[datensicherheit.de, 13.02.2023] Laut einer Umfrage mangelt es Organisationen in Deutschland im Kontext der Cyber-Sicherheit offenbar an Wissen über die unterschiedlichen Hacker-Gruppen und deren Vorgehensweisen. Die Nutzung vorhandener „Threat Intelligence“ gestalte sich in vielen Organisationen als Herausforderung, warnt Jens Monrad, „Head of Mandiant Intelligence, EMEA“ bei Google Cloud, in seiner aktuellen Stellungnahme.

Foto: Mandiant

Jens Monrad: Deutsche Organisationen sehen ganz ähnliche Herausforderungen in der Stärkung ihrer Cyber-Abwehr wie Cyber-Security-Verantwortliche weltweit…

40% der Organisationen in Deutschland in den letzten 12 Monaten Opfer eines Cyber-Angriffs

Der vorliegende Mandiant-Bericht „Global Perceptions on Threat Intelligence“ gibt demnach Aufschluss darüber, wie Organisationen mit der zunehmend komplexen Bedrohungslandschaft umgehen. Der Bericht basiert nach Mandiant-Angaben auf einer weltweiten Umfrage unter 1.350 Entscheidungsträgern für Cyber-Sicherheit in 13 Ländern, darunter 100 in Deutschland, und 18 Branchen, darunter Finanzdienstleistungen, Gesundheitswesen und Regierungsbehörden.

40 Prozent der Befragten aus Organisationen in Deutschland gäben an, dass ihre Organisation in den letzten zwölf Monaten Opfer eines Cyber-Angriffs geworden sei – sieben Prozentpunkte mehr als weltweit gesehen. „Dabei sehen deutsche Organisationen ganz ähnliche Herausforderungen in der Stärkung ihrer Cyber-Abwehr wie Cyber-Security-Verantwortliche weltweit“, so Monrad.

Mehrzahl der Entscheidungen hinsichtlich der Cyber Security ohne Informationen zu potenziellen Angreifern

Um sich besser gegen Angriffe verteidigen zu können, sei es 77 Prozent der deutschen Umfrageteilnehmer wichtig, Informationen über die Vorgehensweise potenzieller Angreifer zu kennen. Dennoch erklärten 81 Prozent der Befragten, „dass in ihrer Organisation alle oder die Mehrzahl der Entscheidungen hinsichtlich der Cyber Security ohne Informationen zu den potenziellen Angreifern getroffen werden“.

Nur 35 Prozent der Befragten in Deutschland seien der Meinung, dass ihre Organisation überhaupt über ein umfassendes Wissen über die unterschiedlichen Hacker-Gruppen und deren Taktiken, Techniken und Verfahren verfüge. Monrad ergänzt: „95 Prozent der deutschen Entscheidungsträger sind der Meinung, dass Cyber-Security-Strategien bei Verfügbarkeit neuer ,Threat Intelligence’ nicht schnell genug an die Gefahren angepasst werden.“

Führungsebenen unterschätzen offenbar Cyber-Gefahren

Nur 32 Prozent der Befragten sähen einen Mangel an Talent und Expertise als Herausforderung in Bezug auf die Nutzung von „Threat Intelligence“. Bei den Befragten in Nordamerika sei diese Sorge größer (47%). Mehr als die Hälfte der deutschen Entscheidungsträger (60%) glaube zudem, dass ausreichend Budget vorhanden sei, um den Angreifern einen Schritt voraus zu sein. Monrad führt aus: „Dafür sehen beinahe zwei Drittel (64%) der Befragten das Problem in der Führungsriege ihrer Organisation, die Cyber-Gefahren unterschätzt. 62 Prozent fordern hier ein Umdenken und dass ihre Organisation mehr Zeit und Energie in die wichtigsten neuen Entwicklungen im Bereich ,Cyber Security’ investiert.“

Er mahnt: „Organisationen in Deutschland bleiben ein begehrtes Ziel für Cyber-Kriminelle. Angesichts einer Reihe an bedeutenden Sicherheitsvorfällen in diesem noch jungen Jahr sind sich die Sicherheitsexperten mehr denn je der Notwendigkeit besserer Sicherheitspraktiken bewusst.“ Oft hätten Sicherheitsteams jedoch Schwierigkeiten, mit der sich schnell verändernden Bedrohungslandschaft Schritt zu halten. Zudem sorgten sie sich darüber, „dass leitende Angestellte das Ausmaß der Bedrohung nicht vollständig begreifen“.

