[datensicherheit.de, 11.05.2025] Das SANS Institute wurde 1989 als kooperative Forschungs- und Bildungseinrichtung gegründet und gilt heute als eine der führenden Institutionen auf diesem Gebiet. Es hat nun im Rahmen der diesjährigen „RSA Conference“ die „Top 5“ der kritischen Angriffsvektoren im Bereich der Cyber-Sicherheit vorgestellt: Moderiert von Ed Skoudis, dem Präsidenten des SANS Technology Institute, beleuchteten führende SANS-Experten, wie Cyber-Angreifer sowohl ihre technische Raffinesse als auch ihre Auswirkungen auf den Geschäftsbetrieb ausweiten. Die folgenden fünf Angriffstechniken, welche in der diesjährigen „Keynote“ auf der „RSA Conference 2025“ vorgestellt wurden, zeigten beunruhigende Trends auf:

• falsch konfigurierte „Cloud“-Umgebungen,
• steigende Betriebsrisiken in industriellen Kontrollsystemen,
• komplexe regulatorische Dynamiken rund um Künstliche Intelligenz (KI) u.a.

Angriffstechnik Nr. 1: „Authorization Sprawl in Cloud- und SaaS-Umgebungen“

Joshua Wright, „SANS Faculty Fellow“: „Mit der zunehmenden Verbreitung der ,Cloud’ in Unternehmen steigt auch die Komplexität des Identitäts- und Zugriffsmanagements. Die Ausbreitung von Berechtigungen – d.h. Benutzer verfügen über redundante oder übermäßige Berechtigungen in ,Cloud’-, ,SaaS’- und Hybrid-Umgebungen – hat sich zu einer kritischen Schwachstelle entwickelt.“ Diese übermäßigen Berechtigungen schafften versteckte Angriffspfade, welche von Angreifern ausgenutzt werden könnten – „ohne dass sie sofort Alarm schlagen“.

Die Unfähigkeit, den Zugriff in einer verteilten „Cloud“-Umgebung genau abzubilden und zu überwachen, schwäche die Bemühungen zur Erkennung und Reaktion. „Sicherheitsverantwortliche müssen diesem Risiko begegnen, indem sie Endpunktkontrollen auf Browser-Ebene einsetzen, Transparenz über ,Cloud’-Silos hinweg ermöglichen und disziplinierte Protokollierungspraktiken durchsetzen, die forensische Untersuchungen und Entscheidungen in Echtzeit unterstützen“, betonte Wright.

Angriffstechnik #2: „ICS Ransomware“

Tim Conway, „SANS Technical Director of ICS & SCADA Programs“: „Ransomware-Akteure haben es zunehmend auf die Grundlagen Kritischer Infrastrukturen abgesehen. Da Unternehmen zur Rationalisierung von Arbeitsabläufen und zur Verringerung menschlicher Fehler auf die Automatisierung von OT-Umgebungen umsteigen, entfallen häufig die manuellen Ausweichmöglichkeiten, die zur Wiederherstellung nach Systemausfällen erforderlich sind.“ Dadurch entstünden einzelne Fehlerquellen, welche Angreifer ausnutzen könnten, um wichtige Dienste zu unterbrechen.

Die Zersplitterung zwischen IT- und OT-Teams verschärfe dieses Problem noch weiter, da eine mangelnde Koordination die Effektivität der Reaktions- und Wiederherstellungsbemühungen bei Vorfällen untergrabe. Unternehmen mit industrieller Präsenz müssten kohärente Strategien entwickeln, „die Cyber-Sicherheit, betriebliche Widerstandsfähigkeit und funktionsübergreifende Governance aufeinander abstimmen, um diese wachsende Bedrohung zu entschärfen“.

Angriffstechnik Nr. 3: „Zerstörerische ICS-Angriffe“

Tim Conway, „SANS Technical Director of ICS & SCADA Programs“: „Staatlich geförderte Angreifer zielen zunehmend auf ICS-Systeme mit der Absicht der Zerstörung, die reale Schäden verursacht. Diese Angriffe konzentrieren sich auf die Manipulation kritischer Sicherheitssysteme, um physische Folgen zu verursachen, oft durch die Identifizierung und Ausnutzung kleinster technischer Schwachstellen, die sich der Standardüberwachung entziehen.“

Der evolutionäre Wandel von ICS-Bedrohungen erfordere einen strategischen Wechsel in der Art und Weise, wie Kritische Infrastrukturunternehmen an die Cyber-Abwehr herangehen. Es reiche nicht mehr aus, sich gegen herkömmliche Schadsoftware zu verteidigen – Unternehmen müssten sich auf kinetische Bedrohungen mit weitreichenden betrieblichen Auswirkungen vorbereiten. Dazu gehöre die Verbesserung der Transparenz von Kontrollsystemen, die Neubewertung der Integrität von Sicherheitsprotokollen und die Erstellung von Notfallplänen auf Führungsebene für anhaltende Störungsszenarien.

