Im vergangenen Jahr sahen sich Unternehmen mit einer Vielzahl von Online-Bedrohungen konfrontiert: ausgeklügelte Advanced Persistent Threats (APTs), skrupellose Cyberkriminelle, verärgerte Insider, ein Wiederaufleben von "Hacktivism" und Distributed Denial of Service (DDoS)-Angriffen und vieles mehr. Auch beherrschten geopolitische Krisen, wie der Ukraine-Krieg, nicht nur die Schlagzeilen, sondern auch die Cybersphäre durch vielfältige Angriffsmethoden.
In unserem neuen Report "Cyber Threats 2022: A Year in Retrospect" untersuchen wir Akteure, Trends, Tools und Motive, die die Cyber-Bedrohungslandschaft im vergangenen Jahr geprägt haben und entsprechende Schlüsse auf mögliche zukünftige Bedrohungen zulassen. Der Bericht enthält Fallstudien und zeigt, wie auf konkrete Vorfälle reagiert wurde – auch mit Blick auf die bei Angriffen verwendeten Tools und Methoden. Die im Bericht enthaltene Erkennungslogik kann Unternehmen gezielt bei der Abwehr von Cyberbedrohungen unterstützen.
Die wichtigsten Fakten
- Die wirtschaftliche Cybersicherheit wird immer mehr zum Thema der nationalen Sicherheit, denn einige Staaten nutzen Cyberkriminalität als Taktik im Kampf um politische, territoriale und wirtschaftliche Dominanz.
- Im vergangenen Jahr wurden Zero-Day-Schwachstellen von Angreifern genutzt, insbesondere die Log4Shell-Schwachstelle. Diese hat etwa 93% der Cloud-Systeme von Unternehmen betroffen und damit Hunderte Millionen von Computern infiziert.
- Der Anstieg finanziell motivierter Angriffe stellte im vergangenen Jahr ein großes Problem dar. Ransomware-Angriffe dominieren dabei auch weiterhin das Geschehen.
Investitionen in Cybersicherheit steigen
Immer mehr Unternehmen sind von geopolitischen Gefahren, Cyberangriffen und Lieferkettenrisiken betroffen. Als Reaktion darauf ergreifen CEOs zunehmend Maßnahmen, die ihre Unternehmen umfassend schützen. Diese Schutzmaßnahmen umfassen höhere Investitionen in Cybersicherheit und Datenschutz, Anpassungen ihrer Lieferketten oder Standortwechsel. Aufsichtsräte verlangen außerdem vermehrt nach regelmäßigen Informationen über die aktuelle Risikolandschaft, um proaktiv mit entsprechenden Strategien kontern zu können.
Angreifer setzen vermehrt auf Ransomware
Im Jahr 2022 zeigte sich eine beunruhigende Entwicklung im Bereich Cyberkriminalität: Angreifer wurden zunehmend opportunistisch und griffen ungeschützte Systeme mit Hack-and-Leak-Operationen an. Dabei wählten sie oft hochkarätige oder vermeintlich wertvolle Ziele aus, um Aufmerksamkeit und Prominenz zu erzeugen. Ransomware-Angriffe waren dabei besonders lukrativ für Kriminelle, die auf Diebstahl, Erpressung und Betrug setzten.
Ransomware-Bedrohungsakteure gingen im Jahr 2022 noch aggressiver vor, um Erpressungsopfer unter Druck zu setzen und Informationen über Insider zu erlangen. Das schnelle Einspielen von Sicherheitsupdates wird für Unternehmen daher langfristig entscheidend sein, wie auch der Fall der Log4Shell-Schwachstelle gezeigt hat. Dieser Trend wird sich in den kommenden Jahren noch verstärken.
Komplexe Tools und ausgefeilte Angriffsmethoden
Bei Angriffen werden immer häufiger fortschrittliche Tools und Frameworks verwendet, um Sicherheitsmaßnahmen zu umgehen. Sie kombinieren neue Ansätze mit etablierten Methoden, wie zum Beispiel die Ausnutzung von ungeschützten Instanzen des Remote-Desktop-Protokolls (RDP) und Systemen ohne Multi-Faktor-Authentifizierung – ein Trend der sich im vergangenen Jahr verstärkt hat und weiter anhalten wird.
