[datensicherheit.de, 23.09.2025] „Das moderne Klassenzimmer hat sich zu einem digitalen Schulhof gewandelt, der auf Plattformen wie ,Microsoft Teams’, ,Google Classroom’ und ,zoom’ basiert. Diese ,Tools’ fördern zwar die Zusammenarbeit und Innovation, sind aber auch bevorzugte Ziele für Cyberangriffe, insbesondere solche, die KI nutzen“, warnt Marco Eggerling, „Global CISO“ bei Check Point Software Technologies. Somit seien Schulen und Universitäten Risiken ausgesetzt, welche Schüler, Pädagogen und sogar die nationale Innovation direkt bedrohten.

Foto: Check Point Software

Marco Eggerling: Bildung ist das Rückgrat der Zukunft jedes Landes, aber ohne starke Cybersicherheit wird sie zu einem leichten Ziel für Störungen!

Verschlimmbesserung durch KI: Bildung der weltweit am stärksten angegriffene Sektor

„Der Bildungssektor ist weltweit zum Hauptziel von Cyberkriminellen geworden. Laut ,Check Point Research’ (CPR) waren Schulen und Universitäten im Jahr 2025 durchschnittlich 4.356 Cyber-Angriffen pro Organisation und Woche ausgesetzt – ein Anstieg von 41 Prozent gegenüber dem Vorjahr“, berichtet Eggerling. In Europa sei die Zahl der Cyberattacken im Vergleich zum Vorjahr – 2024 – um 48 Prozent auf 4.161 gestiegen.

• Der Bildungssektor sei aus mehreren spezifischen Gründen ein boomender Sektor für Cyberangriffe: Schulen verfügten über große Mengen sensibler Daten – von persönlichen Informationen der Schüler und Mitarbeiter bis hin zu Finanz- und Forschungsdaten – was sie für Angreifer attraktiv mache. „Da zudem mehrere Parteien mit der jeweiligen Bildungseinrichtung in Verbindung stehen müssen, um Lehrpläne, Semesterferien, Online-Unterricht und Umzüge zu koordinieren, werden die Angriffsflächen größer.“

Erschwerend komme hinzu, dass viele Bildungseinrichtungen bekanntermaßen nicht über die Ressourcen verfügten, um ihre Systeme angemessen zu schützen – einige verfügten schlicht nicht über Fachwissen oder die qualifizierten Personen, um sicherzustellen, „dass die Abwehrmaßnahmen auf dem jüngsten Stand sind“. All dies mache diesen Sektor unweigerlich zu einem „weichen Ziel“ mit „harten Folgen“.

Mehr als nur Auswirkungen auf IT-Ausfallzeiten: Cyberangriffe mit erheblicher Wirkungsmächtigkeit

Die Auswirkungen von Cyberangriffen auf den Bildungssektor gingen weit über Systemausfälle hinaus. Schulschließungen und Prüfungsunterbrechungen aufgrund von Ransomware hätten Universitäten wochenlang offline gezwungen und Prüfungen seien abgesagt oder verschoben worden.

• „Im Jahr 2023 kosteten Ransomware-Angriffe Bildungseinrichtungen viel mehr als erwartet, wobei die durchschnittlichen Zahlungen laut einem Sophos-Bericht 6,6 Millionen US-Dollar für Grundschulen und 4,4 Millionen US-Dollar für Hochschulen erreichten.“

Trotz dieser Zahlungen bleibe die Wiederherstellung eine große Herausforderung. Nur 30 Prozent der Opfer schafften es innerhalb einer Woche vollständig, was einen Rückgang gegenüber dem Vorjahr darstelle, da begrenzte Ressourcen und Teams die Wiederherstellungsbemühungen behinderten.

Ransomware-Angriffe bedrohen Existenzen

Diese Lösegeldzahlungen beeinträchtigten den Ruf der Schule zudem erheblich und zwängen sie, in anderen Bereichen Einsparungen vorzunehmen, was sich auf die Qualität der Ausbildung ihrer Schüler auswirke.

• In jüngster Zeit seien im „DarkWeb“ sogar Verkäufe von Schülerdaten entdeckt worden – von Zeugnissen und persönlichen Unterlagen bis hin zu gefälschten Zertifikaten, welche Einzelpersonen und Organisationen persönlichen Schaden zufügten.

„In schweren Fällen von Cyberangriffen gab es Berichte über den Zusammenbruch von Institutionen: Das 157 Jahre alte Lincoln College in Illinois musste nach einem Ransomware-Angriff seine Türen für immer schließen.“

Der KI-Faktor: Cyberkriminalität in Maschinengeschwindigkeit

Künstliche Intelligenz (KI) verändere sowohl die Bedrohungslandschaft als auch die Verteidigungsstrategien im Bildungsbereich. Auf der Seite der Angreifer ermögliche KI Deepfake-Phishing-Kampagnen, welche sich gegen Schüler und Mitarbeiter richteten, sowie den automatisierten Diebstahl von Zugangsdaten durch groß angelegtes „Passwort-Spraying“.

• Dank dieser Leistungsfähigkeit könne KI-gesteuerte Malware nun innerhalb von Minuten statt wie bisher innerhalb von Wochen Schwachstellen scannen und ausnutzen. Angreifer setzten KI auch im schulischen Umfeld als Waffe ein und entwickelten äußerst überzeugende Betrugsmaschen, die Phishing weitaus effektiver machten als je zuvor.

Die frühzeitige Integration von Schulungen zur Cybersicherheit – insbesondere vor der Einführung von KI – sei von entscheidender Bedeutung, um das Bewusstsein zu schärfen, „das erforderlich ist, um KI-generierten Bedrohungen in digitalen Klassenzimmern zu widerstehen“.

KI-generiere Websites imitieren als Köder Prüfungsportale, Gebührenzahlungssysteme und Anmeldeseiten

Allein im Juli 2025 identifizierte CPR demnach rund 18.000 neue bildungsbezogene Domains, „von denen jede 57. als bösartig gekennzeichnet worden ist“. Viele davon seien KI-generiert und so gestaltet, dass sie Prüfungsportale, Gebührenzahlungssysteme oder Anmeldeseiten imitierten.

• Auf der Verteidigerseite könne KI nun aber dabei helfen, Anomalien im Anmeldeverhalten von Tausenden von Konten zu erkennen, Zero-Day-Malware zu identifizieren, bevor Signaturen existieren, und KI-gestützte, präventionsorientierte Sicherheit zu bieten, „indem Phishing, Ransomware und bösartige Domains in Echtzeit blockiert werden“.

Für Schulen mit kleinen IT-Teams sei KI-gesteuerte Cybersicherheit sogar nicht mehr optional – „sie ist der einzige Weg, um mit den Hackern Schritt halten zu können!“

Empfehlungen, um Bildung im KI-Zeitalter sicher fortsetzen zu können

Um den digitalen Unterricht zu schützen, müssten Bildungseinrichtungen eine Präventionsstrategie verfolgen, „die durch KI-Tools unterstützt wird“. Einige wichtige Vorschläge:

• Verstärken der Authentifizierung
  mittels der Durchsetzung von MFA und der Überwachung auf MFA-Fatigue-Phishing-Taktiken.
• Netzwerksegmentierung,
  um zu verhindern, dass Angreifer sich innerhalb des Netzwerks seitlich bewegen können.
• Stärkung des Bewusstseins für Phishing bei Mitarbeitern und Schülern
  anhand von Beispielen aktueller Betrugsmaschen.
• Regelmäßige Aktualisierung und Patching von Systemen,
  insbesondere von weit verbreiteten Plattformen wie E-Mail- und Kollaboration-„Tools“.
• Schulungen zum Thema Cybersicherheit für Schüler, Pädagogen und Eltern,
  um ihnen zu helfen, KI-generierte Betrugsmaschen, insbesondere raffinierte Phishing-Betrugsmaschen, zu erkennen und verdächtige Links zu identifizieren.

Dies seien nicht nur IT-Maßnahmen, sondern zentrale Schutzmaßnahmen für die Zukunft des Lernens.

Schutz des Bildungssektors erfordert präventiven Ansatz mit KI-gestützten Abwehrmaßnahmen

Eggerling betont abschließend: „Bildung ist das Rückgrat der Zukunft jedes Landes, aber ohne starke Cybersicherheit wird sie zu einem leichten Ziel für Störungen!“

• Sie hätten weltweit einen Anstieg von KI-gestützten Angriffen erlebt, „die nicht nur sensible Daten stehlen, sondern auch das Lernen von Millionen von Schülern unterbrechen“.

Der Schutz des Bildungssektors erfordere aber einen präventiven Ansatz mit KI-gestützten Abwehrmaßnahmen, stärkeren digitalen Perimetern und Sensibilisierung auf allen Ebenen. „Nur so können wir sicherstellen, dass digitale Klassenzimmer sichere Orte für Wachstum und Innovation bleiben!“

Weitere Informationen zum Thema:

CHECK POINT
About Us: Check Point Software Technologies is a global leader in cyber security solutions, dedicated to protecting corporate enterprises and governments worldwide

INFOPOINT SECURITY, Herbert Wieler, 25.04.2023
Check Point beruft Marco Eggerling zum CISO EMEA

SOPHOS, 19.09.2024
Most Educational Organizations Paid More Than the Original Ransom Demand, Says Sophos Survey / Education Sector’s Ransomware Recovery Costs Skyrocket, Despite Fewer Attacks Overall

CBS NEWS, Kate Gibson & Alain Sherter, 10.05.2022
Ransomware attack shutters 157-year-old Lincoln College

datensicherheit.de, 25.03.2025
Zunahme bei Cyber-Angriffen: Bildungssektor überfordert / Den meisten Bildungseinrichtungen fehlen die Ressourcen für solide und umfassende Cyber-Sicherheitsprogramme

datensicherheit.de, 03.11.2022
Ransomware: Cyber-Angriffe auf 75 Schulen in Bayern / Angriff mit Ransomware exakt zu dem Zeitpunkt, als Speichermedien zur Sicherung mit Server verbunden waren

datensicherheit.de, 16.09.2020
Europas Bildungswesen vermehrt im Visier der Hacker / Verlagerung des Unterrichts ins Internet macht diesen Bereich sehr attraktiv für Hacker

datensicherheit.de, 22.06.2020
Digitale Transformation: Deutschlands Schüler bleiben zurück / Neue Studie stellt Zukunftsfähigkeit des deutschen Bildungssystems in Frage – Schüler weitgehend „digital inkompetent“ und Lehrpläne sowie Infrastruktur „mangelhaft“

datensicherheit.de, 04.06.2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

[datensicherheit.de, 17.08.2025] Zur aktuellen Gefahrenlage im Kontext sogenannter Deepfakes nimmt Marco Eggerling, „Global CISO“ bei Check Point, Stellung und erklärt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, wie diese auf Künstlicher Intelligenz (KI) basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist. Deepfakes seien längst keine Spielerei mehr: „Was als unterhaltsamer Internettrend begann, ist heute ein hochentwickeltes Werkzeug für Cyberkriminalität. Moderne Deepfakes schauen täuschend echt aus, lassen sich in Echtzeit einsetzen und sind massentauglich. Damit stellen sie eine akute Bedrohung für Wirtschaft und Gesellschaft dar!“

Foto: Check Point Software

Marco Eggerling: Deepfakes sind mittlerweile knallharte Realität der Cyberkriminalität

Besonders besorgniserregend: Zunahme der Deepfake-Kommerzialisierung

„Laut unserem ,AI Security Report 2025‘ verursachten Deepfake-Angriffe allein in zwei bekannt gewordenen Fällen in Kanada und Großbritannien einen Schaden in Höhe von über 35 Millionen US-Dollar“, berichtet Eggerling. Noch gravierender sei, dass sich die kriminelle Nutzung längst nicht mehr auf Videos beschränke: KI-generierte Stimmen würden mittlerweile regelmäßig bei „Sextortion“, CEO-Hochstapelei und Fake-Geiselnahmen eingesetzt. So seien beispielsweise in Italien der Verteidigungsminister, sowie Giorgio Armani und andere Konzernführer per Deepfake-Stimme nachgeahmt worden, um prominente Kontakte zu erpressen.

• Die technische Basis dafür sei ebenso erschreckend wie leicht zugänglich: „Voice-Cloning-Systeme lassen sich mit nur wenigen Minuten an Audiomaterial trainieren, kosten etwa 20.000 US-Dollar und können jede Stimme in jeder Sprache in Echtzeit imitieren – sogar über mehrere Gespräche hinweg.“ Ergänzt würden diese Systeme durch gefälschte Business-E-Mail-Kits und auf Betrug zugeschnittene Phishing-Suites. „Sie sind im ,Darknet’ und auf ,Telegram’ für wenige Hundert US-Dollar erhältlich und arbeiten ohne menschliche Beteiligung.“

Besonders besorgniserregend sei die zunehmende Kommerzialisierung dieser Technologien. Sogar technisch weniger versierte Hacker könnten solche „Tools“ missbrauchen, welche auf Generativer KI basierten und somit kontinuierlich dazulernten sowie sich dynamisch an das Verhalten ihrer Opfer anpassten. „Damit können sie täuschend echte CEO-Anrufe, gefälschte Konferenzschaltungen oder personalisierte Phishing-Kampagnen durchführen!“, warnt Eggerling.

Deepfakes so skalierbar wie nie zuvor – Technologie in den letzten Jahren stark verbessert

Diese Automatisierung der Cyberkriminalität mache Deepfakes so skalierbar wie nie zuvor. Die Technologie sei in den letzten Jahren stark verbessert worden. „Zum Beispiel gibt es autonome Live-Agenten. Mit diesen kann man nicht nur Identitäten fälschen, sondern ganze Gespräche mit Avataren führen, die von der Künstlichen Intelligenz gesteuert werden.“ Die Übergänge zwischen Realität und Simulation würden somit fließend und herkömmliche Überprüfungsmechanismen griffen nicht mehr.

• Eggerling erläutert: „Was dagegen hilft, ist einerseits die Aufmerksamkeit des Nutzers, um Ungereimtheiten zu erkennen und nicht alles zu glauben, was seriös erscheint. Andererseits können Unternehmen und Behörden sich mithilfe mehrschichtiger Sicherheitsarchitekturen, die verschiedene Komponenten konsolidieren, gegen solche Betrügereien schützen.“ Die KI-Einbindung in die Cyberabwehr sei außerdem die erste Wahl, um KI-generierte Angriffe abzuwehren, „weil hier Ähnliches mit Ähnlichem gekontert wird“. Mithilfe KI-basierter Verteidigungssysteme ließen sich gefälschte Medien, verdächtige Kommunikation und Anomalien im Verhalten frühzeitig erkennen und blockieren, „bevor Schaden entsteht“.

Diese Technologien könnten Deepfakes in Audiodateien erkennen, Angriffe von autonomen KI-Agenten isolieren und die Ausführung manipulierten Inhalts verhindern. In Kombination mit Zero-Trust-Modellen und gezielten „Awareness“-Programmen entstehe so ein umfassender Schutzschild gegen Deepfake-Angriffe. Eggerling gibt abschließend zu bedenken: „Jedem sollte daher bewusst sein: Deepfakes sind keine theoretische Zukunftsvision mehr, oder die kleine Spielerei einiger Hacker, um die Öffentlichkeit zu erschrecken, sondern knallharte Realität der Cyberkriminalität!“

Weitere Informationen zum Thema:

CHECK POINT
About Us / Check Point Software Technologies is a global leader in cyber security solutions, dedicated to protecting corporate enterprises and governments worldwide.

CHECK POINT
Check Point Research AI Security Report 2025 / Your guide to understanding AI-powered threats and building smarter defenses

CHECK POINT
What is the Dark Web? / The Dark Web is a section of the Internet that isn’t accessible via traditional web browsers and search engines. Instead, Dark Web sites are accessed via special browsers either with knowledge of the specific URL or using a special Dark Web search engine.

The Guardian, Angela Giuffrida, 10.02.2025
AI phone scam targets Italian business leaders including Giorgio Armani / Cloned voice of defence minister, Guido Crosetto, used in some calls asking for money to free kidnapped journalists

FEDERAL BUREAU OF INVESTIGATION, 03.12.2024
Alert Number: I-120324-PSA / Criminals Use Generative Artificial Intelligence to Facilitate Financial Fraud

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

INFOPOINT SECURITY, Herbert Wieler, 25.04.2023
Personalien: Check Point beruft Marco Eggerling zum CISO EMEA

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 08.07.2025
Audio-Deepfakes: Zunahme der KI-Verfügbarkeit als Booster für Betrugsversuche / Einen hohen Anteil an diesen Deepfake-Betrugsversuchen haben laut KnowBe4 synthetische Sprachanrufe

datensicherheit.de, 06.04.2025
KI ermöglicht Cyber-Betrug 2.0: TEHTRIS-Studie zu Deepfake-as-a-Service / Industrialisierung von Deepfakes und KI im Dienste der Cyber-Kriminalität – neue Welle automatisierter und ausgeklügelter Bedrohungen befürchtet

datensicherheit.de, 11.02.2025
Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer / KI-Deepfakes gaukeln Opfern prominente Persönlichkeiten vor, welche angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen

[datensicherheit.de, 27.01.2025]
Deepfakes: Wie Internet-Nutzer täuschend echte Fälschungen erkennen können / Immer häufiger tauchen aktuell sogenannte Deepfakes auf, d.h. mit Künstlicher Intelligenz manipulierte Fotos und Videos

[datensicherheit.de, 24.05.2025] Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, benennt Künstliche Intelligenz (KI) als strategischen Wendepunkt für die Informationssicherheit: Die technologische Entwicklung im KI-Bereich habe in den letzten Jahren „ein beispielloses Tempo“ erreicht. Diese Dynamik verändere nicht nur Geschäftsmodelle und Prozesse, sondern stelle auch die Cybersicherheit vor völlig neue Herausforderungen. Eggerling betont: „Für ,CISOs’, ,CIOs’ und andere Entscheidungsträger bedeutet dies: Strategien, Prozesse und Kontrollmechanismen müssen neu bewertet und konsequent weiterentwickelt werden, insbesondere im Kontext der aufkommenden Agenten-KI.“

Foto: Check Point Software

Marco Eggerling: Der Schutz der Unternehmenswerte im Zeitalter der Agenten-KI ist mehr als ein rein technisches Problem – sondern Führungsaufgabe im Kontext eines Kulturwandels

Agenten-KI als „Januskopf“ – neue Möglichkeiten und neue Angriffsflächen

Auf Agenten basierte KI-Systeme verfügten über die Fähigkeit, autonom zu agieren, Entscheidungen zu treffen und komplexe Aufgaben ohne menschliches Zutun durchzuführen.

• „Diese Systeme versprechen erhebliche Effizienzgewinne in der Sicherheitsarchitektur – insbesondere bei der Identifikation, Analyse und Abwehr von Bedrohungen in Echtzeit. Gleichzeitig jedoch erhöhen sie auch die Komplexität und erfordern klare Leitplanken: Transparenz, Auditierbarkeit und die Möglichkeit manuellen Eingreifens müssen jederzeit gewährleistet sein.“

Der unkontrollierte Einsatz autonomer Agenten ohne menschliche Kontrollinstanz oder Notabschaltung stelle ein nicht zu unterschätzendes Risiko dar, unabhängig von ihrer Skalierbarkeit oder Intelligenz. Nur unter Einhaltung strenger „Governance“-Prinzipien könne Agenten-KI zur tragenden Säule einer zukunftsfähigen Sicherheitsarchitektur werden.

Altbekannte Angriffsmethoden nutzen neue KI-Technologien

„Trotz KI-gestützter Innovationen bedienen sich Angreifer weiterhin altbewährter Methoden: Phishing, gestohlene Zugangsdaten und ,Social Engineering’ bleiben die häufigsten Angriffsvektoren.“

• Die Herausforderung liege heute darin, diese bekannten Angriffsmuster mit neuen, lernfähigen Systemen schneller und präziser zu erkennen bevor sie Schaden anrichten.

„Der Einsatz von KI-Agenten zur Mustererkennung, Angriffsprävention und automatisierten ,Incident Response’ kann hier entscheidende Vorteile bieten. Besonders bei Zero-Day-Angriffen oder polymorphen Bedrohungen ermöglicht die Geschwindigkeit maschineller Reaktionen einen wirksamen Schutz, der über klassische Abwehrmaßnahmen hinausgeht.“

Adaptive, KI-gestützte Sicherheitskonzepte – identitätsbasiert, kontextsensitiv und skalierbar

Mit der zunehmenden Verlagerung geschäftskritischer Prozesse in die „Cloud“, der Nutzung hybrider IT-Architekturen sowie dem Siegeszug von „Edge“- und IoT-Geräten werde die digitale Angriffsfläche immer fragmentierter.

• Eggerling unterstreicht: „Sicherheit muss heute in jedem Layer und auf jeder Plattform durchsetzbar sein – unabhängig davon, ob Systeme zentral, verteilt oder mobil betrieben werden!“

Für „CISOs“ bedeute dies, dass klassische perimeterbasierte Schutzmodelle endgültig ausgedient hätten. Stattdessen brauche es adaptive, KI-gestützte Sicherheitskonzepte, welche identitätsbasiert, kontextsensitiv und skalierbar sind – und dabei die Geschwindigkeit und Intelligenz der Angreifer auf Augenhöhe kontern könnten.

Angriffsdynamik nimmt zu: KI-gestützte Attacken mit Maschinengeschwindigkeit

Ein zentrales Merkmal von KI-getriebenen Angriffen sei deren Geschwindigkeit. Die Zeitspanne zwischen der Kompromittierung eines Systems und der vollständigen Eskalation eines Vorfalls schrumpfe dramatisch – von Stunden oder Minuten auf Mikrosekunden.

• „Angreifer setzen zunehmend auf eigene KI-Agenten, um Verteidigungsmechanismen in Echtzeit zu umgehen!“, warnt Eggerling.

Für die Abwehr bedeutet das: „Reaktionszeiten müssen automatisiert und Sicherheitslösungen auf maschinelles Tempo ausgelegt sein. Klassische Security-Appliances werden dabei nicht obsolet; im Gegenteil: Ihr Wert steigt in Kombination mit intelligenten Agenten, die Angriffe proaktiv erkennen und blockieren können.“

Agenten-KI: Verantwortungsvolle Nutzung erfordert mehr als nur technologische Exzellenz

Um das volle Potenzial von Agenten-KI verantwortungsvoll zu nutzen, brauche es mehr als nur technologische Exzellenz.

• Branchenweite Standards, Interoperabilität und regulatorische Klarheit seien ebenso notwendig wie eine enge Zusammenarbeit zwischen Industrie, Forschung und staatlichen Institutionen. „Nur durch eine koordinierte Anstrengung lassen sich Sicherheitsmechanismen schaffen, die nicht nur reaktiv schützen, sondern proaktiv verhindern – selbst gegen bislang unbekannte Bedrohungen.“

Die Vision: KI-Agenten, die Bedrohungsdaten weltweit in Echtzeit teilen, voneinander lernen und Angriffe verhindern, bevor sie überhaupt stattfinden können.

Empfehlungen für eine Strategie zur Etablierung einer resiliente, KI-gestützte Zukunft der Cybersicherheit

Die Verschmelzung von KI, „Cloud“ und Cybersicherheit markiere einen strategischen Wendepunkt für Unternehmen weltweit. Für „CISOs“ und Sicherheitsentscheider bestehe die Herausforderung darin, nicht nur auf diese Veränderungen zu reagieren, sondern sie aktiv zu gestalten. Dazu gehört laut Eggerling:

• Die Etablierung skalierbarer, KI-unterstützter Sicherheitsarchitekturen.
• Die Einführung klar definierter Leitplanken für autonome Systeme.
• Die Förderung branchenweiter Zusammenarbeit und Standardisierung.
• Die konsequente Integration von KI in alle Prozesse der Cyberabwehr, von „Detection & Response“ bis zur strategischen Risikobewertung.

Eggerlings Fazit: „Der Schutz der digitalen Unternehmenswerte im Zeitalter von Agenten-KI ist kein technisches Problem allein, es ist eine Führungsaufgabe und er folgt einem Kulturwandel.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

[datensicherheit.de, 14.05.2025] Es spanne sich ein Bogen der Bedrohung von „WannaCry“ im Jahr 2017 bis zu bösartiger Künstlicher Intelligenz (KI) unserer Tage und der nahen Zukunft: „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“ vom 12. Mai 2025 – dieser ist eine von INTERPOL und Kaspersky ins Leben gerufene globale Sensibilisierungsinitiative, um warnend an eine der erfolgreichsten Cyberattacken der Geschichte zu erinnern, eben an die „WannaCry“-Attacke von 2017. Eggerling ruft die damaligen Folgen in Erinnerung: „Innerhalb weniger Stunden fegte die Ransomware-Kampagne über den Globus, legte Krankenhäuser in Großbritannien lahm, stoppte Produktionsstraßen und unterbrach wichtige Dienste auf fast allen Kontinenten.“ „WannaCry“ sei sozusagen ein Wendepunkt – diese Ransomware hat demnach gezeigt, wie unvorbereitet selbst die zu jener Zeit fortschrittlichsten Systeme waren. „Aber so schädlich dieser Angriff auch gewesen ist, er war nur ein Prolog!“, so Eggerlings Prognose.

Foto: Check Point Software

Marco Eggerling: Der „Anti-Ransomware-Tag“ sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet

Ransomware-Gruppen operieren eher wie digitale Kartelle denn als einzelne Hacker

Im Jahr 2025 ist die Bedrohungslandschaft laut Eggerling „wesentlich komplexer“: Die Ransomware-Gruppen operierten eher wie digitale Kartelle denn als einzelne Hacker. Ihre Werkzeuge seien schärfer, ihre Ziele strategischer und ihre Taktiken von KI durchdrungen. „Anlässlich des diesjährigen ,Anti-Ransomware-Tags’ blicken wir nicht nur in die Vergangenheit, sondern schlagen auch Alarm für die Zukunft.“

Die Entwicklung von Ransomware sei eine ständige Neuerfindung. „Was als plumpe ,Lock-and-Demand’-Malware begann, hat sich zu mehrstufigen Erpressungsunternehmungen entwickelt. Die Angreifer verschlüsseln nicht mehr nur Daten – sie stehlen sie, lassen sie durchsickern und machen sie zu Druckmitteln. Allein im ersten Quartal 2025 wurden laut ,Check Point Research’ 2.289 Ransomware-Opfer auf Datenleck-Seiten aufgelistet – ein Anstieg um 126 Prozent im Vergleich zum Vorjahr.“

In den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle bei Ransomware-Angriffen möglich

Die „Cl0p-Gruppe“, eine der aktivsten Ransomware-Banden, habe sich z.B. weitgehend von der Dateiverschlüsselung wegbewegt auf reine Datenerpressung verlagert. Ihre frühe, auf die Dateiübertragungsplattform „Cleo“ abzielende Kampagne aus dem laufenden Jahr, 2025, habe mehr als 300 Unternehmen kompromittiert – „83 Prozent der Opfer sitzen in Nordamerika, insbesondere in der Fertigung und Logistik“.

Mit diesen neuen Strategien könnten Cyberkriminelle eine Entdeckung besser vermeiden, Abwehrmaßnahmen umgehen und den psychologischen Druck auf die Opfer erhöhen. „Wir erwarten, dass in den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle auftauchen werden, die DDoS-Angriffe, gestohlene Daten und direkte Einschüchterung der Opfer durch Anrufe oder E-Mails an Kunden und Geschäftspartner kombinieren werden.“

Cyberverbrechen der Profiklasse mittels „Ransomware-as-a-Service“

Die Einstiegshürde für Ransomware sei gefallen. Sogenannte RaaS-Modelle (Ransomware-as-a-Service) hätten die Bedrohung industrialisiert, vereinfacht und die Cyberkriminalität in ein skalierbares Geschäft verwandelt. „Jeder kann sich nun Ransomware im Baukastensatz mieten. Im Fall der jüngst von uns untersuchten ,Ransomware DragonForce’ kann der Mieter sogar einen Blanko-Bausatz erwerben und selbst etikettieren, um seine eigene Ransomware-Marke aufzubauen.“

Im Jahr 2024 seien 46 neue Ransomware-Gruppen ins Spiel gekommen – ein Anstieg von 48 Prozent gegenüber dem Vorjahr (2023), angetrieben durch „Plug-and-Play“-Kits, Partnerprogramme und sogar Kundensupport-Portale.

Der Aufstieg von „RansomHub“: Krimineller Cybercommerce

„An der Spitze der Charts steht ,RansomHub’, das für 531 bekannte Angriffe verantwortlich ist und damit sogar das berüchtigte ,LockBit’ übertrifft.“ Diese Gruppen spiegelten Startups wider – „agil, kundenorientiert und beunruhigend effektiv“.

Ihre Toolkits umfassten jetzt Dashboards, Telemetrie-Analysen und Lokalisierungsfunktionen. „Es geht also nicht nur um Cyberkriminalität, sondern um Cybercommerce!“

KI als Trumpf für Ransomware-Angreifer

2025 sei nun das Jahr, in dem KI in vollem Umfang in das Arsenal der Ransomware Einzug halte:

• KI-generierte Phishing-Köder, welche Schreibstile und Sprachen imitieren.
• Benutzerdefinierte Malware wird mit Generativen KI-Tools wenigen Minuten erstellt.
• Deepfake-Imitationen von Führungskräften, die bei BEC-Angriffen („Business eMail Compromise“) verwendet werden.
• Verwendung legitimer IT-Tools zur unbemerkten Deaktivierung von Sicherheitskontrollen bei Einbrüchen.

Hacker-Gruppierungen wie „FunkSec“ machten sich diese Fähigkeiten bereits zunutze, um Entwicklungszyklen zu optimieren und Angriffe auszuweiten. „In einer Kampagne nutzten die Angreifer KI-generierten Code, um die EDR-Erkennung zu umgehen, indem sie legitime Skripte aneinanderreihten, welche die Verhaltensanalyse-Engines umgingen.“

„Industrielle Revolution“ der Ransomware im Gange

Eggerling kommentiert: „Wir erleben also gerade die ,Industrielle Revolution von Ransomware’. KI macht es einfacher als je zuvor, Ransomware-Angriffe anzupassen, einzusetzen und zu skalieren – und die Auswirkungen sind nicht mehr nur technischer Natur. Sie sind operativ, finanziell und rufschädigend geworden.“

Ihre Sicherheitsforscher rechneten mit zwei bis drei groß angelegten Ransomware-Angriffen auf eine Lieferkette im Jahr 2025, „bei denen KI nicht nur für die Erstellung der Nutzlast, sondern auch für die Automatisierung von Seitwärtsbewegungen, die Priorisierung von Zielen und sogar die Aushandlung des Lösegelds eingesetzt werden wird“.

Psychologische Manipulationsebene der Ransomware: Desinformation und digitale Erpressung

Die psychologische Manipulationsebene der Ransomware sei genauso gefährlich geworden wie die Malware selbst: „Es gibt Banden, wie ,Babuk-Bjorka’, die sich eine beunruhigende Taktik zu eigen gemacht haben: Sie veröffentlichen gefälschte oder recycelte Datenlecks, um ihre Glaubwürdigkeit zu erhöhen und Zahlungen von Leuten zu erzwingen, die in Wirklichkeit gar nicht betroffen sind.“ Dies verwirre die Zuordnung, überfordere die Einsatzkräfte und untergrabe das Vertrauen in die Berichterstattung über Cyberattacken. „Eine Ära der Fake-Hacks bricht an, in der die Wahrnehmung genauso schädlich sein kann wie die Realität!“

Die globale Bedrohung habe lokale Folgen: „Laut unserem ,External Risk Management (ERM) 2024 Annual Ransomware Report’ ergibt sich folgendes Lagebild:

• Die Vereinigten Staaten von Amerika blieben mit 50,2 Prozent aller Fälle das am häufigsten betroffene Land.
• In Indien stieg die Zahl der Ransomware-Angriffe im Vergleich zum Vorjahr um 38 Prozent – angetrieben von der raschen Digitalisierung, der Einführung hybrider Arbeitsformen und Lücken in der Infrastruktur.
• Zu den am stärksten betroffenen Branchen gehören Unternehmensdienstleistungen, die verarbeitende Industrie und der Einzelhandel – Sektoren, die operativ empfindlich und oft nicht ausreichend vorbereitet sind.“

Abwehrmaßnahmen gegen moderne Ransomware

Eggerling hebt hervor: „Die Zeiten, in denen man sich ausschließlich auf Backups und Patch-Zyklen verlassen konnte, sind vorbei.“ Um den heutigen Ransomware-Akteuren zuvorzukommen, müssten Unternehmen ihre Verteidigung überdenken – fünf schnelle Maßnahmen für „CISOs“:

• „Zero Trust“ als Architektur: Einschränken von Querbewegungen, standardmäßig nichts und niemandem vertrauen und alles überprüfen.
• Härtung der Lieferkette: Kontinuierliche Prüfung der Risiken, die von Dritten ausgehen und stets bedenken, dass Partner Einfallstore sein können.
• Einsatz einer KI für die Cyberabwehr: KI-gestützte Bedrohungserkennung, SOC-Automatisierung und Echtzeit-Priorisierung nutzen, um Angriffen zuvorzukommen.
• Vorbereitung auf Datenerpressung: Alles an jedem Standort verschlüsseln und verstehen, was an Datensätzen wirklich sensibel ist. Den Ernstfall durchspielen.
• Anpassen an Cyberversicherung und „Compliance“: Sicherstellen, dass die Dokumentation und Kontrolle den jüngsten Standards entspricht, da die weltweiten Vorschriften und Anforderungen der Versicherungsgeber immer strenger werden.

Fazit: Ransomware mehr als nur ein technologisches Problem – ein Thema für die Vorstandsetage

Ransomware-Angriffe dauerten jetzt länger an, schlügen härter zu und hinterließen tiefere Narben. Ransomware sei nicht mehr nur ein technologisches Problem – „es ist ein Thema für die Vorstandsetage, denn es geht um betriebliche Kontinuität, Vertrauen und Widerstandsfähigkeit!“

Führungskräfte müssten Cybersicherheit genauso behandeln wie rechtliche Risiken oder finanzielle – als nicht verhandelbaren Teil der Geschäftstätigkeit. Zum Abschluss gibt Eggerling den Entscheidern zu bedenken: „Die Ransomware-Bedrohung ist weit über ihre Ursprünge aus dem Jahr 2017 hinaus gereift. Der ,Anti-Ransomware-Tag’ sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet.“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 22.04.2025
The State of Ransomware in the First Quarter of 2025: Record-Breaking 126% Spike in Public Extortion Cases

CHECK POINT, Cyberint, 2024
Ransomware Annual Report 2024

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 15.05.2017
Cyber-Angriff mit WannaCry: DsiN fordert mehr digitale Aufklärung / Vorfälle vom 12. Mai 2017 als „Weckruf“ für alle Akteure in Wirtschaft, Behörden und Gesellschaft

[datensicherheit.de, 07.04.2025] „Der Finanzdienstleistungssektor befindet sich an einem kritischen Punkt, da er zunehmend gezwungen ist, neue Spitzentechnologie, wie Künstliche Intelligenz (KI), einzusetzen, um wettbewerbsfähig zu bleiben“, so Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Daher nutzten viele Unternehmen bereits Große Sprachmodelle und Abrufgestützte Generierung, um Innovationen voranzutreiben und das Kundenerlebnis zu verbessern. „Um die Vorteile aber in Ruhe nutzen zu können, müssen sich die Firmen den Herausforderungen stellen, vor allem in Bezug auf die Sicherheit und Belastbarkeit von KI-Systemen!“

Foto: Check Point Software

Marco Eggerling: Die Zukunft der KI im Finanzdienstleistungssektor wird ein Vorbild für andere Branchen sein…

Finanzinstitute: Wandel hin zu KI-gesteuerten Innovationen

Finanzinstitute investieren demnach in erheblichem Umfang in Generative KI (GenAI): „Prognosen zeigen einen starken Anstieg der KI-Ausgaben im Finanzsektor und die Investitionen zwischen 2023 und 2024 sind mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 30,7 Prozent auf über 1,4 Milliarden US-Dollar gestiegen.“

Dieser Anstieg sei auf die Notwendigkeit zurückzuführen, Abläufe zu rationalisieren, die Entscheidungsfindung zu beschleunigen und das Kundenerlebnis zu verbessern. KI-Schlüsseltechnologien wie LLMs, Retrieval-Augmented Generation und „Cloud Computing“ revolutionierten die Arbeitsweise von Finanzinstituten und könnten ihnen helfen, neue Effizienzpotenziale zu erschließen, Dienstleistungen zu verfeinern und innovative Lösungen zu entwickeln.

„Aber: Die Vernetzung von KI-Systemen in Verbindung mit der zunehmenden Komplexität der finanztechnischen Infrastruktur bietet Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden können.“ Die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit Generativer KI-Anwendungen sei von größter Bedeutung. Diese Anwendungen – von den Plattformen selbst bis hin zu Maschinellen Lernmodellen, „Cloud“-Ressourcen und Datenintegrität – stellten neue Vektoren für Cyber-Angriffe dar.

Nutzung der Cyber-Sicherheitsexpertise zur KI-Integration

„Kluge Finanzinstitute überstürzen die Einführung von KI nicht ohne sorgfältige Überlegungen und umfangreiche Tests. Sie nutzen ihre vorhandenen Stärken im Risikomanagement und in der Cyber-Sicherheit, um Bedrohungen zu mindern und die Datensicherheit zu gewährleisten.“ Einer der großen Vorteile der Initiativen zur Digitalen Transformation, auf die sich die IT-Abteilungen seit mehr als einem Jahrzehnt konzentrieren, besteht laut Eggerling darin, dass die bei diesem Technologiewandel gewonnenen Erkenntnisse nun auch auf die sichere Einführung und Umsetzung Generativer KI angewendet werden können.

Eine Schlüsselstrategie für die sichere Integration von KI sei die Schaffung einer engagierten KI-Führung mit einer klaren Vision und Strategie. Diese Führung treibe die organisatorischen Strukturänderungen voran, welche für den sicheren Einsatz von KI-Technologien erforderlich seien.

Darüber hinaus sei die Einführung von Plattformtechnologien, „die ein Cyber-Sicherheitsnetz und Zero-Trust-Prinzipien unterstützen“, von entscheidender Bedeutung, um sicherzustellen, dass KI-Systeme gegenüber internen und externen Bedrohungen widerstandsfähig sind. „Zero-Trust- und Cyber-Security-Mesh-Architekturen sind besonders wirksam.“ Diese „Frameworks“ böten eine kontinuierliche Validierung von Benutzern und Geräten und stellten sicher, dass nur autorisierte Personen auf sensible Daten und Systeme zugreifen könnten.

KI und Maschinelles Lernen bei Finanzdienstleistern

Mit der zunehmenden Einführung von KI müssten Finanzdienstleister auch ihre Sicherheitsabläufe anpassen, um den einzigartigen Herausforderungen von KI und Maschinellem Lernen gerecht zu werden. Herkömmliche Cyber-Sicherheitskonzepte reichten möglicherweise nicht mehr aus, da KI-Systeme neue Komplexitäten und Risiken mit sich brächten, welche während des gesamten KI-Lebenszyklus beachtet werden müssten.

„Finanzinstitute setzen häufig KI-basierte, maschinell lernende Sicherheitsverfahren ein, um Sicherheitsbedrohungen in Echtzeit zu erkennen, darauf zu reagieren und sie zu entschärfen. Diese Verfahren basieren auf datengesteuerten Erkenntnissen und fortschrittlichen Algorithmen zur Erkennung von Bedrohungen, die es Finanzunternehmen ermöglichen, Schwachstellen zu beseitigen und ihre generativen KI-Anwendungen zu schützen.“ Angesichts der zunehmenden Raffinesse von Cyber-Angriffen sei die Nutzung von KI für die Sicherheit ein entscheidender Faktor, da sie verbesserten Schutz biete und gleichzeitig schnelle Reaktionszeiten auf neue Bedrohungen ermögliche.

KI-Sicherheitsoperationen mit Maschinellem Lernen ermöglichten es Finanzunternehmen zudem, Risiken in großem Umfang zu verwalten. Durch die Automatisierung der Erkennung von Anomalien, die Bewertung des Verhaltens von KI-Systemen und die Verbesserung der Reaktionszeiten auf Vorfälle könnten Unternehmen ihre allgemeine Cyber-Sicherheitslage verbessern. Eggerling führt aus: „Ein Ansatz für das KI-Lebenszyklusmanagement, dessen Grundlage die Risiko-Bewertung ist, stellt sicher, dass KI-Anwendungen auf eine Weise entwickelt, bereitgestellt und kontinuierlich überwacht werden, die mit bewährten Sicherheitspraktiken übereinstimmt.“

Einhaltung der Vorschriften und Governance: Zunehmend komplexes regulatorisches KI-Umfeld

Parallel zur Einführung von „Frameworks“ müssten sich Finanzinstitute in einem zunehmend komplexen regulatorischen Umfeld rund um KI zurechtfinden. Im Zuge der Weiterentwicklung von KI-Technologien arbeiteten Regulierungsbehörden auf der ganzen Welt daran, klare Richtlinien für ihre ethische und sichere Nutzung aufzustellen. „In den Vereinigten Staaten beispielsweise hat das National Institute of Standards and Technology (NIST) ein KI-Risikomanagement-Framework (AI RMF) entwickelt, das Unternehmen beim Umgang mit KI-Risiken helfen soll.“

Darüber hinaus führe das EU-Gesetz über Künstliche Intelligenz, das ab 2025 strengere KI-Vorschriften durchsetzen solle, ein KI-Klassifizierungssystem ein, welches auf Risiko-Bewertungen basiere – „insbesondere für den Finanzsektor, in dem KI-Anwendungen als hochriskant gelten“.

Eggerling stellt klar: „Finanzunternehmen müssten daher sicherstellen, dass sie diese ,Frameworks’ und Standards einhalten, welche Richtlinien für ,Data Governance’, Transparenz, Sicherheit und menschliche Aufsicht über KI-Systeme vorgeben.“ Führende Finanzinstitute richteten ihre Abläufe bereits am „NIST AI RMF“ und anderen Konzepten aus, um sicherzustellen, dass ihre KI-Systeme transparent, rechenschaftspflichtig und widerstandsfähig gegenüber Cyber-Bedrohungen blieben. „Sie ernten verbesserte betriebliche Effizienz, Entscheidungsfindung, optimierte Kundenerfahrungen und einen Wettbewerbsvorteil in einer sich schnell entwickelnden Branche“, unterstreicht Eggerling. Diese Vorteile könnten jedoch nur durch einen methodischen Ansatz bei der Einführung von KI realisiert werden, „bei dem Risiko-Bewertung, Cyber-Sicherheit, Ausfallsicherheit und die Einhaltung gesetzlicher Vorschriften im Vordergrund stehen“.

KI-Einsatz mit Bedacht: Aufruf zum Handeln an Führungskräfte der Finanzdienstleistung

Die Möglichkeiten, KI im Finanzdienstleistungssektor zu nutzen, seien immens, aber sie müssten mit Bedacht und unter Berücksichtigung der Sicherheit verfolgt werden. Finanzinstitute müssten ihre Cyber-Sicherheit anpassen und entwickeln, „indem sie innovative Plattformtechnologien und KI-gesteuerte Sicherheitsmaßnahmen einführen, welche die Vertraulichkeit, Integrität und Verfügbarkeit von KI-Anwendungen gewährleisten“.

Der Wunsch, KI in den Geschäftsbetrieb zu integrieren, sei groß, und der Wandel werde nicht ohne Herausforderungen möglich sein. Finanzunternehmen müssten KI jedoch sicher integrieren und skalieren, „indem sie eine Strategie anwenden, bei der die KI vertrauensvoll in die Struktur ihrer Abläufe eingebettet wird“. Führungskräfte im Finanzdienstleistungssektor sollten sich mit vertrauenswürdigen Sicherheitsexperten zusammenschließen, um spezifische Anwendungsfälle zu definieren und zu verfeinern, „damit sie sicherstellen, dass die richtigen Governance-, Rechts- und Compliance-Rahmenbedingungen für ihre KI-Initiativen vorhanden sind“.

Eggerlings abschließender Kommentar: „Die Zukunft der KI im Finanzdienstleistungssektor wird dabei ein Vorbild für andere Branchen sein, und diejenigen, die sie mit Weitsicht und Sorgfalt meistern, werden sich als Branchenführer durchsetzen, denn Finanzdienstleister verarbeiten riesige Mengen hochsensibler Daten, darunter auch persönliche Daten und Transaktionshistorien.“ KI-Sicherheit sollte deshalb für sie nicht nur als technisches Thema gelten, sondern als grundlegende Geschäftsanforderung, die einen direkten Einfluss auf das Vertrauen von Kunden und Anlegern, die finanzielle Stabilität und die laufende Einhaltung von Vorschriften hat.

Weitere Informationen zum Thema:

Latest Global Market Insights By The Business Research Company, 27.11.2024
Generative Artificial Intelligence (AI) In Financial Services Market Key Insights 2024-2033: Growth Rate, Trends And Opportunities

NIST, Information Technology Laboratory
AI RMF Development

The EU Artificial Intelligence Act
Up-to-date developments and analyses of the EU AI Act

datensicherheit.de, 06.12.2024
Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen / Cyber-Sicherheit als Rückgrat des modernen Bankwesens basiert auf Vertrauen und zuverlässiger digitaler Technologie

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

[datensicherheit.de, 03/29/2025] As the basis of all life, water is undisputedly one of the most valuable resources of all – and as such is increasingly at risk: „So it’s no wonder that the water supply is also increasingly becoming the target of criminal activity,“ warns Marco Eggerling, Global CISO at Check Point Software. Water treatment plants and distribution systems are dependent on remote control – if they are compromised, the results could be catastrophic: „The consequences are contamination, supply interruptions and risks to public health!“

Foto: Check Point Software

Marco Eggerling: Governments, water utilities and cyber security experts must work together to protect these vital systems!

Realise the economic impact of vulnerabilities in water supply IT systems

For example, an assessment by the US Environmental Protection Agency (EPA) from 2024 found „that 97 drinking water systems serving approximately 26.6 million people have critical or high-risk cyber security vulnerabilities“. Figures from Check Point Research speak a similar language: According to them, there has been an average of 1,872 weekly attack attempts per company in the energy and utilities sector (including water) in 2025. This corresponds to an increase of 53 per cent compared to the same period in the previous year, 2024.

„Europe recorded the second largest change with a huge 82 per cent increase in attacks compared to the same period last year, behind North America with 89 per cent.“ This makes it all the more important to bear in mind the economic impact of vulnerabilities in IT systems for water supply and to take a look at the most important security measures.

A compromised system can lead to contaminated drinking water, among other things

In addition to public health, cyber attacks on water infrastructure would also have a massive economic impact. However, the risks go beyond mere business interruptions: „A compromised system could lead to contaminated drinking water, which poses a serious threat to the public health and safety of potentially hundreds of thousands of people.“

In addition to private households, numerous industries are also dependent on a steady and safe water supply – „including manufacturing companies and data centres that need water for their cooling systems“. A cyber attack on these supply companies could lead to far-reaching disruptions with serious consequences. Eggerling points out: „Disruptions to the water supply can bring industry to a standstill, affect agriculture and destabilise the local economy.“

Even a one-day interruption to the water supply can jeopardise billions in economic activity

He reports: „In the USA, such a disaster has already been simulated: According to the US Water Alliance, a one-day interruption to the water supply could jeopardise economic activity to the tune of 43.5 billion US dollars. A simulated example of a cyber-attack on Charlotte Water in North Carolina resulted in daily revenue losses of at least 132 million USD with replacement costs of more than 5 billion USD, according to a review of the agency’s cybersecurity initiatives.“

Eggerling also makes it clear that Europe is also being targeted: „In Italy, Alto Calore Servizi SpA, an Italian company that supplies 125 municipalities in southern Italy with drinking water, was hit by a ransomware attack in 2023. The state-owned company also manages wastewater and sewage treatment services for both provinces.“ Although this cyber attack did not lead to an interruption in the water supply, the company’s database was compromised, „rendering all IT systems unusable“.

Water supply systems with often outdated infrastructures suddenly exposed to internet-based threats

Water supply systems in particular are highly vulnerable, as often outdated infrastructure is suddenly exposed to internet-based threats and the potential for disruption makes these facilities a prime target. In reality, a compromised facility goes beyond a mere cyber incident, as it affects the entire country, makes headlines and, more importantly, poses a direct threat to public safety.

The economic toll of a successful cyber-attack on water utilities is so great that this risk cannot be ignored. Critical infrastructure operators must therefore prioritise the digital resilience of their systems and consider investments in cyber security as investments in economic stability.

Tips for strengthening the cyber defence of water suppliers

Water utilities need to „take a proactive approach to cyber security“, according to Eggerling’s recommendation. Some notes on key steps to improve security:

• Invest in endpoint and network security
  Water utilities should utilise AI-powered threat detection systems to monitor network activity and fend off intruders.
• Gaps in legislation leave utilities unprotected
  Cyber regulations for water utilities are not as strict as those for the electricity or financial sectors, so more needs to be done in this area.
• Cyber security training
  Training should be a top priority for improving cyber readiness, as there is a severe lack of cyber security training among water utility operators and many organisations do not have dedicated cyber security staff.
• Enforcement of multi-factor authentication (MFA)
  Unsecured remote access to OT (Operational Technology) systems is often a major vulnerability because attackers usually exploit weak remote access protocols. „MFA can remedy this by requiring every access attempt to first be verified according to the zero trust principle and using biological characteristics such as fingerprint/face recognition or consent via other paired devices.“
• Development of incident response plans
  Water suppliers should have contingency plans in place to minimise the damage caused by potential attacks.

With cyber threats to water infrastructure on the rise, the need for proactive security measures has clearly never been greater. Eggerling concludes: „Governments, water utilities and cyber security experts must work together to protect these vital systems before further attacks seriously impact this important industry and put lives at risk.“

Further information on the topic:

The Record, Jonathan Greig, 11/19/2024
Many US water systems exposed to ‘high-risk’ vulnerabilities, watchdog finds

Industrial Cyber, 11/15/2024
US EPA report cites cybersecurity flaws in drinking water systems, flags disruption risks and lack of incident reporting

U.S. ENVIRONMENTAL PROTECTION AGENCY, 11/13/2024
Management Implication / Report: Cybersecurity Concerns Related to Drinking Water Systems

THE CYBER EXPRESS, Ashish Khaitan, 05/02/2023
Medusa Ransomware Group Claims Alto Calore Cyber Attack / Alto Calore Servizi SpA is a joint-stock company consisting of 126 shareholders, including 125 municipalities in the province of Avellino and Benevento

datensicherheit.de, 02/10/2021
Am 5. Februar 2021 griffen Hacker Wasseraufbereitungsanlage in Oldsmar an / Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

datensicherheit.de, 02/10/2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker-Angriffe zeigen, dass Cyber-Sicherheit für Kritische Infrastruktur wichtiger denn je ist

datensicherheit.de, 02/10/2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module

datensicherheit.de, 04/28/2020
Wasserversorgung: Cyberangriff auf kritische Infrastruktur in Israel / Kombination aus Altsystemen, wachsender Konnektivität und föderalistischem Management erfordert hohe Priorität der Cybersicherheit

datensicherheit.de, 10/30/2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger / Viele Systeme in kritischen Infrastrukturen sind anfällig für digitale Bedrohungen

datensicherheit.de, 08/08/2018
Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern / Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert

datensicherheit.de, 07/21/2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen / „BSI-KritisV“ sollte dringend umgesetzt werden, um Zugriffe zu überwachen und zu beschränken

[datensicherheit.de, 29.03.2025] Wasser ist unbestritten als Grundlage allen Lebens eine der wertvollsten Ressourcen überhaupt – und als solche zunehmend gefährdet: „Kein Wunder also, dass auch die Wasserversorgung zunehmend zum Ziel krimineller Aktivität wird“, warnt daher Marco Eggerling, „Global CISO“ bei Check Point Software. Wasseraufbereitungsanlagen und -verteilungssysteme seien auf Fernsteuerungen angewiesen – wenn sie kompromittiert werden, drohten katastrophale Konsequenzen: „Folgen sind Verunreinigungen, Versorgungsunterbrechungen und Gefahren für die öffentliche Gesundheit!“

Foto: Check Point Software

Marco Eggerling: Regierungen, Wasserversorger und Cyber-Sicherheitsexperten müssen zusammenarbeiten, um diese lebenswichtigen Systeme zu schützen!

Wirtschaftliche Auswirkungen von Schwachstellen in IT-Systemen zur Wasserversorgung vor Augen zu halten

So habe eine Bewertung der US-Umweltschutzbehörde (EPA) aus dem Jahr 2024 ergeben, „dass 97 Trinkwassersysteme, die etwa 26,6 Millionen Menschen versorgen, kritische oder hochriskante Cyber-Sicherheitsschwachstellen aufweisen“. Zahlen von Check Point Research sprechen eine ähnliche Sprache: Demnach gab es im Jahr 2025 in der Energie- und Versorgungsbranche (einschließlich Wasser) bisher durchschnittlich 1.872 wöchentliche Angriffsversuche pro Unternehmen. Dies entspreche einem Anstieg von 53 Prozent gegenüber dem gleichen Zeitraum des Vorjahres, 2024.

„Europa verzeichnete mit einem immensen Anstieg der Angriffe um 82 Prozent im Vergleich zum Vorjahreszeitraum die zweitgrößte Veränderung, hinter Nordamerika mit 89 Prozent.“ Umso wichtiger sei es, sich die wirtschaftlichen Auswirkungen von Schwachstellen in IT-Systemen zur Wasserversorgung vor Augen zu halten und einen Blick auf die wichtigsten Sicherheitsmaßnahmen zu werfen.

Ein kompromittiertes System kann u.a. zu verunreinigtem Trinkwasser führen

Neben der Öffentlichen Gesundheit hätten Cyber-Angriffe auf die Wasserinfrastruktur auch massive wirtschaftliche Auswirkungen. Die Risiken gingen jedoch über bloße Betriebsunterbrechungen hinaus: „Ein kompromittiertes System könnte zu verunreinigtem Trinkwasser führen, was eine ernsthafte Bedrohung für die Öffentliche Gesundheit und Sicherheit von potenziell Hunderttausenden Menschen darstellt.“

Neben den Privathaushalten seien auch zahlreiche Industriezweige auf eine stetige und sichere Wasserversorgung angewiesen – „darunter Produktionsbetriebe und Rechenzentren, die Wasser für ihre Kühlsysteme benötigen“. Ein Cyber-Angriff auf diese Versorgungsunternehmen könnte zu weitreichenden Unterbrechungen mit schwerwiegenden Folgen führen. Eggerling führt vor Augen: „Unterbrechungen der Wasserversorgung können die Industrie zum Erliegen bringen, die Landwirtschaft beeinträchtigen und die lokale Wirtschaft destabilisieren.“

Bereits eine eintägige Unterbrechung der Wasserversorgung kann wirtschaftliche Aktivitäten in Milliarden-Höhe gefährden

Er berichtet: „In den USA wurde so ein Katastrophenfall bereits durchgespielt: So könnte eine eintägige Unterbrechung der Wasserversorgung nach Angaben der US Water Alliance wirtschaftliche Aktivitäten in Höhe von 43,5 Milliarden US-Dollar gefährden. Ein simuliertes Beispiel eines Cyber-Angriffs auf Charlotte Water in North Carolina führte zu täglichen Einnahmeverlusten in Höhe von mindestens 132 Millionen US-Dollar mit Wiederbeschaffungskosten von mehr als fünf Milliarden US-Dollar, wie aus einer Überprüfung der Cyber-Sicherheitsinitiativen der Behörde hervorgeht.“

Eggerling macht auch deutlich, dass auch Europa ins Visier genommen wird: „In Italien wurde Alto Calore Servizi SpA, ein italienisches Unternehmen, das 125 Gemeinden in Süditalien mit Trinkwasser versorgt, im Jahr 2023 von einem Ransomware-Angriff getroffen. Das staatliche Unternehmen verwaltet auch die Abwasser- und Klärdienste für beide Provinzen.“ Dieser Cyber-Angriff habe zwar nicht zu einer Unterbrechung der Wasserversorgung geführt, aber die Datenbank des Unternehmens sei kompromittiert worden, „so dass alle IT-Systeme unbrauchbar wurden“.

Wasserversorgungssysteme mit oftmals veralteten Infrastrukturen plötzlich internetbasierten Bedrohungen ausgesetzt

Vor allem Wasserversorgungssysteme seien sehr anfällig, da oftmals veraltete Infrastrukturen plötzlich internetbasierten Bedrohungen ausgesetzt seien und das Potenzial für Störungen diese Einrichtungen zu einem Hauptziel mache. In der Realität gehe eine kompromittierte Anlage über einen reinen Cyber-Vorfall hinaus, da sie das ganze Land betreffe, für Schlagzeilen sorge und – was noch wichtiger sei – eine direkte Bedrohung für die Öffentliche Sicherheit darstelle.

Der wirtschaftliche Tribut eines erfolgreichen Cyber-Angriffs auf Wasserversorgungsunternehmen sei so groß, dass dieses Risiko nicht ignoriert werden dürfe. KRITIS-Betreiber müssten der digitalen Widerstandsfähigkeit ihrer Systeme daher Priorität einräumen und Investitionen in die Cyber-Sicherheit als Investitionen in die wirtschaftliche Stabilität betrachten.

Hinweise zur Stärkung der Cyber-Abwehr bei Wasserversorgern

Wasserversorger müssen laut Eggerlings Empfehlung „einen proaktiven Ansatz für die Cyber-Sicherheit wählen“. Einige Anmerkungen zu wichtigen Schritten zur Verbesserung der Sicherheit:

• Investitionen in Endpunkt- und Netzwerksicherheit
  Wasserversorgungsunternehmen sollten KI-gestützte Systeme zur Erkennung von Bedrohungen einsetzen, um Netzwerkaktivitäten zu überwachen und Eindringlinge abzuwehren.
• Lücken in der Gesetzgebung lassen Versorgungsunternehmen ungeschützt
  Die Cyber-Vorschriften für Wasserversorgungsunternehmen seien nicht so streng wie die für den Strom- oder Finanzsektor, so dass in diesem Bereich mehr getan werden müsse.
• Cyber-Sicherheitstraining
  Schulungen sollte oberste Priorität für die Verbesserung der Cyber-Bereitschaft eingeräumt werden, da es bei den Betreibern von Wasserversorgungsunternehmen einen gravierenden Mangel eben an Cyber-Sicherheitsschulungen gebe und viele Einrichtungen kein spezielles Cyber-Sicherheitspersonal hätten.
• Durchsetzung der Multi-Faktor-Authentifizierung (MFA)
  Ungesicherter Fernzugriff auf OT-Systeme (Operational Technology) stelle häufig eine große Schwachstelle dar, weil Angreifer meist schwache Fernzugriffsprotokolle ausnutzten. „MFA kann hier Abhilfe schaffen, indem jeder Zugriffsversuch nach dem Zero Trust-Prinzip und anhand biologischer Merkmale wie Fingerabdruck/Gesichtserkennung oder per Zustimmung über andere gekoppelte Geräte zunächst verifiziert werden muss.“
• Entwicklung von Plänen zur Vorfallsreaktion
  Wasserversorger sollten über Notfallpläne verfügen, um den Schaden durch mögliche Angriffe zu minimieren.

Angesichts der zunehmenden Cyber-Bedrohungen für die Wasserinfrastruktur war der Bedarf an proaktiven Sicherheitsmaßnahmen offenkundig noch nie so groß wie heute. Eggerling abschließender Kommentar: „Regierungen, Wasserversorger und Cyber-Sicherheitsexperten müssen zusammenarbeiten, um diese lebenswichtigen Systeme zu schützen, bevor weitere Angriffe diese wichtige Branche ernsthaft beeinträchtigen und Menschenleben gefährden.“

Weitere Informationen zum Thema:

The Record, Jonathan Greig, 19.11.2024
Many US water systems exposed to ‘high-risk’ vulnerabilities, watchdog finds

Industrial Cyber, 15.11.2024
US EPA report cites cybersecurity flaws in drinking water systems, flags disruption risks and lack of incident reporting

U.S. ENVIRONMENTAL PROTECTION AGENCY, OFFICE OF INSPECTOR GENERAL, 13.11.2024
Management Implication / Report: Cybersecurity Concerns Related to Drinking Water Systems

THE CYBER EXPRESS, Ashish Khaitan, 02.05.2023
Medusa Ransomware Group Claims Alto Calore Cyber Attack / Alto Calore Servizi SpA is a joint-stock company consisting of 126 shareholders, including 125 municipalities in the province of Avellino and Benevento

datensicherheit.de, 10.02.2021
Am 5. Februar 2021 griffen Hacker Wasseraufbereitungsanlage in Oldsmar an / Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

datensicherheit.de, 10.02.2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker-Angriffe zeigen, dass Cyber-Sicherheit für Kritische Infrastruktur wichtiger denn je ist

datensicherheit.de, 10.02.2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module

datensicherheit.de, 28.04.2020
Wasserversorgung: Cyberangriff auf kritische Infrastruktur in Israel / Kombination aus Altsystemen, wachsender Konnektivität und föderalistischem Management erfordert hohe Priorität der Cybersicherheit

datensicherheit.de, 30.10.2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger / Viele Systeme in kritischen Infrastrukturen sind anfällig für digitale Bedrohungen

datensicherheit.de, 08.08.2018
Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern / Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen / „BSI-KritisV“ sollte dringend umgesetzt werden, um Zugriffe zu überwachen und zu beschränken

[datensicherheit.de, 28.03.2025] Die Check Point Software Technologies Ltd. hat weitere Informationen über die „Medusa“-Ransomware veröffentlicht. Seit Februar 2025 haben die Operationen dieser Gruppe demnach zugenommen und sich mehr als 300 Opfer bei den US-Behörden gemeldet. Die betroffenen Branchen reichten von Technologie über die Fertigung bis hin zum Bildungs- und Versicherungswesen. Die CISA hat hierzu eine Liste von Empfehlungen veröffentlicht, die Sicherheitsverantwortliche bei der Erkennung unterstützen soll.

Foto: Check Point Software

Marco Eggerling zur Ransomware-Bedrohung: E-Mail-Sicherheitsmaßnahmen sollten nicht länger optional sein, denn sie sind unerlässlich geworden!

Ransomware-Hacker wenden Taktik der Doppelten Erpressung an

Der Hauptinfektionsvektor sind laut Check Point Phishing-Kampagnen, die darauf abzielen, Anmeldedaten von Benutzern zu sammeln. „Sobald diese Anmeldedaten vorliegen, erhalten die Angreifer den Zugriff auf das System und beginnen mit der Übernahme der Systeme.“

In den bekanntgewordenen Fällen hätten die Hacker die Taktik der sogenannten Doppelten Erpressung verwendet: „Dafür haben sie eine Website für Datenlecks eingerichtet, auf der die Opfer neben Countdown-Timern aufgelistet sind.“ Diese Timer gäben an, wann die gestohlenen Informationen veröffentlicht werden sollten.

Diese Website enthalte auch Informationen über spezifische Lösegeldforderungen und direkte Links zu sogenannten Crypto-Wallets. „Für Unternehmen, die bereits angegriffen werden, bietet ,Medusa’ die Möglichkeit für 10.000 US-Dollar in ,Krypto-Währung’ die Zahlungsfrist zu verlängern, droht aber auch mit dem Verkauf der Daten an Dritte.“

Tipps zum Schutz vor „Medusa“-Ransomware und ähnlichen Bedrohungen

Um sich gegen die „Medusa“-Ransomware und ähnliche Bedrohungen zu schützen, sollten Unternehmen laut Check Point die folgenden vier Maßnahmen ergreifen:

1. Fortschrittlicher Schutz vor Phishing
   Fortschrittliche E-Mail-Security-Lösungen identifizierten und blockierten automatisch verdächtige E-Mails, bevor sie Mitarbeiter erreichen und neutralisierten damit die Hauptinfektionsmethode.
2. Zero-Day-Schutz
   Einsatz KI-basierter „Engines“, um bisher unbekannte Phishing-Versuche und bösartige Anhänge zu erkennen.
3. E-Mail-Authentifizierung
   Diese helfe bei der Verifizierung der Identität des Absenders, um E-Mail-Spoofing zu verhindern (diese Taktik werde häufig bei Kampagnen zum Sammeln von Zugangsdaten angewendet).
4. „Security Awareness“
   Unternehmen sollten die Widerstandsfähigkeit der Mitarbeiter durch automatisierte Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein stärken.

Bedrohung durch Ransomware vor allem im Phishing-Kontext

Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, kommentiert: „Die Erfahrung zeigt, dass in den USA aktive Malware auch früher oder später bei europäischen Unternehmen in den Systemen gefunden wird. Das Teilen der Informationen von Unternehmen mit den zuständigen Behörden und dieser wiederum mit der Öffentlichkeit ist deshalb umso wichtiger.“

Für Firmen gelte einmal mehr, dass die Bedrohung durch Ransomware vor allem eine Bedrohung durch Phishing sei. „E-Mail-Sicherheitsmaßnahmen sollten deshalb nicht länger optional sein, denn sie sind unerlässlich geworden“, betont Eggerling abschließend.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY CISA, 12.03.2025
#StopRansomware: Medusa Ransomware

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 06.12.2024] Banken müssten der Cyber-Bedrohungslandschaft mit fortschrittlichen Sicherheitsstrategien begegnen – von der Nutzung von Zero-Trust-Frameworks bis zur Gefahrenaufklärung bei Kunden, rät Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner Stellungnahme zum 4. Dezember, dem „Internationalen Tag der Banken“. In diesem Kontext sollte man über die Rolle der Digitalisierung und IT-Sicherheit als Garant für Vertrauen im modernen Bankwesen nachdenken. Transaktionen würden immer häufiger digital getätigt, daher müsse die Sicherheit dieses digitalen Zahlungsverkehrs garantiert sein, um Malware, Datenlecks, Phishing und Betrug zu vermeiden. „Andernfalls ist das Vertrauen der Kunden in die Bank schnell verloren!“

Foto: Check Point Software

Marco Eggerling: Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängig!

Banken in Deutschland wöchentlich 899 Cyber-Attacken ausgesetzt

Eggerling erläutert: „Blickt man auf die Zahlen, dann sieht man, dass Banken in Deutschland nach Erkenntnis unserer Sicherheitsforscher wöchentlich 899 Attacken hinnehmen müssen. Damit liegen sie auf Platz 8 der gefährdeten Bereiche in Deutschland, wobei die Zahlen im ersten Halbjahr 2024 höher lagen.“ Außerdem habe es hierzulande bereits einige bedenkliche Zwischenfälle gegeben:

„So wurde im Jahr 2023 bekannt, dass ein Datenleck bei einem Dienstleister dafür sorgte, dass Tausende von Kundendaten von vier großen Banken in Deutschland gestohlen wurden. Ebenfalls 2023 wurde die Deutsche Leasing AG, eine Tochter der Sparkassen, von Hackern angegriffen, wobei sowohl die Mitarbeiter als auch die Kunden den Zugriff auf die Systeme verloren haben.“ Im Juni 2024 sei herausgekommen, dass die Kunden der Immobilientochter der DZ-Bank, „die zweitgrößte Bank in Deutschland und Mutter der Volksbanken“, das Opfer eines Hacker-Angriffs geworden seien.

Finanz-Sektor verlor in den letzten 20 Jahren rund 11,4 Milliarden Euro durch über 20.000 Cyber-Attacken

Gemäß Daten von IMF (International Monetary Fund) and Advisen cyber loss data, habe der Finanz-Sektor in den letzten 20 Jahren rund zwölf Milliarden US-Dollar (ca. 11,4 Milliarden Euro) durch über 20.000 Cyber-Attacken verloren. „Dies macht deutlich, wie wichtig die Cyber-Sicherheit für das Bankwesen ist!“ Robuste Frameworks stellten sicher, dass die Finanzinstitute ihre Versprechen gegenüber den Kunden im Digitalen Zeitalter einhalten könnten.

Die Art und Weise der Attacken und ihre Wirkung lasse sich in diesem Sektor in drei Punkte zusammenfassen:

1. Finanzielle Verluste
Direkter Diebstahl von Geldern oder Ressourcen, welche für die Wiederherstellung der Systeme erforderlich sind.

2. Unterbrechung Kritischer Bankdienstleistungen
Verzögerungen bei elektronischen Zahlungen und beim Zugang zu Konten wirkten sich auf das tägliche Leben der Kunden aus.

3. Erosion der Marke
Unzufriedenheit der Kunden und die Berichterstattung in den Medien schadeten dem Ruf.

Modernes Bankings mit Apps über Smartphones besondere Herausforderung an Cyber-Sicherheit

Eine solche Bedrohung der finanziellen und wirtschaftlichen Stabilität durch die Erosion des Vertrauens in die Finanzsysteme könnte weitere weitreichende Folgen haben, welche möglicherweise so weit gehen könnten, „dass die globalen Finanzoperationen gestört werden, indem der Kreditfluss zwischen den Finanzinstituten behindert wird“.

Die Aufrechterhaltung des Kundenvertrauens hänge jetzt von der Fähigkeit einer Bank ab, sensible digitale Informationen zu schützen und nahtlose, sichere Transaktionen zu gewährleisten – besonders angesichts des modernen Bankings mit Apps über Smartphones.

Weltweit Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen

Weltweit hätten die Regierungen daher Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen, „die in letzter Zeit an Fahrt gewonnen haben, da der Finanzsektor häufig als Kritische Infrastruktur (KRITIS) für jedes Land angesehen wird“. In Europa setze die Datenschutzgrundverordnung (DSGVO) der EU strenge Datenschutzgesetze durch, „die von den Banken verlangen, robuste Cyber-Abwehrmaßnahmen zum Schutz der Kundendaten umzusetzen“.

Fragt man Experten nach „Best Practices“, so könne Folgendes empfohlen werden:

Implementierung einer Zero-Trust-Architektur
Alle Geräte und Benutzer würden standardmäßig als „nicht vertrauenswürdig eingestuft“, bis sie das Gegenteil bewiesen hätten.

KI-gesteuerte Erkennung von Bedrohungen
KI könne Anomalien in Echtzeit erkennen und neutralisieren.

Verschlüsselung sensibler Daten
Sichere Daten sowohl bei der Übertragung als auch im Ruhezustand.

Regelmäßige Sicherheitsaudits
Häufige Kontrollen würden helfen, Schwachstellen zu erkennen und zu entschärfen.

Sichere Integration von Drittanbietern
Prüfung von Anbietern und Überwachung von Schwachstellen in der Lieferkette.

Kundenschulung
Die Aufklärung der Kunden über bewährte Praktiken der Cyber-Sicherheit – von strengen Passwortrichtlinien über die Förderung von Multi-Faktor-Authentifizierungen bis zur Schulung der Kunden (und Mitarbeiter) in der Erkennung von Phishing-Versuchen. „Bei einem informierten Kunden ist die Wahrscheinlichkeit geringer, dass er einem Betrug zum Opfer fällt, was sowohl das individuelle als auch das institutionelle Risiko einer Hacker-Attacke verringert.“

DORA als Meilenstein der Cyber-Sicherheit: Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme

Hinzu komme mit dem „Digital Operational Resilience Act“ (DORA) der EU eine weitere Regulierung, die ab 17. Januar 2025 anzuwenden sei. „Sie betrifft beinahe alles, was unter Bank- und Kreditwesen zusammengefasst werden kann. Zentrale Bedeutung kommt dem ITK-Risikomanagement zu, Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme sichergestellt werden.“

Auch sogenannte Awareness im Rahmen von Schulungen – auch der Geschäftsleitung – werde eine wichtige Rolle spielen. Zudem seien Kommunikationspläne und -strategien für interne und externe Zielgruppen dann Pflicht, „wobei mindestens eine Person zum Mediensprecher ernannt wird, die agieren muss, sollte es zu einem ITK-Vorfall kommen“. Was ein ITK-Vorfall ist, sei nach Kriterien klassifiziert worden – diese seien meldepflichtig.

Ansporn für Finanz-Unternehmen, holistische Konzepte zur Cyber-Sicherheit umzusetzen

Außerdem sei das Testen der Widerstandsfähigkeit der eigenen Netzwerke ebenfalls ein Bestandteil von DORA und erfordere entsprechende Programme, was damit auch Drittparteien inkludiere – und die Aufsichtsbehörden. Basistests seien eine Pflicht für den gesamten Finanzsektor und umfassten unter anderem Schwachstellen-Scans, Quell-Code-Tests und Performance-Tests, während die fortgeschrittenen Tests „Threat Led Penetration Tests“ (TLPT) meinten. Letztere beträfen aber nur systemrelevante Unternehmen im Finanz-Sektor.

Diese basierten auf dem Rahmenwerk TIBER der EU (Threat Intelligence-based Ethical Red Teaming). Somit werde die Umsetzung von DORA zwar ein Kraftakt, besonders für kleinere Banken und Finanzdienstleister, aber mit diesem Rahmenwerk könnten die Unternehmen ein holistisches Konzept der Cyber-Sicherheit umsetzen und damit eine tiefergehende Cyber-Abwehr erreichen, um ihre wertvollen Operationen zu schützen.

Cyber-Sicherheit als Rückgrat des Kundenvertrauens

„Abschließend lässt sich sagen: Im Digitalen Zeitalter beruht das Vertrauen in das Bankwesen nicht nur auf der Qualität der Dienstleistungen, sondern auch auf der Fähigkeit des Instituts, seine Computer-Systeme und die Daten zu schützen.“ Die Cyber-Sicherheit sei das Rückgrat des Kundenvertrauens und gewährleiste finanzielle Stabilität und operative Belastbarkeit.

Eggerling fasst zusammen: „Anlässlich des ,Internationalen Tages der Banken’ sollten alle sich bewusst machen, dass das Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängt! Dies sollten die Führungskräfte im Bankwesen bedenken, wenn es um Investitionen in IT-Sicherheitslösungen und Schulungen geht.“

Weitere Informationen zum Thema:

RHEINISCHE POST, Martin Kessler, 23.06.2024
Cyberattacke Volksbanken-Kunden wurden Opfer von Hackern

tagesschau, 11.07.2023
Hacker-Angriff Daten von Tausenden Bankkunden abgegriffen

Merkur.de, Bettina Menzel, 07.06.2023
Hackerangriff auf Sparkassen-Tochter – Tausende Mitarbeiter nach Hause geschickt

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

[datensicherheit.de, 28.11.2024] „Die Weihnachtsfeiertage stehen vor der Tür und während sich Menschen auf der ganzen Welt darauf vorbereiten, mit ihren Familien zu feiern, schieben Hacker Überstunden“, führt Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme aus. Die Rabatt-Saison mit „Black Friday“, „Black Week“ und „Cyber Monday“ habe begonnen – und mit ihnen die Betrügereien. Eggerling berichtet: „Unsere Sicherheitsforscher haben bereits eine starke Zunahme bedrohlicher Websites im Zusammenhang mit dem Beginn der Rabatt-Aktionen festgestellt.“ Die Zahl der Attacken gegen Einzelhändler sei im Vergleich zum Vorjahr, 2023, gestiegen.

Foto: Check Point Software

Marco Eggerling empfiehlt Kunden und Anbietern, ein paar einfache Cyber-Sicherheitsmaßnahmen im Internet zu beachten, um Hacker-Betrug bzw. -Attacken zu entgehen

Fake-Webshops dienen Cyber-Kriminellen als Phishing-Webseiten

Der Ansturm auf Schnäppchen und das hohe Transaktionsvolumen schafften ein ideales Umfeld für Betrüger, „die hoffen, unter dem Radar zu fliegen“. In den Wochen vor dem „Black Friday“ hätten Sicherheitsforscher bei Check Point eine starke Zunahme von Websites zum Thema „Black Friday“ verzeichnet, welche um 89 Prozent höher gelegen habe als im gleichen Zeitraum des Vorjahres, 2023.

„Fast alle dieser Websites geben sich als bekannte Marken aus, und fast keine wird als sicher eingestuft!“ Diese lockten Verbraucher mit Angeboten, welche an einem anderen Tag als dem „Black Friday“ völlig unpassend erscheinen würden – die Käufer sollten dazu verleitet werden, sensible Daten, wie Zahlungsinformationen oder Anmeldedaten, dort einzugeben.

Im Grunde genommen dienten sie als Phishing-Webseiten, welche passiv die Zugangsdaten der Kunden abfangen sollten. Die Bandbreite der gefälschten Websites sei groß und reiche von globalen Giganten bis hin zu kleineren, aber dennoch bekannten Boutiquen. Bemerkenswert sei, dass eine Vielzahl dieser gefälschten Websites die gleichen Design-Merkmale aufwiesen, was darauf hindeute, dass eine zentrale Gruppe hinter einem Netzwerk von Phishing-Plattformen für den Einzelhandel stehen könnte.

Auch QR-Code-Phishing ist zunehmend ernstzunehmende Cyber-Bedrohung

„Das Phishing selbst ist im letzten Jahr gezielter geworden“, so Eggerling. Mit Hilfe von KI-Tools, einschließlich Generativer KI-Plattformen, könnten Hacker überzeugende Phishing-E-Mails direkt in die Posteingänge der Verbraucher senden. Sie könnten Rabatte versprechen oder exklusiven Zugang zu Artikeln oder Ähnliches anbieten.

„In letzter Zeit haben wir in diesen E-Mails vermehrt QR-Code-Phishing beobachtet, das dazu dient, herkömmliche E-Mail-Filter zu umgehen. Alles, was es braucht, ist ein unvorsichtiger Klick.“

Eggerling warnt daher: „Sobald die Benutzerdaten gesammelt wurden, können die Cyber-Kriminellen diese für schädlichere Angriffe, einschließlich Ransomware, missbrauchen.“

Ransomware als zunehmende Cyber-Bedrohung für den Einzelhandel

Besorgniserregend sei die Lage in den Vereinigten Staaten von Amerika: „Die USA sind bereits die Region, die am häufigsten das Ziel von Ransomware-Angriffen ist, und die Zahl der Vorfälle ist im Vergleich zum Vorjahr um 24 Prozent gestiegen.“ Einzelhändler in den USA machten 45 Prozent der weltweiten Ransomware-Angriffe im Einzelhandel aus, obwohl sie weniger als 30 Prozent des weltweiten Einzelhandelsmarktes darstellten.

Gerade in dieser Shopping-Phase sei das kritisch: Solche Attacken könnten den Geschäftsbetrieb für längere Zeit zum Erliegen bringen, was enormen finanziellen Schaden mit sich bringe, oder Bußgelder und Entschädigungen aufgrund von Kundenklagen nach Datenlecks.

Hinter den Verbraucherdaten verberge sich ein lukrativer illegaler Markt. „Anhand von Kreditkarten, Anmeldedaten und Identitätsinformationen können Hacker eine Vielzahl von Betrügereien durchführen, um Konten zu leeren, Kreditrahmen auszureizen oder Unternehmen einzufrieren und zu erpressen.“

Anbieter wie Verbraucher sollten Cyber-Schutz bedenken

„Für die Verbraucher bedeutet Cyber-Sicherheit nicht nur, dass sie vorsichtig mit ihren Klicks sein müssen, sondern auch, dass sie ihre Anwendungen aktualisieren und mit Patches versehen müssen.“ URLs sollten genau auf Rechtschreibfehler oder ungewöhnliche Host-Domänen geprüft werden und im besten Fall mit „https“ beginnen, statt nur „http“, was für eine bessere SSL-Verschlüsselung stehe. Ein grünes Vorhängeschloss-Symbol vor der URL zeige diese Verschlüsselung außerdem im Browser an.

„Der Absender von E-Mails, vor allem überraschenden, sollte geprüft werden, denn es könnte eine Fälschung sein.“ Niemals dürfe man auf ungewöhnlich erscheinende Links oder Anhänge klicken. Selbiges gelte für QR-Codes. Außerdem sollten nie mehr personenbezogene Details als nötig preisgegeben werden. Eggerling unterstreicht: „Zudem müssen Unternehmen ihren Teil zur Sicherheit beitragen, indem sie wachsam gegenüber Betrügern bleiben, ihre Kunden informieren und aufklären sowie ihre eigenen IT-Netzwerke bestmöglich sichern.“

Stets nutzten Cyber-Kriminelle vor allem die Unachtsamkeit der Leute aus und am häufigsten würden Sicherheitslücken durch gestohlene Benutzer-Anmeldedaten verursacht. Eggerling betont abschließend: „Indem sie ein paar einfache Sicherheitsmaßnahmen im Internet beachten, können Verbraucher überall die Tür den Hackern vor der Nase zuschlagen und so nicht nur sich, ihre Freunde und Familie schützen, sondern auch ihre Unternehmen und Arbeitgeber während der Shopping- und Adventszeit.“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Team, 19.11.2024
Navigating the Evolving Threat Landscape Ahead of Black Friday

datensicherheit.de, 28.11.2024
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen / Rund um populäre Rabattaktion locken Webshops mit exklusiven Angeboten – dabei witterten auch auch Cyber-Kriminelle ihre Chance

datensicherheit.de, 23.11.2024
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023 / CPR hat im Vorfeld des „Black Friday 2024“ frühzeitig die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten

datensicherheit.de, 13.11.2024
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe / E-Mails zum „Black Friday“ sind oft perfekt gestaltet – mit offiziellem Logo, persönlicher Anrede und Call-to-Action-Button

datensicherheit.de, 24.11.2023
Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle / Datensicherheit gilt es auch im Schnäppchen-Rausch am Black Friday und an anderen saisonalen Sonderverkaufstagen zu beachten

datensicherheit.de, 17.11.2023
Black Friday: Proofpoint rät zur Vorsicht vor betrügerischen E-Mails / Nur sieben der 20 größten Händler in Deutschland schützen laut Proofpoint-Analyse Verbraucher ausreichend vor Betrügereien in ihrem Namen