In Zeiten der Unsicherheit müssen sich Unternehmen zunehmend auf Cyber-Vorfälle vorbereiten. Cyberkriminelle werden 2023 unter anderem auf identitätsbasierte Angriffe und APIs als Angriffsvektor setzen. Außerdem wird Datenerpressung zum wichtigsten eCrime-TTP werden.
1. Identitätsbasierte Angriffe
Im Jahr 2023 werden Cyberakteure auf identitätsbasierte Angriffe setzen, um Erstzugriff zu erlangen und sich anschließend lateral zu bewegen. Dadurch wird die Breakout Time weiter verkürzt.
Im Laufe des Jahres 2022 korrelierte die steigende Anzahl identitätsbasierter Angriffe, mit der Entwicklung raffinierter dateiloser Techniken zur Umgehung herkömmlicher Multi-Faktor-Authentifizierungsmechanismen. Aber nicht nur gestohlene Anmeldedaten, sondern auch Pass-the-Cookie, Golden-SAML sowie Social Engineering gepaart mit MFA-Müdigkeit bieten immer mehr Möglichkeiten, eine Identität zu kompromittieren. Wir erwarten, dass die Angreifer im Jahr 2023 noch schneller werden, wenn sie sich mittels kompromittierter Identitäten lateral zwischen den Endpoints bewegen, um beispielsweise Ransomware zu implementieren, durch Business E-Mail Compromise (BEC) auf die E-Mail-Infrastruktur zugreifen, oder aber um wichtige Daten aus der öffentlichen Cloud-Infrastruktur von Azure, GCP oder AWS zu exfiltrieren.
2. APIs sind der nächste Angriffsvektor
Angesichts der zunehmenden Verbreitung und Nutzung von SaaS-Anwendungen hat die Verwendung von APIs von Jahr zu Jahr exponentiell zugenommen. Wie bei jedem anderen Wachstumsbereich steigt auch hier das damit verbundene Risiko. APIs verbinden wichtige Daten und Dienste, die die digitale Innovation vorantreiben. Infolgedessen haben sich APIs als äußerst wertvolles Ziel für Cyberkriminelle erwiesen. Für Sicherheitsteams ist es unabdingbar, ein gründliches Verständnis und einen klaren Einblick in ihre gesamte Angriffsfläche zu haben. Dazu gehören alle APIs in Ihrer Umgebung, einschließlich undokumentierter (Schatten-)APIs sowie nicht verwendeter/veralteter APIs, die nicht deaktiviert wurden. Angesichts mehrerer aufsehenerregender Vorfälle im Zusammenhang mit APIs in jüngster Zeit wird erwartet, dass sich dieser Trend im Jahr 2023 noch verstärken wird.
3. Datenerpressung wird zur wichtigsten Cybercrime-Taktik
Dedizierte Data Leak-Marktplätze werden im Jahr 2023 einen massiven Aufschwung erleben, da die Datenerpressung zum wichtigsten eCrime-TTP (Tactics, Techniques, Procedures) wird.
Datenerpressung wird sich im Jahr 2023 zur häufigsten TTP von eCriminellen entwickeln und wird die herkömmliche Datenverschlüsselung übertreffen. Dies ermöglicht es Cyberakteuren, Unternehmen mit Taktiken wie der doppelten oder dreifachen Erpressung wiederholt zu schikanieren. Ein Beispiel dafür sind die so genannten „Lock-and-Leak“-Operationen, bei denen eCrime-Akteure gezielt Unternehmen mit wertvollen Daten angreifen – etwa aus dem Technologie-, Fertigungs- und Finanzsektor – und die Zielnetzwerke sperren, um anschließend damit zu drohen, die erbeuteten Daten der Opfer zu veröffentlichen. In Branchen wie dem Gesundheitswesen, die verschiedene gesetzliche Vorschriften einhalten müssen, kann ein solcher Angriff verheerend sein. In Folge der zunehmenden Datendiebstähle und -erpressungen werden neue kriminelle Marktplätze aus dem Boden sprießen, die sich der Vermarktung und dem Verkauf der erbeuteten Daten widmen.
4. Der Teufelskreislauf aus Zero Day Tuesday und Hack Wednesday geht weiter
Die Patch-Panik, die Sicherheitsteams jeden zweiten Dienstag im Monat ergreift, wird auch 2023 anhalten und sich sogar noch verstärken, da die TTPs der Angreifer immer raffinierter werden und weiterhin auf Zero-Day-Schwachstellen abzielen. Die Anzahl von Zero-Day-Sicherheitslücken und kritischen Schwachstellen hat weiter zugenommen, während gleichzeitig die Zeitspanne zwischen dem Bekanntwerden dieser Schwachstellen und den aktiven Versuchen von Bedrohungsakteuren, diese auszunutzen, kürzer geworden ist. Tatsächlich haben wir im Jahr 2022 viele Fälle erlebt, in denen Bedrohungsakteure angekündigte Schwachstellen sofort ausgenutzt haben. Die zunehmende Zahl von Zero-Day-Bedrohungen unterstreicht die Bedeutung proaktiver Threat-Hunting-Lösungen, die in der Lage sind, Bedrohungen in großem Umfang zu bekämpfen. Ohne eine derartige Lösung werden Unternehmen viel Zeit damit verbringen, kritische Patches umgehend nach deren Veröffentlichung aufzuspielen oder sich auf Workarounds zu konzentrieren, falls keine Patches verfügbar sind.
5. Organisatorische Zwänge in Zeiten der Unsicherheit werden 2023 zu aufsehenerregenden Cyber-Vorfällen führen
Die weltweit vorherrschende Unsicherheit bietet Bedrohungsakteuren ein ideales Umfeld für ihre Machenschaften. Im aktuellen, sich schnell verändernden wirtschaftlichen und geopolitischen Klima stehen Unternehmen unter erhöhtem Druck, mit weniger Mitteln immer mehr zu erreichen und sich zugleich mit ähnlichen oder potenziell weniger Ressourcen gegen die immer zahlreicheren und heftigeren Cyberangriffe zu schützen. Die Folgen eines hochkarätigen Cyberangriffs können für das betroffene Unternehmen sogar noch drastischer ausfallen, wenn es sich keine Ausfallzeiten leisten kann und eine größere Datenpanne das gesamte Unternehmen lahmzulegen droht. Die Kosten für die Aufräumarbeiten nach einem Sicherheitsverstoß sind enorm und können sich über Jahre hinziehen. So fallen zum Beispiel Kosten für die Behebung des Sicherheitsverstoßes und forensische Untersuchungen, Rechtskosten, den Wechsel des Sicherheitsanbieters und die Benachrichtigung von Kunden und Aufsichtsbehörden an. Wir werden 2023 weitere öffentlichkeitswirksame Sicherheitsvorfälle erleben, da der Druck organisatorischer Zwänge in Zeiten der Unsicherheit zunimmt.