Die Pandemie hat Unternehmen und Entscheidungsträger weltweit vor unzählige Herausforderungen gestellt und für einige neue Hindernisse gesorgt, die je nach Branche variieren.
In den vergangenen Jahren hat Obrela Security Industries die Bedrohungslandschaft über die wichtigsten Branchen hinweg beobachtet. Die Ergebnisse fließen in den jährlichen Threat Intelligence-Report ein, der Firmen dabei unterstützt, die Risiken in einer zunehmend komplizierter werdenden Umgebung besser zu priorisieren.
Auf welche Bedrohungen man sich konzentrieren sollte ist von vielen Faktoren abhängig. Die geografische Lage spielt eine Rolle, ebenso, wie weit ein Unternehmen in der digitalen Transformation bereits vorangekommen ist und natürlich die Branche. Dieses Zusammenspiel gilt es zunächst genau zu verstehen.
An dieser Stelle beschäftigen wir uns damit, welche Schwachstellen Cyberkriminelle nach der flächendeckenden Migration ganzer Belegschaften zum Remote Working besonders ins Visier genommen haben. Dazu haben wir die jährlich von den Threat Hunting-Teams im Obrela Security Operations Center (SOC) erhobenen Daten verglichen. Ziel war es, besser zu verstehen wie sich Cyberbedrohungen entwickeln. Dazu muss man sich zunächst genauer ansehen, mit welcher Art von Angriffen zu rechnen ist und an welchen Stellen.
Im Wesentlichen sind das fünf Aspekte:
- Angriffe, die sich gegen Systeme oder den Perimeter richten
- Externe Web-Angriffe
- APT- und Malware-Attacken
- Angriffe, die durch Unachtsamkeit oder böswillig agierende Insider verursacht werden
- E-Mail-Angriffe zum Beispiel über Phishing oder BEC-Scams.
Wie hat Remote Working sich auf die Bedrohungslandschaft ausgewirkt?
Im Zuge der Pandemie und den damit verbundenen Veränderungen machten Schlagworte wie „WFH“ (Work from Home) und „Neue Normalität“ die Runde. Bei genauerer Betrachtung ist es allerdings nicht ganz so einfach, die tatsächlichen Auswirkungen dieser Umwälzungen auf die Cybersicherheit zu erfassen. Was bedeutet in dieser Hinsicht die sogenannte „neue Normalität“?
In der Praxis haben wir als direkte Folge der Reaktion auf die Pandemie eine dramatische Verschiebung bei mehreren kritischen Angriffsvektoren gesehen. Das bestätigen die Vergleichsdaten aus 2019 und 2020.
Am auffälligsten, wenn auch nicht unbedingt überraschend, ist der Befund, dass 2020 viele Unternehmen gezwungen waren, auf Remote Working umzustellen, um die betriebliche Kontinuität zu gewährleisten. Das ging ganz klar zu Lasten der Sicherheit. Versäumnisse gab es zum einen bei Mitarbeiterschulungen, zum anderen ist es Firmen oftmals nicht gelungen, ihren Mitarbeitern die nötigen Tools bereitzustellen, um persönliche Daten und geistiges Eigentum gleichermaßen zu schützen.
E-Mail-Angriffe: 2019 versus 2020
Die Zahl der E-Mail-Angriffe ist 2020 im Vergleich zum Vorjahr drastisch um 210 % angestiegen. Der derart deutlich Anstieg lässt sich direkt auf das verteilte Arbeitsmodell zurückführen.
Interessanterweise passierte dieser sprunghafte Anstieg im ersten Quartal 2020, nämlich um mehr als 216 % verglichen mit dem ersten Quartal 2019. Die Zahl der E-Mail-Angriffe stieg dann in jedem Quartal kontinuierlich weiter bis zur Marke von 247 % im zweiten Quartal 2020 und 294 % im dritten Quartal desselben Jahres. Offensichtlich gibt es auch einen direkten Zusammenhang zwischen der Aktivitätsrate von Cyberkriminellen und den internationalen Reaktionen auf die Pandemie. In der Tat hat praktisch jedes europäische Land im ersten Quartal 2020 mindestens eine Form von nationalem Lockdown eingeleitet. Cyberkriminelle sind Opportunisten, die Schwachstellen von Weitem erkennen. So nutzten sie die Pandemie als perfekte Tarnung für Phishing-Kampagnen, die mit der globalen Unsicherheit spielen. Diese Aktivitäten fielen umso mehr auf einen fruchtbaren Boden, als dass vielerorts die Vorbereitung auf Remote Working fehlte und es kaum Cybersicherheitstrainings gab.