Abschließend rät er: „Sicherheitsteams sollten sich daher ,Threat Intelligence’ aneignen, die vertrauenswürdig, zeitig und verwertbar ist und relevante ,Intelligence’ (taktischer, operativer und strategischer Natur) regelmäßig mit den entsprechenden Interessengruppen bis hoch zur Führungsebene teilen.“ Dann könnten Organisationen Security- und Geschäftsentscheidungen mit Einblick in die potenziellen Angreifer treffen.

Weitere Informationen zum Thema:

MANDIANT (Google Cloud)
Global Perspectives on Threat Intelligence

[datensicherheit.de, 12.05.2022] Am 12. Mai 2017 wurde der Nordkorea zugeschriebene Ransomware-Angriff „WannaCry“ ausgeübt. Jens Monrad, „Head of Threat Intelligence, EMEA“ bei Mandiant, geht in seiner aktuellen Stellungnahme auf diese Schadsoftware ein, welche wichtige Daten auf infizierten Systemen verschlüsselt, um von den Opfern Geld zu erpressen. „WannaCry“ hatte hierfür eine Zero-Day-Sicherheitslücke im „Windows“-Betriebssystem ausgenutzt, welche daraufhin mit einem Patch von „Microsoft“ behoben wurde. In seinem Kommentar erläutert Monrad die Entwicklung der Cyber-Fähigkeiten Nordkoreas in den letzten fünf Jahren seit diesem Vorfall:

Foto: Mandiant

Jens Monrad rät, proaktive Verteidigung zu ermöglichen!

WannaCry – einer der bisher am meisten zerstörerischen Ransomware-Angriffe

„,WannaCry‘ war nicht nur einer der am weitesten verbreiteten und zerstörerischsten Ransomware-Angriffe, sondern auch ein Wendepunkt für die vom nordkoreanischen Staat unterstützten Cyber-Operationen. Er zeigte die Fähigkeiten und die Bereitschaft des isolierten Regimes, anderen Nationen Schaden zuzufügen, um nationale Interessen zu verfolgen“, sagt Monrad.
Nordkorea habe wenig Anreiz gehabt, „nach den Regeln zu spielen“. Diese Entwicklung setze sich auch fünf Jahre später fort:
„Das Regime nutzt seine Cyber-Fähigkeiten, um sowohl politische als auch nationale Sicherheitsprioritäten zu unterstützen und finanzielle Ziele zu erreichen.“

WannaCry als warnendes Synonym für die Lazarus-Gruppe

Heutzutage werde die „Lazarus“-Gruppe zwar häufig als Überbegriff für nordkoreanische Cyber-Akteure verwendet, in Wirklichkeit gebe es jedoch mehrere verschiedene Gruppierungen, welche als eigenständige Cyber-Einheiten operierten und unterschiedliche Ziele für den Staat verfolgten.
Die Spionageoperationen des Landes beispielsweise spiegelten vermutlich die unmittelbaren Anliegen und Prioritäten des Regimes wider.
„Diese konzentrieren sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Raubüberfälle, Angriffe auf Medien, Nachrichten und politische Instanzen sowie auf Informationen über Auslandsbeziehungen und nukleare Informationen“, so Monrad.

WannaCry-Vorfall als Mahnung: Angriffsmuster erkennen!

Gleichzeitig deuteten Überschneidungen bei der Infrastruktur, der Schadsoftware und den Taktiken, Techniken und Verfahren der nordkoreanischen Gruppen darauf hin, dass es gemeinsame Ressourcen für die Cyber-Operationen und somit eine übergreifende Koordination gebe.
„Unseren Erkenntnissen zufolge werden die meisten Cyber-Operationen Nordkoreas, einschließlich Spionage, zerstörerischer Operationen und Finanzverbrechen, in erster Linie von Elementen des Generalbüros für Aufklärung durchgeführt“, führt Monrad aus.
Ein halbes Jahrzehnt nach „WannaCry“ stellten nordkoreanische Gruppen nach wie vor eine ernsthafte Bedrohung dar. „Wir müssen weiterhin ,Intelligence‘ über ihre Strukturen und Fähigkeiten sammeln, um Angriffsmuster zu erkennen, die eine proaktive Verteidigung ermöglichen.“

Weitere Informationen zun Thema:

MANDIANT, Michael Barnhart / Michelle Cantos / Jeffery Johnson / Elias Fox / Gary Freas / Dan Scott, 23.03.2022
Blog / Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen / Angst vor finanziellen Schäden durch Ransomware bewirkt Budgeterhöhungen und Zunahme an Mitarbeiterschulungen

datensicherheit.de, 18.05.2017
WannaCry: Cyber-Attacke sollte Initialzündung für Taten sein / TeleTrusT kritisiert derzeitiges IT-Sicherheitsniveau in Deutschland

datensicherheit.de, 16.05.2017
WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen / Die Weisheit „Der Krug geht so lange zum Brunnen, bis er bricht.“ hat mit den Vorfällen vom 12. Mai 2017 nun ihre für alle wahrnehmbare digitale Entsprechung gefunden

[datensicherheit.de, 12.07.2021] Die Schlagzeilen der vergangenen Monate zeigen ein deutliches Bild: Ransomware-Angriffe gehören mittlerweile offensichtlich zum Alltag und nehmen weiter zu. Dies bestätigten auch die Analysen von FireEye. Als starke Industrienation sei Deutschland ein attraktives Ziel für Hacker-Gruppen, aber die Gefahr bestehe branchenübergreifend. Gleichzeitig würden die Angriffe der Hacker immer gezielter und entwickelten so ein besonders großes Schadenspotenzial. „Um dieser Entwicklung Einhalt zu gebieten, muss die Politik endlich aktiv werden“, fordert Jens Monrad, „Director, Head of Mandiant Intelligence, EMEA“, bei FireEye, in seiner aktuellen Stellungnahme.

Foto: FireEye

Jens Monrad: Politik muss ein Zeichen setzen!

Ransomware-Angriffe haben während COVID-19-Pandemie europaweit zugenommen

Ransomware-Angriffe hätten während der „COVID-19-Pandemie“ europaweit zugenommen. Zwischen Februar 2020 und Mitte Mai 2021 seien mehr als 600 europäische Organisationen von „Datenklau-Bekanntmachungen im Rahmen von Ransomware-Angriffen“ betroffen gewesen.
Dies ergäben Analysen des IT-Sicherheitsspezialisten FireEye. Verglichen mit dem ersten Quartal 2020 sei die Anzahl der von Ransomware-Betreibern genannten Opfer im ersten Quartal 2021 damit um 422 Prozent angestiegen.

Großbritannien, Frankreich und Deutschland beliebteste Ziele innerhalb Europas für Ransomware-Attacken

Jede Branche und jedes Land seien von Ransomware-Angriffen betroffen. Mit knapp 20 Prozent sei die Fertigungsindustrie allerdings am häufigsten Ziel der Hacker – dicht gefolgt von juristischen und fachlichen Dienstleistern und dem Einzelhandel.
Die beliebtesten Ziele innerhalb Europas seien Großbritannien, Frankreich und Deutschland. Das lasse sich darauf zurückführen, dass auch Hacker-Gruppen globalen wirtschaftlichen Trends folgten. Alle drei seien Industrieländer und hätten eine starke Volkswirtschaft – „was erklärt, weshalb die drei Länder häufiger ins Visier genommen werden als andere europäische Länder“.

Ransomware-Angreifer immer skrupelloser

„In der zweiten Hälfte von 2019 entwickelten sich Ransomware-Angriffe von auf schiere Masse ausgerichtete Bedrohungen zu deutlich gezielteren und raffinierteren Angriffen“, berichtet Monrad. Heutzutage würden Organisationen vollständig handlungsunfähig gemacht, „bis sie das geforderte Lösegeld zahlen oder ihre IT-Infrastruktur erfolgreich über ein Back-up wiederherstellen“.
Ein Beispiel sei die im August 2020 von FireEye entdeckte Ransomware „DARKSIDE“, mit der in über 15 Ländern und verschiedenen Branchen Angriffe ausgeführt worden seien. Eine Besonderheit von „DARKSIDE“ sei, dass diese Ransomware wahlweise ein gesamtes Netz oder einzelne Personen befallen könne. Monrad führt aus: „Dafür verschafft sie sich in einem mehrstufigen Prozess Zugriff auf Daten und kopiert diese, während sie lokal verschlüsselt werden. Anschließend werden die Opfer mit der Veröffentlichung der gestohlenen Daten erpresst.“

Ransomware-Aktivitäten im Cyberspace mit deutlichen Auswirkungen auf unseren Alltag

Dabei handelten Ransomware-Gruppen und -Betreiber zunehmend ohne Rücksicht auf das Ausmaß ihrer Taten auf die betroffenen Unternehmen oder die gesamte Gesellschaft. Vorfälle aus der Vergangenheit zeigten, dass Aktivitäten im sogenannten Cyberspace auch deutliche Auswirkungen auf unseren Alltag haben könnten. Ein eindringliches Beispiel sei der Hacker-Angriff auf die Colonial-Pipeline, „die von der Ransomware ,DARKSIDE‘ betroffen war und von der rund 50 Millionen Bürger, wichtige Flughäfen und Häfen an der Ostküste der USA abhängig sind“.
Jeder Einzelne und jedes Unternehmen könne im Kampf gegen die Cyber-Kriminalität etwas leisten, „indem er sich und seine Organisation schützt“. IT-Sicherheit habe nie eine größere Rolle gespielt als heutzutage. FireEye z.B. entwickele deshalb gezielt intelligence-basierte Sicherheitslösungen wie „Mandiant Security Validation“. Diese validierten kontinuierlich die Cyber-Sicherheitsmaßnahmen eines Unternehmens, um deren Effektivität zu bewerten. „So werden Schwachstellen in den jeweiligen Systemen oder Tools offengelegt, um diese gezielt schließen zu können.“

Ransomware-Gruppen entwickeln sich rasant weiter und stellen globale Herausforderung dar

Monrad betont seine Forderung: „Doch auch auf höherer Ebene besteht Handlungsbedarf. Solange cyber-kriminelle Bedrohungen nicht auf politischer Ebene angegangen werden, wird sich der Trend fortsetzen. Cyber-Kriminalität ist zwar ein globales Problem, doch gibt es Länder, die Kriminellen eine Art sicheren Hafen bieten oder kriminelle Aktivitäten tolerieren, solange sie diese nicht selbst betreffen. Dagegen muss die Politik ein Zeichen setzen.“
Erste Schritte würden unternommen. „Viele Institutionen und Organisationen erkennen die Gefahr der Cyber-Angriffe auf globaler Ebene.“ So habe die EU-Kommission in den vergangenen Wochen eine gemeinsame Cyber-Einheit vorgeschlagen, welche zum 30. Juni 2022 ihre Arbeit aufnehmen solle. Ziel sei es, für mehr Cyber-Sicherheit in der EU zu sorgen. Monrad kommentiert: „Dies ist ein wichtiger Schritt, denn Ransomware-Gruppen entwickeln sich rasant weiter und stellen eine globale Herausforderung dar.“

Weitere Informationen zum Thema:

FIREEYE
learnings from the frontlines / RANSOMWARE SERIES

datensicherheit.de, 09.07.2021
Ransomware-Attacken: Was wir heute von gestern für morgen lernen können / Ed Williams kommentiert aktuelle Hacker-Angriffe mit Ransomware, zeigt Trends auf und gibt Tipps

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden