[datensicherheit.de, 10.12.2025] Heutige Cyberangriffe haben offensichtlich die klassische Definition von Insider-Bedrohungen überholt, denn nunmehr wird quasi jeder Angreifer im Cyberspace zum „Innentäter“ – nämlich dann, sobald er Identität oder Gerät eines Nutzers kompromittiert hat. Durch Missbrauch legitimer Berechtigungen und „Living off the Land“-Taktiken agiert ein solcher dann unauffällig wie ein echter Mitarbeiter – eine bedenkliche Entwicklung, denn klassische Erkennungsmechanismen werden ausgehebelt und jeder Betrieb wird durch diese cyberkriminelle Taktik verwundbar. Tony Fergusson, „CISO in Residence“ bei Zscaler, zeigt in seinem aktuellen Kommentar, warum das Verhalten des Nutzers zum entscheidenden Vertrauenssignal wird: Ein „Zero Trust“-Ansatz ist demnach das Fundament einer robusten Sicherheitsarchitektur – doch erst zusätzliche Unvorhersehbarkeit und Täuschung (sog. „Negative Trust“) würden Cyberangreifer denn dazu zwingen, sichtbar zu werden. So entstehe ein neuer Ansatz, um Cyberangriffe frühzeitig zu erkennen und moderne Insider-Risiken wirksam einzudämmen.

Foto: Zscaler

Tony Fergusson: Die Zukunft der Verteidigung liegt darin, Angriffspfade zu minimieren, indem man durch „Zero Trust“ Vertrauen in eine Umgebung einbettet und anschließend mit „Negative Trust“ Rauschen hinzufügt…

Aufkommen der „Cloud“ macht berechtigte Nutzer ortsunabhängig – cyberkriminelle aber auch

„Das Risiko von Insider-Bedrohungen begleitet Unternehmen seit jeher – doch seine Bedeutung hat sich gewandelt“, betont Fergusson. Per Definition habe man unter einem „Insider“ jemanden verstanden, der sich physisch im Unternehmen aufhielt: Mitarbeiter im Büro oder vor Ort im Einsatz befindliche externe Fachkräfte.

• „Diese Ansicht hat sich mit dem Aufkommen der ,Cloud’ gewandelt. User arbeiten ortsunabhängig, Daten liegen verteilt in ,Cloud’-Umgebungen und der Netzwerkperimeter existiert nicht mehr. Hat jemand Zugang zu dieser virtuellen Unternehmensumgebung, wird er automatisch zum Insider.“

Dies wirft laut Fergusson die zentrale Frage auf: „Wenn ein Gerät mittels Malware und Command-and-Control-Funktionen kompromittiert wird, handelt es sich dann um einen Insider-Angriff?“ Er betont: „Aus der Perspektive des Zugriffs eindeutig ja. Denn der Angreifer verfügt dann über dieselben Berechtigungen wie ein legitimer User.“

Bewegungen des Angreifers ähneln regulären Zugriffsmustern eines legitimen Insiders

Darin liege nun die eigentliche Herausforderung: Cyberangreifer nutzten die veränderte IT-Landschaft geschickt aus. „Sobald sie eine Identität oder ein Gerät kompromittiert haben – sei es durch Phishing, Malware oder gestohlene Anmeldedaten –, übernehmen sie die Berechtigungen und Privilegien eines autorisierten Users.“

• Die Bewegungen des Angreifers ähnelten ab diesem Moment also regulären Zugriffsmustern. Je näher Eindringlinge an kritische Systeme und sensible Daten herankommen, desto stärker würden die Grenzen zwischen legitimer Aktivität und Angriffen verschwimmen.

„Wenn der Malware-Akteur tief in die Infrastruktur eines Unternehmens eingedrungen ist, agiert er praktisch wie eine autorisierte Person – im Extremfall wie ein Systemadministrator!“, warnt Fergusson.

„Living off the Land“-Methodik der Angreifer lässt diese als berechtigte Insider erscheinen

Ein zentrales Element dieser Methodik sei „Living off the Land“ (LOTL). Dabei nutzten Angreifer ausschließlich vorhandene „Tools“, Anmeldedaten und Prozesse und lenkten so bewusst keine Aufmerksamkeit auf sich. Sie vermieden es, verdächtige Software oder ungewohnte Verhaltensweisen in das Netzwerk einzuführen.

• „Sie bewegen sich unerkannt unterhalb des Radarschirms der Sicherheit und vermischen sich nahtlos mit legitimen Usern. Sie wirken wie jemand, der im Unternehmen im Anzug erscheint und dort ein- und ausgeht, selbstbewusst auftritt und die Routinen anderer Mitarbeitender übernimmt, so dass niemand durch ihre Präsenz misstrauisch wird.“

Genau diese Fähigkeit, in der Menge zu verschwinden, stelle indes eine erhebliche Herausforderung für die Erkennung solcher Angreifer dar und mache verhaltensbasierte Analysen und kontinuierliche Überwachung unverzichtbar.

Unvorhersehbarkeit als Grundprinzip moderner Verteidigung

Fergusson legt nahe: „Um solche Angreifer zu erkennen, müssen Unternehmen den Fokus deutlich stärker auf das Verhalten legen und nicht mehr ausschließlich an der User-Identität festmachen!“

• Abweichungen vom Normalverhalten eines Nutzers bildeten ein wichtiges Warnsignal – unabhängig davon, ob dieser böswillig agiert oder ein kompromittiertes Konto genutzt wird. Beide Vorgehensweisen folgten ähnlichen Mustern:

Sie suchten nach wertvollen „Assets“ und sensiblen Daten. „Da hilft es nur noch, ,Fallstricke’ im Netzwerk auszulegen, die bei ungewöhnlichen Aktivitäten auslösen und den Eindringling frühzeitig sichtbar machen, bevor er sein eigentliches Ziel erreicht hat“, erläutert Fergusson.

„Zero Trust“ und „Negative Trust“ zur Abwehr unberechtigter Insider

Doch ,Fallen’ allein genügten nicht für eine umfangreiche Resilienz: „Ein robustes Sicherheitsfundament basiert auf dem ,Zero Trust’-Ansatz: Vertrauen darf weder statisch noch implizit sein, sondern muss kontinuierlich überprüft werden!“

• Starke Authentifizierung, abgesicherte Unternehmensgeräte und fortlaufende Monitoring-Prozesse erschwerten Angreifern den unbefugten Zugriff erheblich. Sicherheitsverantwortliche sollten allerdings noch einen Schritt weitergehen und sich „Negative Trust“ zu eigen machen.

Sogenanntes Negatives Vertrauen bringe gezielte Unvorhersehbarkeit und kontrollierte Täuschung ins Spiel – ein wirkungsvoller Mechanismus, um Cyberangreifer vom eigentlichen Ziel abzulenken.

„Negative Trust“ erzeugt Rauschen, erhöht die Entropie und zwingt auf Köder zu reagieren

„Viele Unternehmensprozesse sind zu standardisiert – und diese Vorhersehbarkeit erleichtert dem Angreifer das Zurechtfinden im System“, erklärt Fergusson. Durch Variabilität und Störsignale aber entstehe eine Umgebung, welche für Angreifer schwerer navigierbar werde, während Verteidiger Anomalien leichter erkennen könnten.

• Zum Vergleich: „Verschlüsselte Daten besitzen hohe Entropie und wirken zufällig – ein Zustand, den Angreifer meiden. Klartext ist hingegen vorhersehbar und damit attraktiv.“

Gleiches gelte eben auch für IT-Umgebungen: „Je vorhersehbarer Systeme sind, desto leichter können sich Angreifer darin unbemerkt bewegen. ,Negative Trust’ erzeugt Rauschen, erhöht die Entropie und zwingt Angreifer, auf Köder zu reagieren.“

Nutzer-Verhalten als entscheidendes Vertrauenssignal

„Moderne Angreifer hacken sich heute nicht mehr ins Netzwerk, sie loggen sich ein und bewegen sich dann vollkommen sichtbar in der Umgebung.“ Dementsprechend ähnelten solche Attacken fast immer Insider-Angriffen – „unabhängig davon, ob die handelnde Identität real oder kompromittiert ist“.

• Deshalb sollte jede Bedrohung als Insider-Bedrohung betrachtet werden. Die Zukunft der Verteidigung liege darin, Angriffspfade zu minimieren, „indem man durch ,Zero Trust’ Vertrauen in eine Umgebung einbettet und anschließend mit ,Negative Trust’ Rauschen hinzufügt“.

