Trotz aller Sicherheits-Technologien wächst die Bedrohung. Im Jahr 2022 waren neben Unternehmen auch Organisationen im Bildungs- und Gesundheitsbereich und Behörden im Visier der Angreifer. Das zeigen aktuelle Studien. Covid als Lock (down)-Motto indes weicht aus den betrügerischen Drohszenarien. Phishing statt Mining?
Rubrik und Zscaler haben ihre Kunden zum Thema Datensicherheit befragt. 99 Prozent meldeten mindestens eine Attacke im Jahr 2022, 61 Prozent davon auf SaaS (Software-as-a-Service). 73 Prozent sagen, Angriffe seien »teilweise« erfolgreich gewesen. Das heißt, drei Viertel der Unternehmen und Organisationen werden ihrer Datenschutz-Pflicht nicht gerecht.
Microsoft-Marken, darunter OneDrive und SharePoint, sowie Kryptobörsen und illegale Streaming-Dienste, wurden 2022 am stärksten ins Visier genommen. Markenangriffe mit Covid-Thema machten 2021 rund 14 von Hundert der Phishing-Betrügereien aus, während sie 2022 zurückgingen. Ausgefeilte Adversary-in-Middle-Angriffe (AiTM) helfen Angreifern dagegen zunehmend, die Sicherheitsmaßnahmen einer Multifaktor-Authentifizierung (MFA) zu umgehen. Markenangriffe mit Covid-Thema machten 2021 7,2 Prozent der Phishing-Betrügereien aus, während sie 2022 auf 3,7 Prozent zurückgingen.
Phishing-Angriffe stiegen im Jahr 2022 um 47,2 Prozent im Vergleich zu 2021. KI-Tools haben erheblich zum Wachstum von Phishing beigetragen, indem sie die technischen Eintrittsbarrieren für Kriminelle verringert und ihnen Zeit und Ressourcen gespart haben. Der Bildungssektor war mit einer Zunahme der Angriffe um 576 Prozent die am stärksten betroffene Branche, während das wichtigste Angriffsziel des letzten Jahres, der Einzel- und Großhandel, um 67 Prozent zurückging. Angreifer gehen über SMS-Phishing (SMiShing) hinaus und verwenden Voicemail-bezogenes Phishing (Vishing), um Opfer zum Öffnen bösartiger Anhänge zu verleiten.
Die USA, das Vereinigte Königreich (UK), die Niederlande, Russland und Kanada waren die fünf am stärksten betroffenen Länder. Deutschland rangiert auf Rang sieben. Die am häufigsten nachgeahmten Marken, Produkte und Dienstleistungen bei Phishing-Angriffen im Jahr 2022 sind Microsoft-Dienste, OneDrive, Binance, Illegale Streaming-Sites, Sharepoint, Covid-19-Hilfe, Regierung sowie Netflix und Facebook, sagt die Studie. Spezifika für den Bildungs- und Gesundheitsbereich, so wollen die Studien nahelegen, sind daraus allerdings nicht ableitbar.
Phishing auf dem Vormarsch
Laut dem aktuellen Studienbericht State of Data Security von Rubrik Zero Labs wird die Datensicherheit immer schwieriger, weil geschäftskritische Datensätze schnell wachsen und sich auf immer komplexere Unternehmensnetzwerke verteilen. Zahlen des Reports zeigen, dass Unternehmen im Jahr 2022 durchschnittlich 61 Prozent mehr Daten in der Cloud und 226 Prozent mehr Daten in SaaS-Anwendungen sicherten als noch in den Jahren zuvor.
Zahlen des Phishing-Bericht 2023 von Zscaler weisen darauf hin, dass die Zahl der Phishing-Angriffe weltweit im Jahr 2022 im Vergleich zu 2021 um fast 50 Prozent gestiegen ist. Das sei das Ergebnis neuer und sich weiterentwickelnder Bedrohungen wie Adversary-in-the-Middle-(AitM)-Angriffe, Phishing-as-a-Service-(PaaS)-Kits und KI-Tools wie ChatGPT.
Zscaler und Rubrik: Kooperation
Die Datenschutzlösungen von Zscaler sollen Unternehmen unterstützen, um das Abfließen sensibler Daten durch Unbefugte zu verhindern und Cloud-Kanäle zu sichern. Die Plattform bietet Funktionen wie KI/ML-basierte automatische Datenerkennung und Zero-Configuration-Deployment, Exact-Data-Match (EDM) und Indexed-Document-Matching (IDM).
Die Integration von Rubrik mit Zscaler Data Loss Prevention (DLP) identifiziert proaktiv sensible Geschäftsdaten in Unternehmens-, Cloud- und SaaS-Umgebungen. So können spezifische Datenschutzmaßnahmen implementiert werden, um Datenverluste zu verhindern. Mit der Integration klassifiziert Rubrik Sensitive Data Monitoring & Management sensible Daten außerhalb der Produktionsumgebung des Kunden. Dies soll Kunden ermöglichen, sensible und relevante Daten leichter zu identifizieren.
Automatisiertes Data-Loss-Prevention
»Das Wachstum und die Raffinesse von Cyberangriffen zeigen keine Anzeichen einer Verlangsamung und sie haben es alle auf eines abgesehen – ihre Daten«, sagt Bipul Sinha, CEO und Co-Founder von Rubrik. Für Jay Chaudhry, CEO, Chairman und Gründer von Zscaler, sei es für Organisationen entscheidend, eine Zero-Trust-Strategie zu priorisieren, um geschäftskritische Abläufe aufrechtzuerhalten.
»Der Begriff Data Loss Prevention hatte einen schwierigen Start«, meint Frank Dickson, Group Vice President, Security & Trust bei den Analyten von IDC. »Frühere Implementierungen waren meist sehr manuell, die Verwaltung war mühsam und die Last der Datenklassifizierung wurde oft auf den Endbenutzer abgewälzt«, »Die Integration von Rubrik und Zscaler adressiert deshalb einen kritischen Bedarf durch Automatisierung. Unternehmen können Schutzmaßnahmen für kritische Daten implementieren und gleichzeitig den Verwaltungs-Aufwand für Datensicherheitsexperten minimieren«.
Anmerkung der Redaktion
Was ist eigentlich Phishing? Ich habe mir bei einem bekannten Online-Händler ein Paar Sneaker bestellt. Seitdem poppen exakt diese Schuhe beim Aufruf von kommerziellen Websites immer wieder auf, so als würde ich 20 Paar davon benötigen. So viel zur Intelligenz von KI…
Dann gibt es noch SI (ich nenne das für mich so: Social Intelligence). 25 Meter von meinem Wohnraum entfernt befindet sich die lokale Abteilung einer sozialdemokratischen Bundestagspartei. Auf meinem Briefkasten befinden sich zwei Aufkleber, mit der Aufschrift »Bitte keine Werbung«. Die Partei hielt sich nicht daran, also ruf ich dort an, um mitzuteilen, dass Partei-Werbung eben auch Werbung sei und ich, wenn es mich interessieren würde, gerne die 25 Meter zurücklege, statt Hochglanz-Papier im Briefkasten zu haben. Effekt: Der Stammtisch-Vorsitzende hat mich angerufen und sich entschuldigt, jedoch bekomme ich seither jede Partei-Post…Phishing!
Kurz: Identitäten sind in der nach-analogen Ära kaum mehr zu verschleiern. Und wer wollte das schon, solange das Kerbholz nicht tief eingeschnitzt ist. Phishing und Mining sind Tagesordnung moderner Unternehmen (Phishing von Konto-Daten ist klar, kriminell und dagegen muss Sorge walten und Vorsicht getragen werden). KI soll das Sammeln von persönlichen Informationen automatisieren, steht aber noch am Anfang der Möglichkeiten. Das lässt uns dennoch eigentlich keine Freiheiten: Entweder wir leben im Busch oder in der Realität.
Weitere Informationen: