[datensicherheit.de, 29.03.2025] Wasser ist unbestritten als Grundlage allen Lebens eine der wertvollsten Ressourcen überhaupt – und als solche zunehmend gefährdet: „Kein Wunder also, dass auch die Wasserversorgung zunehmend zum Ziel krimineller Aktivität wird“, warnt daher Marco Eggerling, „Global CISO“ bei Check Point Software. Wasseraufbereitungsanlagen und -verteilungssysteme seien auf Fernsteuerungen angewiesen – wenn sie kompromittiert werden, drohten katastrophale Konsequenzen: „Folgen sind Verunreinigungen, Versorgungsunterbrechungen und Gefahren für die öffentliche Gesundheit!“

Foto: Check Point Software

Marco Eggerling: Regierungen, Wasserversorger und Cyber-Sicherheitsexperten müssen zusammenarbeiten, um diese lebenswichtigen Systeme zu schützen!

Wirtschaftliche Auswirkungen von Schwachstellen in IT-Systemen zur Wasserversorgung vor Augen zu halten

So habe eine Bewertung der US-Umweltschutzbehörde (EPA) aus dem Jahr 2024 ergeben, „dass 97 Trinkwassersysteme, die etwa 26,6 Millionen Menschen versorgen, kritische oder hochriskante Cyber-Sicherheitsschwachstellen aufweisen“. Zahlen von Check Point Research sprechen eine ähnliche Sprache: Demnach gab es im Jahr 2025 in der Energie- und Versorgungsbranche (einschließlich Wasser) bisher durchschnittlich 1.872 wöchentliche Angriffsversuche pro Unternehmen. Dies entspreche einem Anstieg von 53 Prozent gegenüber dem gleichen Zeitraum des Vorjahres, 2024.

„Europa verzeichnete mit einem immensen Anstieg der Angriffe um 82 Prozent im Vergleich zum Vorjahreszeitraum die zweitgrößte Veränderung, hinter Nordamerika mit 89 Prozent.“ Umso wichtiger sei es, sich die wirtschaftlichen Auswirkungen von Schwachstellen in IT-Systemen zur Wasserversorgung vor Augen zu halten und einen Blick auf die wichtigsten Sicherheitsmaßnahmen zu werfen.

Ein kompromittiertes System kann u.a. zu verunreinigtem Trinkwasser führen

Neben der Öffentlichen Gesundheit hätten Cyber-Angriffe auf die Wasserinfrastruktur auch massive wirtschaftliche Auswirkungen. Die Risiken gingen jedoch über bloße Betriebsunterbrechungen hinaus: „Ein kompromittiertes System könnte zu verunreinigtem Trinkwasser führen, was eine ernsthafte Bedrohung für die Öffentliche Gesundheit und Sicherheit von potenziell Hunderttausenden Menschen darstellt.“

Neben den Privathaushalten seien auch zahlreiche Industriezweige auf eine stetige und sichere Wasserversorgung angewiesen – „darunter Produktionsbetriebe und Rechenzentren, die Wasser für ihre Kühlsysteme benötigen“. Ein Cyber-Angriff auf diese Versorgungsunternehmen könnte zu weitreichenden Unterbrechungen mit schwerwiegenden Folgen führen. Eggerling führt vor Augen: „Unterbrechungen der Wasserversorgung können die Industrie zum Erliegen bringen, die Landwirtschaft beeinträchtigen und die lokale Wirtschaft destabilisieren.“

Bereits eine eintägige Unterbrechung der Wasserversorgung kann wirtschaftliche Aktivitäten in Milliarden-Höhe gefährden

Er berichtet: „In den USA wurde so ein Katastrophenfall bereits durchgespielt: So könnte eine eintägige Unterbrechung der Wasserversorgung nach Angaben der US Water Alliance wirtschaftliche Aktivitäten in Höhe von 43,5 Milliarden US-Dollar gefährden. Ein simuliertes Beispiel eines Cyber-Angriffs auf Charlotte Water in North Carolina führte zu täglichen Einnahmeverlusten in Höhe von mindestens 132 Millionen US-Dollar mit Wiederbeschaffungskosten von mehr als fünf Milliarden US-Dollar, wie aus einer Überprüfung der Cyber-Sicherheitsinitiativen der Behörde hervorgeht.“

Eggerling macht auch deutlich, dass auch Europa ins Visier genommen wird: „In Italien wurde Alto Calore Servizi SpA, ein italienisches Unternehmen, das 125 Gemeinden in Süditalien mit Trinkwasser versorgt, im Jahr 2023 von einem Ransomware-Angriff getroffen. Das staatliche Unternehmen verwaltet auch die Abwasser- und Klärdienste für beide Provinzen.“ Dieser Cyber-Angriff habe zwar nicht zu einer Unterbrechung der Wasserversorgung geführt, aber die Datenbank des Unternehmens sei kompromittiert worden, „so dass alle IT-Systeme unbrauchbar wurden“.

Wasserversorgungssysteme mit oftmals veralteten Infrastrukturen plötzlich internetbasierten Bedrohungen ausgesetzt

Vor allem Wasserversorgungssysteme seien sehr anfällig, da oftmals veraltete Infrastrukturen plötzlich internetbasierten Bedrohungen ausgesetzt seien und das Potenzial für Störungen diese Einrichtungen zu einem Hauptziel mache. In der Realität gehe eine kompromittierte Anlage über einen reinen Cyber-Vorfall hinaus, da sie das ganze Land betreffe, für Schlagzeilen sorge und – was noch wichtiger sei – eine direkte Bedrohung für die Öffentliche Sicherheit darstelle.

Der wirtschaftliche Tribut eines erfolgreichen Cyber-Angriffs auf Wasserversorgungsunternehmen sei so groß, dass dieses Risiko nicht ignoriert werden dürfe. KRITIS-Betreiber müssten der digitalen Widerstandsfähigkeit ihrer Systeme daher Priorität einräumen und Investitionen in die Cyber-Sicherheit als Investitionen in die wirtschaftliche Stabilität betrachten.

Hinweise zur Stärkung der Cyber-Abwehr bei Wasserversorgern

Wasserversorger müssen laut Eggerlings Empfehlung „einen proaktiven Ansatz für die Cyber-Sicherheit wählen“. Einige Anmerkungen zu wichtigen Schritten zur Verbesserung der Sicherheit:

• Investitionen in Endpunkt- und Netzwerksicherheit
  Wasserversorgungsunternehmen sollten KI-gestützte Systeme zur Erkennung von Bedrohungen einsetzen, um Netzwerkaktivitäten zu überwachen und Eindringlinge abzuwehren.
• Lücken in der Gesetzgebung lassen Versorgungsunternehmen ungeschützt
  Die Cyber-Vorschriften für Wasserversorgungsunternehmen seien nicht so streng wie die für den Strom- oder Finanzsektor, so dass in diesem Bereich mehr getan werden müsse.
• Cyber-Sicherheitstraining
  Schulungen sollte oberste Priorität für die Verbesserung der Cyber-Bereitschaft eingeräumt werden, da es bei den Betreibern von Wasserversorgungsunternehmen einen gravierenden Mangel eben an Cyber-Sicherheitsschulungen gebe und viele Einrichtungen kein spezielles Cyber-Sicherheitspersonal hätten.
• Durchsetzung der Multi-Faktor-Authentifizierung (MFA)
  Ungesicherter Fernzugriff auf OT-Systeme (Operational Technology) stelle häufig eine große Schwachstelle dar, weil Angreifer meist schwache Fernzugriffsprotokolle ausnutzten. „MFA kann hier Abhilfe schaffen, indem jeder Zugriffsversuch nach dem Zero Trust-Prinzip und anhand biologischer Merkmale wie Fingerabdruck/Gesichtserkennung oder per Zustimmung über andere gekoppelte Geräte zunächst verifiziert werden muss.“
• Entwicklung von Plänen zur Vorfallsreaktion
  Wasserversorger sollten über Notfallpläne verfügen, um den Schaden durch mögliche Angriffe zu minimieren.

Angesichts der zunehmenden Cyber-Bedrohungen für die Wasserinfrastruktur war der Bedarf an proaktiven Sicherheitsmaßnahmen offenkundig noch nie so groß wie heute. Eggerling abschließender Kommentar: „Regierungen, Wasserversorger und Cyber-Sicherheitsexperten müssen zusammenarbeiten, um diese lebenswichtigen Systeme zu schützen, bevor weitere Angriffe diese wichtige Branche ernsthaft beeinträchtigen und Menschenleben gefährden.“

Weitere Informationen zum Thema:

The Record, Jonathan Greig, 19.11.2024
Many US water systems exposed to ‘high-risk’ vulnerabilities, watchdog finds

Industrial Cyber, 15.11.2024
US EPA report cites cybersecurity flaws in drinking water systems, flags disruption risks and lack of incident reporting

U.S. ENVIRONMENTAL PROTECTION AGENCY, OFFICE OF INSPECTOR GENERAL, 13.11.2024
Management Implication / Report: Cybersecurity Concerns Related to Drinking Water Systems

THE CYBER EXPRESS, Ashish Khaitan, 02.05.2023
Medusa Ransomware Group Claims Alto Calore Cyber Attack / Alto Calore Servizi SpA is a joint-stock company consisting of 126 shareholders, including 125 municipalities in the province of Avellino and Benevento

datensicherheit.de, 10.02.2021
Am 5. Februar 2021 griffen Hacker Wasseraufbereitungsanlage in Oldsmar an / Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

datensicherheit.de, 10.02.2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker-Angriffe zeigen, dass Cyber-Sicherheit für Kritische Infrastruktur wichtiger denn je ist

datensicherheit.de, 10.02.2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module

datensicherheit.de, 28.04.2020
Wasserversorgung: Cyberangriff auf kritische Infrastruktur in Israel / Kombination aus Altsystemen, wachsender Konnektivität und föderalistischem Management erfordert hohe Priorität der Cybersicherheit

datensicherheit.de, 30.10.2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger / Viele Systeme in kritischen Infrastrukturen sind anfällig für digitale Bedrohungen

datensicherheit.de, 08.08.2018
Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern / Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen / „BSI-KritisV“ sollte dringend umgesetzt werden, um Zugriffe zu überwachen und zu beschränken

[datensicherheit.de, 26.03.2025] „In der Zeit, die Sie benötigen, diesen Artikel zu lesen, werden mindestens zwölf weitere Cyber-Angriffe stattgefunden haben – einer alle 14 Sekunden“, warnt NordPass in einer aktuellen Stellungnahme vom 26. März 2025. Unternehmen in den USA sind dabei laut einer aktuellen NordPass-Studie das mit Abstand beliebteste Angriffsziel. Diese in Zusammenarbeit mit NordStellar erstellte Studie zur Untersuchung von Cyber-Sicherheitsvorfällen bestätigt demnach einen besorgniserregenden Trend: „Die Angriffe nehmen zu!“

Vor allem Unternehmen betroffen, die B2B-Dienstleistungen, Internet- und Webdienste sowie Bank- und Kreditdienstleistungen anbieten

„Im letzten Quartal haben Unternehmen, die das ,Dark Web Monitoring Tool’ von NordStellar nutzen, 772 Cyber-Sicherheitsvorfälle in ihrem Unternehmensumfeld festgestellt.“ Im Januar 2025 seien es bereits 321 Vorfälle gewesen. Die mit Abstand meisten Datenschutzverletzungen wurden laut NordPass im letzten Quartal 2024 in den USA (61), gefolgt von Indien (13) und dem Vereinigten Königreich (7) verzeichnet.

Bemerkenswert sei auch, dass im letzten Quartal 2024 und im Januar 2025 die meisten Datenschutzverletzungen bei Unternehmen aufgetreten seien, „die geschäftliche Dienstleistungen (B2B), Internet- und Webdienste sowie Bank- und Kreditdienstleistungen, einschließlich Fintech-Unternehmen, anbieten“.

„In einer Zeit, in der die Zahl der Cyber-Angriffe so hoch ist wie nie zuvor, kann ein einziges kompromittiertes Passwort böswilligen Akteuren den unbefugten Zugriff auf vertrauliche Unternehmensdaten ermöglichen. Daher ist es für Unternehmen entscheidend, ihre Cyber-Abwehr nicht nur durch Aufklärung, sondern auch durch den Einsatz der richtigen Tools zu stärken“, betont Karolis Arbaciauskas, „Head of Business Product“ bei NordPass. Diese könnten zum Beispiel das kostenlose „Dark Web Monitoring Tool“ nutzen, um zu überprüfen, ob Ihre Unternehmensdaten jemals offengelegt wurden.

Auch kleine Unternehmen im Visier

Arbaciauskas fügt hinzu, dass viele Kleinunternehmer die Notwendigkeit von Cyber-Sicherheitstools nicht erkennen würden, weil sie glaubten, dass ihre Unternehmen zu klein oder zu unbedeutend seien, um für Cyber-Kriminelle von Interesse zu sein. „Die Daten zeigen jedoch einen gegenteiligen Trend!“ Er wisse aus Erfahrung, dass Menschen überall auf der Welt so dächten.

Seine Warnung: „Aber das ist ein trügerisches Gefühl. Cyber-Angriffe, die auf bestimmte Unternehmen oder Einzelpersonen abzielen, wie wir sie aus Filmen kennen, sind sehr selten. Bedrohungsakteure werfen ihre Netze in der Regel großflächig aus und schauen, wen sie damit fangen können.“ Die Daten zeigten zudem, dass es sich bei den Opfern in der Regel um ein kleines Unternehmen mit bis zu 35 Mitarbeitern handele.

Größere Unternehmen, so Arbaciauskas, legen in der Regel mehr Wert auf die Schulung ihrer Mitarbeiter, verfügen über solide Sicherheitsrichtlinien und sind technologisch besser auf die Abwehr von Angriffen vorbereitet. Infolgedessen komme es in großen Unternehmen seltener zu Cyber-Vorfällen. „Und wenn große, bekannte Unternehmen gehackt werden, erfahren wir alle davon in den Nachrichten. Gleichzeitig bleiben Tausende von Vorfällen in kleinen Unternehmen oft unbemerkt.“

Im Durchschnitt benötigen Unternehmen 204 Tage, um eine Cyber-Sicherheitsverletzung zu entdecken

Selbst wenn ein Vorfall entdeckt wird, dauert es in der Regel sehr lange, bis eine entsprechende Reaktion folgt und der Vorfall behoben wird: „Im Durchschnitt benötigen Unternehmen 204 Tage, um eine Sicherheitsverletzung zu entdecken, und weitere 73 Tage, um sie einzudämmen.“

Aufgrund mehrfach verwendeter und unsicherer Passwörter der Mitarbeiter oder heruntergeladener Schadsoftware tauchen Zugangsdaten von Unternehmen oft in kompromittierten Datenbanken auf, was Hackern die Möglichkeit bietet, in das System einzudringen. Für kleinere Unternehmen kann eine schwerwiegende Datenschutzverletzung das sichere Aus bedeuten – da die finanziellen Kosten und der Reputationsschaden immens sein können.

Nach Schätzungen von IBM belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung nämlich auf etwa 4,45 Millionen US-Dollar. „Dies entspricht einem Anstieg von 15 Prozent in den letzten drei Jahren und verdeutlicht die zunehmenden finanziellen Auswirkungen von Datenschutzverletzungen auf die Unternehmen von heute.“

Schwachstellen der IT-Infrastruktur des Unternehmens ermitteln und Strategien zur Abwehr von Bedrohungen auszuarbeiten

Laut Arbaciauskas sollte jedes Unternehmen, unabhängig von seiner Größe oder Art, mit Hinblick auf das Thema Cyber-Sicherheit extra Vorsicht walten lassen. Der Einsatz von wichtigen Tools wie Passwort-Managern, die eine sichere Verwaltung von Unternehmensdaten und -zugängen ermöglichen, oder von Lösungen für virtuelle private Netzwerke (VPN) ist für ihn „ein erster Schritt auf dem Weg zu einer höheren Widerstandsfähigkeit gegen Online-Bedrohungen“.

Darüber hinaus sei eine Überprüfung der Cyber-Sicherheit hilfreich, um Schwachstellen in der IT-Infrastruktur eines Unternehmens zu ermitteln und Strategien zur Abwehr von Bedrohungen auszuarbeiten. Arbaciauskas rät abschließend: „Es ist auch wichtig, in das allgemeine Bewusstsein für Cyber-Sicherheit innerhalb der Organisation zu investieren, um Fehlverhalten zu vermeiden, was oft zu schwerwiegenden Datenverlusten führen kann.“

Die diesem Beitrag zugrundeliegende Studie wurde nach eigenen Angaben in Zusammenarbeit mit NordStellar durchgeführt. Die Daten seien anhand von Faktoren wie Land, Branche, Unternehmenstyp, Unternehmensgröße und Art der betroffenen Daten analysiert worden. Man habe sich dabei auf Cyber-Sicherheitsverletzungen des letzten Quartals (Anfang Oktober bis Ende Dezember 2024) und im Januar 2025 konzentriert.

Weitere Informationen zum Thema:

NordPass, Maciej Bartłomiej Sikora, 28.10.2024
Data Breach Trends Report 2024

NordPass
A cyberattack strikes every 14 seconds / Check if your company is exposed using our free dark web monitoring tool

IBM
Cost of a Data Breach Report 2024

datensicherheit.de, 20.01.2020
Allianz-Studie: Cybercrime als Sicherheitsrisiko Nummer 1 / Marc Schieder fordert IT-Security zur „Chefsache“ zu machen

[datensicherheit.de, 25.03.2025] KnowBe4 warnt in einer Stellungnahme vom 18. März 2025, dass den meisten Bildungseinrichtungen die Ressourcen für solide und umfassende Cyber-Sicherheitsprogramme fehlen – Grundlage für diese Erkenntnis ist der neue KnowBe4-Bericht „From Primary Schools to Universities, The Global Education Sector is Unprepared for Escalating Cyber Attacks“. Auch andere Cyber-Sicherheitsexperten teilen demnach die Sorge um die Cyber-Fragilität des Bildungssektors: Unter anderem habe Check Point Research festgestellt, dass dieser 2024 offenbar die am stärksten von Cyber-Angriffen betroffene Branche gewesen sei. In jedem Fall hat die Zahl der Cyber-Angriffe in diesem Sektor hat stark zugenommen.

Foto: KnowBe4

Stu Sjouwerman zum Thema „Human Risk“: Alle Personen mit Zugriff auf IT-Systeme sollten über die richtigen Tools, die richtige Ausbildung und das richtige Bewusstsein verfügen, um sich vor Cyber-Bedrohungen zu schützen!

Zentrale Ergebnisse des KnowBe4-Berichts zur Cyber-Bedrohung im Bildungssektor:

• Sowohl Schulen als auch Hochschulen verlassen sich bei „Software-as-a-Service“, „Cloud“-Speicherung und IT-Diensten häufig auf Drittanbieter
  Dies stelle ein Risiko dar, da Schwachstellen oder Verstöße in den Systemen von Drittanbietern zu einem späteren Zeitpunkt alle Einrichtungen betreffen könnten, die diese Dienste nutzen – häufig unbemerkt.
• Kombination moderner und alter IT-Systeme öffnet Einfallstor für Angreifer
  Die Suche nach einem Einfallstor für Angreifer werde durch die Tatsache erleichtert, dass Schulen und Universitäten aufgrund begrenzter Ressourcen und des zunehmenden Bedarfs an Modernisierungen häufig moderne und alte IT-Systeme miteinander kombinierten – „was dazu führen kann, dass hochsensible personenbezogene Daten auf veralteten Systemen verbleiben, die ausgenutzt werden können!“
• In ihrem „Data Breach Investigations Report (DBIR) 2024“ untersuchte Verizon insgesamt 30.458 Sicherheitsvorfälle
  Laut diesem Report waren von diesen 10.626 bestätigte Datenschutz-Verletzungen: Davon seien 1.780 Vorfälle (17%) Angriffe auf das Bildungssystem und 1.537 (14%) bestätigte Datenverstöße gewesen, womit das Bildungssystem zu den fünf am stärksten betroffenen Branchen weltweit zähle.
• Im Jahr 2023 beobachteten die Forscher von Trustwave 352 Ransomware-Angriffe auf Bildungseinrichtungen
  Phishing sei laut der betreffenden Trustwave-Studie die am häufigsten verwendete Methode, um in eine Organisation einzudringen.

Bildungseinrichtungen: Ein noch nie dagewesenes Maß an Cyber-Risiken

Der vorliegende KnowBe4-Bericht soll die erheblichen Auswirkungen von Sicherheitsschulungen auf die Verringerung des „Human Risks“ in Bildungseinrichtungen aufzeigen: „Nachdem sie ein Jahr oder länger an nachhaltigen Schulungen und Phishing-Simulationen teilgenommen hatten, sank die Anfälligkeit der Mitarbeiter in kleinen Bildungseinrichtungen für Phishing-Angriffe drastisch – von 33,4 Prozent auf 3,9 Prozent.“

„Die heutige Bildungsumgebung wird zunehmend digital, was die Angriffsfläche von Bildungseinrichtungen vergrößert und ein noch nie dagewesenes Maß an Cyber-Risiken schafft“, kommentiert Stu Sjouwerman, „CEO“ von KnowBe4. Er führt hierzu aus: „Bildungseinrichtungen sind aufgrund eines allgemeinen Ressourcenmangels unbeabsichtigt zu Hauptzielen für hochentwickelte Bedrohungsakteure geworden.“

Der am meisten konkrete und effektivste Schritt, den eine Bildungseinrichtung zum Schutz wichtiger und sensibler Daten unternehmen kann, besteht laut Sjouwerman darin, sicherzustellen, dass alle Personen, die auf die IT-Systeme zugreifen, über die richtigen Tools, die richtige Ausbildung und das richtige Bewusstsein verfügen, um sich vor Cyber-Bedrohungen zu schützen und das „Human Risk“ zu reduzieren.

Weitere Informationen zum Thema:

KnowBe4
From Primary Schools to Universities, the Global Education Sector is Unprepared for Escalating Cyber Attacks

TRUSTWAVE, Serhii Melnyk, 21.01.2025
The New Face of Ransomware: Key Players and Emerging Tactics of 2024

CHECK POINT, 13.08.2024
Research: Check Point Research Warns Every Day is a School Day for Cyber Criminals with the Education Sector as the Top Target in 2024

verizon business, 2024
Data Breach Investigations Report 2024

datensicherheit.de, 16.09.2020
Europas Bildungswesen vermehrt im Visier der Hacker / Verlagerung des Unterrichts ins Internet macht diesen Bereich sehr attraktiv für Hacker

datensicherheit.de, 07.09.2020
E-Learning: Bildungseinrichtungen vor Bedrohungen schützen / Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

datensicherheit.de, 04.06.2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

datensicherheit.de, 12.05.2020
Cloud: Datenaustausch gefährdet IT-Sicherheit im Bildungssektor / 54 Prozent der Mitarbeiter in Bildungseinrichtungen nutzen Cloud-Anwendungen zum Austausch sensibler Daten

datensicherheit.de, 16.12.2018
Krypto-Jacking: Bedrohung vor allem für das Bildungswesen / NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

[datensicherheit.de, 20.03.2025] Nach aktuellen Erkenntnissen von Kaspersky haben 35 Prozent der Cyber-Angriffe im vergangenen Jahr – 2024 – länger als einen Monat angedauert: „Im Median lag die Angriffsdauer bei 253 Tagen.“ Diese Ergebnisse gehen demnach aus dem weltweiten „Incident Response 2024 Report“ von Kaspersky (s.u.) hervor.

Abbildung: Kaspersky Labs GmbH

Kasperskys „Incident Response 2024 Report“ ist online (s.u.)

Aktuelle Kaspersky-Analyse zeigt, dass solche Angriffe nicht schnell entdeckt oder gestoppt werden konnten

69 Prozent der Unternehmen in Deutschland seien 2024 von mindestens einem Cyber-Sicherheitsvorfall betroffen gewesen – 31 Prozent sogar mehrfach. Eine aktuelle Analyse von Kaspersky zeige nun, „dass solche Angriffe nicht schnell entdeckt oder gestoppt werden konnten“. So hätten langanhaltende Cyber-Angriffe im Jahr 2024 im Median 253 Tage angedauert, wobei 35 Prozent dieser Angriffe über einen Monat hinweg fortgesetzt worden seien.

Oftmals münden diese Angriffe laut Kaspersky „in Datenverschlüsselung und -verlust“. Dies führe dazu, dass komplexe Maßnahmen zur Wiederherstellung notwendig seien. So habe die mediane Dauer der „Incident Response“-Maßnahmen bei 50 Stunden gelegen. Zu den häufigsten Angriffsvektoren gehörten sogenannte Exploits gegen öffentlich zugängliche Anwendungen (39%), der Zugriff auf gültige Zugangsdaten (31%) und das Ausnutzen vertrauenswürdiger Beziehungen (13%).

Kaspersky rät Unternehmen, die sich entwickelnde Cyber-Bedrohungslandschaft zu verstehen

„Für Unternehmen ist es von entscheidender Bedeutung, die sich entwickelnde Cyber-Bedrohungslandschaft zu verstehen, um sich umfassend schützen zu können“, unterstreicht Konstantin Sapronov, „Head of Global Emergency Response Team“ bei Kaspersky in seinem Kommentar.

„Unsere Analyse zeigt, dass Cyber-Kriminelle immer anpassungsfähiger werden und mit dem technologischen Fortschritt ihre Methoden weiterentwickeln.“ Unternehmen dürften nicht nur auf Angriffe reagieren, sondern müssten ihre Sicherheitsstrategien kontinuierlich weiterentwickeln.

Kasperskys Empfehlungen zum Schutz vor komplexen Cyber-Angriffen:

• Unternehmen sollten ihre Mitarbeiter regelmäßig in Cyber-Sicherheit schulen, um das Bewusstsein für Bedrohungen wie Phishing oder Social Engineering zu stärken und potenzielle Angriffe frühzeitig zu erkennen.
• Der Zugang zu öffentlichen Verwaltungsports sollte auf das absolut Notwendige beschränkt werden.
• Ein konsequentes Patch-Management sei essenziell. Unternehmen sollten Sicherheitsupdates strikt umsetzen oder alternative Schutzmaßnahmen für nicht patchbare öffentliche Anwendungen ergreifen.
• Wichtige Daten sollten regelmäßig durch Back-ups gesichert und sicher aufbewahrt werden, um Datenverluste und Betriebsunterbrechungen zu vermeiden.
• Starke Passwort-Richtlinien seien erforderlich: Passwörter sollten mindestens zwölf Zeichen lang sein und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Ergänzend sollte eine Multi-Faktor-Authentifizierung eingesetzt werden.
• Für eine frühzeitige Bedrohungserkennung und eine effektive Abwehr komplexer Angriffe empfehle sich der Einsatz einer umfassenden Sicherheitslösung (wie z.B. „Kaspersky Managed Detection and Response“), welche Erkennungs- und Reaktionsmechanismen kombiniere.
• Im Falle eines Cyber-Angriffs oder verdächtiger Aktivitäten sollten Unternehmen auf spezialisierte Vorfallreaktionsdienste (wie etwa „Kaspersky Incident Response“) zurückgreifen, um Angriffe gezielt einzudämmen und Schäden zu minimieren.

Weitere Informationen zum Thema:

kaspersky, 21.01.2025
Threat Intelligence hat Cyberangriff bei 66 Prozent der Unternehmen verhindert / In 75 Prozent der Unternehmen in Deutschland ist Threat Intelligence (TI) Teil der Sicherheitsstrategie. 21 Prozent planen TI in 2025 einzuführen

kaspersky, 2024
Analyst report / Incident Response

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 26.07.2018
Incident Response Policy Template: Kostenlos Notfallpläne erstellen / PAM-Spezialist Thycotic unterstützt IT-Abteilungen bei der Erstellung eines individuellen Incident Response-Plans

[datensicherheit.de, 05.03.2025] Kürzlich sei eine neue Studie über Cyber-Angriffe auf sogenannte Operative Technologie (OT) in Industrieunternehmen erschienen, der zufolge Unternehmen der Fertigungsbranche in den vergangenen sechs Monaten am häufigsten mit „Spear Phishing“-Angriffen attackiert worden seien: „Ganze 41 Prozent aller ,True-Positive’-Alarmmeldungen der Branche entfielen auf diesen Angriffstyp“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seinem aktuellen Kommentar.

Foto: KnowBe4

Dr. Martin J. Krämer: Verzahnung von IT, OT, IoT und IIOT nimmt zu und macht so die Absicherung der Produktion zu einer immer komplexeren Angelegenheit

„Spear Phishing“ anders als reguläres Phishing-Angriffe zielgerichtet auf Personen oder Organisationen

„Spear Phishing“-Angriffe erfolgten, im Gegensatz zu einfachen Phishing-Angriffen, zielgerichtet auf einzelne Personen oder Organisationen. „Sie ermöglichen es dem Angreifer, seine Kampagne zu individualisieren, angepasst an sämtliche, ihm zur Verfügung stehenden Informationen über sein jeweiliges Opfer“, erläutert Dr. Krämer. Ziel solcher Angriffe sei es, das Opfer so weit zu manipulieren, „dass es zur Preisgabe persönlicher Daten, zum Beispiel der eigenen ,Credentials’, oder einer, mit seiner Rolle im Unternehmen in Zusammenhang stehenden, Handlung bewegt werden kann“.

Im Fall der Fertigungsbranche, so die Studie, hätten die Kampagnen meist die Erschleichung von Geldern zum Ziel. „Spear Phishing“-E-Mails würden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung aufforderten. Der Absender gebe sich dabei als Lieferant aus. Häufig tauchten in der Betreffzeile Wörter wie „Anfrage“, „Konto“, „Rechnung“, „Zahlung“ oder „Aktion“ auf.

Phishing-Kits geraten zunehmend in Umlauf

Die Urheber der Studie gingen davon aus, dass sich solche und ähnliche „Spear Phishing“-Angriffe auf die Fertigungsbranche bis 2025 nahezu verdoppelt haben würden. „Ein Grund: Phishing-Kits geraten zunehmend in Umlauf. Sie ermöglichen es auch Angreifern mit begrenzten Phishing-Kenntnissen, erfolgreiche Angriffskampagnen umzusetzen.“ Allein im vergangenen Jahr, 2024, so die Studie, habe ein Anstieg der Phishing-Kit-bezogener Chats in Diskussionsforen um 136 Prozent festgestellt werden können. Ein weiterer Grund: „Weltweit nehmen die geopolitischen Spannungen weiter zu – und damit auch die Aktivitäten halbstaatlicher und staatlicher Akteure im cyber-kriminellen Umfeld, die bereit sind, eine größere Summe Geld zu bezahlen um, zum Beispiel, an geheime Informationen aus der Verteidigungs-, Luft- oder auch Raumfahrt-Industrie eines Landes zu gelangen“.

Dr. Krämer geht auf folgenden Fragestellungen ein: „Doch was, wenn die Angreifer ihren ,Spear Phishing’-Angriffsfokus verschieben? Weg von Fake-Zahlungsaufforderungen und hin zu Versuchen, an die ,Credentials’ für den Zugang zu OT-Systemen zu gelangen?“ Bereits heute hätten Cyber-Sicherheitsabteilungen von Fertigungsunternehmen im Durchschnitt nur einen Bruchteil der OT ihres Unternehmens wirklich im Blick und im Griff – Tendenz sinkend. Die Verzahnung von IT, OT, IoT und IIOT (Industrial Internet of Things) nehme zu und mache so die Absicherung der Produktion zu einer immer komplexeren Angelegenheit. „Kein Wunder, dass die Zahl der Sicherheitsvorfälle seit Jahren steigt!“

Risiko, Opfer eines Phishing- oder „Spear Phishing“-Angriffs zu werden, muss aktiv reduziert werden

Wollten IT-Entscheider der Fertigungsbranche hier effektiv – und effizient – gegensteuern, würden sie deshalb schon vorher ansetzen müssen – am eigentlichen Ansatzpunkt der Angreifer selbst. „Sie werden ihr Risiko, Opfer eines Phishing- oder ,Spear Phishing’-Angriffs zu werden, aktiv reduzieren müssen. Das wird ihnen nur gelingen, wenn sie die ‚Human Risks‘, die Risiken, denen die Unternehmens-IT und -OT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt sind, endlich umfassend in den Blick bekommen und zu managen beginnen.“

Menschliche Risiken müssten, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden. Dr. Krämers dringender Rat: „Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen vielfach geschehen, nur von Zeit zu Zeit einer Anti-Phishing-Trainingseinheit zu unterziehen, genügt nicht mehr. ,Human Risk Management’ muss professioneller, zielgerichteter, kontinuierlicher erfolgen!“

Weitere Informationen zum Thema:

RELIAQUEST, Gautham Ashok, 11.02.2025
Threat Landscape Report: Uncovering Critical Cyber Threats to Manufacturing Sector

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen / Gründe sind geopolitischer Konflikte und wachsende Anzahl von Ransomware-Angriffen / Die achte jährliche Ausgabe des Year in Review Reports stellt zwei neue OT-Cyberbedrohungsgruppen vor

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion / Warum physische Separierung für die nicht mehr funktioniert

[datensicherheit.de, 21.02.2025] Kleine und mittlere Unternehmen (KMU) sind offenbar noch immer zu oft durch ungeschützte Systeme, mangelndes Risikobewusstsein und fehlende IT-Expertise geprägt – so werden sie für Cyber-Kriminelle geradezu ein „gefundenes Fressen“. Denn Schwachstellen bleiben demnach zu lange unbemerkt, Sicherheitslücken werden nicht geschlossen und viele Verantwortliche unterschätzen noch immer die Gefahr durch Hacker-Angriffe. Anouck Teiller, „Chief Strategy Officer“ bei HarfangLab, stellt in ihrer aktuellen Stellungnahme fünf Maßnahmen vor, mit denen Mittelständler ihre Cyber-Sicherheit stärken könnten: Sie erörtert die Frage, wie sich KMU effektiv schützen, ihre sensiblen Daten absichern und verhindern können, dass ein Cyber-Angriff zur existenziellen Bedrohung wird:

Foto: HarfangLab

Anouck Teiller: Cyber-Sicherheit ist ein kontinuierlicher Prozess!

Mittelständische Unternehmen rücken zunehmend ins Visier Cyber-Krimineller

Teiller warnt eindringlich: „Cyber-Angriffe nehmen weiterhin zu und rücken zunehmend auch mittelständische Unternehmen ins Visier von Hackern. Und doch sind viele Betriebe immer noch unzureichend geschützt – oft, weil sie die digitale Bedrohungslage unterschätzen.“

Die Digitalisierung biete indes viele Chancen, erhöhe aber zugleich die Anfälligkeit von Unternehmen für Cyber-Angriffe. „Zuletzt gaben in einer Bitkom-Umfrage 81 Prozent der befragten deutschen Unternehmen an, im Vorjahr Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden zu sein – darunter auch zahlreiche kleine und mittlere Unternehmen (KMU).“

Die Mehrheit der betroffenen Unternehmen sei sich zwar über das drohende Ausmaß eines Cyber-Angriffes bewusst, trotzdem fehle es vielen an ausreichender Vorbereitung. Dabei hätten die gezielten Cyber-Angriffe besonders für KMU meist verheerende und existenzgefährdende Folgen. „Wer jedoch frühzeitig in wirksame Schutzmaßnahmen investiert, kann das Risiko erheblich reduzieren und seine digitale Sicherheit stärken“, so Teiller.

1. Cyber-Sicherheitsmaßnahme – IT-Inventur: „Wissen, was geschützt werden muss“

„Ohne eine klare Übersicht über die eigene IT-Infrastruktur bleibt Sicherheit Stückwerk!“ Unternehmen sollten daher regelmäßig ihre Systeme, Zugriffsrechte und Netzwerkschnittstellen analysieren.

Besonders sensible Daten – etwa Kundeninformationen oder Finanzdaten – müssten mit höchsten Standards gesichert werden. Ein geordnetes IT-Management reduziere Schwachstellen und ermögliche gezielte Schutzmaßnahmen.

2. Cyber-Sicherheitsmaßnahme – Simulationen durchführen: „Übung macht den Meister“

Ein Cyber-Angriff sei keine Frage des „Ob“, sondern des „Wann“. Deshalb sollten Unternehmen Notfallpläne in realitätsnahen Szenarien testen. „Denn wer den Ernstfall durchspielt, kann schneller und gezielter reagieren – und damit den Schaden bestmöglich minimieren.“ Dazu gehörten Penetrationstests, „die in der IT-Infrastruktur gezielt nach Schwachstellen suchen, sowie kontinuierliche Schwachstellen-Scans“.

Besonders kritisch: „Viele Cyber-Angriffe entstehen durch Phishing und menschliche Fehler, was sie zu einem großen Risikofaktor für KMUs macht.“ Nicht nur die IT-Teams sollten sich also vorbereiten, sondern auch Mitarbeiter müssten aktiv geschult und getestet werden. „Phishing-Simulationen und interaktive Sicherheits-Trainings helfen, gefährliche E-Mails zu erkennen und richtig zu reagieren.“

3. Cyber-Sicherheitsmaßnahme – Alternative Strategien einbeziehen: „Externe Unterstützung und Automatisierung nutzen“

„KMUs stehen vor einer doppelten Herausforderung: Während Cyber-Angriffe immer ausgefeilter werden, fehlt es oft an qualifizierten Cyber-Spezialisten, um angemessen darauf zu reagieren.“ Doch die IT-Sicherheit könne nicht darauf warten, bis offene Stellen besetzt sind.

Unternehmen müssten alternative Strategien nutzen, um ihre IT-Abwehr trotz Personalmangels zu stärken. Dazu gehörten automatisierte Sicherheitslösungen, der Einsatz externer Experten oder „Managed Security Service Provider“ (MSSPs) sowie gezielte Schulungen für bestehende Teams. „KMUs sollten ihre Cyber-Strategie so aufstellen, dass sie auch mit begrenzten personellen Ressourcen widerstandsfähig bleiben!“

4. Cyber-Sicherheitsmaßnahme – Über den Tellerrand hinaus: „Lieferkette als Sicherheitsrisiko“

„Cyber-Angriffe treffen nicht nur das eigene Unternehmen – auch unsichere Partner und Lieferanten können zur Schwachstelle werden“, unterstricht Teiller. Ransomware-Angriffe oder Datenlecks bei Zulieferern könnten auch KMUs infizieren und zu erheblichen Schäden führen.

Unternehmen sollten daher Mindestanforderungen an die IT-Sicherheit ihrer Partner stellen, beispielsweise Multi-Faktor-Authentifizierung (MFA), regelmäßige Audits oder Sicherheitszertifizierungen. Eine einfache Sicherheits-Checkliste könne helfen, Risiken frühzeitig zu erkennen und Schwachstellen zu minimieren. „Denn Cyber-Sicherheit ist eine Gemeinschaftsaufgabe – der Schutz der eigenen IT reicht nicht aus, wenn Zulieferer zur Schwachstelle werden!“

5. Cyber-Sicherheitsmaßnahme – Cyber-Versicherung: „Der Rettungsanker in der Krise“

Ein Cyber-Angriff könne immense Kosten verursachen. Ob Betriebsunterbrechung, Datenverlust oder Erpressung durch Ransomware – eine Cyber-Versicherung können helfen, finanzielle Schäden abzufedern.

Viele Policen böten zudem Unterstützung durch IT-Forensiker, Rechtsberatung und Krisenkommunikation. Unternehmen sollten prüfen, welche Risiken für sie besonders relevant sind, und sich entsprechend absichern.

Proaktiver Ansatz zum Schutz vor Cyber-Angriffen empfohlen

Ein proaktiver Ansatz mit IT-Inventur, regelmäßige Tests und die Expertise von beispielsweise MSSPs könne Unternehmen wirksam vor Cyber-Angriffen schützen. Cyber-Versicherungen, Schulungen und Simulationen stärkten außerdem die Abwehrfähigkeit.

Zudem sollten Schwachstellen frühzeitig erkannt und behoben werden. Teiller gibt abschließend zu bedenken: „Cyber-Sicherheit ist ein kontinuierlicher Prozess – nur wer sich rechtzeitig vorbereitet, kann im Ernstfall schnell und effektiv handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 19.03.2024
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können / Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 21.04.2021
Mitarbeiter im deutschen Mittelstand: G DATA sieht Belastungsprobe für IT-Sicherheit / Umfrage von G DATA zeigt Probleme auf und stellt Nutzen von Security Awareness dar

[datensicherheit.de, 20.02.2025] Proofpoint meldet, dass eigene Sicherheitsexperten eine zunehmende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt hätten: „Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten.“ Dabei tun sich demnach zwei neu identifizierte Bedrohungsakteure hervor („TA2726“ und „TA2727“), welche die Malware-Verbreitung über kompromittierte Webseiten vorantrieben.

Gefälschte Update-Benachrichtigungen, um Nutzer zum Download von Malware zu verleiten

Die Angreifer setzten dabei auf Techniken wie „Traffic Distribution Services“ (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. „Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten.“

Besonders auffällig sei dabei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, „die für verschiedene Plattformen optimiert ist“. Während Malware für „Windows“ und „Android“ bereits weit verbreitet sei, habe Proofpoint auch eine neue „Mac“-Malware namens „FrigidStealer“ entdeckt: „Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer.“

Angriffserkennung erschwert: Malware je nach Betriebssystem und Browser des Benutzers variiert

Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. „Proofpoint hat beobachtet, dass je nach geographischem Standort des Nutzers unterschiedliche ,Payloads’ ausgeliefert werden.“

Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. „Dass ,TA2726‘ als Traffic-Distributor fungiert und den Datenverkehr gezielt zu anderen Akteuren wie ,TA569‘ und ,TA2727‘ umleitet, macht die Angriffe noch effizienter.“

Malware-Angriffe basieren auf gängigen Web-Techniken und Social-Engineering-Methoden

Weil diese Malware-Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basierten, seien sie besonders schwer zu erkennen. Unternehmen schenkten der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, „obwohl diese ein beliebtes Ziel für Angreifer sind“. Proofpoint empfiehlt daher, „die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“.

Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. „Zudem empfiehlt Proofpoint weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.“ Darüber hinaus sollten Unternehmen auch das Öffnen von Skript-Dateien auf „Windows“-Geräten blockieren, um das Risiko sogenannter Web-Injections weiter zu reduzieren.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 18.02.2025
An Update on Fake Updates: Two New Actors, and New Mac Malware

[datensicherheit.de, 04.12.2024] Darktrace hat nach eigenen Angaben eine Analyse zum weltweiten Anstieg der Cyber-Angriffe in der Vorwoche des „Black Friday 2024“ veröffentlicht. Im Zeitraum vom 25. bis 29. November 2024 wurde demnach eine Steigerung von 692 Prozent bei Phishing-Angriffen zum Thema „Black Friday“ und „Cyber Monday“ sowie 327 Prozent zum Thema „Weihnachten“ im Vergleich zum 4. bis 9. November 2024 festgestellt. Mit Hilfe geeigneter Methoden könnten Einzelhändler indes ihre Online-Angebote und Kunden vor der Angriffswelle in der Weihnachtssaison schützen. Dies sei insbesondere angesichts der Kaufzurückhaltung vieler Verbraucher vor Beginn des Weihnachtsgeschäfts wichtig: „So sank der Umsatz von September auf Oktober 2024 sowohl nominal (-1,1 %) als auch preisbereinigt (-1,5 %).“

Erhebliche Investitionen in den Schutz der Marken und Kunden vor Cyber-Betrug und -Angriffen

Vor allem große Einzelhändler investierten bereits erheblich in den Schutz ihrer Marken und Kunden vor Cyber-Betrug und -Angriffen. Sie verstärkten diese Maßnahmen oft in der Weihnachtszeit. „Phishing und Markenimitationen finden jedoch außerhalb der legitimen Infrastruktur und der Sicherheitskontrollen der Einzelhändler statt.“

Zudem würden sie in so großem Umfang durchgeführt, dass die Marken nicht mehr jeden Fall entdecken und stoppen könnten. Während neue Technologien wie KI die Cyber-Sicherheitsteams unterstützten, bleibe die Markenimitation eine große Herausforderung.

Häufige Cyber-Angriffsmethoden

Die Darktrace-Analyse zeige einige der gängigsten Cyber-Betrugsstrategien von Angreifern während der Weihnachtszeit. „Bei der Markenimitation versenden sie eine Phishing-E-Mail, die einen beliebten Einzelhändler nachahmt.“ Diese solle das Opfer zum Klick auf einen Link verleiten, um einen Rabatt zu erhalten. In Wirklichkeit erfolge ein Malware-Download auf das Gerät.

Die effektivsten Methoden seien mehrstufig: Marken imitierende E-Mails führten ahnungslose Kunden direkt auf Websites, „die aussehen wie diejenigen eines Einzelhändlers“. Dort würden persönliche Anmelde- oder Zahlungsdaten abgefragt, welche dann direkt bei den Angreifern landeten. Dieser koordinierte Ansatz nutze das Weihnachtsgeschäft aus, in dem Kunden viele Werbe-E-Mails erhielten.

Fünf wichtige Cyber-Sicherheitsmaßnahmen für Einzelhändler

Einzelhändler müssten daher wachsam gegenüber den zunehmenden Cyber-Bedrohungen in der Weihnachtszeit sein. Darktrace gibt fünf Tipps, wie Unternehmen sich und ihre Kunden schützen könnten:

1. Tipp zur Cyber-Sicherheit: Logins absichern!
„Stellen Sie zunächst sicher, dass alle Mitarbeiter sichere Passwörter haben (zwölf bis 16 Zeichen); richten Sie eine Multi-Faktor-Verifizierung für alle Unternehmenssysteme ein!“ Mit dieser zusätzlichen Sicherheitsebene könnten selbst bei einer Kompromittierung von Passwörtern Unbefugte nicht auf die entsprechenden Konten zugreifen und diese nutzen, um Kunden zu betrügen.

2. Tipp zur Cyber-Sicherheit: E-Mails sperren!
Unternehmen sollten DMARC aktivieren. „Dies hindert Betrüger am Versand von E-Mails, die aussehen, als kämen sie vom Unternehmen.“ So seien Kunden vor raffinierten Phishing-Versuchen geschützt.

3. Tipp zur Cyber-Sicherheit: Mitarbeiter vorbereiten!
Regelmäßige Sicherheitsschulungen und unternehmensweite Mitteilungen könnten Mitarbeitern helfen, aktuelle Betrugsversuche zu erkennen und zu melden. „Wenn das Team weiß, worauf es achten muss, wird es zur stärksten Abwehrmaßnahme für Cyber-Angriffe.“

4. Tipp zur Cyber-Sicherheit: Markenimitationen überwachen!
„Richten Sie ,Google Alerts’ ein, um Erwähnungen Ihrer Marke zu verfolgen und Sie vor gefälschten Websites und betrügerischen Domains zu warnen; sichern Sie auch Ihren Markennamen mit offiziellen Registrierungen!“ So ließen sich gefälschte Konten und Nachahmer-Websites leichter aufspüren und stilllegen. Verschiedene Markenschutz-Tools könnten auch dabei helfen, Betrüger zu erwischen. Eine schnelle Erkennung unterstütze die sofortige Reaktion auf das Ausnutzen einer Marke und den Schutz der Kunden vor raffinierten Betrugsversuchen.

5. Tipp zur Cyber-Sicherheit: Zahlungsprozesse verstärken!
„Implementieren Sie abgestufte Zugangsrichtlinien mit strengeren Kontrollen für Mitglieder des Finanzteams, die Transaktionen abwickeln – wenden Sie hier striktere Anforderungen zur Authentifizierung und Überwachung an!“ Zudem sei sicherzustellen, dass sensible Zahlungsvorgänge auf autorisiertes Personal beschränkt würden.

Online-Einkaufssaison ein El Dorado für Cyber-Kriminelle

„Die Einkaufssaison ist perfekt für Cyber-Kriminelle!“, warnt Nathaniel Jones, „VP of Threat Research“ bei Darktrace. Er erläutert: „Die Verbraucher erwarten eine Flut von Angeboten, während die Einzelhändler ein hohes Transaktionsvolumen schnell verarbeiten. Diese Kombination erschwert das Erkennen verdächtiger Muster!“ Dass böswillige Akteure dies mit Markenimitationen ausnutzten, sei nicht neu. Aber das zunehmende Volumen dieser Angriffe werde zu einem echten Problem.

Sowohl Verbraucher als auch Marken müssten immer aufmerksamer gegenüber möglichen Cyber-Betrügereien sein. Zumindest verfügten große Einzelhändler über ausgefeilte Schutzmaßnahmen für ihre Kunden und Technologien wie KI-Cybersecurity. „Diese entdecken Spoofs und Angriffe, die Menschen nicht erkennen würden.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.11.2024
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf / Die populäre Rabatt-Saison hat begonnen – und mit ihr Cyber-Betrügereien

datensicherheit.de, 28.11.2024
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen / Rund um populäre Rabattaktion locken Webshops mit exklusiven Angeboten – dabei wittern auch Cyber-Kriminelle ihre Chance

datensicherheit.de, 23.11.2024
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023 / CPR hat im Vorfeld des „Black Friday 2024“ frühzeitig die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten

[datensicherheit.de, 30.11.2024] Laut einer aktuellen Meldung von Kaspersky kosten schädliche Cyber-Vorfälle Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cyber-Sicherheit. „Mittelständische Unternehmen und Großunternehmen in Deutschland reagieren auf die zunehmende Komplexität von Cyber-Bedrohungen und steigern ihre Investitionen in Cyber-Sicherheit.“ Der aktuelle „IT Security Economics Report“ von Kaspersky zeigt demnach auf, dass die Budgets für IT-Sicherheit in den kommenden zwei Jahren um bis zu neun Prozent erhöht werden sollen. Insgesamt betrage damit das durchschnittliche IT-Budget 5,9 Millionen US-Dollar – „davon fließen 1,07 Millionen in die Cyber-Sicherheit“. Der „IT Security Economics Report“ ist nach Kaspersky-Angaben eine jährlich erscheinende Analyse, welche Veränderungen in Budgets, Sicherheitsvorfällen und geschäftlichen Herausforderungen untersucht. Grundlage dieser Studie seien Interviews mit IT- und IT-Sicherheitsexperten aus Unternehmen unterschiedlichster Größen und Branchen in 27 Ländern.

Bedeutung der Cyber-Sicherheit nimmt weltweit zu

Die Bedeutung der Cyber-Sicherheit nehme weltweit zu – und auch in Deutschland gewönnen Investitionen in -Sicherheitsmaßnahmen immer mehr an Priorität. Laut der aktuellen Kaspersky-Studie investierten Unternehmen in Deutschland im Median 1,07 Millionen US-Dollar in Cyber-Sicherheit, was rund 18,1 Prozent ihres gesamten IT-Budgets von 5,9 Millionen US-Dollar ausmache.

Mögliche Gründe für die erhöhten Investitionen dürften die finanziellen Verluste in Folge von schädlichen Cyber-Vorfällen sein. Denn trotz fortschrittlicher Sicherheitsinfrastrukturen machten die Komplexität der IT-Umgebungen und die zunehmende Bedrohungslage Unternehmen anfälliger für Cyber-Sicherheitsverletzungen. Während Unternehmen oft in der Lage seien, derartige Vorfälle schnell zu erkennen, erfordere die vollständige Reaktion und Eindämmung solcher Bedrohungen häufig mehrere Stunden.

So hätten Unternehmen in Deutschland in diesem Jahr, 2024, durchschnittlich 13 schädliche Cyber-Sicherheitsvorfälle verzeichnet – die daraus resultierenden Folgekosten beliefen sich auf rund 1,06 Millionen US-Dollar. Diese Ausgaben würden nahezu den gesamten jährlichen Investitionen entsprechen, welche Unternehmen im Median in ihre Cyber-Sicherheit tätigen. Angesichts dieser Herausforderungen planten Unternehmen in Deutschland, ihre Budgets für IT-Sicherheit in den kommenden zwei Jahren um bis zu neun Prozent zu erhöhen.

Zunahme der Investitionen in Cyber-Sicherheit über alle Marktsegmente hinweg

„Diese Zahlen verdeutlichen die anhaltende Entwicklung zu steigenden Investitionen in Cyber-Sicherheit über alle Marktsegmente hinweg“, verdeutlicht Veniamin Levtsov, „Vice President des Centers of Corporate Business Expertis“ bei Kaspersky.

Er führt weiter aus: „Drei Hauptfaktoren treiben die zunehmenden Ausgaben voran: Erstens zwingt die zunehmende Komplexität der Bedrohungslage Unternehmen dazu, fortschrittlichere Sicherheitslösungen zu implementieren, um Angriffsmuster frühzeitig zu erkennen und schnell darauf reagieren zu können.“

Zweitens führten zunehmende Anforderungen an Digitale Souveränität und verschärfte regulatorische Vorgaben dazu, dass Unternehmen ihre Sicherheitsmaßnahmen ausbauten, um „Compliance“ und Datenschutz zu gewährleisten. Drittens stiegen die Gehaltsansprüche von Experten im Bereich Cyber-Sicherheit kontinuierlich, was die Personalkosten in diesem Kritischen Sektor erhöhe.

Kaspersky-Empfehlungen zum Schutz vor Cyber-Attacken:

Unternehmen sollten auf ganzheitliche Sicherheitsstrategien setzen, welche Echtzeitschutz, Bedrohungserkennung sowie erweiterte Untersuchungs- und Reaktionsfähigkeiten umfassen. Die Produktlinie „Kaspersky Next“ z.B. biete entsprechende Lösungen, welche flexibel an individuelle Anforderungen angepasst werden könnten.

Für Unternehmen, denen es an qualifizierten InfoSec-Professionals fehle, böten sich „Managed Security Services“ an, welche rund um die Uhr Analysen und automatisierte Schutzmechanismen bereitstellten. Als Beispiel: „,Kaspersky Managed Detection and Response’ schützt so Unternehmen zuverlässig vor komplexen Cyber-Angriffen.“

Weitere Informationen zum Thema:

kaspersky daily
IT Security Economics / Zum Umgang mit Komplexität in Zeiten von Künstlicher Intelligenz, Digitalisierung und Cloud

[datensicherheit.de, 26.11.2024] Im Kontext der sich ständig weiterentwickelnden Cyber-Bedrohungen und -Angriffe auf Unternehmen, Kritische Infrastrukturen (KRITIS) und Behörden werden in Deutschland die Cyber-Sicherheitsvorschriften verschärft: Dazu gehören u.a. das „IT-Sicherheitsgesetz 2.0“ und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Diese Compliance-Richtlinien haben offensichtlich erhebliche Auswirkungen auf industrielle Hersteller und KRITIS-Betreiber. Holger Fischer, „Director EMEA Central“ bei OPSWAT, erläutert in seiner aktuellen Stellungnahme die reale Bedrohung durch Schadsoftware, „die von USB-Geräten vor allem auch im Kritischen OT-Umfeld eingeschleust werden kann“.

Foto: OPSWAT

Holger Fischer: USB-Geräte haben das Potenzial, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen!

Für auf Wechselmedien – wie USB-Laufwerke – angewiesene Betriebe besteht weiter Grund zur Wachsamkeit

Das BSI – als Cyber-Sicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung der einschlägigen Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind z.B. verpflichtet, Cyber-Angriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus wurde in Deutschland die Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Fischer gibt in seinem Kommentar zu bedenken: „In einer Zeit, in der die Risiken von KI-gestützten und fortschrittlichen, per E-Mail übertragenen Sicherheitsbedrohungen die Nachrichten dominieren, könnte man leicht die Gefahren einiger der uralten Angriffsvektoren übersehen, die von Cyber-Kriminellen weiterhin ausgenutzt werden.“ Er warnt eindringlich: „Für Branchen, die auf Wechselmedien – wie USB-Laufwerke – angewiesen sind, besteht weiterhin Grund zur Wachsamkeit, da diese Geräte das Potenzial haben, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen.“

Revival USB-basierter Angriffe

USB-Geräte würden häufig in einer Reihe von KRITIS-Sektoren wie bei Infrastrukturbetreibern, Versorgungsunternehmen und im Gesundheitswesen eingesetzt. „Diese Sektoren sind auf USB-Laufwerke angewiesen, um Daten in Umgebungen mit eingeschränktem oder keinem Internetzugang zu übertragen, wie z.B. in Air-Gapped-Systemen, die Kritische Vermögenswerte und Daten aus Sicherheitsgründen von externen Netzwerken isolieren.“

In Umgebungen der Betriebstechnik (OT) seien USB-Laufwerke oft die einzige praktische Möglichkeit, Daten zwischen Systemen zu übertragen, die bewusst offline gehalten würden, was sie zu einem gängigen Werkzeug für Software-Updates oder Datenmigration mache. „Diese weit verbreitete Nutzung macht USB-Laufwerke zu einem Hauptziel für Cyber-Angriffe“, unterstreicht Fischer. Ein prominentes Beispiel sei die „Sogu“-Malware, welche von der Hacker-Gruppe „UNC53“ eingesetzt worden sei und mit der im vergangenen Jahr, 2023, mehrere Unternehmen infiltriert worden seien. „Diese Kampagne richtete sich gegen Branchen in Ländern wie Ägypten und Simbabwe, in denen USB-Laufwerke ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs sind.“

Neueste USB-basierte Angriffstechniken immer ausgefeilter

Die neuesten USB-basierten Angriffstechniken seien immer ausgefeilter und umgingen häufig erweiterte Sicherheitsschichten, indem sie das Vertrauen zwischen dem USB-Gerät und dem Host ausnutzten. „Langjährige Techniken wie ,Rubber Ducky’-Tastatureingabe-Angriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Host-System des Angreifers zurückgesendet werden, werden auf neue Weise eingesetzt.“

Beispielsweise könne die Firmware einiger „Human Interface Devices“ (HIDs) wie Mäuse und Tastaturen so verändert werden, dass die Tastenanschläge zur Installation verdeckter Malware genutzt würden. Dies sei ein beliebtes Mittel für Penetrationstester und „Social Engineers“, welche unachtsame Mitarbeiter oder Partner dazu verleiten wollten, ein kompromittiertes USB-Gerät in die Hand zu nehmen und einzustecken.

Sicherheit der USB-Wechselmedien eine besondere Herausforderung

Die Verwaltung von Wechselmedien stelle insbesondere in OT-lastigen Umgebungen eine Herausforderung dar: „USB-basierte Angriffe umgehen die herkömmliche Netzwerksicherheit und ermöglichen es Angreifern, sensible Daten zu exfiltrieren oder sich langfristigen Zugriff auf Systeme zu verschaffen.“ Diese Angriffe seien besonders gefährlich in isolierten Systemen, in denen die fehlende Netzwerkkonnektivität die Erkennung verzögerten und die Verweildauer der Angreifer verlängern könne.

Dies mache sie zu einem perfekten Vektor für Malware-Infektionen, Datenlecks und unbefugten Zugriff. Infizierte USB-Laufwerke könnten leicht schädliche Software in Systeme einschleusen, „die nicht regelmäßig überwacht werden, was zu potenziellen Datenverlusten oder Betriebsunterbrechungen führen kann“. Ohne strenge Geräte- und Datenkontrollen könnten USB-Laufwerke Malware einschleusen oder unbefugten Zugriff auf sensible Systeme ermöglichen.

Jeder USB-Stick sollte vorab auf Malware und verdächtige Aktivitäten gescannt werden

Eine der größten Herausforderungen für Unternehmen bei der Bewältigung dieser Sicherheitsrisiken bestehe darin, dass sie oft nicht genau wüssten, „welche Personen und welche Geräte sie mit ihren Systemen verbinden oder wie Daten übertragen werden, was die Durchsetzung von Richtlinien erschwert“. Nicht nur die Sicherheitsrisiken durch Malware stellten ein Problem dar, auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stelle ein erhebliches Risiko dar, insbesondere in sogenannten hochsicheren Umgebungen.

Um diese Risiken zu minimieren, sei ein mehrschichtiger Sicherheitsansatz erforderlich, welcher sowohl technische als auch richtlinienbasierte Lösungen kombiniere. Die Echtzeitüberwachung von Geräten sei unerlässlich. Fischer rät: „Jeder an ein System angeschlossene USB-Stick sollte auf Malware und verdächtige Aktivitäten gescannt werden, damit Bedrohungen erkannt werden können, bevor sie das Netzwerk gefährden!“ Die Datenbereinigung spiele in diesem Prozess eine Schlüsselrolle. „Durch die Bereinigung von Dateien, die über USB übertragen werden, können Unternehmen versteckte Malware oder schädliche Inhalte entfernen und so sicherstellen, dass nur sichere Daten in ihr Netzwerk gelangen.“

Unternehmen sollten strenge Kontrollen darüber einführen, welche USB-Geräte auf Kritische Systeme zugreifen können

Für Unternehmen im KRITIS-Sektor könnte eine robustere Lösung aus Air-Gapped-Systemen in Kombination mit einem sogenannten Cyber-Sicherheits-Kiosk bestehen, welcher „alle ein- und ausgehenden Medien scannt und bereinigt“. Alle Dateien würden mithilfe von CDR-Techniken (Content Disarm and Reconstruction) von schädlichen Inhalten befreit und in sicheren, isolierten Datentresoren abgelegt. Nur bereinigte und validierte Daten aus diesen Tresoren dürften auf die operativen Technologienetzwerke zugreifen. Diese Systeme stellten sicher, dass jedes Gerät, das in eine sichere Umgebung gelangt, zunächst von potenziellen Bedrohungen befreit werde, was eine zusätzliche Schutzebene biete. Zusätzlich zu diesen technischen Kontrollen seien Richtlinienmaßnahmen, welche die Verwendung von Wechselmedien regelten, ein wesentlicher Bestandteil einer starken Verteidigung.

Unternehmen sollten strenge Kontrollen darüber einführen, „welche USB-Geräte auf Kritische Systeme zugreifen können, und die Arten von Dateien regeln, die auf Wechselmedien übertragen werden dürfen“. Durch die Beschränkung des Zugriffs auf autorisiertes Personal und genehmigte Daten könnten Unternehmen das Risiko minimieren, dass Geräte ihr Netzwerk gefährden. Richtlinien und Verfahren sollten vorschreiben, „dass jedes USB-Laufwerk gescannt und sein Inhalt bereinigt werden muss, bevor die Daten in das Unternehmen gelangen dürfen“. Dies könne in großem Umfang mithilfe einer dedizierten Scan-Kiosk-Anwendung erreicht werden.

Faktor Mensch: Ursache USB-basierter Angriffen oft auf menschliches Versagen zurückzuführen

Die Schulung von Mitarbeitern und Partnern in der Lieferkette sei ebenfalls von entscheidender Bedeutung. Die Ursache von USB-basierten Angriffen lasse sich oft auf menschliches Versagen zurückführen – wie die Verwendung ungesicherter oder nicht autorisierter Geräte – und umfassende Schulungen könnten dazu beitragen, diese Risiken zu minimieren. Benutzer sollten über Verschlüsselung, die Gefahren der Verwendung unbekannter USB-Geräte und bewährte Verfahren zum sicheren Entfernen von Geräten aufgeklärt werden, um Datenbeschädigungen oder Malware zu verhindern. In Sektoren mit hohem Risiko könnten regelmäßige Audits darüber, „wie USB-Laufwerke verwendet werden und wie Sicherheitsprotokolle befolgt werden“, die Abwehrkräfte eines Unternehmens weiter stärken.

USB-Geräte stellten nach wie vor eine erhebliche Sicherheitsbedrohung dar, „insbesondere in Sektoren, in denen sie für die Datenübertragung unerlässlich sind“. Selbst Unternehmen, welche in ihren Arbeitsabläufen nicht routinemäßig Wechselmedien verwenden, sollten sich der von ihnen ausgehenden Bedrohung bewusst sein. „Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätesteuerung und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Grundlagen ab und minimiert das Risiko, Opfer von USB-Bedrohungen zu werden“, führt Fischer abschließend aus.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) / Neues IT-Sicherheitsgesetz für eine moderne Cybersicherheit

Bundesamt für Sicherheit in der Informationstechnik
Was sind Kritische Infrastrukturen? / Definition KRITIS

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner / „Tick“-Gruppe nutzt vermeintliche Secure-USB-Laufwerke für Angriffe auf kritische Systeme ohne Internetverbindung