Auf diese Weise stärkten Unternehmen ihre Fähigkeit, böswilliges Verhalten frühzeitig zu identifizieren. Fergussons Fazit: „Dies gilt umso mehr, da Angreifer zunehmend bereit sind, Mitarbeitende zu bestechen, um Daten weiterzugeben oder Authentifizierungs-Cookies aus Browsern abzuziehen. In der heutigen Zeit, in der es keine Perimetergrenze mehr gibt, wird das Verhalten des Users zum einzigen wirklich verlässlichen Vertrauenssignal.“

Weitere Informationen zum Thema:

zscaler
Über Zscaler: Transformation – heute und morgen / Das Unternehmen nutzt die größte Security Cloud der Welt, um die Geschäfte der etabliertesten Unternehmen der Welt zu antizipieren, abzusichern und zu vereinfachen

zscaler
CISO in Residence: Tony Fergusson

datensicherheit.de, 29.11.2025
G DATA prognostiziert neue Dynamik der Cyberkriminalität: KI-Malware und Insider-Bedrohungen bestimmen 2026 die Bedrohungslage / G DATA gibt IT-Security-Ausblick und empfiehlt zur robusten Cyberabwehr moderne Technik sowie „Awareness Trainings“

datensicherheit.de, 08.09.2025
Laut neuer OPSWAT-Studie gefährden Insider und KI-Lücken Dateisicherheit in Unternehmen / Bedrohungen durch Insider und Blinde Flecken im Kontext Künstlicher Intelligenz erhöhen massiv die Dateisicherheitsrisiken in Unternehmen und verursachen Schäden in Millionenhöhe

datensicherheit.de, 02.09.2025
Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure / Risiken durch Insider – also Bedrohungen, welche von Personen mit legitimen Zugriffsrechten ausgehen – gehören zu den größten und kostspieligsten Herausforderungen für Unternehmen

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

[datensicherheit.de, 24.11.2025] Der „Digital Gipfel“ am 18. November 2025 in Berlin habe es wieder einmal deutlich gemacht: Digitale Souveränität sei für Europas Wirtschaft und Politik von entscheidender Bedeutung. Europäische Entscheidungsträger setzten sich mit den entscheidenden Fragestellungen von Abhängigkeiten, Datenschutz und den Möglichkeiten auseinander, wie sie in Zeiten größerer Unsicherheit mehr Transparenz in ihre digitalen Infrastrukturen integrieren könnten. Casper Klynge, VP und „Head of Government Partnerships and Public Policy EMEA“ bei Zscaler, beschäftigt sich in seiner aktuellen Stellungnahme damit, wie nun Digitale Souveränität in der Praxis umgesetzt werden kann, und wie sich Technologieunternehmen an Europas Bedürfnisse anpassen müssen – denn Europas Daten müssten privat, sicher und lokal behandelt werden, ohne zugleich alle außereuropäischen Technologieunternehmen unter Generalverdacht zu stellen.

Foto: Zscaler

Casper Klynge: Jetzt ist der richtige Zeitpunkt nicht nur für Lippenbekenntnisse, sondern für die Umsetzung der Bestrebungen in die Realität!

Bedenken zur Digitalen Souveränität echt und begründet

Derzeit sei eine nie dagewesene Verschiebung der Einstellung hinsichtlich der digitalen Unabhängigkeit Europas zu beobachten. Gleichzeitig verändere sich die Psychologie und Wahrnehmung wichtiger technologischer und politischer Akteure.

• Die Bedenken zur Digitalen Souveränität seien echt und begründet – sie belegten, dass die geopolitische Unsicherheit Einfluss auf die Überlegungen zu Autonomie und technologischer Unabhängigkeit nehme.

Klynge führt aus: „Europäische Entscheidungsträger setzen sich mit den entscheidenden Fragestellungen von Abhängigkeiten, Datenschutz und den Möglichkeiten auseinander, wie sie in Zeiten größerer Unsicherheit mehr Transparenz in ihre digitalen Infrastrukturen integrieren können.“

Souveränität mit Aspekten wie Datenschutz, Geschäftskontinuität, Cyberresillienz u.a.

Technologieunternehmen müssten diese Sorgen und Bestrebungen ernst nehmen, sie anerkennen und verstehen: „Sie müssen umsichtig und verantwortungsbewusst auf die Bedürfnisse europäischer Organisationen eingehen!“

• Letztendlich sollten sich Technologieunternehmen an Europas Bedürfnissen orientieren und nicht umgekehrt. Doch dafür bedürfe es einer Einigkeit darüber, wie dies in der Praxis umgesetzt werden könnte.

Weit weniger Konsens als über die Wichtigkeit der Digitalen Souveränität bestehe zu deren praktischer Umsetzung. Fest stehe nur so viel: „Grundlegend sollte Souveränität wichtige Elemente wie Datenschutz, Geschäftskontinuität, Cyberresillienz und die Fähigkeit von Organisationen umfassen, unabhängig von externen Bedrohungen die Kontrolle über ihre Kritischen Infrastrukturen zu behalten.“

Basis für Souveränität: Operative Resilienz als Garant für Stabilität und Kontinuität im Geschäftsbereich

Europas Daten müssten privat, sicher und lokal behandelt werden. Durch die Einführung globaler „Cloud“-Systeme entstünden allerdings Ängste, die Kontrolle über sensible Informationen an externe Akteure oder Angreifer zu verlieren.

• Bei der Datenhoheit gehe es darum, Daten zu schützen und die Einhaltung nationaler Vorschriften sicherzustellen und gleichzeitig Vertrauen für kritische Betriebsprozesse aufzubauen.

Neben Cyberangriffen könnten Datenströme und kritische Systeme ebenfalls durch Naturkatastrophen, manipulierte Unterseekabel oder politische Unsicherheiten beeinträchtigt werden. „Damit Unternehmen auch unter solch unvorhergesehenen Umständen funktionsfähig und sicher bleiben, bedarf es einer operativen Resilienz, die für Stabilität und Kontinuität im Geschäftsbereich sorgt“, so Klynge.

Technologie so gestalten und bereitstellen, dass sie Kunden echte Souveränität und Kontrolle bietet

Er betont: „Damit stellt sich die Frage, wie Technologie so gestaltet und bereitgestellt werden kann, dass sie Kunden echte Souveränität und Kontrolle bietet.“ Dazu brauche es Lösungen, welche europäischen Unternehmen den Schutz böten, den sie benötigten, und gleichzeitig Innovationsfähigkeit und Effizienz beflügelten, um auf globaler Ebene wettbewerbsfähig zu bleiben.

• Durch einen Ansatz, der auf einer „Zero Trust“-Sicherheitsplattform basiert und die Vorteile dieser föderierten Architektur nutze, könnten Unternehmen transparente Datenverarbeitung und -speicherung in ihrer gesamten digitalen Umgebung realisieren.

Klynge erläutert: „Sie erhalten somit die geforderte Transparenz und Kontrolle über alle Datenströme. Unternehmen, denen Digitale Souveränität wichtig ist, sollten darauf achten, sich mit Partnern zusammenzutun, die Digitale Souveränität durch die entsprechende Technologie ermöglichen.“

Technologien werden zunehmend mit der Souveränitäts-Begrifflichkeit auf sich aufmerksam machen

Im nächsten Jahr – 2026 – werde sich Digitale Souveränität von der bloßen Konzeptionsebene in die Praxis verlagern. „Diejenigen Unternehmen, die ihre Anforderungen in konkrete technologische Ansätze übertragen können, werden in der Lage sein, Marktvorteile daraus zu realisieren.“

• Dazu müssten sie sich durch einen Dschungel der Möglichkeiten kämpfen. „Es darf erwartet werden, dass vermehrt Technologien mit der Souveränitäts-Begrifflichkeit auf sich aufmerksam zu machen versuchen.“

Ähnlich wie vor wenigen Jahren die Terminologie „KI“ unumgänglich für die Beschreibung moderner Produkte und Dienstleistungen gewesen sei, werde das Stichwort „Souveränität“ die Technologielandschaft prägen. Dann sei es Aufgabe der Unternehmen, die verschiedenen Möglichkeiten zu validieren.

Fokus auf vertrauenswürdige Technologieanbieter, welche nachweislich zur Souveränität Europas beitragen

Bei all der Wichtigkeit des Themas der Digitalen Souveränität für Unternehmen in Europa sollten nicht alle außereuropäischen Technologieunternehmen „in einen Topf geworfen“ werden.

• „Technologieanbieter, die bereits heute in der Lage sind, Souveränitätsbestrebungen zu unterstützen, sollten relevant für die Umsetzung der Vision in die Realität wahrgenommen werden!“

Die EU-Politik müsse auf vertrauenswürdige Technologieanbieter setzen, welche „nachweislich zur Souveränität von Europa beitragen“. Abschließend unterstreicht Klynge: „Jetzt ist der richtige Zeitpunkt nicht nur für Lippenbekenntnisse, sondern für die Umsetzung der Bestrebungen in die Realität!“

Weitere Informationen zum Thema:

zscaler
Über Zscaler: Transformation – heute und morgen / Das Unternehmen nutzt die größte Security Cloud der Welt, um die Geschäfte der etabliertesten Unternehmen der Welt zu antizipieren, abzusichern und zu vereinfachen

zscaler, Zscaler Blog
Casper Klynge / VP, Government Partnerships

datensicherheit.de, 19.11.2025
Digitale Souveränität: Bitkom und Numeum fordern Europas Ablösung von einseitiger Abhängigkeit / Der deutsche und der französische Digitalverband – Bitkom & Numeum – nahmen den „SUMMIT ON EUROPEAN DIGITAL SOVEREIGNTY“ vom 18. November 2025 zum Anlass für ihre gemeinsame Forderung

datensicherheit.de, 18.11.2025
SpaceNet unterstützt europäische Initiative zur digitalen Souveränität / Gipfeltreffen ist Chance für echte strategische Datensouveränität ohne Symbolpolitik

datensicherheit.de, 21.08.2025
IT-Sicherheit „Made in EU“: Deutsche Unternehmen streben digitale Souveränität an / Laut neuer ESET-Studie beabsichtigen drei Viertel der wechselbereiten Unternehmen künftig europäische IT-Sicherheitslösungen einzusetzen

datensicherheit.de, 16.08.2025
Mehr digitale Souveränität und Resilienz – Cybersicherheit neu gedacht / Die Cybersicherheitslandschaft in Europa verändert sich deutlich: Unternehmen stehen vor einer von zunehmenden Bedrohungen, KI-Durchdringung und wachsendem Bewusstsein für Digitale Souveränität geprägten Zeitenwende

[datensicherheit.de, 02.05.2025] Nach Ansicht von Tony Fergusson, „CISO in Residence“ bei Zscaler, wird der alljährlich begangene „World Password Day“ in nicht allzu ferner Zukunft ausgedient haben, wenn man die jüngsten Entwicklungen in der Authentifizierung verfolgt: „Es zeichnet sich schon heute der Trend weg von komplexen Passwörtern hin zu längeren, einprägsameren Versionen ab. Eine passwortlose Authentifizierung ist der nächste logische Schritt.“

Foto: Zscaler

Tony Fergusson: Einfachheit und Sicherheit lassen sich kombinieren!

Das NIST hat Empfehlungen aktualisiert – hin zu längeren Passwörtern oder Passphrasen anstelle komplexer Passwörter

Der Mensch neige bei der Erstellung seiner Passwörter dazu, vorhersehbaren Mustern zu folgen, wie beispielsweise die Platzierung von Großbuchstaben am Anfang oder Sonderzeichen am Ende. „Durch dieses nur allzu menschliche Verhalten lassen sich Passwörter mit Hilfe von KI und Rechenpower allerdings leichter vorhersagen“, warnt Fergusson.

In der Folge habe das National Institute of Standards and Technology (NIST) bereits vor einigen Jahren seine Empfehlungen aktualisiert hin zu längeren Passwörtern oder Passphrasen anstelle von komplexen Passwörtern. „Indem mehrere Wörter zu einer einzigen, langen Kette kombiniert werden, werden diese Fassungen mathematisch schwerer zu knacken, und gleichzeitig sind sie für User leichter zu merken.“ Doch selbst Jahre später seien diese Empfehlungen noch nicht flächendeckend umgesetzt.

Fehleinschätzung: Passwörter höherer Komplexität gleichbedeutend mit besserer Sicherheit

Während Organisationen an überholten Praktiken der Komplexität festhielten, zeige die Realität, dass schwache Passwortstrategien Möglichkeiten für moderne Bedrohungen eröffnen. Viele Organisationen setzten nach wie vor Passwort-Komplexität mit besserer Sicherheit gleich. „Allerdings ist längst bewiesen, dass Länge einen wirksameren Schutz gegen Angriffe wie Brute-Force darstellt.“

Regulatorische Standards hinken demnach oft hinter der Wirklichkeit hinterher, und alte Systeme gehen mit Einschränkungen wie Zeichenlimits einher, welche die Umsetzung von längeren Passphrasen behindern. Der Mensch folge gerne seinen angestammten Gewohnheiten der Verwendung kurzer, komplexer Passwörter und halte an diesen Mustern über Jahrzehnte fest.

Zunehmende Gefährdung durch Diebstahl von Passwörtern

Das größte Problem bei Passwörtern jeglicher Art ist laut Fergusson jedoch die zunehmende Anzahl von Cyber-Angriffen, welche durch Passwortdiebstahl und sogenannte „Adversary-in-the-Middle“-Attacken (AiTM-Angriffe) verursacht werden.

„Viele Methoden der Multifaktor-Authentifizierung (MFA), wie einmalige Passcodes, die per SMS oder E-Mail gesendet werden, oder sogar app-basierte Codes, sind anfällig für Abfangversuche während AiTM-Angriffen.“ Diese Methoden beruhten auf dem Prinzip geteilter Geheimnisse, welche sich abfangen ließen. „Ausgeklügelte Phishing-Versuche, die legitime Websites nachahmen, um Anmeldedaten und Sitzungsdaten zu stehlen sind auf dem Vormarsch laut dem jüngsten ,ThreatLabz Phishing Report’.“

Statt Passwörter besser an die Hardware gekoppelte kryptographische Schlüssel einsetzen

Im Gegensatz dazu böten moderne Authentifizierungsmethoden wie biometrische Verfahren und physische Sicherheitsschlüssel auf Basis der „FIDO2“-Standards robusten Schutz. „,FIDO2‘ verwendet Hardware wie USB-Sicherheitsschlüssel, um eine sichere Authentifizierung durchzuführen. Anders als traditionelle Multifaktorauthentifizierung (MFA) verwendet ,FIDO2‘ Public-Key-Kryptographie, wodurch Phishing- und AiTM-Angriffe verhindert werden.“

Die eingesetzten kryptographischen Schlüssel seien an das Hardwaregerät gebunden und würden niemals mit dem Dienstanbieter geteilt. Durch die Eliminierung der Abhängigkeit von Passwörtern und abfangbaren MFA-Methoden ebneten diese Innovationen den Weg für eine sicherere, passwortlose Zukunft.

Wiederverwendung von Passwörtern bei frustrierten Anwendern

In Wirklichkeit lasse sich Komplexität nicht mit höherer Sicherheit gleichsetzen. Komplizierte Authentifizierungsmethoden führten im Gegenteil nicht selten zu Frustration und riskanten Abkürzungen, wie beispielsweise der Wiederverwendung von Passwörtern. Unternehmen sollten Lösungen wie Passphrasen, Biometrie und passwortlose Technologien (,FIDO2‘) evaluieren, die nicht nur mit Komfort einhergehen, sondern auch besseren Schutz vor modernen Bedrohungen bieten.

Fergusson abschließend: „Dieser Wandel ermöglicht einen stärkeren Schutz und eine benutzerfreundliche Möglichkeit, auf Ressourcen zuzugreifen, und beweist, dass sich Einfachheit und Sicherheit kombinieren lassen – der ,World Password Day’ sollte also eher eine passwort-lose Zukunft einläuten.“

Weitere Informationen zum Thema:

Days or the Year
World Password Day / Protect your privacy and self by taking some time to update your passwords. Avoid pet or family names, important dates, and other identifying information

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig

[datensicherheit.de, 28.04.2025] Der diesjährige Phishing-Report von Zscaler zeigt auf, dass Cyber-Kriminelle für zielgerichtete Angriffe verstärkt auf Künstliche Intelligenz (KI) setzen – dies unterstreicht laut Zscaler die Notwendigkeit, „Zero Trust“ und KI-basierte Abwehrmaßnahmen einzusetzen. Zwar seinen Phishing-Angriffe global um 20 Prozent zurückgegangen, doch die Angreifer verlagerten ihre Taktik auf tiefgreifende Methoden und zielten mit wirkungsvollen Kampagnen auf IT-, HR- und Finanz-Teams sowie auf Gehaltsabrechnungen ab. Soziale Netzwerke wie z.B. „Telegram“, „STEAM“ und „facebook“ seien übrigens die beliebtesten Plattformen für Phishing-Attacken, um Identitätsbetrug zu begehen und auch Malware zu verbreiten.

Foto: Zscaler

Deepen Desai warnt: Phishing hat sich verändert. Angreifer nutzen GenKI, um nahezu makellose Köder zu erstellen und sogar KI-basierte Abwehrmaßnahmen zu überlisten!

Phishing-Report 2025 empfiehlt „Zero Trust“- sowie KI-Verteidigungsstrategie

Die Zscaler, Inc. Hat ihren „Zscaler ThreatLabz 2025 Phishing Report“ veröffentlicht, in dem über zwei Milliarden blockierte Phishing-Versuche aus der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2024 analysiert werden. „Der Jahresbericht deckt auf, dass Cyber-Kriminelle verstärkt auf Generative KI (GenKI) setzen, um gezielte Angriffe auf wichtige Geschäftsfunktionen zu starten. Eine Verlagerung von Massen-E-Mails hin zu gezielten, KI-gestützten Angriffen war zu beobachten, die Abwehrmaßnahmen umgehen und menschliches Verhalten ausnutzen.“

• Der Phishing-Report empfiehlt daher eine „Zero Trust“- sowie KI-Verteidigungsstrategie und zeigt auf, wie sich Unternehmen damit gegen diese sich weiterentwickelnde Bedrohungslandschaft verteidigen können.

