse, mehr Automatisierung, besseres Monitoring und eine Beschleunigung der Time-to-Market.

Neue Infrastrukturen sind Nährbodens für Cyberkriminalität

Leider geht mit diesen neuen Infrastrukturen aber auch die Entstehung eines neuen Nährbodens für Cyberkriminalität einher. Maschinen, die direkt mit der Cloud verbunden sind gepaart mit hochkomplexer Vernetzung von Geräten, erzeugen angreifbare Ziele für Cyberkriminelle. Dabei haben sie es auf ganz unterschiedliche Ausbeute abgesehen: geistiges Eigentum oder persönliche Daten, die im Darknet für viel Geld verkauft werden können; aber auch durch das Lahmlegen von Produktionsumgebungen und Einschleusen von Ransomware können Cyber-Kriminelle hohe Summen an Lösegeld fordern, die Unternehmen zahlen müssen, um Reputations- und auch langfristige finanzielle Schäden durch einen Produktionsausfall zu vermeiden.

KI und IoT-Sensoren zunehmend Zielscheibe für Cyberkriminelle

Aber auch künstliche Intelligenz und IoT-Sensoren, die in der Industrie für verbesserte Automatisierung und schneller Prozesse verbaut werden, entwickeln sich zunehmend zur Zielscheibe für Cyberkriminelle. So konnte das Advanced Threat Research-Team von McAfee erst im Februar ein Fahrassistenzsystem austricksen, das unter anderem im aktuellen Tesla Modell S verbaut ist. „Model Hacking“ heißt die Methode, bei der getestet wird, wie eine künstliche Intelligenz umgangen oder ausgetrickst werden kann. Dafür hat das Forscher-Team von McAfee ein kurzes Stück Isolierband auf ein Verkehrsschild geklebt, das eine Geschwindigkeitsbegrenzung von 35 Meilen pro Stunde anzeigt. Das im Fahrassistenzsystem eingesetzte MobilEye-Kamerasystem las die Höchstgeschwindigkeit auf dem Schild dann als 85 Meilen pro Stunde, was natürlich verheerende Folgen für den Verkehr haben kann. Der Sichter im technischen Labor erkannte allerdings weiterhin die 35 Meilen pro Stunde. Die Forschungsergebnisse zeigen auf, dass Produkte und Maschinen zwar oft so funktionieren, wie Ingenieure und Designer sie entworfen haben, aber ohne einen „Security-(und Privacy)-by-Design-Ansatz“ besteht eine hohe Gefahr, dass potentielle Schwachstellen von Cyberkriminellen gefunden und ausgenutzt werden können. Deshalb ist es besonders wichtig, dass Industriefirmen eng mit IT-Sicherheitsfirmen und entsprechender Forschung zusammenarbeiten, um den Sicherheitsaspekt bereits während dem Produktionsprozess miteinzubeziehen. Nur dann können Schwachstellen rechtzeitig identifiziert und behoben werden, bevor sie ein größeres Problem darstellen.

Der Einzug der Digitalisierung in den industriellen Sektor stellt einige Unternehmen also vor Herausforderungen im Bereich der IT-Sicherheit. Aber die gute Nachricht ist, dass Cyber-Kriminelle durch bestimmte grundlegende Sicherheitsmaßnahmen die Arbeit schwergemacht werden kann. Zu diesen gehören:

• Absicherung der Cloud: Im Rahmen der Digitalisierung verschieben sich auch Teile der Produktion immer mehr in die Cloud. Dabei profitieren Unternehmen von Flexibilität und Transparenz. Aber Cyber-Kriminelle sind sich dessen bewusst und versuchen stets an der Schnittschnelle zwischen Maschine und Cloud anzudocken. Durch Cloud Access Security Broker (CASB) können die lokal geltenden Sicherheitsregulierungen auch auf die Cloud angewendet werden und der Datentransfer kann somit besser überwacht und geschützt werden.
• Human Machine Security Teaming: Vernetzte Produktionsumgebungen erfordern eine ganzheitliche Sicherheitsstrategie, um potenzielle Gefahren rechtzeitig identifizieren zu können. Da diese Umgebungen allerdings extrem komplex sind, stellt die Automatisierung bestimmter Prozesse eine Entlastung der IT-Teams dar. Beim sogenannten „Human Machine Security Teaming“ (HMST) kommt künstliche Intelligenz zum Einsatz, die in einem engen Arbeitsverhältnis mit den Mitarbeitern steht. Die KI-Systeme können Bedrohungen in der Infrastruktur wesentlich schneller erkennen und diese anschließend dem IT-Team melden, welches dann fundierte Entscheidungen treffen kann.
• Regelmäßige Tests: Eine Schwachstelle in IoT-Geräten oder –Maschinen, wie die im MobilEye-Kamerasystem, kann am besten durch regelmäßige Tests während der Produktion verhindert werden. In diesen Tests müssen neue Szenarien und Grenzfälle berücksichtigt werden, für die die Technologie ursprünglich nicht ausgelegt war, die aber durchaus im realen Fall eintreten können. Besonders Automobilhersteller sollten die Sicherheit ihrer Systeme in Bezug auf Model Hacking evaluieren.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht

Von unserem Gastautor Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks

[datensicherheit.de, 11.05.2020] Auch wenn die stationären Geschäfte langsam wieder öffnen, der Online-Kauf hat wegen der aktuellen Ausgangsbeschränkungen Hochkonjunktur. Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß immer wieder neue Methoden, persönliche oder Unternehmensdaten abzugreifen. Seit kurzem fällt auf, dass Hacker in Phishing-Kampagnen zum Zweck der Manipulation von E-Mail-Konten zunehmend reCaptcha-Mauern einzusetzen. Damit wollen sie verhindern, dass automatisierte URL-Analysesysteme auf den eigentlichen Inhalt von Phishing-Seiten zugreifen können.

