Im vergangenen Jahr sahen sich Unternehmen mit einer Vielzahl von Online-Bedrohungen konfrontiert: ausgeklügelte Advanced Persistent Threats (APTs), skrupellose Cyberkriminelle, verärgerte Insider, ein Wiederaufleben von "Hacktivism" und Distributed Denial of Service (DDoS)-Angriffen und vieles mehr. Auch beherrschten geopolitische Krisen, wie der Ukraine-Krieg, nicht nur die Schlagzeilen, sondern auch die Cybersphäre durch vielfältige Angriffsmethoden.
In unserem neuen Report "Cyber Threats 2022: A Year in Retrospect" untersuchen wir Akteure, Trends, Tools und Motive, die die Cyber-Bedrohungslandschaft im vergangenen Jahr geprägt haben und entsprechende Schlüsse auf mögliche zukünftige Bedrohungen zulassen. Der Bericht enthält Fallstudien und zeigt, wie auf konkrete Vorfälle reagiert wurde – auch mit Blick auf die bei Angriffen verwendeten Tools und Methoden. Die im Bericht enthaltene Erkennungslogik kann Unternehmen gezielt bei der Abwehr von Cyberbedrohungen unterstützen.
Immer mehr Unternehmen sind von geopolitischen Gefahren, Cyberangriffen und Lieferkettenrisiken betroffen. Als Reaktion darauf ergreifen CEOs zunehmend Maßnahmen, die ihre Unternehmen umfassend schützen. Diese Schutzmaßnahmen umfassen höhere Investitionen in Cybersicherheit und Datenschutz, Anpassungen ihrer Lieferketten oder Standortwechsel. Aufsichtsräte verlangen außerdem vermehrt nach regelmäßigen Informationen über die aktuelle Risikolandschaft, um proaktiv mit entsprechenden Strategien kontern zu können.
Im Jahr 2022 zeigte sich eine beunruhigende Entwicklung im Bereich Cyberkriminalität: Angreifer wurden zunehmend opportunistisch und griffen ungeschützte Systeme mit Hack-and-Leak-Operationen an. Dabei wählten sie oft hochkarätige oder vermeintlich wertvolle Ziele aus, um Aufmerksamkeit und Prominenz zu erzeugen. Ransomware-Angriffe waren dabei besonders lukrativ für Kriminelle, die auf Diebstahl, Erpressung und Betrug setzten.
Ransomware-Bedrohungsakteure gingen im Jahr 2022 noch aggressiver vor, um Erpressungsopfer unter Druck zu setzen und Informationen über Insider zu erlangen. Das schnelle Einspielen von Sicherheitsupdates wird für Unternehmen daher langfristig entscheidend sein, wie auch der Fall der Log4Shell-Schwachstelle gezeigt hat. Dieser Trend wird sich in den kommenden Jahren noch verstärken.
Bei Angriffen werden immer häufiger fortschrittliche Tools und Frameworks verwendet, um Sicherheitsmaßnahmen zu umgehen. Sie kombinieren neue Ansätze mit etablierten Methoden, wie zum Beispiel die Ausnutzung von ungeschützten Instanzen des Remote-Desktop-Protokolls (RDP) und Systemen ohne Multi-Faktor-Authentifizierung – ein Trend der sich im vergangenen Jahr verstärkt hat und weiter anhalten wird.
Der Blick auf das Jahr 2022 zeigt deutlich, dass Unternehmen ihre Investitionen in Verteidigungskapazitäten erhöhen und ihre Teams, Prozesse und Tools kontinuierlich weiterentwickeln. Verteidiger nehmen nicht mehr nur die Opferrolle ein, sondern können mit Threat Intelligence auch selbst aktiv werden.
Wir gehen davon aus, dass die Bedrohungslandschaft im Jahr 2023 durch das gezielte Aushebeln von Identitätsverifizierungen und des Privileged Access Management (PAM) dominiert wird. Cyber-Bedrohungen werden zunehmend digitale Lieferketten betreffen und 0-Days als Einfallstore ausnutzen, gegebenenfalls auch vor einem Spionagehintergrund. Große Organisationen mit sensiblen Daten rücken damit zunehmend ins Visier von staatlich gesteuerten Cyberkriminellen.
Angriffe aus dem Netz können jedes System treffen. Schnelles Reagieren und Threat Intelligence, also Verteidigungsmaßnahmen auf Basis von Echtzeit-Bedrohungsdaten, gewinnen jetzt weiter an Bedeutung. Verbraucher:innen, Mitarbeiter:innen und Investor:innen verlassen sich darauf, dass Unternehmen ihre Cyberresilienz weiterentwickeln und die digitale Bedrohungslage entsprechend einschätzen.
Haben wir eine umfassende Sicherheitsstrategie in Form einer "Defense-in-Depth" implementiert, die aus mehreren Ebenen besteht und sich gegenseitig unterstützt, um einen Angriff abzuwehren, falls ein Mechanismus versagt? Enthält diese ein robustes Identitäts- und Zugriffsmanagement, eine fortlaufende Überwachung und Zero Trust-Prinzipien? Sind unsere Remote-Desktop-Protokolle mit dem Internet verbunden? Wenn ja, haben wir sie ausreichend gesichert?
Kennen wir unsere kritischen Abhängigkeiten genau? Haben wir unsere Systeme kartiert? Sichern wir unsere Systeme und Daten, und können wir schnell darauf zugreifen?
Haben wir unsere Pläne für Krisenmanagement, Disaster Recovery, Business Continuity und Katastrophenmanagement getestet? Liegen die Verantwortlichkeiten bei einer ausgewählten Führungskraft, die befugt ist, diese Bemühungen unternehmensweit zu leiten?
Kennen wir die Entscheidungen, die wir im Falle eines Angriffs schnell treffen müssen? Unter welchen Umständen würden wir ein Lösegeld zahlen, wenn überhaupt? Verfügen wir über die Informationen zu den potenziellen Schäden – betrieblich, finanziell, rechtlich und in Bezug auf den Ruf –, um eine gute Entscheidung treffen zu können? Steht unser Prozess im Einklang mit unseren Unternehmenswerten?
Wie informieren wir den Vorstand und unseren CEO? Wie und wann würden wir einen Angriff innerhalb des Unternehmens und gegenüber unseren Aktionär:innen kommunizieren?
Haben wir eine Cyberversicherung, und reicht sie aus, um unsere Verluste zu decken? Wofür zahlt sie? Deckt sie Lösegeldzahlungen ab? Wie funktioniert sie? Wenn wir keine Cyberversicherung haben, wie sieht unser Plan zur Deckung der Kosten aus?
Betrachten wir Datenschutz-, Privatsphäre- und Cybersicherheitsregeln in einem größeren Zusammenhang – zum Beispiel, dass Nationen sie möglicherweise nutzen, um ihre eigene wirtschaftliche Wettbewerbsfähigkeit zu verbessern? Wenn wir mit einem vorgeschlagenen Datenschutzgesetz oder mit Wirtschaftssanktionen konfrontiert werden, wollen wir dann in diesem Markt weiterhin auf unserem derzeitigen Niveau oder überhaupt Geschäfte machen? Lohnt es sich, dieses Risiko einzugehen? Wollen wir unser Portfolio umstrukturieren und uns ganz oder teilweise auf andere Märkte konzentrieren? Sind wir besorgt, dass unser geistiges Eigentum angreifbar sein könnte? Wenn ja, wie können wir es schützen?
Partner, Threat und Incident Management Leader, PwC Austria
Tel: +43 1 501 88-2312