„Phishing hat sich verändert. Angreifer nutzen GenKI, um nahezu makellose Köder zu erstellen und sogar KI-basierte Abwehrmaßnahmen zu überlisten“, berichtet Deepen Desai, „CSO“ und „Head of Security Research“ bei Zscaler. Cyber-Kriminelle setzten KI als Waffe ein, um der Erkennung zu entgehen und Opfer zu manipulieren. „Das bedeutet, dass Unternehmen ebenso fortschrittliche KI-gestützte Abwehrmaßnahmen einsetzen müssen, um mit diesen neuen Bedrohungen Schritt halten zu können! Unser Report unterstreicht, wie wichtig ein proaktiver, mehrschichtiger Ansatz ist, der eine robuste Zero-Trust-Architektur mit fortschrittlicher KI-gestützter Phishing-Prävention kombiniert, um sich mit wirksamen Maßnahmen gegen die sich schnell entwickelnde Bedrohungslandschaft aufzustellen.“

KI-Phishing-Kampagnen missbrauchen zunehmend Soziale Netzwerke

Während Phishing weltweit um 20 Prozent und in den USA um fast 32 Prozent zurückgegangen sei – zum Teil auf strengere E-Mail-Authentifizierungsstandards zurückzuführen –, hätten Angreifer ebenso schnell reagiert. „Sie starteten vermehrt Angriffe auf aufstrebende Märkte wie Brasilien oder Hongkong, wo die Digitalisierung oft schneller voranschreitet als die Investitionen in die Sicherheit. Etablierte Ziele wie Indien, Deutschland und Großbritannien stehen weiterhin unter Druck, da sich die Angreifer an lokale Muster und saisonale Trends anpassen.“

• Phishing-Kampagnen missbrauchten zunehmend community-basierte Plattformen wie „facebook“, „Telegram“, „STEAM“ oder „Instagram“. „Sie ahmen nicht nur diese bekannten Markenauftritte nach, sondern nutzen sie auch, um Malware zu verbreiten, ,Command & Control’-Kommunikation zu verschleiern, Informationen über Ziele zu sammeln und Social-Engineering-Angriffe durchzuführen.“

Betrugsmaschen im Bereich des technischen Supports, bei denen Angreifer sich als IT-Support-Teams ausgäben, um die Dringlichkeit zu untermauern und Sicherheitsbedenken der Opfer zu untergraben, seien mit 159.148.766 Treffern im Jahr 2024 weit verbreitet gewesen.

KI-Missbrauch durch Bedrohungsakteure: Phishing-as-a-Service und KI-Täuschung auf dem Vormarsch

Cyber-Kriminelle nutzen GenKI, um Angriffe zu skalieren, gefälschte Webseiten und Deepfake-Stimmen, -Videos und -Texte für Social Engineering zu erstellen. Neue Betrugsmaschen ahmen KI-Tools wie z.B. Lebenslaufgeneratoren und Designplattformen nach und verleiten Nutzer dazu, Anmelde- oder Zahlungsdaten preiszugeben.

• „Kritische Abteilungen wie Lohnbuchhaltung, Finanzwesen und die Personalabteilung sind neben Führungskräften die Hauptziele, da sie Zugang zu sensiblen Systemen, Daten und Prozessen haben und betrügerische Zahlungen leichter genehmigen können.“

Ebenfalls als neue Methoden nähmen gefälschte Webseiten mit KI-Assistenten oder KI-Agenten an Fahrt auf, die falsche Dienstleistungen wie die Erstellung von Lebensläufen, Graphikdesign, Workflow-Automatisierung und mehr anböten. „Da KI-Tools immer stärker in den Arbeitsalltag integriert werden, nutzen Angreifer die einfache Bedienung und das Vertrauen in KI aus, um ahnungslose User auf betrügerische Webseiten zu locken.“

Verteidigung gegen KI-Bedrohungen mit „Zero Trust“ – und KI

Da Cyber-Kriminelle GenKI für die Entwicklung immer raffinierterer Taktiken und Angriffe nutzen, sollten Unternehmen ihre Abwehrmaßnahmen gegen alle Arten von Kompromittierungen verstärken.

• „Die ,Zscaler Zero Trust Exchange’-Sicherheitsplattform schützt User, Anwendungen und Daten in allen Phasen der Angriffskette durch das Minimieren der Angriffsfläche, das Verhindern einer ersten Kompromittierung, die Eliminierung von lateralen Bewegungen der Angreifer, die Abwehr von Insider-Bedrohungen und das Stoppen von Datenverlusten.“

Desai erläutert abschließend: „Die KI-basierten Lösungen von Zscaler bieten zusätzlichen Schutz, indem sie die Nutzung öffentlich verfügbarer KI-Tools sichern, private KI-Modelle vor Angreifern abschirmen und KI-generierte Bedrohungen erkennen.“

Weitere Informationen zum Thema:

zscaler, 2025
Industry Report: Zscaler ThreatLabz 2025 Phishing Report / GenAI is Making Phishing Personal

datensicherheit.de, 28.04.2025
Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1 / Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 05.12.2024] „KI-basierte Deepfakes haben sich im letzten Jahr als effektives Täuschungsinstrument etabliert. Vom rudimentären E-Mail-Spoofing wurden sie zu einer hochentwickelten Phishing-Technik weiterentwickelt, die manipulierte Audio- und Videodaten einsetzt.“ James Tucker, „Head of CISO International“ bei Zscaler, geht in seiner aktuellen Stellungnahme auf die Ursprünge sogenannter Deepfakes ein – diese ließen sich dabei auf die inhärenten Schwachstellen der E-Mail-Technologie zurückführen, welcher es an robusten Mechanismen zur Überprüfung der Absenderidentität fehle. Dieses seit Langem bestehende Problem habe Angreifern den Weg geebnet, KI für immer gefährlichere Angriffe in Kombination mit dem Dauerbrenner „Social Engineering“ zu nutzen.

Foto: Zscaler

James Tucker: „Demokratisierung“ der Deepfake-Technologie mittels KI macht sie zur ernsthaften Bedrohung!

Deepfake-Erzeugung per KI auch für Personen mit geringem Know-how leicht machbar

Tucker erläutert: „Deepfakes werden in den zwei Formaten Audio und Video für Betrugsmanöver eingesetzt. Während Audiomanipulationen seit über einem Jahrzehnt bekannt sind und sich in jüngster Zeit zu Telefonanrufen weiterentwickelt haben, sind gefälschte Videos auf Basis von öffentlich zugänglichen Videoschnipseln, die mit Hilfe von KI manipuliert werden, erst in jüngster Zeit prominenter aufgetreten.“

Die Erzeugung künstlicher Nachrichten für Personen mit unterschiedlichem technischen Know-how sei leicht machbar, denn die KI-Tools übernähmen die Arbeit.

Diese „Demokratisierung“ der Deepfake-Technologie mache sie zur ernsthaften Bedrohung. Die Werkzeuge zur Erstellung überzeugender Fälschungen befänden sich damit in den Händen eines Personenkreises, welcher „die ethischen Implikationen des Einsatzes missachtet“.

Deepfake-Schadenspotenzial geht weit über bloße Falschinformationen und Zahlungsanweisungen hinaus

Die Folgen von Deepfakes gingen weit über bloße Falschinformationen und Zahlungsanweisungen an Malware-Akteure hinaus: „Die neuen Deepfakes untergraben das Vertrauen in jegliche Interaktion grundlegend, sei es im persönlichen oder beruflichen Umfeld!“

Damit wackele das Vertrauen in den Eckpfeilern der menschlichen Kommunikation. Wenn Menschen nicht mehr zwischen Realität und Fiktion unterscheiden könnten, beginne das soziale Gefüge zu bröckeln.

Ein hypothetisches Szenario laut Tucker: „Ein Manager setzt KI ein, um einen Videobericht auf der Grundlage tatsächlicher Daten zu erstellen. Die Informationen mögen zwar korrekt sein, aber die Erstellung einer synthetischen Darstellung untergräbt die Authentizität der Kommunikation und hinterlässt bei den Team-Mitgliedern ein unbehagliches Gefühl.“

Deepfakes können als Waffe eingesetzt werden

Dieser Vertrauensverlust in die neuen Möglichkeiten der Inhaltserstellung sei nicht auf harmlose Szenarien beschränkt: „Deepfakes können als Waffe eingesetzt werden, um das Vertrauen absichtlich zu unterminieren und damit zu ernsthaften Rufschädigungen oder genereller Verunsicherung beitragen!“

Fälle manipulierter, aus dem ursprünglichen Kontext gerissener Bilder hätten bereits zu Rechtsstreitigkeiten und einem Aufschrei in Sozialen Medien geführt.

Die Möglichkeit, solche Inhalte schnell und mit hoher Reichweite viral gehen zu lassen, verstärke deren Wirkung und schaffe eine „Kultur der Zweifelhaftigkeit“. Damit würden Deepfakes zu einer ernsthaften Bedrohung, welche weit über finanziellen Schaden hinausgehe.

Weitreichende psychologische Deepfake-Auswirkungen

Die psychologischen Folgen von Deepfakes könnten sowohl für die Gesellschaft als auch für den Einzelnen enorm sein. Die Verbreitung gefälschter pornographischer Inhalte ziele beispielsweise auf die Würde und Privatsphäre der Menschen ab und hinterlasse lang anhaltende emotionale Narben.

Darüber hinaus könnten manipulierte politische Inhalte zu Misstrauen gegenüber öffentlichen Personen und Institutionen führen und die demokratischen Prozesse untergraben. „Wenn die Worte eines Politikers in einem gefälschten Kontext verwendet werden, löst dies eine gesellschaftliche Vertrauenskrise aus. Denn wenn selbst Aussagen von öffentlich agierenden Personen gefälscht werden können, wem kann man dann noch vertrauen und wie kann der Einzelne einen Deepfake erkennen oder nachweisen?“

Die jüngere Generation sei besonders gefährdet: Ihr Leben werde zunehmend von Bildschirmen und ihrer Interaktion über die Sozialen Medien bestimmt. Diese Zielgruppe muss demnach besonders angeleitet werden, welche Inhalte authentisch sind und welchen Vertrauen geschenkt werden darf. Sie bewegten sich am Rande einer Welt, „in der die Realität verzerrt erscheinen und mit dem Risiko sozialer Isolation und psychischer Probleme einhergehen kann“. Angesichts dieser wachsenden Probleme bestehe Handlungsbedarf.

Maßnahmenkatalog gegen Deepfakes

Als Reaktion auf das zunehmende Aufkommen sogenannter Deepfakes sei es erforderlich, KI nicht nur für die Erstellung, sondern auch für die Erkennung von künstlich erstellten Inhalten einzusetzen. In den kommenden Jahren werde die Zahl derjenigen Unternehmen steigen, „die KI-Technologien speziell zum Aufspüren von Deepfakes entwickeln“. Darüber hinaus seien insbesondere in der Europäischen Union (EU) regulatorische Maßnahmen zu erwarten, welche „Standards und Schutzmaßnahmen gegen die böswillige Nutzung dieser Technologie festlegen“.

Digitale Wasserzeichen sein eine Möglichkeit, welche zur Authentifizierung von Inhalten beitragen könne. „Das ist immerhin ein Anfang, wobei für höhere Sicherheit ein mehrschichtiger Ansatz erforderlich ist, der neben der KI-Verifizierung auch persönliche Identifikatoren wie eindeutige Schlüsselwörter umfasst.“ Ein solcher Schutz funktioniere ähnlich wie die Zwei-Faktor-Authentifizierung (2FA), „die derzeit bereits als Passwortschutz verwendet wird“.

„Bis diese Technologien jedoch ausgereift sind, spielt Aufklärung die entscheidende Rolle im Kampf gegen die negativen Auswirkungen von Deepfakes“, so Tucker. Die Schulung in der Erkennung gefälschter audiovisueller Inhalte sollte fester Bestandteil der beruflichen und akademischen Lehrpläne werden, „damit sich die Gesellschaft in diesem tückischen Umfeld gegen negative Auswirkungen wappnet“.

Ab 2025 werden Deepfakes zu noch mehr Verwirrung und Misstrauen führen

Im kommenden Jahr – 2025 – werden Deepfakes laut Tucker „zu noch mehr Verwirrung und Misstrauen führen“. Die Gesellschaft werde sich mit diesen Herausforderungen auseinandersetzen müssen. Diskussionen über Regulierung und Schutz würden dementsprechend an Bedeutung gewinnen.

Langfristig müssten Nutzer auf KI-Tools zur Erkennung von Deepfakes auf persönlichen Geräten setzen. Dadurch könne einer „Kultur der Umsicht“ Vorschub gewährt werden, „bevor gefälschte Inhalte über Soziale Kanäle verbreitet werden“. Letztendlich müsse die Gesellschaft mit der Entwicklung neuer Technologien Schritt halten und mit einer Antwort auf deren negative Aspekte reagieren. Der Kampf gegen Deepfakes erfordere persönliche Aufmerksamkeit und technologische Innovation, da die Folgen von Untätigkeit schwerwiegend sein könnten.

Tucker gibt abschließend zu bedenken: „Einmal verlorenes Vertrauen in technische Kommunikationskanäle und Inhalte lässt sich nur schwer zurückgewinnen. Das ,Zero Trust’-Prinzip hat gezeigt, wie Organisationen es schaffen können, das Vertrauen in digitale Interaktionen wiederherzustellen.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff / Aktueller Bericht thematisiert globale Trends und Techniken des Identitätsbetrugs, welche Unternehmen im Jahr 2025 bedrohen werden

datensicherheit.de, 08.10.2024
Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe / BlackBerry erörtert das Gefahrenpotenzial KI-gestützter Deepfake-Angriffe auf Unternehmen und stellt Abwehrmaßnahmen vor

datensicherheit.de, 29.08.2024
Drei präventive Schutzmaßnahmen gegen CEO-Fraud und Deepfake-Angriffe / Detlev Riecke gibt Unternehmen Empfehlungen, um Chance eines erfolgreichen KI-gestützten Deepfake-Angriffs erheblich zu mindern

datensicherheit.de, 21.05.2024
Deepfakes: Paragraf zum Persönlichkeitsschutz soll im Strafgesetzbuch Aufnahme finden / Noch können Deepfakes erkannt werden – aber Optimierung schreitet voran

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

[datensicherheit.de, 26.06.2024] „Vertrauen ohne drohende Konsequenzen gibt es in der IT-Sicherheit schon länger nicht mehr“, so Tony Fergusson, „CISO EMEA“ bei Zscaler, in seiner aktuellen Stellungnahme. Nur in einer idealen Welt seien Unternehmen in der Lage, die eigene Belegschaft mit allen möglichen Kompetenzen, Rollen und Zugängen auszustatten, ohne sich Gedanken über mögliche Folgen oder Missbrauch zu machen. „Tatsächlich wurde dieses Sicherheitsparadigma des positiven Vertrauens durch Sicherheit am Netzwerkperimeter über Jahrzehnte gelebt. Wenn ein Mitarbeitender erst einmal für den Netzwerkzugriff autorisiert war, konnte er sich meist ungehindert innerhalb der gesamten IT-Umgebung fortbewegen.“ Ein solches Konzept habe allerdings über die laterale Fortbewegung Eindringlingen Tür und Tor zu den wichtigsten Daten eines Unternehmens geöffnet.

Foto: Zscaler

Tony Fergusson: Es ist an der Zeit, das ,Zero Trust’-Konzept Richtung ,Negative Trust’ weiterzuentwickeln!

Mit „Zero Trust“ trat anstelle des Netzwerkzugriffs der autorisierte und authentifizierte Zugriff auf Applikations-Ebene

Fergusson führt weiter aus: „Mit ,Zero Trust’ trat anstelle des Netzwerkzugriffs der autorisierte und authentifizierte Zugriff auf Ebene der einzelnen Applikation. Schränkt man die Kompetenzen und Zugänge der eigenen Belegschaft ein und überprüft, ob Zugriffe und Verbindungen zu Anwendungen tatsächlich notwendig sind, schafft man ein solides Bollwerk gegenüber Cyber-Kriminellen und reduziert damit die Angriffsfläche auf die IT-Umgebung.“

Allerdings habe sich nicht nur die Cyber-Sicherheit weiterentwickelt, sondern auch die Methoden der Eindringlinge. „Wird es für sie schwieriger ein Unternehmen aufgrund dessen reduzierter Angriffsfläche zu kompromittieren, wenden sie sich verstärkt dem schwächsten Glied in der Angriffskette zu – dem Menschen mit dessen Identität.“ Dann sei es an der Zeit, das „Zero Trust“-Konzept Richtung „Negative Trust“ weiterzuentwickeln.

„Negative Trust“ – Fokus liegt auf Täuschung der Angreifer

Hinter diesem Begriff verstecke sich mitnichten das größere Misstrauen der eigenen Belegschaft gegenüber, „sondern Fokus auf die Täuschung von Angreifern, die es geschafft haben mit Hilfe gestohlener Identitäten in die IT-Umgebung einzudringen“. Die Idee hinter „Negative Trust“ sei, das Verhalten solcher Angreifer zu antizipieren, welche erfolgreich einen Mitarbeiter getäuscht und dessen „Credentials“ entwendet und übernommen hätten.

Ein solcher Eindringling werde stets versuchen, die erbeuteten Rollen und Rechte auszureizen, „indem er versucht, sich innerhalb der IT-Umgebung fortzubewegen auf der Suche nach wichtigen Daten“. Werde ein solches Angreifer-Verhalten in der eigenen Verteidigungsstrategie vorweggenommen, könne man die Angreifer gezielt in die Irre führen und deren Anwesenheit in der IT-Umgebung aufdecken.

