Während Cybersicherheit und die dazu gehörende Bedrohungslage bis vor Kurzem lediglich ein Thema für Branchenkenner sowie IT-Sicherheitsexperten war, hat sich dies in den letzten Jahren eklatant verändert. Spätestens mit dem Aufkommen von Ransomware wurde einer breiten Öffentlichkeit zunehmend bewusst, welches Gefährdungspotenzial mit der fortschreitenden Digitalisierung einhergeht.
Allerdings verändert sich die Bedrohungslandschaft in puncto IT-Sicherheit ständig, nicht zuletzt, da neben finanziell motivierten Cyberkriminellen auch immer mehr staatliche bzw. staatlich geförderte Akteure Cyberangriffe als Mittel zur Durchsetzung oder Unterstützung nationalstaatlicher Interessen erkannt haben.
Die aktuelle Bedrohungslage in Deutschland zu analysieren und darzustellen war das Ziel einer kürzlich vom Cybersecurity-Experten Proofpoint durchgeführten Studie. Dafür analysierten die Sicherheitsforscher mehr als 400 E-Mail-Kampagnen von Cyberkriminellen, die Auswirkungen auf Unternehmen in Deutschland hatten. Dabei stellten sie unter anderem fest, dass das Volumen an von Cyberkriminellen verbreiteten Nachrichten im Jahr 2021 deutlich zurückging. An die Stelle von Cyberkampagnen, die mit Hilfe einer Vielzahl von E-Mails verbreitet werden, rückten sodann jedoch andere Bedrohungsformen, die sich zwar der Anzahl nach an weniger Personen richten, dabei jedoch deutlich zielgerichteter und in ihrer Auswirkung somit teils noch schwerwiegender sind. Im Rahmen ihrer Untersuchungen konnten die IT-Sicherheitsprofis bemerkenswerte Trends und Veränderungen ausmachen.
Emotet und seine Verwandten
Insbesondere die zeitweilige Abschaltung des Emotet-Netzwerks im vergangenen Jahr hatte einen bedeutenden Effekt auf die Bedrohungslandschaft. Nachdem im Januar 2021 mehrere Strafverfolgungsbehörden bekanntgaben, das Emotet-Botnet zerschlagen zu haben, kam es zu einem bedeutenden Rückgang beim Volumen gefährlicher E-Mails. Mittlerweile scheinen sich die Cyberkriminellen hinter der Schadsoftware allerdings von diesem Schlag der Ermittlungsbehörden erholt zu haben. Wie das BSI Anfang Dezember mitteilte, konnte erst kürzlich eine abermalige Verbreitung von Emotet beobachtet werden. Es bleibt abzuwarten, inwieweit die Rückkehr des häufig als gefährlichste Malware der Welt bezeichneten Botnetzes zu einem erneuten Anstieg bedrohlicher E-Mails führen wird.
Wenn es jedoch um die für Unternehmen in Deutschland aktuell gefährlichsten Malware-Formen geht, zeichnen die Studienergebnisse ein eindeutiges Bild. Hier dominieren vor allem die Schadsoftware Remcos RAT und Formbook-Malware die Bedrohungslage. Bei Remcos RAT handelt es sich um einen Remote Access Trojaner, mit dem Angreifer weitreichende Zugriffsmöglichkeiten auf infizierten Systemen erlangen können.
Demgegenüber ist Formbook-Malware ein klassischer Stealer bzw. Keylogger, der von Cyberkriminellen zum Diebstahl bestimmter Informationen wie Passwörtern eingesetzt wird. Zur Verbreitung dieser beiden Malware-Typen setzen die Hintermänner der Attacken vor allem auf thematische Köder. Insbesondere mit E-Mails zu den Themen industrielle Steuerung und Technik versuchen die Cyberkriminellen hier ihre potenziellen Opfer in die Falle zu locken.
Allerdings geht der überwiegende Teil gefährlicher E-Mails derzeit auf das Konto von Cyberkriminellen, die sich dem Phishing verschrieben haben. Vor allem auf Zugangsdaten für das Online-Banking haben es die Täter dabei abgesehen. Bei zwei der umfangreichsten Phishing-Kampagnen 2021 fälschten die Angreifer E-Mails der Sparkasse, um so die Empfänger zur Preisgabe sensibler Informationen zu bewegen. Zum Teil wurden die Opfer mittels in den E-Mails enthaltener Links auch auf ebenfalls gefälschte Sparkassen-Websites geleitet, mit deren Hilfe die Cyberkriminellen Zugangsdaten zu den Bankkonten erlangen wollten. Im Rahmen dieser Kampagnen wurden mehrere hunderttausend Phishing-Mails in Deutschland verbreitet.
Neue Verbreitungswege für Ransomware
Und auch in Sachen Ransomware liefert die Untersuchung von Proofpoint interessante Erkenntnisse. So konnten die Security-Profis feststellen, dass sich im vergangenen Jahr insbesondere der Verbreitungsweg verändert hat, über den in Deutschland Ransomware die Systeme der Opfer infiziert.
Demnach kommen Verschlüsselungstrojaner heute fast ausschließlich als Payload der zweiten Stufe zum Einsatz. Das bedeutet, dass Cyberkriminelle zunächst mittels einer anderen Malware einen initialen Zugang zu den IT-Systemen der Opfer etablieren und die Ransomware erst in einem zweiten Schritt verbreitet wird. Branchenkenner gehen mittlerweile davon aus, dass bis zu 75 Prozent aller Ransomware-Angriffe initial mit einer Phishing-E-Mail ihren Anfang nehmen. Dabei ist es nicht ungewöhnlich, wenn mehrere verschiedene Gruppen Cyberkrimineller an der Attacke beteiligt sind. Denn häufig verteilt eine Gruppe zunächst die initiale Malware und verkauft in der Folge – nach einer aus ihrer Sicht erfolgreichen Installation der Malware – den so etablierten Zugang an eine Ransomware-Gruppe. Diese wiederum sorgt danach für die eigentliche Verschlüsselung der IT-Systeme – eine für alle Beteiligten lukrative Arbeitsteilung.
Lehren aus den sich verändernden Bedrohungen
All diese Ergebnisse verdeutlichen einmal mehr, dass die Bedrohungslandschaft in Deutschland einem stetigen Wandel unterliegt. Cyberkriminelle passen ihre Herangehensweise und Taktiken regelmäßig an und legen zudem ein gehöriges Maß an Kreativität an den Tag, immer neue und mitunter perfide Methoden zu erdenken, Opfer in die Falle zu locken. Allerdings gibt es bei der Fülle an Veränderungen auch einen Umstand, der nach wie vor Gültigkeit besitzt: Ziel der Attacken krimineller Angreifer ist fast immer der Mensch, nicht eine Schwachstelle in der technischen Infrastruktur. Denn Menschen bilden nach wie vor das größte Einfallstor für Cyberkriminelle. Für sie ist es der weitaus effektivere Ansatz, Menschen dazu zu bringen, eine Schadsoftware zu aktivieren, anstatt langwierig technische Exploits zu entwickeln.
Dieses größte Einfallstor bestmöglich zu schützen und somit das Risiko für das eigene Unternehmen zu minimieren, muss daher das vordringliche Ziel der Security-Teams von Organisationen sein. Die Verantwortlichen sind somit gut beraten, bei ihrem Cybersecurity-Ansatz stets den Menschen in den Mittelpunkt ihrer Überlegungen zu stellen. Eine ganzheitliche Security-Strategie muss daher sowohl technische Maßnahmen wie ein leistungsfähiges E-Mail-Gateway, fortschrittliche Bedrohungsanalysen und E-Mail-Authentifizierung, aber auch stabile Prozesse sowie insbesondere die Schulung und Sensibilisierung der Mitarbeiter zu Themen der digitalen Sicherheit miteinschließen. Nur so können die Security-Teams das Risiko im Falle eines Angriffs effektiv minimieren und Schaden von ihrem Unternehmen abwenden.