Digitale Lieferketten im Visier der Angreifer
Der Blick auf das Jahr 2022 zeigt deutlich, dass Unternehmen ihre Investitionen in Verteidigungskapazitäten erhöhen und ihre Teams, Prozesse und Tools kontinuierlich weiterentwickeln. Verteidiger nehmen nicht mehr nur die Opferrolle ein, sondern können mit Threat Intelligence auch selbst aktiv werden.
Wir gehen davon aus, dass die Bedrohungslandschaft im Jahr 2023 durch das gezielte Aushebeln von Identitätsverifizierungen und des Privileged Access Management (PAM) dominiert wird. Cyber-Bedrohungen werden zunehmend digitale Lieferketten betreffen und 0-Days als Einfallstore ausnutzen, gegebenenfalls auch vor einem Spionagehintergrund. Große Organisationen mit sensiblen Daten rücken damit zunehmend ins Visier von staatlich gesteuerten Cyberkriminellen.
Threat Intelligence als aktiver Schutz
Angriffe aus dem Netz können jedes System treffen. Schnelles Reagieren und Threat Intelligence, also Verteidigungsmaßnahmen auf Basis von Echtzeit-Bedrohungsdaten, gewinnen jetzt weiter an Bedeutung. Verbraucher:innen, Mitarbeiter:innen und Investor:innen verlassen sich darauf, dass Unternehmen ihre Cyberresilienz weiterentwickeln und die digitale Bedrohungslage entsprechend einschätzen.
Welche Fragen Sie sich stellen sollten
- Haben wir unsere Grundlagen abgedeckt?
- Sind wir resilient?
- Haben wir unsere Notfallpläne getestet?
- Welche Entscheidungen müssen wir im Notfall treffen?
- Haben wir unseren Kommunikationsplan getestet?
- Wie steht es um die Cyberversicherung?
- Haben wir mögliche neue geopolitische Konflikte durchdacht?
Haben wir unsere Grundlagen abgedeckt?
Haben wir eine umfassende Sicherheitsstrategie in Form einer "Defense-in-Depth" implementiert, die aus mehreren Ebenen besteht und sich gegenseitig unterstützt, um einen Angriff abzuwehren, falls ein Mechanismus versagt? Enthält diese ein robustes Identitäts- und Zugriffsmanagement, eine fortlaufende Überwachung und Zero Trust-Prinzipien? Sind unsere Remote-Desktop-Protokolle mit dem Internet verbunden? Wenn ja, haben wir sie ausreichend gesichert?
Sind wir resilient?
Kennen wir unsere kritischen Abhängigkeiten genau? Haben wir unsere Systeme kartiert? Sichern wir unsere Systeme und Daten, und können wir schnell darauf zugreifen?
Haben wir unsere Notfallpläne getestet?
Haben wir unsere Pläne für Krisenmanagement, Disaster Recovery, Business Continuity und Katastrophenmanagement getestet? Liegen die Verantwortlichkeiten bei einer ausgewählten Führungskraft, die befugt ist, diese Bemühungen unternehmensweit zu leiten?
Welche Entscheidungen müssen wir im Notfall treffen?
Kennen wir die Entscheidungen, die wir im Falle eines Angriffs schnell treffen müssen? Unter welchen Umständen würden wir ein Lösegeld zahlen, wenn überhaupt? Verfügen wir über die Informationen zu den potenziellen Schäden – betrieblich, finanziell, rechtlich und in Bezug auf den Ruf –, um eine gute Entscheidung treffen zu können? Steht unser Prozess im Einklang mit unseren Unternehmenswerten?
Haben wir unseren Kommunikationsplan getestet?
Wie informieren wir den Vorstand und unseren CEO? Wie und wann würden wir einen Angriff innerhalb des Unternehmens und gegenüber unseren Aktionär:innen kommunizieren?