„Negative Trust“ als nächste, konsequente Stufe der IT-Security-Evolution

„Eines der jüngsten Beispiele, bei denen es Cyber-Kriminellen gelungen ist, die vorhandenen Sicherheitsmechanismen auszuhebeln, war im Herbst vergangenen Jahres der Angriff auf ein Casino in Las Vegas“, berichtet Fergusson. Mittels „Social Engineering“ und „Sim-Swapping“ sei die Unwissenheit eines Mitarbeiters ausgenutzt und darauf aufbauend auch die Sicherheitsarchitektur umgangen worden, „so dass Datenbestände entwendet werden konnten“.

Dieser Fall zeige einmal mehr, dass die größte Schwachstelle in der Cyber-Abwehr der Mensch bleibe. „Wenn es Hacker schaffen, sich Zugang zu Infrastrukturen zu verschaffen und ihre eigene Identität hinter einem Mitarbeitenden zu verbergen, reicht es nicht mehr aus, Rollen und Berechtigungen zu limitieren.“ Es bedürfe vielmehr der nächsten Stufe der IT-Security-Evolution: „Negative Trust“.

„Negative Trust“ macht sich Denkweisen und Techniken der Angreife für die Abwehrstrategie zu Nutze

In dem Modell der „Pyramid of Pain“ der Cyber-Sicherheit werde der Aufwand der Angreifer dargestellt, um Sicherheitshürden zu überwinden. Dabei müsse berücksichtigt werden, dass herkömmliche Sicherheitsmethoden am unteren Ende der Pyramide relativ einfach für Angreifer auszuhebeln seien. Die Spitze der Pyramide bildeten dabei die Taktiken, Techniken und Prozesse (TTP) der Angreifer, welche kontinuierlich modifiziert würden.

„Sind diese Verhaltensweisen erst einmal bekannt, so lassen sich darauf aufbauend durch Täuschungsmanöver Gegenmaßnahmen ergreifen“, erläutert Fergusson. Denn für die Hacker gehe es mit großem Aufwand einher, ihre Taktiken und Prozesse zu modifizieren. „Macht man sich also die Denkweise und Techniken der Angreifer zu Nutze in der Abwehrstrategie, kann man die Angreifer in einem trügerischen Gefühl von Sicherheit wiegen und sie dabei identifizieren.“

Labyrinth aus falschen Daten und Anwendungen als Teil der „Negative Trust“-Taktik

Zu diesem Zweck sollten Unternehmen auf Täuschungstechnologien setzen: „Dazu erstellt man ein Labyrinth aus falschen Daten und Anwendungen und versucht dem Eindringling oder auch Insider auf die Spur zu kommen.“ Dazu werde das Augenmerk auf diejenigen Nutzer gelegt, die versuchten auf für sie nicht autorisierte Bereiche zuzugreifen. „Durch die Schaffung von unwirklichen Unternehmenswelten und den Spuren, die ein Angreifer darin hinterlässt, kann man ihn nicht nur überführen, sondern auch neue Erkenntnisse zu den Verhaltensweisen gewinnen und die eigene Sicherheitsarchitektur und -strategie weiterentwickeln.“

Anstelle sich also lediglich auf herkömmliche, leicht zu umgehende Sicherheitsmaßnahmen am Boden der Pyramide zu fokussieren, sollten Unternehmen ihr Augenmerk ebenfalls auf die Spitze richten. Durch die Analyse der Verhaltensweisen potenzieller Malware-Akteure könne schneller und effizienter auf Angriffe reagiert und damit das Sicherheitspostulat erhöht werden.

„Zero Trust“ und „Negative Trust“ als gegenseitige Verstärker

Für die erfolgreiche Cyber-Abwehr sei Einblick in die Verhaltensweisen der Angreifer und das von ihnen ausgehende Gefahrenpotenzial entscheidend. Herkömmliche Abwehrmaßnahmen stellten sich angesichts der kontinuierlichen Weiterentwicklung der Angriffstaktiken als unzureichend heraus. In der Folge sollte das Konzept des negativen Vertrauens in ein „Zero Trust“-Rahmenwerk eingebaut werden. Dabei gelte es, sich in einer IT-Umgebung befindliche Angreifer zu überlisten.

„Während ,Zero Trust’ sich damit befasst, Zugriffsberechtigungen zu limitieren und Anbindungen zu verifizieren um dadurch die Angriffsfläche zu minimieren, ist ,Negative Trust’ dafür gedacht, die Angriffstechniken und Denkweisen der Angreifer zu nutzen, um ihnen auf die Spur zu kommen.“ Negatives Vertrauen gehe im Kampf gegen Cyber-Gefahren mit „Zero Trust“ Hand in Hand. „Durch das Verständnis vom Verhalten der Angreifer können Organisationen robustere Abwehrstrategien entwickeln und damit Risiken mitigieren“, so Fergussons Fazit.

Weitere Informationen zum Thema:

CXO REvolutionaries, Sam Curry, 21.06.2024
Future-proof IT / The deception game: Negative trust in cybersecurity

[datensicherheit.de, 23.04.2024] Der jährliche „ThreatLabz Phishing“-Report soll die Evolution der Phishing-Landschaft enthüllen und die Notwendigkeit einer „Zero Trust“-Architektur unterstreichen: Zscaler, Inc. hat nach eigenen Angaben den jährlichen „Zscaler ThreatLabz 2024 Phishing“-Report veröffentlicht, für den zwei Milliarden blockierte Phishing-Transaktionen in der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2023 analysiert worden seien. Demnach haben die weltweiten Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. Dieser Anstieg sei unter anderem auf den Einsatz von generativer KI in Angriffstechniken wie Voice-Phishing (Vishing) und Deepfake-Phishing zurückzuführen. Der diesjährige Report enthalte Trends zu Phishing-Aktivitäten und -Taktiken sowie „Best Practices“ zur Steigerung der Sicherheit von Unternehmen.

Foto: Zscaler

Deepen Desai warnt: Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung!

Robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombinieren!

„Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung, die zunehmend mit ausgefeilteren Methoden aufwartet, da zur Intensivierung von Angriffen auf generative KI und die Manipulation vertrauenswürdiger Plattformen gesetzt wird”, berichtet Deepen Desai, „CSO“ und Leiter der Sicherheitsforschung. Er führt aus: „In diesem Zusammenhang sind die neuesten Ergebnisse des ,ThreatLabz’-Reports wichtiger denn je, um Strategien zu entwickeln und die Phishing-Abwehr zu stärken.“

Diese Erkenntnisse unterstrichen die Notwendigkeit eines proaktiven, mehrschichtigen Sicherheitsansatzes, „der eine robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombiniert, um diesen Bedrohungen wirksam zu begegnen“.

Mehr als die Hälfte aller Phishing-Angriffe in Nordamerika – gefolgt von EMEA und Indien

2023 seien die Vereinigten Staaten (55,9%), das Vereinigte Königreich (5,6%) und Indien (3,9%) die Hauptziele von Phishing-Betrug gewesen. Das häufige Auftreten von Phishing in den USA sei auf die digitale Infrastruktur, die große Anzahl von Internet-Anwendern und die intensive Nutzung von Online-Finanztransaktionen zurückzuführen.

Kanada (2,9%) und Deutschland (2,8%) vervollständigten die „Top Five“ der Länder mit den meisten Phishing-Versuchen. Die meisten Phishing-Angriffe gingen demnach von den USA, Großbritannien sowie Russland aus und auch Australien sei in die „Top Ten“ aufgestiegen, da das Volumen der in diesem Land gehosteten Phishing-Inhalte im Vergleich zum Vorjahr um 479 Prozent gestiegen sei.

Finanzbranche erlitt Anstieg der Phishing-Angriffe um fast 400 Prozent

Der Finanz- und Versicherungssektor habe die höchste Zahl von Phishing-Versuchen verzeichnet, die im Vergleich zum Vorjahr um 393 Prozent zugenommen hätten. Die Abhängigkeit von digitalen Finanzplattformen biete Bedrohungsakteuren reichlich Gelegenheit für die Durchführung ihrer Phishing-Kampagnen – aufbauend auf Schwachstellen in diesem Sektor.

Die Fertigungsindustrie habe von 2022 bis 2023 ebenfalls einen deutlichen Anstieg von 31 Prozent an Phishing-Angriffen verzeichnet, was die Anfälligkeit der Branche unterstreiche. „Da Fertigungsprozesse immer stärker von digitalen Systemen und vernetzten Technologien wie IoT/OT abhängen, steigt auch das Risiko von unbefugten Zugriffen oder Störungen, die von Bedrohungsakteuren ausgehen.“

Microsoft bleibt am häufigsten von Phishing-Angriffen ausgenutzte Marke

Die „ThreatLabz“-Forscher hätten festgestellt, dass Unternehmensmarken wie Microsoft, OneDrive, Okta, Adobe und SharePoint ein bevorzugtes Ziel für Imitationen darstellten. Die weite Verbreitung dieser „Brands“ gehe mit einem hohen Wert von gestohlenen Anmeldedaten für diese Plattformen einher und lasse sie zum lohnenden Ziel werden.