Angriffe, verursacht durch Unachtsamkeit und böswillige Insider: 2020 versus 2019
Der flächendeckende Umstieg auf Remote Working oder hybride Arbeitsmodelle hat in den Firmen für viel Verwirrung gesorgt. Unternehmen sahen sich gezwungen, den Betrieb unter den veränderten Bedingungen aufrecht zu halten, waren aber nicht in der Lage remote auf bestehende IT-Systeme zuzugreifen. Die Zahl der Insider-Bedrohungen war 2020 durchgehend höher als im Vorjahr bei einem Anstieg von 20 %. Das ist zwar kein derart dramatischer Sprung wie bei E-Mail-Angriffen in 2020, dennoch zeigt die Zahl, dass Unternehmen in Sachen Identitäts- und Zugriffsmanagement (IAM) noch einen weiten Weg vor sich haben. Vor allem, wenn traditionelle Büro-IT-Systeme redundant werden. Vergleicht man dazu noch die letzten Quartale von 2020 und 2019, ergibt sich ein Anstieg von fast 30 %. Die Zahlen belegen: Cyberkriminelle haben einen Strategiewechsel vollzogen.
System- und Perimeter-Angriffe
Der Anstieg bei Perimeter-Angriffen ist 2020 im Vergleich zu 2019 hingegen drastisch zurückgegangen. Unternehmen waren möglicherweise gezwungen, die digitale Transformation schneller als ursprünglich geplant umzusetzen. In vielen Fällen war die Migration auch nur eine der Pandemie geschuldete, vorübergehende Maßnahme. Die Pandemie hat den Prozess insgesamt vermutlich nur beschleunigt. Die meisten Führungskräfte priorisieren ohnehin die Kontinuität der Geschäftsprozesse und eine reaktive digitale Transformation gegenüber Best Practices bei den Sicherheitsmaßnahmen.
Der Trend zur „Cloudifizierung“ herkömmlicher IT-Infrastrukturen war höchstwahrscheinlich ein wesentlicher Faktor für den Rückgang bei Perimeter-Angriffen. Vergleicht man die Daten aus den letzten Quartalen der beiden Jahre, ergibt sich ein Rückgang um 59 %. Cyberkriminelle haben sich eher darauf konzentriert Business Insider und E-Mail-Schwachstellen auszunutzen, statt herkömmliche betriebliche Strukturen anzugreifen.
Advanced Persistent Threats (APT) und Malware-Attacken
Die organisierte Cyber-Kriminalität richtete sich schon immer gegen Unternehmen, die sensible Finanzdaten verarbeiten oder deren Geschäftsgeheimnisse besonders lukrativ erscheinen.
Diese Aktivitäten haben ganz eindeutig zugenommen. Nationalstaatliche Hacker greifen in großem Stil kritische nationale Infrastrukturen, Lieferketten und namhafte Unternehmen an. Tatsächlich verzeichneten die SOCs von Obrela einen 23-prozentigen Anstieg bei APT- und Malware-Angriffen. Selbst große Unternehmen und Regierungen waren davor nicht gefeit.
2020 war aus vielen unterschiedlichen Gründen ein besonderes Jahr, aber es hat auch den Cybersicherheits-Diskurs in den Vordergrund der Diskussion gerückt. Wir sollten aus dieser „neuen Normalität“ unsere Lehren ziehen. Allerdings sind die Statistiken nicht unbedingt ermutigend. Es ist eine traurige Tatsache, dass viele Firmen nicht ausreichend aus den bisherigen Fehlern lernen. Obwohl die Beispiele aus jüngster Zeit überdeutlich machen, mit welchen schwerwiegenden Auswirken, finanziell und was den Ruf eines Unternehmens anbelangt, bei einem Cyber-Vorfall zu rechnen ist.
Solange Unternehmen Cybersicherheit auf ihrer Prioritätenliste nicht ganz nach oben nehmen, werden wir weiterhin Zeuge spektakulärer Datenschutzverletzungen und schlagzeilenträchtiger Angriffe werden. Um sämtliche Cybersicherheitsrisiken adäquat zu managen, sollten Unternehmen die entsprechenden Budgets freischaufeln oder mit einem Managed Security Service Provider (MSSP) zusammenarbeiten. Der gewährleistet, dass Sicherheitsbedrohungen zuverlässig und in Echtzeit identifiziert und analysiert werden oder sich aufgrund des Datenmaterials prognostizieren und verhindern lassen.
Dr. George Papamargaritis, MSS Director, Obrela Security Industries, https://www.obrela.com/