Wie steht es um die Cyberversicherung?
Haben wir eine Cyberversicherung, und reicht sie aus, um unsere Verluste zu decken? Wofür zahlt sie? Deckt sie Lösegeldzahlungen ab? Wie funktioniert sie? Wenn wir keine Cyberversicherung haben, wie sieht unser Plan zur Deckung der Kosten aus?
Haben wir mögliche neue geopolitische Konflikte durchdacht?
Betrachten wir Datenschutz-, Privatsphäre- und Cybersicherheitsregeln in einem größeren Zusammenhang – zum Beispiel, dass Nationen sie möglicherweise nutzen, um ihre eigene wirtschaftliche Wettbewerbsfähigkeit zu verbessern? Wenn wir mit einem vorgeschlagenen Datenschutzgesetz oder mit Wirtschaftssanktionen konfrontiert werden, wollen wir dann in diesem Markt weiterhin auf unserem derzeitigen Niveau oder überhaupt Geschäfte machen? Lohnt es sich, dieses Risiko einzugehen? Wollen wir unser Portfolio umstrukturieren und uns ganz oder teilweise auf andere Märkte konzentrieren? Sind wir besorgt, dass unser geistiges Eigentum angreifbar sein könnte? Wenn ja, wie können wir es schützen?
Intelligence Reporting
Wir stellen Ihnen regelmäßig Reports bereit, die Bedrohungen im Zusammenhang mit Cyberkriminalität, Spionage, Hacktivismus und Sabotage aufdecken. Diese Reports umfassen sowohl umsetzbare technische Informationen als auch strategische Berichte über geopolitische Ereignisse, die das Verhalten und die Ziele bestimmter Bedrohungsakteure beeinflussen können. Durch diese Informationen bleiben Ihre Sicherheitsteams stets auf dem neuesten Stand, wenn sich die Bedrohungen weiterentwickeln und verändern. So können Sie effektiv auf potenzielle Bedrohungen reagieren und die Sicherheit Ihrer digitalen Infrastruktur gewährleisten.
Early Warning Service
Unser Threat Intelligence Service bietet Ihnen die Möglichkeit, auf unsere API und Anreicherungsserver zuzugreifen. Dies ermöglicht es Analyst:innen, Daten aus Untersuchungen anzureichern, um ein besseres Verständnis der Bedrohungsakteure und ihrer Methoden zu erhalten. Darüber hinaus können SOC-Teams unsere Informationen in ihre SIEMs integrieren, um eine umfassende Sicht auf ihre Sicherheitslage zu gewährleisten. Auf diese Weise können Sie schnell auf potenzielle Bedrohungen reagieren und entsprechende Gegenmaßnahmen ergreifen.
Early Warning ServiceZusammenarbeit mit Analyst:innen
Wir bieten Ihnen einen zentralen Abonnementdienst für Threat Intelligence, der einen virtuellen Raum für Echtzeit-Zusammenarbeit und kontinuierliche Diskussionen zwischen Ihren und unseren Analyst:innen umfasst. Bei Bedarf stellen wir formell Second- und Third-Line-Intelligence-Support bereit, um Sie bei komplexen Triage- und Incident-Response-Untersuchungen zu unterstützen.
Maßgeschneiderte Bedrohungsanalysen
Die Erstellung maßgeschneiderter Recherchen und Berichte über Bedrohungsakteure, Kampagnen, Malware und anderer bösartiger Indikatoren hilft Ihnen bei neuen oder laufenden Untersuchungen und kann Ihre vorhandenen Ressourcen bei Bedarf ad hoc erweitern.
Malware, Netzwerk- und Verhaltensregeln
Wir bieten Ihnen direkten Zugang zu Erkennungsfunktionen, einschließlich regelmäßig generierter, präziser Netzwerk-IDS- und Malware-Erkennungssignaturen. Diese können Sie nutzen, um die Verteidigungsfähigkeiten Ihres Unternehmens proaktiv zu verbessern.
Kontakt
Partner, Threat und Incident Management Leader, PwC Austria
Tel: +43 1 501 88-2312