Microsoft (43%) sei im Jahr 2023 die am häufigsten imitierte Unternehmensmarke gewesen, wobei die Plattformen OneDrive (12%) und SharePoint (3%) ebenfalls unter den ersten fünf Plätzen rangierten und ein lukratives Ziel für Cyber-Kriminelle darstellten.

Zero-Trust-Architektur kann Phishing-Angriffe entschärfen

Eine „Zero Trust“-Architektur mit moderner, KI-gestützter Phishing-Prävention biete Schutz gegen die sich ständig weiterentwickelnde Bedrohungslandschaft. Die „Zero Trust Exchange“-Plattform helfe dabei, konventionelle und KI-gesteuerte Phishing-Angriffe in mehreren Stufen der Angriffskette zu unterbinden:

Verhindern der Kompromittierung
Skalierbare TLS/SSL-Prüfung, KI-gestützte Browser-Isolierung und richtliniengesteuerte Zugriffskontrollen verhinderten den Zugriff auf verdächtige Websites.

Eliminieren von Seitwärtsbewegungen
Nutzer würden sich direkt mit Anwendungen verbinden und nicht mit dem Netzwerk, während die KI-gestützte App-Segmentierung den Aktionsradius eines potenziellen Vorfalls begrenze.

Abschalten von kompromittierten Usern und Insider-Bedrohungen
Die Inline-Inspektion verhindere Versuche, private Anwendungen auszunutzen, und die integrierten Täuschungsfunktionen würden auch raffinierteste Angreifer erkennen.

Stoppen von Datenverlusten
Die Inspektion von Daten in Bewegung und im Ruhezustand verhindere den potenziellen Diebstahl durch einen aktiven Angreifer.

Weitere Informationen zum Thema:

zscaler
Zscaler ThreatLabz 2024 Phishing Report / Phishing attacks surged by 58% last year

[datensicherheit.de, 13.04.2024] „Die Fristen für die Einhaltung der NIS-2-Richtlinie und des ,Digital Operations Resilience Act’ (DORA) rücken rasch näher und dementsprechend stehen Bestrebungen zur Einhaltung der Auflagen rund um die Regulierung der Cyber-Sicherheit für viele Unternehmen derzeit im Fokus. Während diese Direktiven die Hoffnung auf positive Veränderungen hinsichtlich des Schutzniveaus der Betreiber Kritischer Infrastrukturen in Europa wecken, fehlt es ihnen dennoch an einer entscheidenden Komponente – einer Vision zur Transformation der weltweiten Cyber-Sicherheit“, moniert Nathan Howe, „GVP Innovation“ bei Zscaler, in seiner aktuellen Stellungnahme. Zwar seien Regulierungsbestrebungen von Natur aus immer eine Reaktion auf Veränderungen, aber dennoch könnten sie etwas visionärer ausfallen. Aktuell mangele es allerdings noch an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Sicherheitsniveaus hinausgehe. Howe kommentiert: „Wieder einmal überschreitet die Innovationstätigkeit die Geschwindigkeit, mit der Regularien implementiert werden können.“

Foto: Zscaler

Nathan Howe: Regulierung und Innovation sollten Hand in Hand gehen!

Es sind nicht Cyber-Regularien, welche Unternehmen zu höherer Innovationstätigkeit veranlassen

Auch die Diskussionen auf dem „World Economic Forum“ in Davos hätten einmal mehr gezeigt, dass Entscheidungsträger und Politiker Regularien eher aus Angst denn aus Innovationsfreude auf die Tagesordnung setzten. Howe: „Nicht bedacht wurde, dass Regulierung und Innovation Hand in Hand gehen sollten, um den Schritt in die Zukunft ohne Angst und mit weniger Risiken angehen zu können.“ Das Entstehen von Regularien sei ein zyklischer Prozess – angetrieben durch die Evolution neuer Standards. Hinter einem solchen Prozess stehe eine bestehende Technologie, welche in vielerlei Hinsicht vorhersehbar sein sollte.

KI-gestütztes „5G“ sei ein gutes Beispiel für eine solch neue Technologie, welche bald neue Regularien erforderlich machen werde, „wenn sie in Form von ,6G’ mit einer ganzen Reihe neuer Funktionen aufwartet“. Die technologische Marschrichtung von Unternehmen erhalte durch Regularien Vorschub, welche über die Reaktion auf Sicherheitsvorfälle hinausgehe und zu strategischer Planung führen sollte. „Es ist jedoch wichtig zu erkennen, dass es nicht die Regularien sind, die Unternehmen zu höherer Innovationstätigkeit veranlassen. Vielmehr zwingen sie jegliche Organisation dazu, den Status Quo einzuhalten“, so Howe.

Organisationen betrachten Cyber-Regulierung oft nur als Mittel, den Status Quo zu erhalten

Echte Innovation könne dann entstehen, „wenn Führungskräfte und Visionäre dazu bereit sind, herkömmliche Herangehensweisen angetrieben vom Wunsch nach dem Erhalt von Wettbewerbsfähigkeit grundlegend zu überdenken“. Er führt hierzu aus: „Ein Unternehmen, das Lebensmittel oder Getränke herstellt, wird normalerweise immer Technologien zur Verbesserung der Produktionsprozesse gegenüber IT-Sicherheitsprozessen den Vorrang geben.“ Solche Organisationen betrachteten die Regulierung als Mittel, um den Status Quo zu erhalten. Sie nutzten sie nicht als Gelegenheit, um eine Modernisierung der Abläufe und die Erschließung gänzlich neuer Möglichkeiten auf den Weg zu bringen.

Howe gibt zu bedenken: „Aus diesem Grund erfolgt ein größerer Wandel oft nur aufgrund eines katastrophalen Moments, der droht, ein unsinkbares Schiff zum Kentern zu bringen. Oder er erfolgt eben durch den Anstoß von außen, der durch Regularien losgetreten wird.“ In diesem Sinne spiele die Regulierung eine wichtige Rolle bei der Beschleunigung der technologischen Evolution von denjenigen Unternehmen, „deren Hauptaugenmerk darauf liegt, den Motor am Laufen zu halten, zu verkaufen und zu produzieren“.

NIS-2 und DORA u.a. haben ihre Berechtigung, denn sie fördern Wissen und Verständnis für Cyber-Sicherheit – aber es gebricht ihnen an visionärer Kraft

Regulierungen wie aktuelle NIS-2 und DORA hätten ihre Berechtigung, denn sie trügen dazu bei, das Wissen und das Verständnis für Cyber-Sicherheit zu beschleunigen. „Sie setzen neue Grenzen und führen zu neuen Kontrollmechanismen und aktualisierten Reports zum Datenverkehr. Schlussendlich sind sie aber nicht die transformative Kraft, die Unternehmen dabei hilft, mit dem Tempo der technologischen Entwicklung und der Innovation Schritt zu halten.“

Howe erläutert: „In ihrer jetzigen Form ist es unwahrscheinlich, dass diese Art der Regulierung die Welt unter dem Gesichtspunkt der Informationssicherheit grundlegend verbessern wird. Ohne eine Vision, die die Innovationstätigkeit in den Vordergrund stellt, wird sie das Sicherheitspostulat nicht revolutionieren.“ Sie diene lediglich dazu, Unternehmen bei der Problembeseitigung zu unterstützen, aber nicht bahnbrechend zu transformieren.

Sein Fazit: „Damit Unternehmen innovative Cyber-Sicherheit wirklich vorantreiben, müssen Innovation und Regulierung zusammenspielen und eine zukunftsorientierte Denkweise fördern!“ Nur so würden Unternehmen dazu befähigt, sich im Einklang mit dem Tempo neuer, transformativer Technologien zu modernisieren. Dazu bedürfe es einer echten Vision im heutigen Zeitalter, in dem kein Jahrzehnt hinsichtlich der technologischen Entwicklung mehr vergleichbar sei mit dem vorangegangenen.

[datensicherheit.de, 06.02.2023] Das „Zscaler ThreatLabz“-Team deckt nach eigenen Angaben „regelmäßig neue Arten von Infostealer-Familien in verschiedenen Angriffskampagnen auf“. Kürzlich seien die Forscher auf den Infostealer namens „Album“ gestoßen: „Diese Malware ist als Fotoalbum getarnt, das pornographische Inhalte als Köder verwendet, während im Hintergrund bösartige Aktivitäten ausgeführt werden.“ Dazu setze die Malware auf eine sogenannte Side-Loading-Technik, bei der legitime Anwendungen zur Ausführung bösartiger DLLs verwendet würden, um die Entdeckung zu vermeiden. Die eigentliche Aufgabe sei jedoch das Stehlen von „Cookies“ und Anmeldeinformationen, „die von den Opfern in ihren Webbrowsern gespeichert wurden“. Darüber hinaus würden Informationen von „Facebook Ads Manager“, „Facebook Business“-Konten und „Facebook API Graph“-Seiten gestohlen. „Die auf einem infizierten System gesammelten Informationen werden schließlich an einen Command-and-Control-Server geschickt.“

Abbildung: zscaler

Zscaler ThreatLabz Team: Die Album-Stealer-Infektionskette

Album-Stealer lauert auf gefälschten facebook-Profilseiten mit erotischen Bildern

Der „Album“-Stealer lauere auf gefälschten „facebook“-Profilseiten mit erotischen Bildern: „Bedrohungsakteure erstellen diese Profilseiten, um die Opfer zum Klicken auf einen Link zu verleiten, mit dem sie vermeintlich ein Album mit diesen Bildern herunterladen können.“

Wird ein infizierter Link angeklickt, startet demnach die eigentliche Infektionskette mit der Weiterleitung zu einem mit Schadcode-infiziertem Zip-Archiv, das unter anderem auf „Microsoft OneDrive“ gehostet wird. „Die Zip-Archive treten unter verschiedenen Namen auf, wie beispielsweise ,Album(.)zip’, ,AlbumSuGarBaby(.)zip’, ,albumyirlsexy(.)zip’ oder ,sexyalbum(.)zip’.“

Wird Album.exe ausgeführt, wird Datei PdfiumControl.dll mit Schadcode geladen

Hinter dem Zip-Archiv verberge sich jeweils „Album.exe“ als eine legitime, ausführbare „TresoritPDFViewer“-Datei. Diese Datei sei allerdings anfällig für den „DLL Side-Loading“-Angriff: „Wird ,Album.exe’ ausgeführt, lädt das Programm eine abhängige Datei namens ,PdfiumControl.dll’, die in diesem Fall den Schadcode beinhaltet, der in der Folge die ,data.dat’-Datei mit einer sich selbst extrahierenden Archivdatei (SFX) ausführt.“ Diese Datei enthalte die als Köder eingesetzten gewünschten pornographischen Bilder.

Im Hintergrund allerdings beginne die bösartige DLL-Datei ihre Aktivitäten auf der Suche nach dem „\%AppData%\Roaming\Canon“-Verzeichnis. Erst im Anschluss werde die eigentliche „Payload“ in einem verschlüsselten Format abgeliefert, welche sich auf die Suche nach den gewünschten Informationen in Form von Anmeldeinformationen, „Cookies“ oder „Facebook Business“ und „Ad“-Accounts mache.

Fazit: Album-Stealer kann Sicherheitsvorkehrungen umgehen

Angreifer versuchten, „facebook“-Benutzer dazu zu bringen, eine bösartige Archivdatei herunterzuladen, welche als Köder mit pornographischen Inhalten locke. Der „Album“-Stealer könne Sicherheitsvorkehrungen umgehen, „indem er legitime Anwendungen ausnutzt, die für ,DLL-Side-Loading’ anfällig sind“.

Das „Zscaler ThreatLabz“-Team überwache diese Kampagne und habe eine ausführliche technische Analyse mit Indikatoren für einen erfolgreich durchgeführten Angriff im eigenen Blog veröffentlicht.

Weitere Informationen zum Thema:

zscaler, 20.01.2023
Album Stealer Targets Facebook Adult-Only Content Seekers

[datensicherheit.de, 30.11.2022] Bereits wenige Tage nach Start der „FIFA Fußball WeltmeisterschaftTM 2022“ konnten Sicherheitsforscher der „Zscaler ThreatLabz“ nach eigenen Angaben eine Häufung gefälschter Streaming-Seiten verzeichnen. Ziel sind demnach Fußballfans, welche mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf malware-infizierte Webseiten gelockt werden sollen. „Darüber hinaus werden auch angebliche Eintrittskarten, Flugtickets sowie weitere Angebote als Lockmittel eingesetzt, die die Welle des Interesses für die WM ausnutzen, um Schadcode zu transportieren.“

Screenshot: Zscaler ThreatLabz

Falle für Fußballfans: Lotterie-Spiele auf malware-infizierte Webseiten

Ähnlich wie bei anderen großen Sport-Events nutzen Malware-Akteure Begeisterung der Fußballfans aus

Seit Beginn der WM 2022 habe ein signifikanter Anstieg in der Anzahl von Streaming-Transaktionen durch das „ThreatLabZ“-Team festgestellt werden können. Ähnlich wie bei anderen großen Sport-Events hätten Malware-Akteure die Sportbegeisterung der Fans für ihre Angriffe ausgenutzt.

Aktuell werde Schadcode über neu registrierte Webseiten mit Bezug zur Fußball-WM verbreitet. Nicht alle dieser neuen Domains seien bösartig. „Dennoch ist es wichtig, diese zunächst als verdächtig einzustufen, bis Analysen durchgeführt werden konnten, um versteckte Angriffe aufzuspüren.“

Für die meisten der von den Sicherheitsforschern beobachteten Malware-Kampagnen würden neu registrierte Domains verwendet, um Webseiten mit Schadpotenzial zu hosten. „In weiteren Beispielen hosten allerdings bekannte legitime Webseiten wie ,Xiaomi’, ,Reddit’, ,OpenSea’ und ,LinkedIn’ gefälschte Links, die zu den bösartigen Webseiten weiterleiten.“

ThreatLabz haben Fälle beobachtet, in denen SolarMarker es auf Fußballfans abgesehen hat, welche WM-Aufkleber kaufen

Die Bedrohungsakteure hinter diesen betrügerischen Aktivitäten versuchten in der Regel, gefälschte Ticketgebühren zu erheben oder Kredit- und Debit-Kartendaten zu stehlen. „In dem unten gezeigten Beispiel wurde eine verdächtige Pop-up-Seite aufgedeckt, die Tickets für die Fußballweltmeisterschaft anbietet und erst am 15. November registriert wurde. Aufgrund der hohen Anzahl von Betrügereien wie dieser entscheiden sich viele Unternehmen dafür, neu registrierte Domains, die weniger als zehn Tage alt sind, zu blockieren, einzuschränken oder zu analysieren.“

Das „ThreatLabz“-Team habe auch eine Betrugsmasche beobachtet, bei der den Benutzern Preisgelder und Flugtickets von Qatar Airways angeboten würden. Die Domain für die entsprechende Betrugsseite mit dem Screenshot unten sei am 11. November 2022 eingerichtet worden. „Dieser Zeitpunkt lässt die Forscher vermuten, dass die Akteure hinter dieser Webseite ebenfalls Fußballfans im Visier haben.“

Doch nicht nur gefälschte Domains kämen zum Einsatz, auch sogenannte Infostealer wie „SolarMarker“ seien beobachtet worden. Die Malware nutze Techniken zur Manipulation der Suchmaschinenoptimierung (SEO), um Opfer anzulocken und die erste „Payload“ abzuladen. In den meisten Fällen hätten die Sicherheitsforscher beobachtet, dass diese Angreifer die bösartigen PDF-Dateien auf kompromittierten „Wordpress“-Seiten mit auffindbaren URLs und Suchmaschinenergebnissen hosteten. „ThreatLabz“ hätten einige Fälle beobachtet, in denen „SolarMarker“ es auf Fußballfans abgesehen habe, die WM-Aufkleber auf kompromittierten E-Commerce-Seiten kaufen wollten. „Wenn der User zum Download auf ein gefälschtes PDF klickt, wird er automatisch auf eine von den Betrügern kontrollierte Webseite umgeleitet, die den schädlichen ,Microsoft Windows Installer’ (MSI)-Dienst liefert, um den Rest des Angriffs durchzuführen.“

Screenshot: Zscaler ThreatLabz

Gefälschte, erst am 15.11.2022 registrierte Webseite bietet Tickets für Fußballweltmeisterschaft an

Schutzmaßnahmen nicht nur für Fußballfans

Wie immer seien diese Beobachtungen nur die „Spitze des Eisbergs an Malware-Aktivitäten rund um einen Großevent“. Aus diesem Grund haben die Sicherheitsforscher die Tipps zusammengestellt, mit denen sich Fußballfans vor Betrug schützen könnten:

• Flugtickets und alle Services rund um die „FIFA Fußball-WeltmeisterschaftTM“ sollten nur bei autorisierten Anbietern und geprüften Webseiten gebucht werden.
• Für das Streamen der Spiele sei es ratsam, ausschließlich bekannte und vom Veranstalter genehmigte Seiten zu nutzen.
• Bei Lockangeboten in E-Mails sei immer Vorsicht geboten. Angeblich kostenlose Angebote seien nicht vertrauenserweckend und sollten nicht angeklickt oder heruntergeladen werden.
• Für alle Aktivitäten im Internet empfehle es sich, sichere Verbindungen wie HTTPs zu nutzen und eine Zwei-Faktor-Authentifizierung für die Konten zu verwenden.
• Alle Anwendungen und das Betriebssystem müssten immer auf dem aktuellen Stand gehalten werden.
• Eine Backup-Strategie mit externer Datensicherung sei darüber hinaus angebracht und schütze sensible Informationen vor Dritten.

Weitere Informationen zum Thema:

zscaler, Prakhar Shrotriya & Kaivalya Khursale, 22.11.2022
Surge of Fake FIFA World Cup Streaming Sites Targets Virtual Fans