[datensicherheit.de, 27.02.2025] Künstliche Intelligenz (KI) revolutioniere nicht nur Geschäftsprozesse, sondern bringe auch neue, hochkomplexe Sicherheitsrisiken mit sich, erläutert Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme. Ein aktuelles Beispiel sei „DeepSeek-R1“, ein KI-Modell, welches demnach mit sogenanntem Chain-of-Thought (CoT) Reasoning arbeitet. „Diese Methode soll die Nachvollziehbarkeit von KI-Entscheidungen verbessern, indem sie Denkschritte explizit offenlegt.“ Doch genau hierin liege die Schwachstelle: „Unsere aktuelle Analyse zeigt, dass Angreifer diese Transparenz für gezielte Prompt-Attacken missbrauchen können.“

Foto: Trend Micro

Richard Werner: KI-Technologien nutzende Unternehmen müssen diese proaktiv absichern – bevor Cyber-Kriminelle tätig werden

Unternehmen mit GenKI müssen auch neue Angriffsmethoden infolge KI-spezifischer Architekturen bedenken

Sie könnten durch gezielt formulierte Anfragen System-Prompts offenlegen, Sicherheitsmechanismen umgehen oder sich unberechtigten Zugriff auf sensible Daten verschaffen. Besonders besorgniserregend sei:

„In unseren Tests war der Erfolg solcher Angriffe in den Kategorien sensitive Datenexfiltration und unsichere Ausgabeerzeugung besonders hoch.“

Dies zeige, dass Unternehmen, welche Generative KI einsetzen, nicht nur klassische Cyber-Gefahren bedenken müssten, sondern auch neue Angriffsmethoden, die sich durch KI-spezifische Architekturen ergäben.

KI nicht nur Waffe gegen Cyber-Angriffe, sondern kann auch selbst Angriffsfläche werden

Bedeutung für Unternehmen lt. Trend Micro:

KI-Modelle müssen sicherheitsorientiert entwickelt werden!
Transparenz sei wichtig, dürfe aber keine Einladung für Angreifer sein.

Regelmäßiges Red-Teaming ist unverzichtbar!
Unternehmen sollten KI-Systeme kontinuierlich auf Schwachstellen testen – ähnlich wie bei klassischen IT-Security-Audits.

Prompt-Härtung als neue Disziplin!
Sicherheitsmechanismen, welche KI-Modelle gegen manipulative Eingaben absichern, müssten Standard werden.

Werner gibt abschließend zu bedenken: „Die Forschung zu ,DeepSeek-R1‘ zeigt, dass KI nicht nur eine Waffe gegen Cyber-Angriffe ist, sondern auch selbst zur Angriffsfläche wird.“ Unternehmen, die KI-Technologien nutzen, müssten sich zur Absicherung proaktiv um diese kümmern – bevor Cyber-Kriminelle es tun.

Weitere Informationen zum Thema:

Trend Micro
Exploiting DeepSeek-R1: Breaking Down Chain of Thought Security

datensicherheit.de, 29.01.2025
GenAI und Menschlicher Faktor wichtigste Datenschutzaspekte / Ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 06.02.2025] Richard Werner, „Security Advisor“ bei Trend Micro, führt in seiner aktuellen Stellungnahme aus, wie sich Innovationsdruck und Fachkräftemangel auf die IT-Sicherheit auswirken und geht dabei besonders auf die Rolle des „Chief Information Security Officer“ (CISO) ein: „Aus der Sicht des CISOs ist ihre Art, Security zu betreiben richtig und hat sich bewährt. Indem sie Verbote aussprechen, wollen sie die jungen Kollegen schützen. Schließlich kennen CISOs die Gefahren eines Cyber-Angriffs und wissen, wie leicht etwas passieren kann. Aus der Perspektive der jungen Generation an IT- und IT-Security-Mitarbeitern wirkt dieser restriktive Security-Ansatz dagegen verknöchert und wie ein Bremsklotz. Die ,Digital Natives’ bringen neue Ideen mit, möchten sich beweisen und ihre Vorstellungen kreativ umsetzen. Für Regeln, die sie dabei behindern, haben sie wenig Verständnis.“

Foto: Trend Micro

Richard Werner zur IT-Sicherheit in Betrieben: Für Unternehmen ist es wichtig, den Generationenkonflikt anzuerkennen und proaktiv anzugehen!

Fortentwicklung niemals zu Lasten der IT-Sicherheit!

Unternehmen seien auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Dies dürfe jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, brauche es einen IT-Security-Ansatz, „der Platz für Fortschritt schafft, anstatt ihn zu behindern“. Die IT-Security müsse sich erneuern, um den Generationenkonflikt zwischen den alteingesessenen IT-Security-Mitarbeitern und der disruptiven Experimentierbereitschaft der jungen Nachwuchskräfte zu überwinden.

Die CISO-Rolle stehe vor neuen Herausforderungen: „Mussten sie sich früher Gehör verschaffen und Entscheidungsträger und Mitarbeiter davon überzeugen, wie wichtig IT-Sicherheit für ein Unternehmen ist, geht es heute darum, Leistung zu erbringen und Informationsbestände, Technologien, Systeme und Netzwerke angemessen vor immer komplexeren Angriffsmethoden zu schützen.“

Rein technischer Blickwinkel auf IT-Sicherheit könnte zu ineffektiven Investitionen führen

Zwar hätten viele Unternehmensvorstände mittlerweile die Bedeutung der IT-Sicherheit erkannt, was sich auch in angepassten Budgettöpfen widerspiegele. „Damit CEO und CISO jedoch auf Augenhöhe kommunizieren können, müssen Letztere moderne Business-Anforderungen verstehen und die Kosten für IT-Sicherheit dahingehend optimieren.“

Ein rein technischer Blickwinkel auf die IT-Sicherheit könne zu ineffektiven Investitionen führen und auf das Unverständnis der weniger technisch versierten Führungsebene eines Unternehmens stoßen. Besonders wichtig sei es für CISOs daher, kontinuierliche Risikobewertungen durchzuführen – immer auf Grundlage der für das Unternehmen wichtigsten Daten, Anwendungen und Prozesse.

Alt vs. Jung – zwei Welten kollidieren auch auf dem Gebiet der IT-Sicherheit

„Wenn junge, dynamische und kreative Menschen in eine Arbeitsumgebung mit sehr vielen Regeln einsteigen, sind Konflikte vorprogrammiert“, so Werner. Er führt hierzu weiter aus: „Der CISO, der über viele Jahre hinweg die Security im Unternehmen aufgebaut und erfolgreich geleitet hat, steht plötzlich vor ähnlichen Herausforderungen wie ein Vater, der mit seinem Teenager-Sohn aneinandergerät.“

Dieser Konflikt sei so alt wie die Menschheit selbst: „Natürlich wollen wir alle nur das Beste für unsere Kinder. Verbote, die wir als Eltern aussprechen, haben in der Regel einen Sinn. Wir wollen unsere Kinder schützen und vor Gefahren bewahren. Schließlich wissen wir aus Erfahrung, was alles passieren kann. Nur allzu gut können wir uns noch an unsere eigene Jugend erinnern, in der wir uns ausprobiert haben, Grenzen verschieben wollten und Risiken eingegangen sind – nicht immer mit positivem Ausgang.“

Aus der Perspektive der jungen Generation wirken restriktive IT-Security-Ansätze verknöchert und wie ein Bremsklotz

„Damals fanden wir die Verbote unserer Eltern unsinnig und haben uns bewusst darüber hinweggesetzt. Heute stehen wir auf der anderen Seite, stellen Regeln auf und wollen an ihnen festhalten. Wir sind davon überzeugt, dass wir es besser wissen als unsere Kinder.“ Werner wirft hierzu die Fragen auf: „Aber ist das wirklich so? Oder brauchen auch wir nicht hin und wieder jemanden, der uns in Frage stellt?“

Ganz ähnlich gehe es heute vielen CISOs. Aus ihrer Sicht sei ihre Art, IT-Security zu betreiben richtig und habe sich bewährt. „Indem sie Verbote aussprechen, wollen sie die jungen Kollegen schützen. Schließlich kennen CISOs die Gefahren eines Cyber-Angriffs und wissen, wie leicht etwas passieren kann.“ Aus der Perspektive der jungen Generation an IT- und IT-Security-Mitarbeitern wirke dieser restriktive IT-Security-Ansatz dagegen „verknöchert und wie ein Bremsklotz“.

Wenn Regeln auch auf dem Gebiet der IT-Sicherheit nicht nachvollziehbar sind, besteht der natürliche Impuls diese zu umgehen

Die „Digital Natives“ brächten neue Ideen mit, möchten sich beweisen und ihre Vorstellungen kreativ umsetzen. „Für Regeln, die sie dabei behindern, haben sie wenig Verständnis. ,Warum soll ich nicht die ,Cloud’ nutzen, wenn ich diese Technologie doch brauche, um meine Idee zu verwirklichen?‘, fragen sich zum Beispiel die Jungen.“ Der ältere CISO indes sehe in erster Linie die Probleme, welche die „Cloud“ mit sich bringe. „Nicht so schnell!“, sage er deshalb zu seinen Mitarbeitern.

„Aber jeder, der Kinder hat, weiß, dass der erhobene Zeigefinger in der Praxis nur selten funktioniert.“ Insbesondere, wenn Regeln für einen selbst nicht nachvollziehbar sind, habe man als junger Mensch den natürlichen Impuls, diese zu umgehen. „Mir passiert schon nichts“, denke sich dieser. Natürlich könne das auch einmal „nach hinten losgehen“. Andererseits sei es manchmal nötig und erwünscht, Grenzen einzureißen, denn nur so würden Veränderung und Fortschritt möglich.

Moderne IT-Security-Technologie kann helfen, Gräben zu überwinden und ganzheitliche Ansätze zu etablieren

Grundsätzlich sei der Generationenkonflikt zwischen der älteren und jüngeren Generation ein normales Phänomen, welches auch im Unternehmensumfeld auftrete. Um die Erfahrung der Älteren mit den neuen Denkansätzen der Jungen zu kombinieren, sei allerdings ein gezielter Austausch notwendig. Unternehmen bräuchten sowohl die Erfahrung als auch die Innovationskraft, um auf dem Markt erfolgreich zu sein.

Moderne IT-Security-Technologie könne dabei helfen, Gräben zu überwinden und ganzheitliche IT-Sicherheit zu etablieren, welche eben nicht als „Verhinderer“, sondern als „Business Enabler“ agiere. Werners abschließende Empfehlung: „Für Unternehmen ist es wichtig, den Generationenkonflikt anzuerkennen und proaktiv anzugehen, um eine harmonische Zusammenarbeit und eine erfolgreiche IT-Sicherheitsstrategie zu gewährleisten!“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.10.2023
Predictive-Text-Technologien: Veritas gibt CISOs Tipps zu Sicherheit und Datenschutz / Veritas-Stellungnahme soll mit fünf gängigen Missverständnissen aufräumen

datensicherheit.de, 25.09.2023
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz / Die Tipps reichen von KI-gesteuerter Bedrohungsabwehr in Echtzeit bis hin zu verständlicher Kommunikation mit der Vorstandsebene

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

[datensicherheit.de, 14.09.2024] Trend Micro nimmt in einem aktuellen Blog-Beitrag Stellung zur Hacker-Gruppe „Earth Preta“ (auch „Mustang Panda“): Diese setzt demnach in einer neuen Angriffswelle auf „selbstverbreitende Malware, die sich über Wechseldatenträger ausbreitet, sowie auf Spear-Phishing-Kampagnen“. Ziel dieser Angriffe seien derzeit hauptsächlich Regierungsbehörden in der Asien-Pazifik-Region (APAC). Die Gruppe nutze Wechseldatenträger als Infektionsvektor und gehe Cyber-Spionage nach, um Systeme zu kontrollieren und Daten zu stehlen. Trend Micro hat nach eigenen Angaben kürzlich über eine Zunahme der Aktivitäten chinesischer Bedrohungsakteure berichtet, zu denen auch „Earth Preta“ gehöre.

Foto: Trend Micro

Richard Werner erinnert an „Stuxxnet“ – diese Malware sollte beispielsweise über USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren, wurde allerdings auch außerhalb Irans nachgewiesen…

Cyber-Würmer greifen im Prinzip alles Verwundbare an

Richard Werner, „Security Advisor“ bei bei Trend Micro, kommentiert die Aktivitäten der Hacker-Gruppe „Earth Preta“: „Würmer – in diesem Fall die eingesetzte selbstverbreitende Software – sind ein wenig aus der Mode gekommen. Eine Infektion über sie ist typischerweise sehr schnell und damit im Verhältnis zu anderen Angriffsmethoden deutlich wahrnehmbarer.“

Sogenannte Würmer seien auch nicht selektiv, sondern griffen im Prinzip alles Verwundbare an. „Das heißt, dass beispielsweise ein staatlicher Angreifer das Risiko hat, ebenfalls Schaden an der eigenen Infrastruktur anzurichten“, erläutert Werner.

Um dieses Risiko zu mindern, verwendeten die Täter hierzu die Propagierungsmethode „Wechseldatenträger“ (z.B. USB-Sticks) – dies verkompliziere die Sache und berge andere Risiken.

Cyber-Infektion per Wechseldatenträger birgt Risiko der Verwendung auch außerhalb des gewünschten Einsatzbereiches

Zum Einen müsse der Angreifer es schaffen, „dass die Schadroutine auch im gewünschten Ziel ankommt – was nur funktioniert, wenn das Opfer auch diese Art Datenträger verwendet“. Zum Anderen steige die Wahrscheinlichkeit mit jeder weiteren – durch den Angreifer nicht mehr kontrollierbaren – Kompromittierung, „dass er entdeckt wird und seine komplette Operation auffliegt“. Auch bei Wechseldatenträgerinfektionen bestehe die Möglichkeit, dass sie außerhalb des gewünschten Einsatzbereiches verwendet würden.

Die Schadvariante „Stuxxnet“ sollte beispielsweise über die USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren. Werner ruft in Erinnerung: „Sie wurde allerdings auch außerhalb des Irans nachgewiesen, da dieselben USB-Sticks von den nicht eingeweihten Servicetechnikern international eingesetzt wurden.“

Eine unmittelbare Bedrohung für Deutschland sieht Werner nur insofern, als dass es ein großes Interesse an sensiblen Daten gebe und der „Datenhunger der chinesischen Regierung“ bemerkenswert sei. Werners Fazit: „Dass wir auch in Deutschland offen über beispielsweise Vorratsdatenspeicherung diskutieren, zeigt mir, dass in demokratischen Rechtsstaaten Verwendungszwecke relevant wären.“

Weitere Informationen zum Thema:

TREND MICRO, Lenart Bermejo & Sunny Lu & Ted Lee, 09.09.2024
Malware / Earth Preta Evolves its Attacks with New Malware and Strategies

[datensicherheit.de, 17.05.2024] Trend Micro hat nach eigenen Angaben am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht. Demnach fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76% gegenüber weltweit 79%) von der Geschäftsleitung unter Druck gesetzt, die Cyber-Risiken im Unternehmen herunterzuspielen. „48 Prozent (weltweit 41%) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyber-Risiken vorzugehen“, berichtet Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme zu den Ergebnissen der aktuellen Trend-Micro-Studie.

Foto: Trend Micro

Richard Werner rät Unternehmen zur Einführung einer ganzheitlichen Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM)

Große Hürde für CISOs, den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen

Werner berichtet: „Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42%) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43%), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34%, weltweit 33%) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.“

Diese Ergebnisse deuteten offensichtlich auf ein gravierendes Kommunikationsproblem hin: Offenbar schafften es die IT-Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichteten fast alle (99%), dass sich ihre interne Lage verbessert habe, sobald es ihnen gelungen sei, den geschäftlichen Nutzen ihrer Cyber-Sicherheitsstrategie zu messen:

• „46 Prozent (weltweit 43%) erhielten daraufhin mehr Budget.
• 45 Prozent (weltweit 44%) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
• 42 Prozent (weltweit 41%) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
• 40 Prozent (weltweit 45%) erhielten mehr Verantwortung.
• 26 Prozent (weltweit 46%) fühlen sich als glaubwürdiger wahrgenommen.“

Zu oft wird immer noch die Cyber-Sicherheit lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt

Doch es gebe noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34%, weltweit 34%) werde Cyber-Sicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.

Nur zirka die Hälfte (51%, weltweit 54%) der Befragten seien zuversichtlich, „dass ihre Führungsebene die Cyber-Risiken, denen das Unternehmen ausgesetzt ist, vollständig versteht“. Da sich diese Zahl seit 2021 kaum verändert habe, stellten sich nun die Fragen: „Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyber-Risiken effektiv in geschäftlichen Begriffen zu kommunizieren?“

Eine große Herausforderung sei dabei die heterogene IT-Security-Landschaft. „Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyber-Risiken zu machen“, erläutert Werner.

Cyber-Risiken indes zumeist das größte Geschäftsrisiko für Unternehmen

Er führt weiter aus: „Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62%) sagen, dass Cyber-Risiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt.“ Werner warnt in diesem Zusammenhang: „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden!“ Der erste Schritt zur Verbesserung sollte darin bestehen, eine „Single Source of Truth“ für die gesamte Angriffsfläche zu schaffen.

Über die Hälfte der Befragten (59%, weltweit 58%) glaubten, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssten. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM) könne dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefere.

Abschließend erläutert Werner: „ASRM sammelt interne und externe Security-Daten in einem zentralen ,Data Lake’, analysiert und korreliert sie KI-gestützt. Im ,Executive Dashboard’ erhalten CISOs alle Informationen zur Risiko-Exposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.“

Weitere Informationen zum Thema:

TREND MICRO
Warum werden CISOs nicht gehört? / Studie von Trend Micro zeigt: IT-Sicherheitsverantwortlichen wird von Geschäftsführungen zu wenig Vertrauen entgegengebracht

[datensicherheit.de, 07.02.2024] Es sei nicht das erste Mal, dass ein „Deep-Fake Boss“ ein Unternehmen um Millionen betrügt: Fast 24 Millionen Euro (200 Millionen Hongkong-Dollar) seien es laut „Hong Kong Free Press“ diesmal. Noch handele es sich um Einzelfälle, anders als die artverwandte E-Mail-gestützte sogenannte Chef-Masche oder „BEC Fraud“ (Business E-Mail Compromise). Richard Werner, „Business Consultant“ bei Trend Micro, kommentiert angesichts des jüngsten Vorfalls die „Deep-Fake Boss“-Masche: „Im Prinzip ist das Vorgehen identisch. Ein Mitarbeiter, vorzugsweise in der Finanzabteilung, wird von der Unternehmensleitung, dem ,Boss’, aufgefordert, Geld zu überweisen. An irgendein Konto und natürlich vertraulich.“ Es gehe um den Abschluss eines Deals, eine Firmenübernahme oder im kleineren Maßstab – auch mal nur um das Budget für Weihnachtsgeschenke. Werner führt weiter aus: „Gemeinsam haben alle, dass es möglichst schnell gehen muss und man es möglichst keinem mitteilen soll. Aber wer wollte seinem Boss schon etwas abschlagen, wenn ihn dieser per Video-Konferenz dazu auffordert? …“

Foto: Trend Micro

Richard Werner: Die Chef-Masche zählt zu den Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat

Chef-Betrug fokussiert auf Überzeugung des Opfers

Die „Chef-Masche“ zählt laut Werner zu den sogenannten Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat. Dazu müssten „Story“ und Gesamteindruck stimmen.

Indes: „Schon eine E-Mail, welche vom Account der Unternehmensleitung abgeschickt wird (oder zu sein scheint), ist oft ausreichend.“ Im vorliegenden Fall sei aber angeblich ein „Deep-Fake“-Video eingesetzt worden. Nun sei es schon sehr überzeugend, die andere Person direkt zu sehen und von ihr, in deren bekannter Stimme zu hören, was zu tun ist.

„Als Mitarbeitender werden Sie auf Ansage (,Hören Sie zu, ich hab’ es eilig!‘) möglicherweise stillschweigend akzeptieren, was ihnen aufgetragen wird.“ So scheine es zumindest im vorliegenden Fall gewesen zu sein, denn eine echte Interaktion sei laut Artikel nicht zustande gekommen – dies genau sei aber entscheidend für den Erfolg besagter Methode.

Chef-Betrug – Abwehr erfordert Unternehmenskultur und klare Richtlinien

Der beste Schutz vor der „Boss-Masche“ (auch BEC) ist laut Werner, die internen Prozesse für Auszahlungen so zu gestalten, dass diese nicht per Bitte oder Anweisung bestimmter Personen möglich sind, sondern einen komplexeren Genehmigungsprozess durchlaufen müssen: „In der Vergangenheit sagte man hier auch oft das Prinzip der ,doppelten’ Bestätigung. Kam die Anweisung per Mail, rief man an und fragte nach. Kam sie per Telefon, forderte man eine E-Mail-Bestätigung.“ Das gelte auch heute noch.

Allerdings sollte man aus diesem „Deep-Fake“-Angriff lernen. „Die Video- und Audio-Bestätigung erfolgte – nur gab es keine Interaktion, der Angestellte hörte und sah nur zu“, berichtet Werner. Dadurch habe ein zuvor durch „Deep Fakes“ erstelltes Video eingespielt werden können. Der adressierte Mitarbeiter sei so getäuscht worden und habe das Geld überwiesen.

Werner rät abschließend dringend: „Will man derartige Attacken vermeiden, sollte man es den Mitarbeitern erlauben, – ja sie sogar dazu auffordern – ihre Chefs zu diesen Aktivitäten zu hinterfragen!“ Man mache es dadurch den Angreifern schwerer. Ganz auszuschließen sei es aber nicht, „wenn die grundsätzliche Möglichkeit bestehen bleiben soll, Geld auf Anweisung des Bosses auszuzahlen“.

Weitere Informationen zum Thema:

HKFP HONG KONG FREE PRESS, 05.02.2024
Multinational loses HK$200 million to deepfake video conference scam, Hong Kong police say / Police received a report of the incident on January 29, at which point some HK$200 million (US$26 million) had already been lost via 15 transfers

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

datensicherheit.de, 29.04.2020
CEO-Fraud: Whitepaper zur Erkennung und Vermeidung des Chefbetrugs / Präventive Maßnahmen gegen eine der erfolgreichsten Phishing-Attacken-Arten empfohlen

[datensicherheit.de, 06.07.2023] „Fast jeder, der sich auf der Suche nach einer neuen Stelle befindet, kennt wohl diese Situation: Man wird auf ,LinkedIn’ von einem Headhunter angeschrieben und das Stellenangebot klingt interessant“, so Richard Werner, „Business Consultant“ bei Trend Micro, einleitend in seiner aktuellen Stellungnahme. Er führt weiter aus: „So ist man schnell verleitet, ohne größere Überlegung den Lebenslauf dem vermeintlichen Headhunter zuzusenden.“ Immerhin sei ja bei der Jobsuche Schnelligkeit geboten. Werner warnt: „Doch Vorsicht!“ Der japanische Cyber-Sicherheitsanbieter Trend Micro habe das Business-Netzwerk untersucht und in seiner neuen Studie festgestellt, dass gefälschte Profile, welche versuchten, Daten zu stehlen, mittlerweile immer gehäufter aufträten.

Foto: Trend Micro

Richard Werner empfiehlt Unternehmen und Nutzern zu kooperieren und standardmäßig Best Practices anzuwenden

Laut Trend Micro liegt es am Einzelnen, eigene Daten vor unbefugtem Zugriff zu bewahren

Gefälschte Profile, die nach Daten unbedarfter Nutzer fischten, werden demnach bei „LinkedIn“ zu einer immer größeren Bedrohung. Werner berichtet: „So zielte beispielsweise die nordkoreanische ,Advanced Persistent Threat’ (APT)-Gruppe ,Lazarus’ im September 2022 auf ,macOS’-Nutzer, die nach Jobs in der Krypto-Währungsbranche suchten.“ Die dabei gesammelten Daten seien von den Angreifer an andere Cyber-Kriminelle verkauft worden.

Zwar habe das Soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt, dennoch sei es für „LinkedIn“ aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. „Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren“, betont Werner.

Trend Micro rät Nutzern, was sie gegen Datendiebstahl tun könne:

1. Regel: „Vermeiden Sie es unter allen Umständen, sensible Daten oder personenbezogene Daten wie E-Mails, Telefonnummern oder Adressen für alle öffentlich einsehbar zu posten – etwa über die Zusammenfassung des Benutzerprofils.“ Zudem sei es ratsam, die Sichtbarkeit anzupassen, bevor Beiträge geteilt werden: „Klären Sie vorab, welche Beiträge von ,Followern’, Verbindungen und Nicht-Verbindungen gesehen werden sollten.“

2. Regel: „Eine weitere Pflicht für Nutzer ist es, sich genau über die Social-Media-Richtlinien ihres Arbeitgebers zu informieren und welche Konsequenzen etwaige Verstöße haben.“ Zu solchen Richtlinien gehörten etwa Maßnahmen zur Einhaltung von Gesetzen und „Compliance“-Regelungen, sowie die aktuellen Pläne für den Schutz der Privatsphäre und das Management von Sicherheitszwischenfällen.

3. Regel: „Weiterhin sollten Nutzer nur solche Informationen weitergeben, mit deren Veröffentlichung im Internet sie auch tatsächlich einverstanden sind.“ Um dies sicherzustellen, könnten Nutzer die Benutzerprofile und Datenschutzeinstellungen jederzeit anpassen, um die Menge der öffentlich zugänglichen Informationen zu begrenzen.

Trend Micro erläutert Pflichten der Unternehmen:

1. Pflicht: „Auch Unternehmen stehen in der Verpflichtung, die Daten ihrer Angestellten zu schützen.“ Ratsam sei es zuallererst, klare Richtlinien für den Auftritt in Sozialen Medien zu entwickeln und zu implementieren. Zudem sollte festgelegt werden, welche Unternehmensinformationen und/oder -daten öffentlich gepostet werden dürfen. Diese Richtlinien könnten je nach Stellung variieren, „da die Mitarbeiter Informationen mit unterschiedlicher Wichtigkeit und Sensibilität für das Unternehmen bearbeiten“. Höhere Stellungen im Unternehmen erforderten restriktivere Richtlinien aufgrund des weitreichenderen Zugriffs auf Informationen. Die zu implementierenden Richtlinien müssten dabei klar regeln, welche Grenzen, Datenklassifizierungen und rechtliche Anforderungen es jeweils für die Betroffenen gibt.

2. Pflicht: „Weiterhin ist es wichtig, regelmäßig Szenarien für Konten-, Profil-, ,Compliance’-, Verifizierungs- und Vorfallsmanagement zu wiederholen, damit Mitarbeiter wissen, was im Notfall zu tun ist.“ Werner rät, eine Kontaktperson festzulegen, an welche sich die Mitarbeiter wenden können, wenn sie gefälschte Konten finden, „die sich als legitime Mitarbeiter oder Unternehmensrollen ausgeben“.

3. Pflicht: „Zudem sollte die Multifaktor-Authentifizierung (MFA) für alle geschäftlichen und privaten Konten als Standard eingesetzt werden.“ Eine gute Passwort-Verwaltungssoftware helfe ebenfalls, um Datendiebstahl vorzubeugen. Dabei sei es natürlich wichtig, niemals dasselbe Passwort für unterschiedliche Kanäle und Anwendungen zu benutzen.

„Wenn Unternehmen und User zusammenarbeiten und sich an die standardmäßigen ,Best Practices‘ halten, um den eigenen Datenschutz zu garantieren, dann angeln Cyber-Kriminelle nur ins Leere“, so Werner zum Abschluss. So könnten die Angestellten ihre Zeit auf „LinkedIn“ tatsächlich produktiv nutzen, ohne befürchten zu müssen, dass morgen private oder Unternehmensdaten im sogenannten Darknet verkauft werden.

Weitere Informationen zum Thema:

TREND MICRO, Veronica Chierzi & Mayra Rosario Fuentes, 28.03.2023
A Growing Goldmine: Your LinkedIn Data Abused For Cybercrime

[datensicherheit.de, 04.04.2023] Trend Micro hat eine neue Studie darüber veröffentlicht, „wie kriminelle Gruppierungen mit zunehmender Größe beginnen, ähnliche Prozesse wie in legalen Unternehmen zu entwickeln“. Dies sei jedoch mit den entsprechenden Kosten und Herausforderungen verbunden.

Bericht unterscheidet drei Arten krimineller Unternehmen – basierend auf deren Größe

Große kriminelle „Unternehmen“ wenden demnach 80 Prozent ihrer Betriebskosten für Gehälter auf, so der vorliegende Bericht von TREND MICRO. Bei kleineren kriminellen Gruppierungen sei der Anteil mit 78 Prozent ähnlich hoch. Weitere gängige Ausgaben fielen für Infrastruktur (wie Server, Router und VPNs), virtuelle Maschinen und Software an. Der Bericht von Trend Micro unterscheidet drei Arten von kriminellen „Unternehmen“ basierend auf deren Größe. Als Beispiele dienten den Forschern nach eigenen Angaben ausgewählte Gruppen, die anhand von Daten der Strafverfolgungsbehörden sowie Insider-Informationen dargestellt werden:

Kleine kriminelle „Unternehmen“ („z.B. der Counter-Antiviren-Dienst Scan4You“):

• Kleinere kriminelle „Unternehmen“ hätten in der Regel eine eigene Management-Ebene, zwischen einem und fünf Mitarbeitern und einen Jahresumsatz von weniger als 500.000 Euro.
• Mitarbeiter übernähmen oft mehrere Aufgaben innerhalb der Gruppierung und ginge zusätzlich zu dieser „Arbeit“ noch einem Hauptberuf nach.
• Sie bildeten die Mehrheit der kriminellen „Unternehmen“ und arbeiteten oft mit anderen kriminellen Gruppierungen zusammen.

Mittelgroße kriminelle „Unternehmen“ („z.B. der ,Bulletproof Hoster’ MaxDedi“):

• Diese kriminellen „Unternehmen“ hätten oft zwei Führungsebenen, sechs bis 49 Mitarbeiter und einen Jahresumsatz von bis zu 50 Millionen Euro.
• Ihre Struktur sei pyramidenartig und hierarchisch mit einer einzigen Person als Gesamtverantwortlichen.

Große kriminelle „Unternehmen“ („z.B. die Ransomware-Gruppe Conti“):

• Große kriminelle „Unternehmen“ hätten normalerweise drei Managementebenen, mehr als 50 Mitarbeiter und einen Jahresumsatz von über 50 Millionen Euro.
• Sie verfügten über eine relativ große Anzahl an Mitarbeitern der unteren Führungsebene und Teamleitern.
• Sie implementierten effektive OPSEC (Operations Security) und arbeiteten mit anderen kriminellen Organisationen zusammen.
• Die Verantwortlichen seien erfahrene Cyber-Kriminelle und stellten mehrere Entwickler, Administratoren und Penetrationstester ein – teilweise auch nur als befristete freie Mitarbeiter.
• Sie verfügen teilweise über unternehmensähnliche Abteilungen (z.B. „IT“, „HR“) und führten sogar regelrechtes Personalmanagement inklusive Leistungsbeurteilungen durch.

Größere Cybercrime-Unternehmen schwierig zu handhaben und mittlerweile auch ein hohes Maß an Bürokratie

„Wie die Studie zeigt, kann das Wissen um die Größe und Komplexität einer kriminellen Gruppierung den Ermittlern wichtige Ansätze für ihre Arbeit liefern.“ Einen Anhaltspunkt stellten beispielsweise die Datentypen dar, nach denen sie suchen müssten. Größere kriminelle Organisationen speicherten außerdem Mitarbeiterlisten, Jahresabschlüsse, Handbücher und Tutorials. Dazu gehörten auch Fusions- und Akquisitionsdokumente, Details zu den Krypto-Wallets der Mitarbeiter und sogar gemeinsam genutzte Kalender. „Wenn die Strafverfolgungsbehörden die Größe krimineller Gruppierungen kennen, können sie zudem besser entscheiden, welche sie vorrangig verfolgen.“

„Der kriminelle Untergrund professionalisiert sich zusehends – mit Gruppierungen, die seriösen Unternehmen in ihren Prozessen immer ähnlicher werden. Außerdem nimmt mit steigender Mitgliederzahl und wachsenden Einnahmen die Komplexität zu“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro. Er führt aus: „Größere Cybercrime-Gruppierungen sind schwierig zu handhaben und haben mittlerweile ein hohes Maß an Bürokratie. Wie bei jedem Unternehmen gehören dazu auch schwache Leistungsträger und Vertrauensprobleme. Unser Report zeigt, wie wichtig es für Ermittler ist, die Größe der kriminellen Gruppierung zu verstehen, mit der sie es zu tun haben.“

Weitere Informationen zum Thema:

TREND MICRO, 03.04.2023
Size Matters: Unraveling the Structure of Modern Cybercrime Organizations

[datensicherheit.de, 22.03.2023] Trend Micro hat nach eigenen Angaben eine neue Studie darüber veröffentlicht, wie Cyber-Kriminelle agieren und ihre Aktivitäten finanzieren. Demnach zeigen die Bedrohungsexperten darin, „dass nur zehn Prozent der von Ransomware betroffenen Unternehmen ihre Erpresser tatsächlich bezahlen“. Diese Zahlungen subventionierten jedoch zahlreiche weitere Angriffe.

Abbildung: Trend Micro

Aktuelle Studie von Trend Micro: „What Decision-Makers Need to Know About Ransomware Risk“

Daten und Kennzahlen sollen helfen, Ransomware-Gruppen zu vergleichen und Risiken abzuschätzen

Die Studie enthalte strategische, taktische, operative und technische Informationen zu Bedrohungen. Dafür seien datenwissenschaftliche Methoden verwendet worden, um verschiedene Informationen über Bedrohungsakteure zusammenzustellen. „Diese Daten und Kennzahlen helfen dabei, Ransomware-Gruppen zu vergleichen, Risiken abzuschätzen und das Verhalten von Bedrohungsakteuren zu modellieren.“

Zu den wichtigsten Ergebnissen gehörten:

• „Die zehn Prozent der Unternehmen, die ein Lösegeld zahlen, handeln in der Regel schnell. Sie sind in der Folge oft gezwungen, für jede weitere Kompromittierung auf höhere Forderungen einzugehen.“
• „Das Risikoniveau für Angriffe ist nicht homogen. Es variiert je nach Region, Branche und Unternehmensgröße.“
• „In bestimmten Branchen und Ländern zahlen die Betroffenen häufiger als in anderen. Deshalb werden Unternehmen in diesen Industrien und Ländern mit größerer Wahrscheinlichkeit zum Ziel eines Angriffs.“
• „Die Zahlung eines Lösegelds treibt oft nur die Gesamtkosten eines Vorfalls in die Höhe, ohne Vorteile zu bringen.“
• „Im Januar und im Zeitraum von Juli bis August sind die Aktivitäten von Ransomware-Angreifern am geringsten. Dies sind gute Zeiten für die Verteidiger, um ihre Infrastruktur wieder aufzubauen und sich auf zukünftige Bedrohungen vorzubereiten.“

Cyber-Sicherheitsbranche könnte dazu beitragen, die Ransomware-Rentabilität zu senken

Die Cyber-Sicherheitsbranche könne dazu beitragen, die Rentabilität von Ransomware zu senken. Dazu sollten die Beteiligten den Schutz in den frühen Phasen der „Kill Chain“ priorisieren, die Ransomware-„Ökosysteme“ gründlich analysieren und den Anteil der zahlenden Opfer verringern. Die Erkenntnisse aus dem Bericht des japanischen Cybersecurity-Anbieters könnten Entscheidungsträgern auch dabei helfen, mögliche von Ransomware ausgehende finanzielle Risiken besser einzuschätzen.

Außerdem eröffneten die gewonnenen, detaillierten Erkenntnisse eine Reihe weiterer Möglichkeiten:

• „IT-Führungskräfte können höhere Budgets für die Abwehr von Ransomware rechtfertigen.“
• „Regierungen können ihre Budgets für die Unterstützung bei der Wiederherstellung nach Angriffen und die Strafverfolgung sinnvoller planen.“
• „Versicherer können die Preise für ihre Leistungen genauer kalkulieren.“
• „Internationale Unternehmen können Ransomware besser mit anderen globalen Risiken vergleichen.“

Ransomware eine große Bedrohung für Unternehmen und Behörden

„Ransomware ist eine große Bedrohung für Unternehmen und Behörden. Sie entwickelt sich stetig weiter, weshalb wir in diesem Zusammenhang genauere datengestützte Methoden zur Modellierung von Risiken benötigen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Abschließend betont er: „Unsere neue Studie soll IT-Entscheidern helfen, ihr Risiko besser einzuschätzen, und politischen Entscheidungsträgern die Informationen an die Hand geben, die sie benötigen, um effektivere und wirkungsvollere Bekämpfungsstrategien gegen Cyber-Kriminalität zu entwickeln.“

Weitere Informationen zum Thema:

Trend Micro Research
What Decision-Makers Need to Know About Ransomware Risk / Data Science Applied to Ransomware Ecosystem Analysis

[datensicherheit.de, 18.10.2022] Trend Micro hat nach eigenen Angaben eine neue Studie veröffentlicht, aus der demnach hervorgeht, dass weltweit 86 Prozent der Unternehmen und Einrichtungen im Gesundheitswesen, die von Ransomware betroffen waren, Betriebsausfälle erlitten.

Foto: Trend Micro

Richard Werner warnt vor häufig zu geringen IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen…

57% der Healthcare-Unternehmen in den letzten drei Jahren durch Ransomware kompromittiert

Laut dieser Studie räumten weit mehr als die Hälfte (57%) der befragten Healthcare-Unternehmen ein, in den letzten drei Jahren durch Ransomware kompromittiert worden zu sein. „25 Prozent der Opfer gaben außerdem an, dass ihr Betrieb vollständig zum Erliegen gekommen sei. Weitere 60 Prozent erlebten eine Beeinträchtigung ihrer Geschäftsprozesse.“

Im Durchschnitt habe es bei den meisten Unternehmen Tage (56%) oder Wochen (24%) gedauert, bis der Betrieb wieder vollständig hergestellt war. Ransomware verursache nicht nur im Gesundheitssektor erhebliche betriebliche Probleme, sondern gelte auch in anderen Branchen als eines der größten Cyber-Risiken.

Bei 60% der Befragten sensible Daten durch Ransomware-Angriff in falsche Hände geraten

Bei drei Fünftel (60%) der Befragten seien sensible Daten durch den Angriff in falsche Hände geraten. Dies stelle ein erhöhtes Compliance-Risiko dar und könne der Unternehmensreputation schaden. Außerdem erhöhten sich die Kosten für Nachforschungen, Eindämmungsmaßnahmen und die Bereinigung des Vorfalls.

Die Teilnehmer der Studie nannten laut Trend Micro Schwachstellen in der Lieferkette als eine der größten Herausforderungen. Relevant seien vor allem folgende Bereiche:

• „43 Prozent sind der Überzeugung, ihre Partner hätten sie zu einem attraktiveren Angriffsziel gemacht.
• 43 Prozent geben außerdem an, ein Mangel an Transparenz in der gesamten Ransomware-Angriffskette habe sie anfälliger gemacht.
• 36 Prozent nennen einen mangelnden Überblick über ihre Angriffsoberfläche als weiteren Grund, der sie verstärkt zu einem Ziel für Attacken gemacht habe.“

Malware- und Ransomware-Schutz: regelmäßig Patches aktualisieren

Die gute Nachricht sei, dass ein Großteil der Gesundheitseinrichtungen (95%) bei vor allem nach außen sichtbaren Systemen regelmäßig Patches aktualisiere, während ein fast ebenso großer Anteil (91%) E-Mail-Anhänge einschränke und so das Malware-Risiko verringere. „Viele befragte Unternehmen nutzen darüber hinaus Tools für Network (NDR), Endpoint (EDR) oder Extended Detection and Response (XDR).“

Die Studie zeige jedoch auch potenzielle Schwachstellen auf, darunter:

• „Ein Fünftel (17%) verfügt über keinerlei Kontrollen des Remote-Desktop-Protokolls (RDP).
• Viele Unternehmen tauschen keine Bedrohungsdaten mit Partnern (30%), Lieferanten (46%) oder ihrem breiteren Ökosystem (46%) aus.
• Ein Drittel (33%) tauscht keine Informationen mit den Strafverfolgungsbehörden aus.
• Nur die Hälfte oder weniger befragte Unternehmen verwenden derzeit NDR (51%), EDR (50%) oder XDR (43%).
• Besorgniserregend wenige Healthcare-Unternehmen sind in der Lage, ,Lateral Movement’ (32%), Erstzugriffe (42%) oder die Verwendung von Tools wie ,Mimikatz’ und ,PsExec’ (46%) zu erkennen.“

Gesundheitswesen noch immer zu leichtes Opfern von Ransomware-Angriffen

„Cyber-Kriminelle suchen sich ganz gezielt Einrichtungen des Gesundheitswesens heraus, die ein vermeintlich schwaches Glied in ihrer Verteidigungskette aufweisen. Der große Druck, der derzeit auf Unternehmen und Einrichtungen in der Branche lastet, sowie häufig geringe IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen, machen sie zu leichten Opfern von Angriffen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Er betont: „Damit zählt die Healthcare-Branche zu den Top 3 der am meisten angegriffenen Branchen weltweit.“ Abschließend weist er auch darauf hin, dass die Bundesregierung im Rahmen des Krankenhauszukunftsgesetz (KHZG) seit Januar 2021 auch Investitionen in die IT-Security unterstützt.

Weitere Informationen zum Thema:

TREND MICRO
A global study / EVERYTHING IS CONNECTED: Uncovering the ransomware threat from global supply chains