Gezielt und gut vorbereitet
Weirich (eco) bestätigt die Professionalisierung von Malware- Attacken und unterstreicht: „Kriminelle verschaffen sich ein Bild über die von ihnen angegriffenen Unternehmen, bevor sie sich zu erkennen geben und Daten verschlüsseln oder sperren. Damit ist es ihnen möglich, die finanzielle Leistungsfähigkeit der angegriffenen Unternehmen genauer einzuschätzen und ‚individuelle‘ Lösegeldforderungen zu stellen.“ Grüneberg (Okta) betont die Spezialisierung von Akteuren auf unterschiedliche Angriffsphasen: „Neu ist dabei, dass sehr viel Zeit in die Reconnaissance-Phase und den Aufbau der Infrastruktur für den Angriff investiert wird. Angreifer forschen ein Ziel umfassend aus, setzen dann zum Beispiel Look-a-like-Systeme auf, die vertrauenswürdigen Anwendungen zum Verwechseln ähnlich sehen, und spielen so Schadcode oder falsche Informationen in die Ziele ein.“ Interessant sei auch, dass „bei mehr als 80 % der Attacken ein menschlicher Faktor beteiligt ist und Mitarbeitende Angriffe durch angeleitetes Fehlverhalten erst möglich machen“.
Rebecca Zinke, Managerin im Bereich Cyber and Strategic Risk bei Deloitte, ergänzt: „Die größte Malware- Bedrohung ist ein fehlendes Bewusstsein darüber, welche Angriffsvektoren tatsächlich relevant für die eigene Organisation sind und welche Risiken daraus entstehen können. Auch die Abwehr von Cyberangriffen muss smarter werden: Threat- Intelligence kann ein wichtiger Baustein sein, um eine Threat-Landscape erstellen und damit Angriffsvektoren für die eigene IT-Infrastruktur besser bewerten zu können.“
„Malwarebasierte Angriffe sind im Geschäftsumfeld mittlerweile wesentlich gezielter und werden nicht mehr so sehr mit der sprichwörtlichen Gießkanne verteilt. Ist ein lohnendes Ziel identifiziert, kennen die Angreifenden das Netzwerk oft genau so gut wie das Admin-Team, wenn nicht sogar besser“, warnt Tim Berghoff, Security Evangelist bei G DATA: „Dabei setzen Cyberkriminelle auf Programme und Werkzeuge, die kein Aufsehen erregen, und begnügen sich zunehmend mit Admin-Tools und anderen Hilfsmitteln, die sie ‚vor Ort‘ finden, was ohne entsprechendes Monitoring fast unmöglich aufzudecken ist.“
Mensch, Home-Office und Cloud
„Corona und das verstärkte Homeoffice haben Unternehmen dazu gebracht, auf Cloud-Modelle zu wechseln, um Geschäftsprozesse am Laufen zu halten. Der dadurch bedingte Ansturm auf die Cloud hat der IT wenig Zeit gelassen, um eine saubere Zugangskontrolle sowie ein Überwachen der Infrastruktur auf anfällige Applikationen und Dienste zu implementieren“, berichtet Botezatu (Bitdefender).
„Das ‚New Work‘ hat für die wohl stärkste Veränderung im Security-Design gesorgt – der Zwang zum verteilten Arbeiten hat der ‚Cloudifizierung‘ enormen Vorschub geleistet. Kriminelle haben aber in Rekordzeit erkannt, dass Cloud- Speicher und Kollaborationstools hervorragend geeignet sind, um klassische Perimeterkonzepte auszutricksen“, mahnt auch Uhlemann (ESET): „Gerade Tools wie Exchange in der Cloud oder auch Microsoft Share- Point sind immer wieder Einfallstore für Angriffe gewesen. In absehbarer Zukunft werden wir eine Zunahme an Angriffen auf diese cloudbasierten Tools sehen – wie auch vermehrt Angriffe auf die Lieferkette, beispielsweise über Fernwartungssuiten oder Standardsoftware.“ Entsprechend müssten Malware-Abwehr und andere Security-Maßnahmen auf den Prüfstand: „Nutzen wir alle notwendigen und passenden Sicherheitslösungen? Ist die Security-Architektur in sich stimmig und umfassend auf dem Stand der Technik?“
Weitere Veränderungen
Schmerl (Arctic Wolf) fasst die Veränderungen der letzten Jahre wie folgt zusammen: „Auf der Angreiferseite sind LotL- und Fileless-Angriffstechniken zum Standard geworden – ferner wird immer stärker der ‚Faktor Mensch‘ für Angriffe ausgenutzt. Aufseiten der Unternehmen stellen veraltete Security-Controls die größte Herausforderung dar. Denn diese sind bei neuen Angriffstechniken unwirksam und führen zu falschen Risiko-Einschätzungen. Außerdem fehlen ein ganzheitliches Security- Monitoring und ein umfassendes Sicherheitsbewusstsein der IT-User.“
„Organisationen haben gelernt, dass eine lückenlose Cyberabwehr aufgrund der komplexen Infrastrukturen nicht möglich ist. Konsequenterweise lösen Unternehmen den bekannten ‚Protect & Defend‘-Ansatz durch eine Cyberabwehr im Sinne von ‚Detect & Respond‘ ab und passen zunehmend auch das Risikomanagement an die Bedarfe der digitalen Transformation an“, berichtet Kuhlee (PwC).
„Unter anderem durch die DSGVO ist der Fokus auf Analyse und Vorausschau bei der Sicherheit gewachsen“, sagt Jürgen Jakob, Geschäftsführer von Jakobsoftware, sieht aber dennoch weiterhin heikle Stellen: „Veraltete Systeme – gerade in größeren Unternehmen – sind sicherlich nicht die schlechtesten, aber sind sie auch auf einem aktuellen Stand? Patch-Management ist wichtiger denn je! Die Wahrnehmung seiner Bedeutung und die Umsetzung in ein gutes Patchmanagement gehen jedoch weit auseinander.“
Eine gute Hilfe bei der Entscheidung, was zuerst gepatcht werden muss, sieht Arntz (Malwarebytes) in der Entwicklung einer gemeinsamen Taxonomie für die Analyse und Erforschung von Cyberbedrohungen: „Nennenswerte Beispiele hierfür sind die Mitre-Att&ck-Wissensdatenbank über Taktiken und Techniken von Cyber-Angreifern sowie die CISA-Liste zu bekannten Sicherheitslücken.“