Dr. Klaus Gheri, Barracuda Networks, Bild: Barracuda Networks

reCaptcha: Ein von Google betriebener Sicherheitsdienst

reCaptcha ist ein von Google betriebener Sicherheitsdienst, der prüft, ob eine bestimmte Handlung im Internet von einem Menschen oder von einem Computerprogramm beziehungsweise einem Bot vorgenommen wird. Das Akronym steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“ (Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen). Der Turing-Test geht zurück auf Alan Turing, der im Jahr 1950 der Frage nachging, ob ein Computer beziehungsweise eine Maschine, ein dem Menschen gleichwertiges Denkvermögen besäße.

Endbenutzer sind in der Regel sehr vertraut mit dieser Sicherheitsabfrage seriöser Unternehmen, die sie auffordert, ein reCaptcha zu lösen und damit zu klären, dasses sich um einen Menschen handelt. Entsprechend glaubwürdig kommt eine böswillige Phishing-Webseite daher, die ein echtes reCaptcha missbraucht, um den Benutzer auszutricksen.

128.000 E-Mail mit gefälschten Microsoft-Log-ins

Während einige Methoden die reCaptcha-Box nur simulieren, wird die Verwendung der genuinen reCaptcha-API immer üblicher. Ein zweifellos wirksamerer Ansatz, um automatisierte Scanner zu täuschen, da eine nur gefälschte reCaptcha-Box recht einfach identifizierbar wäre. Entsprechend haben Barracuda-Sicherheitsanalysten im April lediglich eine E-Mail mit einer gefälschten reCaptcha-Box identifiziert, jedoch über 100.000 E-Mails, die die echte reCaptcha-API verwendeten, entdeckt.

Bei einem Phishing-Angriff auf E-Mail-Konten wurden im gleichen Zeitraum mehr als 128.000 E-Mails verschickt, die gefälschte Microsoft-Anmeldeseiten zeigten. Darin wird mitgeteilt, der Benutzer habe eine Sprachnachricht erhalten.

Gefälschte Microsoft-Anmeldeseite, © Barracuda

Zudem enthielten diese E-Mails einen HTML-Anhang, der auf eine Seite mit einer reCaptcha-Mauer weiterleitet.

reCaptcha-Mauer, Bild: Barracuda

Die Seite enthält nichts anderes als das reCaptcha. Da dieses Format auch für legitime reCaptchas gebräuchlich ist, hat die Täuschung beste Chancen, keinen Argwohn beim Benutzer aufkommen zu lassen.

Sobald der Benutzer jedoch das reCaptcha löst, wird er auf die eigentliche Phishing-Seite umgeleitet, die wiederum das Aussehen einer gewöhnlichen Microsoft-Anmeldeseite imitiert. Auch, wenn das Erscheinungsbild der Seite mit dem legitimen Mailserver des Benutzers nicht übereinstimmen mag, ist es für den Angreifer durchaus möglich, weitere Informationen zu erhalten, um die Phishing-Seite für spätere Zwecke noch überzeugender zu gestalten.

Phishing-Seite: Als Anmeldeseite getarnt, Bild: Barracuda

Einem reCaptcha nicht bedingungslos vertrauen

Es ist unabdingbar, die Benutzer vor der Bedrohung durch böswillige reCaptcha-Mauern aufzuklären und ihnen zu vergegenwärtigen, einem reCaptcha nicht bedingungslos zu vertrauen und blind davon auszugehen, dass die dahinterliegende Seite sicher sei. Es ist unbedingt notwendig, sich das reCaptcha genauer anzusehen und auf Anomalien zu überprüfen. Wie bei jedem E-Mail-basierten Phishing hilft die Suche nach verdächtigen Absendern, URLs und Anhängen, einen Angriff zu erkennen, bevor sie auf das reCaptcha gelangen. Auch ein reCaptcha, das einem neu erscheint, da vorher keine legitime re-Captcha-Abfrage bestand, sollte den Benutzer alarmieren.

Beispiel eines böswilligen reCaptcha, Bild: Barracuda

Eine Schulung des Sicherheitsbewusstseins der Benutzer ist eine solide Basis dafür, Phishing-Angriffe frühzeitig zu erkennen. Denn die E-Mail selbst ist immer noch ein Phishing-Angriff und kann von E-Mail-Security-Lösungen erkannt werden. Letztendlich wird jedoch keine Sicherheitslösung alles abfangen, deshalb ist die Fähigkeit der Benutzer, verdächtige E-Mails und Websites zu erkennen, entscheidend.

Weitere Informationen zum Thema:

Barracuda Networks
Unternehmenswebsite

datensicherheit.de, 05.05.2020
Security-Grundlagen gegen Phishing-Angriffe

[datensicherheit.de, 06.05.2020] Das Risiko, Opfer von Cyberangriffen zu werden, ist durch die aktuelle Corona-Krise und die damit verbundene hohe Anzahl an Heimarbeitern stark erhöht. Allein zwischen Februar und März 2020 konnte CrowdStrike Intelligence eine 100-fache Zunahme an Schaddateien mit COVID-19-Bezug feststellen. Heute veröffentlichte CrowdStrike die Ergebnisse des Work Security Index, der unter 500 deutschen Führungskräften durchgeführt wurde und die Zeit seit Beginn der Corona-Einschränkungen abdeckt.

Die wichtigsten Ergebnisse im Überblick:

• 42 % der Befragten arbeiten öfter von zuhause aus als zuvor
  Beinahe die Hälfte (43 %) geht davon aus, dass Cyberattacken während der aktuellen Phase wahrscheinlicher sind als zuvor
• 67 % geben an, dass sie kein spezielles Security-Training für die Heimarbeit erhalten haben
• 55 % nutzen ihre privaten Endgeräte für die Arbeit
• 9 % glauben, dass ihre Endgeräte bei der Home Office-Arbeit nicht sicher vor fortschrittlichen Cyber-Bedrohungen sind

Bild: CrowdStrike

Work Security Index von CrowdStrike

„Uns ist bewusst, dass Unternehmen aktuell stark zu kämpfen haben. Diese Umfrageergebnisse legen nahe, dass deutsche Unternehmen Gefahr laufen, in ein potenzielles Cyber-Desaster zu geraten“, so Zeki Turedi, Technology Strategist bei CrowdStrike. „Mitarbeiter, die ihre privaten Geräte verwenden, stellen ein Problem nicht nur für sich selbst sondern auch für das Unternehmen dar. Fraglich ist, ob die Firma über die passenden Fähigkeiten verfügt, ihre Mitarbeiter und die Unternehmensdaten vor Bedrohungen zu schützen, während sie gleichzeitig die Privatsphäre bewahren, wenn dies von der ganzen Familie genutzt wird.“

„Cyberkriminelle greifen vornehmlich die Unachtsamen an und schlagen schnell Kapital in Zeiten von Krisen und Unsicherheit. Wir konnten bereits eine Zunahme von Spam, Phishing und anderen Cyberattacken während des COVID-19-Shutdowns beobachten. Das vorherrschende Chaos ist der ideale Nährboden für Cyberkriminalität. So konnten wir beispielsweise erkennen, dass sich die Zahl der Attacken auf Gesundheitsorganisationen im ersten Quartal 2020 verglichen mit dem vierten Quartal 2019 verdoppelt hat“, so Turedi weiter. „Es ist für Unternehmen unumgänglich, dass sie Cybersecurity-Maßnahmen umsetzen, die sie und ihre Mitarbeiter vor diesen Bedrohungen schützen – unabhängig davon, welches Gerät sie nutzen und von wo aus sie arbeiten.“

eCrime-Akteure nutzen beispielsweise Social Engineering und präparierte Dokumente mit einem COVID-Bezug, um die Weltgesundheitsorganisation WHO zu imitieren. Eine erst kürzlich beobachtete Kampagne setzte gespoofte WHO-E-Mail-Adressen ein, um mit dem AgentTesla Information Stealer eine der beliebtesten Malwarevarianten der eCrime-Akteure zu verteilen. Zudem setzten Angreifer, die auf gezielte Attacken spezialisiert sind, besonders auf arbeitsplatz- und personalbezogene Köderdokumente, um Opfer anzugehen, die es nicht gewohnt sind, von zuhause aus zu arbeiten. Weitere Beispiele für spezifische Taktiken und Cyber-Angreifer finden Sie hier.

Weitere wichtige Ergebnisse des Work Security Index von CrowdStrike:

• Unter den Befragten nutzen mehr als die Hälfte ihre Privatgeräte auch geschäftlich:
  • 56 % der Führungskräfte in kleinen, 53 % in mittleren und 52 % in größeren Unternehmen verwenden ihre Privatgeräte auch geschäftlich
  • Mit 58 % liegt der Anteil unter Geschäftsführern und Top-Management über dem Durchschnitt
  • Besonders weit verbreitet ist die geschäftliche Nutzung privater Geräte im IT- & Telekommunikationssektor (64 %), dicht gefolgt vom Finanzsektor (62 %)
• Im Schnitt schätzen 90 % der Entscheidungsträger die Sicherheit ihrer Geräte als sicher oder sogar sehr sicher ein. Auffällig ist, dass nur 29 % der Befragten aus kleinen Unternehmen die Sicherheit ihrer Geräte als „sehr sicher“ einschätzen, wohingegen der Anteil in mittleren (48 %) und größeren (49 %) Unternehmen hier deutlich höher liegt.
• Ähnliche Unterschiede gibt es bei der Einschätzung der Gefährdungslage: Wo größere (61 %) und mittlere (53 %) Unternehmen die Gefahr durch Cyberattacken während der COVID-19-Krise höher als zuvor einschätzen, teilen diese Ansicht nur 33% der Mitarbeiter in Kleinunternehmen.
• Diese Einschätzung der Gefährdungslage spiegelt sich aber nur in größeren Unternehmen wider, wenn es um spezielle Security-Trainings zu den Cyberrisiken der Heimarbeit geht: 65 % der Mitarbeiter in größeren Unternehmen haben ein solches Training bekommen. Dem gegenüber stehen lediglich 35 % in mittleren und nur 14 % in kleinen Unternehmen.

Der Work Security Index wurde von YouGov im Auftrag von CrowdStrike durchgeführt, um die potenziellen Risiken und Auswirkungen der kommenden Monate für deutsche Unternehmen besser bestimmen zu können. Die Umfrage wurde unter 500 Führungskräften von kleinen, mittleren und größeren Unternehmen durchgeführt. Dabei ging es um die sich stark verändernden Voraussetzungen am Arbeitsplatz, nachdem viele inzwischen von zuhause arbeiten und dort Arbeit und Familienleben einvernehmlich managen müssen.

Hinweis zur Methode

Alle Zahlen, soweit nicht anders angegeben, stammen von YouGov Plc. Die Gesamtstichprobengröße betrug 502 leitende Entscheidungsträger. Die Befragung wurde zwischen dem 14. und 22. April 2020 online durchgeführt.

Weitere Informationen zum Thema:

CrowdStrike
Situational Awareness: Cyber Threats Heightened by COVID-19 and How to Protect Against Them

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 14.04.2020
Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyber-Attacken 

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

[datensicherheit.de, 17.04.2020] Check Point® Software Technologies Ltd., Anbieter von Cyber-Sicherheitslösungen, ist einem neuen Vorgehen der Cyber-Kriminellen auf die Schliche gekommen. Diese ziehen eine zweite Ebene in ihre Ransomware-Attacken und machen aus der Lösegeldforderung eine doppelte Erpressung.

Bisher waren Geldforderungen üblich

Bislang war es üblich, die Systeme einer Firma, einer Behörde, eines Versorgers oder eines Krankenhauses mit einer Ransomware zu infiltrieren und alle wichtigen Dateien und Server zu verschlüsseln, um den Betrieb lahm zu legen. Zur Freigabe der Systeme wurde Geld gefordert. Wer nicht bezahlt, bekam den Schlüssel für die Verschlüsselung nicht ausgehändigt. Nun aber wurde eine zweite Ebene eingezogen: Die Angreifer stehlen vor der Verschlüsselung einige sensible Daten und drohen im Zuge der Lösegeldforderung mit deren Veröffentlichung. Manchmal folgt sogar ein kleiner Warnschuß. Es werden nämlich kleine Teile bereits im Dark Net preisgegeben. Daraus folgt also eine doppelte Erpressung.

Jüngst hat es ein sehr sensibles Unternehmen erwischt, einen US-Zulieferer, der auch im militärischen Bereich tätig ist. Die Firma weigerte sich zu zahlen, woraufhin Dokumente an die Öffentlichkeit gelangen, darunter wohl auch Spezifikationen für ein neues System zum Abfangen von Mörsergranaten. Die Hacker-Gruppe DoppelPaymer soll dahinterstecken. Der erste Fall dieser Art wurde im November 2019 bekannt.

Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies

„Doppelte Erpressung ist ein schnell wachsender Trend innerhalb der Ransomware-Angriffe. Davon haben wir im 1. Quartal des Jahres 2020 viele gesehen. Bei dieser Taktik treiben die Kriminellen ihre Opfer noch weiter in die Enge, weil sie vor dem Verschlüsseln der Daten eine große Menge von sensiblen Informationen extrahieren und damit drohen, diese im Dark Net preiszugeben. So untermauern die Cyber-Kriminellen ihre Lösegeldforderungen“, erläutert Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, die Forschungsergebnisse des Reserach-Teams: „Wir sind besonders besorgt darüber, dass sich Krankenhäuser dieser Bedrohung stellen müssen. Da diese sich während der laufenden Pandemie verstärkt auf ihre Patienten konzentrieren müssen und im Rahmen ihrer Aufgaben die Kranken versorgen, wäre es für sie sehr schwierig, eine doppelte Erpressung zu bewältigen – es kann hierbei leicht sogar um Leben gehen.

Wir raten den Krankenhäusern und großen Organisationen daher zur Vorsicht und möchten darauf hinweisen, daß alle notwendigen Maßnahmen getroffen werden sollten, um sämtliche Daten zu sichern und das Personal zu schulen. Außerdem sollten sie dringend auf fortschrittliche Sicherheitslösungen von spezialisierten Herstellern innerhalb der IT-Sicherheit setzen, die in jedem Fall auch Zero-Day-Angriffe blockieren und eine umfangreiche Sicherheitsarchitektur mit zentraler Plattform bieten.“

Weitere Informationen zum Thema:

Check Point
Ransomware Evolved: Double Extortion

datensicherheit.de, 17.04.2020
Ransomware-Angriffe: Backups allein nicht ausreichend

datensicherheit.de, 12.04.2020
Hacker wählen vermehrt Apps und mobile Geräte als Ziele

datensicherheit.de, 24.02.2020
Ransomware-Angriffe bedrohen Pipeline-Betreiber

datensicherheit.de, 28.10.2019
Ransomware-Survival-Checkliste von Rubrik zur Verfügung gestellt

[datensicherheit.de, 01.04.2020] Das Bundeskriminalamt (BKA) richtet zum 01.04.2020 die Abteilung „Cybercrime“ (CC) ein und vollzieht damit nach eigenen Angaben einen weiteren wichtigen Schritt, um Kompetenzen zur Bekämpfung dieses Phänomens zu bündeln und die erforderliche Spezialisierung seiner Mitarbeiter in diesem Bereich voranzutreiben. Die Digitalisierung ist aus vielen Lebensbereichen nicht mehr wegzudenken. Eine Entwicklung, die sich auch Kriminelle zu Nutzen machen, um ihre Straftaten zu begehen – schnell und weltweit per Mausklick. Nicht selten werden sie dabei durch unterschiedliche rechtliche Regelungen in den Staaten, aber auch fehlende informationstechnische Sicherungsmaßnahmen und digitale Kompetenzen begünstigt.

Langjährige Erfahrung im Bereich der Bekämpfung von Cyberkriminalität

Das BKA blickt bei der Bekämpfung von Cyberkriminalität bereits auf eine langjährige Erfahrung zurück. Ihren Anfang nahm diese unter der Bezeichnung „Informations- und Kommunikationskriminalität“ in einem kleinen Arbeitsbereich des Referates für Wirtschaftskriminalität der damaligen Abteilung Organisierte und Allgemeine Kriminalität (OA) Mitte der 1990er Jahre. Nach einem stetigen Zuwachs an Aufgaben und Personal entstand im Jahr 2013 die Gruppe „Cybercrime“, die mit über 100 Mitarbeiterinnen und Mitarbeitern in der Abteilung Schwere und Organisierte Kriminalität (SO) aufgebaut wurde.

Gruppe „Cybercrime“ bildet den fachlichen Grundstein der neuen Abteilung

Diese Gruppe bildet nunmehr den personellen wie fachlichen Grundstein der neuen Abteilung, die in den nächsten Jahren schrittweise auf rund 280 Mitarbeiter anwachsen soll. Kriminalbeamte, Analysten und IT-Experten mit verschiedensten Spezialisierungen arbeiten hier Hand in Hand. Geleitet wird die Abteilung durch Carsten Meywirth, der nach seiner Verwendung als Stabsleiter der Abteilung Informationstechnik (IT) die Gruppe „Cybercrime“ von November 2013 bis Mai 2016 leitete, bevor er für die Abteilung Zentrale Verwaltung für Baumaßnahmen, Liegenschaftsverwaltung und zentrale Services verantwortlich zeichnete.

Vernetzung auf nationaler wie internationaler polizeilicher Eben

Die neue Abteilung wird neben den klassischen Zentralstellenaufgaben wie der Koordinierung des internationalen Informationsaustausches zu diesem Phänomenbereich die Analysekompetenz des BKA, etwa bei neuen Cybercrime-Phänomenen und digitalen Angriffsmustern, erweitern. Aber auch Ermittlungen gegen kriminelle Akteure, Netzwerke und Strukturen sollen hier verstärkt geführt werden. Die Vernetzung auf nationaler wie internationaler polizeilicher Ebene wird dabei eine ebenso wichtige Rolle spielen wie die Kooperation mit unterschiedlichsten Akteuren aus anderen Behörden und der Wirtschaft.

Holger Münch, Präsident des Bundeskriminalamts, unterstreicht anlässlich der Arbeitsaufnahme der Abteilung CC: „Die Abhängigkeit unserer Gesellschaft von einer funktionsfähigen technischen Infrastruktur nimmt stetig zu. Zugleich haben Straftäter es noch immer vergleichsweise einfach, sich im Netz kriminelle Kompetenz einzukaufen, um ohne umfängliche technische Kenntnisse etwa die Webpräsenzen ganzer Unternehmen zu blockieren oder die Informationstechnik in Krankenhäusern und Verwaltungen anzugreifen. Hier gilt es für uns, mit diesen Entwicklungen Schritt zu halten und unsere Kompetenzen stetig fortzuentwickeln, um Straftaten im digitalen Raum schnell analysieren, wirkungsvoll bekämpfen und die Täter ihrer realen Verantwortung zuführen zu können. Mit dem Aufbau der Abteilung CC schaffen wir hierfür eine wichtige Grundlage, die nun mit Leben gefüllt werden muss.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.11.2019
BKA stellt Bundeslagebild für 2018 vor

datensicherheit.de, 27.04.2018
CEO-Betrug: BKA-Warnung für Unternehmen vor neuer Masche

[datensicherheit.de, 30.10.2019] Derzeit verbreitet eine Gruppe, die sich als Fancy Bear ausgibt, Ransom Denial of Service (RDoS) Briefe in der Finanzwelt und verfolgt ihre Drohungen. Dies berichtet das Emergency Response Team des Sicherheitsexperten Radware in einer aktuellen Warnung. Die DDoS-Angriffe betrafen bereits südafrikanische ISPs und führten dazu, dass die Teilnehmer in Kapstadt und Johannesburg mit zeitweiligen Verbindungsproblemen konfrontiert wurden.

Das Radware Emergency Response Team erhielt Mitteilungen von Kunden über RDoS-Briefe dieser Gruppe, die 2 Bitcoins (derzeit ca. 20.000 USD) fordert. Wenn die Anforderungen nicht erfüllt wurden, reagierte die Gruppe mit tatsächlichen Multi-Vektor-Flood-Attacken, die verschiedene Verstärkungs- und Reflexionsprotokolle wie SSDP, NTP, DNS, CLDAP und die kürzlich bekannt gewordenen ARMS- und WSD-Angriffe nutzen.

Schon 2017 ein ähnliches Vorgehen

Bereits zur etwa gleichen Zeit im Jahr 2017 hatte eine Gruppe, die sich als Fancy Bear ausgab, in einer RDoS-Kampagne sehr ähnliche Erpresserschreiben verschickt und zwischen 1-2 Bitcoin Lösegeld gefordert, wobei das Lösegeld jeden Tag um ein Bitcoin stieg, wenn die Zahlungsfrist nicht eingehalten wurde. Radware geht davon aus, dass die aktuellen Attacken nicht von der als Fancy Bear bekannten russischen Cyberspionage-Gruppe stammen, sondern nur deren Name benutzt wird.

Zudem erhielt Radware kürzlich Beweise für neue Briefe aus Taiwan, diesmal aus einer Gruppe, die sich als Cozy Bear bezeichnet. Cozy Bear (auch als APT29 bezeichnet) ist nach Ansicht von Radware nicht dieselbe Gruppe wie Fancy Bear (APT28), aber ihr Erpresserbrief ist nahezu wörtlich identisch mit dem von Fancy Bear, außer dass ‚Fancy‘ durch ‚Cozy‘ ersetzt wird. Der Lösegeldbetrag liegt ebenfalls bei 2 Bitcoin.

RDoS-Kampagne gegen Finanzinstitute weltweit

Die RDoS-Kampagne läuft noch und richtet sich gegen Finanzinstitute auf der ganzen Welt. Radware liegen entsprechende Erpresserbriefe aus Singapur, Südafrika, Skandinavien, Brasilien und Taiwan vor. Die Lösegeldbriefe werden als E-Mail-Nachricht an mehrere Kontakte innerhalb des Zielunternehmens gesendet und stammen von verschiedenen E-Mail-Aliasen mit unterschiedlichen E-Mail-Anbietern und Domainnamen. Die Nachrichten scheinen nicht zufällig zu sein, und die Angreifer haben ihre Hausaufgaben gemacht, um diejenigen Server zu identifizieren, deren Ausfall sich tatsächlich auf das Tagesgeschäft auswirken könnte. Es handelt sich nicht um Hoaxes, und den meisten Schreiben folgten bereits tatsächliche DDoS-Angriffe. Allerdings rechnen die Forscher angesichts des nahenden Weihnachtsgeschäfts durchaus auch mit Hoaxes anderer Gruppen.

Radware rät nicht zu zahlen

Unabhängig von der Herkunft oder Gruppe der RDoS-Briefe rät Radware Unternehmen, nicht zu zahlen und sofort professionelle Unterstützung bei der Eindämmung möglicher Folgeangriffe zu suchen. Die Bezahlung der Erpresser macht sie stärker und verschafft ihnen mehr Geld, und nicht zuletzt gibt man sich als Unternehmen zu erkennen, das bei der ersten Lösegeldforderung zahlt – mit der Folge, dass man bei der nächsten Kampagne sicher wieder auf dem Verteiler steht.

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2018
Lojax: Cyberangriff mit UEFI-Rootkit entdeckt

[datensicherheit.de, 15.10.2019] Mobile Geräte haben sich in den letzten Jahren zu zentralen Zielen  für Cyberkriminalität und Cybersicherheitsbedrohungen, die sich gegen Unternehmen richten, entwickelt. Die Unternehmen arbeiten jedoch immer noch daran, diese Erweiterung des Unternehmensnetzwerks effektiv zu schützen. Die Geräte beherbergen dabei oft eine Mischung aus geschäftlichen und persönlichen Daten. Einige der größten mobilen Sicherheitsbedrohungen, mit denen Unternehmen sich derzeit konfrontiert sehen, sind nach Erfahrung von Palo Alto Networks:

1. Phishing-Bedrohungen: In der Vergangenheit wurden Phishing-Angriffe weitgehend per E-Mail durchgeführt. Heute geschieht dies hauptsächlich über mobile Kanäle wie SMS, Facebook Messenger, WhatsApp und gefälschte Websites, die legitim aussehen, einschließlich solcher, die sogar mit der sicheren HTTPS-Erweiterung beginnen. Spear-Phishing ist auch eine zunehmende Bedrohung, da Hacker bestimmte Mitarbeiter über mobile Geräte gezielt ansprechen, um Zugang zu sensiblen Daten zu erhalten.
2. Mobile Malware: Jede Website, die besucht oder verlinkt wird, hat das Potenzial, mobile Geräte mit Malware wie Spyware, Ransomware, Trojaner-Viren, Adware etc. zu infizieren.
3. Gefährliche offene WLAN-Netzwerke: Viele mobile Mitarbeiter nutzen heute öffentliche WLAN-Netzwerke in Cafés, Flughäfen, Restaurants und anderen Orten, wenn sie außerhalb des Büros unterwegs sind. Da sich die meisten Cyberkriminellen dessen bewusst sind, versuchen sie, mobile Nutzer dazu zu bringen, sich mit gefälschten WLAN-Netzwerken zu verbinden und so Daten zu kompromittieren. Schlimmer noch, selbst wenn ein Unternehmen über eine Richtlinie gegen die Nutzung öffentlicher WLAN-Netzwerke verfügt, geben 81 Prozent der Mitarbeiter zu, dass sie diese trotzdem noch nutzen, wie iPass in einer Studie herausfand.
4. Schädliche Anwendungen: Die Welt ist voll von Softwareanwendungen, die entweder über das Internet genutzt oder von Websites, dem Apple App Store oder Google Play heruntergeladen werden können. Viele dieser Apps sind legitim und sicher zu verwenden, aber es gibt auch Tausende, die es nicht sind. Das Herunterladen einer App oder die Erteilung einer App-Berechtigung für den Zugriff auf Funktionen auf einem mobilen Gerät kann daher das Unternehmen des Benutzers einer Vielzahl von Sicherheits- und Datenschutzrisiken aussetzen. Einige Apps sammeln sogar Daten, ohne den Benutzer um Erlaubnis zu bitten.
5. Datenlecks: Datenlecks treten bei jeder unbefugten oder unbeabsichtigten Übertragung von Daten aus einem Unternehmen an eine externe Partei oder ein externes Ziel auf. Derartige Datenlecks können zurückgehen auf eine Person innerhalb des Unternehmens, die versehentlich vertrauliche oder sensible Daten in eine Public Cloud überträgt, anstatt in die Private Cloud. Es könnte aber auch ein externer Angreifer oder ein verärgerter Mitarbeiter dahinterstecken, der die Daten des Unternehmens absichtlich stiehlt. Mobile Endgeräte, die oft eine Mischung aus geschäftlichen und persönlichen Daten enthalten, machen es noch einfacher, die Grenzen zwischen Geschäftlichen und Privatem versehentlich oder gezielt zu verwischen.

Auch wenn diese Bedrohungen real sind und täglich weiter zunehmen, verfügen die meisten Unternehmen nach Angaben von Palo Alto Networks immer noch nicht über eine robuste Sicherheitslösung zum Schutz und zur Verteidigung ihres Netzwerks und ihrer mobilen Benutzer.

Um die Herausforderungen der mobilen Sicherheitsbedrohungen zu bewältigen, müssen Unternehmen:

1. Proaktive Maßnahmen zum Schutz mobiler Geräte und Benutzer ergreifen
   • Stellen Sie sicher, dass Ihr Unternehmen IT-Mitarbeiter beschäftigt, die sowohl über die erforderlichen Kenntnisse zur Mobiltechnologie als auch Sicherheitskenntnisse verfügen.
   • Unterstützen Sie die Mitarbeiter bei der Aktualisierung mobiler Betriebssysteme und Sicherheitspatches.
   • Fügen Sie mobilen Geräten Antivirensoftware und Data Loss Prevention (DLP)-Tools hinzu.
   • Bieten Sie Ihren Mitarbeitern bessere und einfachere Arbeitsmöglichkeiten, damit sie sich nicht mit unsicheren öffentlichen WLANs verbinden, z.B. durch Alternativen zu Virtual Private Networks (VPN).
   • Bitten Sie die Mitarbeiter, die App-Berechtigungen sorgfältig zu überprüfen, bevor sie ihnen Zugriff gewähren, und löschen Sie Anwendungen oder deaktivieren Sie Berechtigungen, die als hohes Risiko angesehen werden können oder missbraucht werden könnten.
   • Ermutigen oder fordern Sie Ihre Mitarbeiter auf, MFA-Tools (Multi-Factor Authentication) zu verwenden, wenn sie sich über ihre mobilen und persönlichen Geräte mit dem Unternehmensnetzwerk verbinden.
   • Bleiben Sie auf dem Laufenden über die sich ständig ändernde Landschaft der mobilen Sicherheitsbedrohungen.
   • Erwägen Sie, ein Sensibilisierungsprogramm zu etablieren, um die Sicherheit in den Vordergrund des Handelns der Mitarbeiter zu rücken. Die Mitarbeiter sollten sich der Sicherheitsbedrohungen bei der Nutzung ihrer mobilen Geräte bewusstwerden. Arbeitgeber wiederum sollten bewährte Verfahren für den Schutz sensibler Daten bereitstellen.
2. Setzen Sie eine modernere Architektur und eine umfassende Sicherheitslösung ein
   • Bieten Sie mobilen Benutzern einen sicheren Zugriff auf das Netzwerk und die Anwendungen ihres Unternehmens, ohne sich ständig verbinden und trennen zu müssen.
   • Steuern und beschränken Sie den Zugriff auf das Netzwerk und die Anwendungen des Unternehmens basierend auf Geräteeigenschaften wie Betriebssystem, Patch-Level, Vorhandensein der erforderlichen Endgerätesoftware etc. beim Zugriff auf sensible Anwendungen.
   • Ermöglichen Sie es, den Datenverkehr kontinuierlich zu überwachen und zu kontrollieren, um unbefugte oder böswillige Aktivitäten zu identifizieren und zu stoppen.
   • Schaffen Sie die Voraussetzungen, um Sicherheitsrichtlinien unternehmensweit in mehreren Umgebungen anzuwenden.
   • Helfen Sie mit, die Bedrohungsabwehr durchzusetzen und Malware zu blockieren.

Während mobile Geräte im Arbeitsalltag heute genauso selbstverständlich sind wie Desktop-Computer, hinken die Sicherheitsteams von Unternehmen in diesem Bereich hinterher. Die von Palo Alto Networks genannten Maßnahmen sollen dazu beitragen, die mobile Sicherheit auf Kurs zu bringen, um Geschäftsprozesse nicht zu gefährden, wenn Mitarbeiter außerhalb des lokalen Netzwerks arbeiten.

Weitere Informationen zum Thema:

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

[datensicherheit.de, 04.07.2019] Cyberkriminalität beschäftigt Unternehmen branchenübergreifend mehr denn je. Ende letzten Jahres haben Sicherheitsexperten und Datenwissenschaftler des US-amerikanischen Cyber-Security-Anbieters Forcepoint Trends und Bedrohungen identifiziert, mit denen sich Unternehmen 2019 konfrontiert sehen. Dazu gehörten etwa Security Trust Ratings und Gefahren wie Angriffe auf Cloud-Infrastrukturen in der Industrie-4.0 und Identitätsdiebstahl per Gesichtserkennungssoftware. Jetzt ziehen sie ein erstes Fazit.

Security Trust Ratings – die neue Grundlage für Kooperationen in der Wirtschaft

In einer digitalen Welt ohne klare Grenzen sind kritische Daten und geistiges Eigentum mehr denn je gefährdet. Die Verantwortung für die Datensicherheit bleibt dabei jedoch immer beim Unternehmen, auch wenn die Daten beispielsweise bei einem Provider liegen. Branchenweite Security Trust Ratings sind notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. Firmen müssen Sicherheit daher von oben nach unten in ihre Unternehmenskultur integrieren. Sicherheit darf nicht nur in der Verantwortung der IT-Teams liegen, sondern ist ein Geschäftswert.

Fazit:

Anhand eines Scoring-Systems bewerten, wie gut ein Unternehmen in Hinblick auf seine IT-Sicherheit ausgestattet ist? Seit diesem Jahr ist das in einigen Ländern möglich. In Großbritannien und den USA werden sie sogar auf Regierungsebene unterstützt. Die ersten Unternehmen – zum Beispiel das US-amerikanische Unternehmen Equifax – haben ihre finanziellen Aussichten als direkte Folge von Cybersicherheitslücken für dieses Jahr bereits herabgestuft.

Das gefälschte Gesicht – Hacker manipulieren Gesichtserkennungssoftware

Mit Phishing-Attacken und Hacks wie „SIM SWAPS“ untergraben Angreifer bereits regelmäßig die Wirksamkeit von Zwei-Faktor-Authentifizierung-(2FA)-Methoden (z. B. Login mit Passwort und SMS-Code). Fakt ist: Keine Authentifizierungs-Methode ist zu 100 Prozent sicher. Ende 2019 warnten die Sicherheitsexperten davor, dass Hacker künftig Gesichtserkennungssoftware nutzen werden, um Identitäten zu stehlen. Die Empfehlung für Unternehmen war es daher, sich mit verhaltensbasierten Systemen zu schützen, da physisches Verhalten wie Tastenanschlag, Mausbewegungen oder die Geschwindigkeit beim Scrollen eindeutig ist und sich nicht nachahmen lässt.

Fazit:

2019 war bisher kein gutes Jahr für die Technologie der Gesichtserkennung. US-amerikanische und britische Regierungsbehörden stellen die Technologie mittlerweile infrage oder sehen ganz von ihr ab. Für die Sicherheitsexperten von Forcepoint ist das die Bestätigung: Verhaltensbasierte Systeme sind die Zukunft für automatisierte Identifikationsverfahren. Denn nicht nur Gesichtserkennung, sondern auch die Spracherkennung und andere biometrische Intelligenzdatenbanken lassen sich von Hackern leicht missbrauchen. Nicht aber verhaltensbasierte Systeme.

Industrie-4.0 – Angreifer nutzen Schwachstellen bei Hardware- und Cloud-Infrastruktur

Die Vielzahl vernetzter Geräte, mobile Zugriffe und verschiedene Applikationen machen den Schutz von Systemen und Daten zunehmend komplexer. Mit gleichzeitig steigender Datenmenge setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider für Wartung, Updates und Device-Management. Angriffe auf die Cloud-Infrastruktur werden immer lukrativer, um wichtige Systeme zum Stillstand zu bringen. Die Gefahr für Unternehmen: Produktion, Energieerzeugung und andere wichtige Sektoren könnten gleichzeitig betroffen sein. Ein effektiver Schutz erfordert daher Einblicke in das Verhalten von Mensch und Maschine, um unautorisierte Eingriffe in IoT-Systeme zu verhindern, ohne dass die Verfügbarkeit beeinträchtigt wird.

Fazit:

Die erste Jahreshälfte 2019 hat gezeigt, wie vielfältig die Schwachstellen in Cloud-Systemen sind. Regierungen haben die Notwendigkeit, umfangreiche IT-Sicherheitslösungen für das IoT zu entwickeln und zu etablieren mittlerweile erkannt. International wollen sie die Situation für IoT-Sicherheit gezielt verbessern. Der US-Senat beispielsweise hat bereits mit einem Gesetz zum Schutz von IT-Sicherheitsbedrohungen reagiert und das Projekt OWASP (Open Web Applications Security Project) um Sicherheitsfragen bei IoT-Systemen ergänzt.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2018
IT-Security-Trends 2019: Bewusstsein für gestiegene Bedrohungslage schärfen

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 21.11.2018
Trendthemen – Ein Blick auf das IT-Jahr 2019

datensicherheit.de, 20.11.2018
IT-Sicherheit: Prognose für 2019

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019