Angriffstechnik Nr. 4: „Gelöschte forensische Artefakte“

Heather Mahalik Barnhart, „SANS DFIR Curriculum Lead & Senior Director of Community Engagement“ bei Cellebrite: „Fortgeschrittene Bedrohungsakteure löschen oder vermeiden absichtlich die Erstellung digitaler forensischer Artefakte, was die Analyse nach einem Einbruch erheblich erschwert. Wenn forensische Daten fehlen, verzögern sich die Ermittlungen der Reaktionsteams und sie können nur begrenzt nachvollziehen, wie es zu dem Einbruch kam und wie weit er sich ausgebreitet hat.“

Die Cyber-Angriffe würden immer raffinierter und viele Unternehmen versäumten es, ihre Erkennungsstrategien entsprechend anzupassen. Sie müssten den Reifegrad ihrer Reaktion auf Vorfälle erhöhen. Barnhart unterstrich: „Ihre Systeme müssen so konfiguriert werden, dass sie Daten in hoher Qualität erfassen, fortschrittliche DFIR-Tools einsetzen und ihre Teams kontinuierlich für die Arbeit in datenbeschränkten Umgebungen schulen.“

Angriffstechnik Nr. 5: „KI-Bedrohungen für die Gesetzgebung“

Rob T. Lee, „SANS Chief of Research & Head of Faculty“: „Mit der zunehmenden Integration von KI in die Cyber-Sicherheitsabläufe wird auch eine neue Risikokategorie eingeführt – die Einhaltung von Vorschriften. Sicherheitsteams setzen KI ein, um Bedrohungen schneller und effizienter zu identifizieren, aber vorgeschlagene KI-bezogene Datenschutzgesetze könnten ihre Möglichkeiten ungewollt einschränken, indem sie bestimmte KI-gesteuerte Überwachungspraktiken als unerlaubte Datenverarbeitung behandeln.“

Dieses Spannungsverhältnis zwischen den Vorschriften benachteilige die Verteidiger, zumal die Angreifer KI für ihre Kampagnen einsetzten. Unternehmen müssten diese rechtlichen Entwicklungen antizipieren und steuern, um ihre Fähigkeit zur Abwehr von KI-gesteuerten Bedrohungen nicht zu gefährden. „Ein proaktiver Ansatz für die KI-Governance und die Einhaltung rechtlicher Vorschriften ist der Schlüssel zur Aufrechterhaltung der Sicherheitslage ohne regulatorische Störungen“, gab Lee abschließend zu bedenken.

[datensicherheit.de, 22.06.2013] Mehr als ein Viertel (26 Prozent) aller Datenverluste in Unternehmen seien laut Kroll Ontrack auf menschliches Versagen und Bedienungsfehler zurückzuführen. Anders aber als Hardware-Ausfälle ließen sich diese Fehler vermeiden. Durch Virtualisierung, die Einbindung von Cloud-Storage und andere neue Technologien werden moderne Speichersysteme immer komplexer.
Gleichzeitig steigt die Menge und Bedeutung der gespeicherten Unternehmensdaten kontinuierlich. Diese Daten gewissenhaft zu schützen und sorgfältig zu dokumentieren ist deshalb essenziell. Unter einem so hohen Druck komme es häufig vor, dass bewährte Standards wie ITIL (Information Technology Infrastructure Library) von IT-Teams
vernachlässigt würden, erläutert Peter Böhret, „Managing Director“ bei Kroll Ontrack Deutschland. Denn oftmals stehe ausschließlich eine schnelle Problemlösung im Vordergrund, so dass das Risiko eines Datenverlusts fast schon bewusst eingegangen werde. Doch die Erfahrung aus den Datenrettungslaboren von Kroll Ontrack zeige, dass es immer wieder typische Fehler von IT-Administratoren gibt, die häufig zu einem kritischen Datenverlust führten.

Kroll Ontracks „Top 5“ der zum Datenverlust führenden Fehler:

1. Mangelhafte Dokumentation und lückenhafte Sicherheitsmaßnahmen
   Kroll Ontrack sehe regelmäßig die Folgen dieses nachlässigen Verhaltens. Egal ob ein Unternehmen einen Test-Server ans Netz nimmt, aber niemand der IT-Abteilung Bescheid gibt, dass ein Backup eingerichtet werden muss, oder ob aus Gründen lückenhafter Dokumentation ein SAN (Storage Area Network) abgeschaltet wird, das eigentlich noch im Betrieb ist – ein Datenverlust sei vorprogrammiert.
2. Mangelhafte Update-Politik
   Jeder IT-Administrator kenne dieses Problem. Eigentlich hätte man sich vorgenommen, endlich die Updates bei den Betriebssystemen und der Anti-Viren-Software vorzunehmen. Doch wegen des hohen Arbeitsaufkommens werde der Vorgang immer wieder verschoben, bis schließlich die entstandenen Sicherheitslücken zu einem Datenverlust führten.
3. Mangelhafte Backup-Politik
   Eine Kundenumfrage von Kroll Ontrack habe vor Kurzem gezeigt, dass es bei 60 Prozent der Befragten trotz existierendem Backup zu einem Datenverlust gekommen sei. Grund dafür sei in fast allen Fällen, dass die Datensicherung nicht ordnungsgemäß funktioniert habe. Damit ein Backup tatsächlich vor Datenverlust schützt, müssten Unternehmen umfangreiche Richtlinien zur Datensicherung etablieren und zudem die Integrität der Backups regelmäßig überprüfen.
4. Versehentliche Löschung von Daten
   Auch wenn es im ersten Moment vielleicht überraschend erscheint, müsse Kroll Ontrack sehr oft Daten wiederherstellen, die irrtümlich gelöscht worden seien. Oft passiere dies aufgrund lückenhafter Dokumentation. Vor jeder Datenlöschung sollten Administratoren deshalb immer überprüfen, ob die Daten tatsächlich gelöscht werden dürfen.
5. Mangelhafte IT-Sicherheitsmaßnahmen
   Selbst die kleinste Lücke in der IT-Sicherheit könne verheerende Auswirkungen mit hohen Kosten haben. Daher sollten Administrator-Passwörter einem kleinen, ausgewählten Mitarbeiterkreis vorbehalten sein und auf jeden Fall geändert werden, wenn ein IT-Administrator das Unternehmen verlässt. Kroll Ontrack habe es schon mit spektakulären Fällen von Datenverlust zu tun gehabt, die auf verärgerte Ex-Mitarbeiter zurückzuführen gewesen seien. Diese seien noch im Besitz eines aktiven Passworts gewesen und hätten damit absichtlich große Mengen wichtiger Unternehmensdaten gelöscht.

Kroll Ontracks Empfehlungen für richtiges Verhalten:

1. Keine Panik
   Auf der Suche nach einer Lösung sollten Sie auf keinen Fall übereilte Entscheidungen treffen, sondern immer die Auswirkungen und Konsequenzen berücksichtigen. Unüberlegte Entscheidungen könnten zu einem größeren Datenverlust und längeren Ausfallzeiten führen – von höheren Kosten und Ressourcenbedarf einmal abgesehen. Falls es einmal zu einem Datenverlust kommen sollte, stellen Sie auf keinen Fall die Daten wieder auf dem ursprünglichen Laufwerk her, denn damit kam es ja erst zum Datenverlust, und speichern Sie keine neuen Daten auf dem Laufwerk, denn es könnte korrupt oder beschädigt sein. Außerdem sollten Sie nie versuchen, eine Korruption durch Formatierung des betroffenen Datenspeichers zu lösen.
2. Selbstvertrauen haben
   Sie sind Teil der Lösung, nicht des Problems. Wenn Ihre Unternehmensführung Sie mit allen Mitteln dazu drängt, um jeden Preis die Systeme wieder zum Laufen zu bringen, argumentieren Sie als Experte. Helfen Sie Ihren Vorgesetzten dabei, Entscheidungen zu treffen, die weiteren Schaden vermeiden, und reagieren Sie schnell, wenn ein Datenverlust droht. Je schneller Sie das betroffene Laufwerk aus dem Betrieb nehmen desto besser, denn Daten werden schneller überschrieben, als Sie vielleicht glauben.
3. Einen Plan haben
   Halten Sie sich an bewährte ITIL-Prozesse und gehen Sie sicher, dass die Dokumentationen des Rechenzentrums immer komplett und auf dem Laufenden sind. Dabei sollten Sie immer beachten, dass während eines Datenverlusts keine Datenträger-Hilfsprogramme (CHKDSK/FSCK) oder Firmware-Updates laufen dürfen.
4. Bescheid wissen
   Sie müssen genau darüber Bescheid wissen, was Ihre Speicherumgebung verkraftet und wie schnell sie sich wieder erholen kann. Genauso müssen Sie sich im Klaren darüber sein, welche Daten kritisch oder unersetzlich sind, ob diese neu eingegeben oder ausgetauscht werden können, und was es kostet, den Betrieb zur vollen Zufriedenheit wiederherzustellen. Wägen Sie für das Krisenmanagement Kosten und Risiken ab – müssen die noch vorhandenen Daten geschützt werden oder ist es wichtiger, dass das System so schnell wie möglich wieder in Betrieb geht?
5. Im Zweifel einen Datenretter beauftragen
   Während Ihr Gerätehersteller für den Anfang ein guter Ansprechpartner zu sein scheint, liegen dessen Prioritäten oft anders. So kann er den Wert Ihrer Daten kaum genauso schätzen wie Sie und er denkt oft auch nicht an die Risiken eines Datenverlusts, wenn das System wieder aufgesetzt wird. Daher sollten Sie immer ein renommiertes Datenrettungs-Unternehmen hinzuziehen, wenn ein Datenverlust nicht auszuschließen ist.

Weitere Informationen zum Thema:

Der Datenrettungs-Blog by Kroll Ontrack, 21.06.2013
DAS PROBLEM IST DER MENSCH