Hacker nutzen eine Vielzahl von Methoden, um gezielt nach Sicherheitslücken in Software zu suchen. Vom Phishing über Datenlecks bei Dritten bis hin zum Ausspionieren von Open Source Informationen (OSINT), sind sicherheitskritische Zugangsdaten meist das Hauptziel.
Das ist ein Schlüsselergebnis des „Cyber Security Report DACH 2024“ der Sicherheitsfirma Horizon3.ai, der auf einer Umfrage unter 300 Unternehmen in Deutschland, Österreich und der Schweiz basiert. Demnach stufen weit über die Hälfte der Firmen (54 Prozent) gestohlene Benutzer- und Admin-Zugangsdaten als eines der größten Bedrohungspotenziale auf der Cyber-Risikoskala ein.
Weitere Erkenntnis: Mehr als ein Drittel (37 Prozent) der Angreifer dringt über N-Day-Schwachstellen in Unternehmensnetzwerke ein. Dabei handelt es sich um bereits bekannte, ausnutzbare Software-Schwachstellen, die von den Unternehmen, die die Software verwenden, noch nicht gepatcht (behoben) wurden. Ein weiteres Viertel verschafft sich Zugang über so genannte Zero-Day-Schwachstellen, die vom Softwarehersteller noch nicht entdeckt wurden, den Cyberkriminellen aber bekannt sind und für die es daher noch keinen Patch des Softwareherstellers gibt. „Das ist natürlich ein gefundenes Fressen für alle Kriminellen“, bringt es Rainer M. Richter auf den Punkt.
Penetrationstests als Lösung gegen Cyberbedrohungen
„Angesichts von teilweise Hunderten von Programmen im Einsatz kommen die meisten Unternehmen gar nicht mehr hinterher, die beinahe täglich neu aufkommenden Softwareschwachstellen und andere Sicherheitslücken zu beheben“, sagt der Europa- und Asienchef von Horizon3.ai. Als Abhilfe empfiehlt er Penetrationstests, also Selbstangriffe auf die eigene Infrastruktur zur Aufdeckung von Schwachstellen im Vorfeld. Laut Umfrage führen fast ein Drittel der Unternehmen (32 Prozent) keine Penetrationstests durch. Dabei sind autonome Penetrationstests für jede Unternehmensgröße unaufwändig, kostengünstig und vor allem proaktiv – genau das, was angesichts der rasant steigenden Cyberkriminalität notwendig ist, argumentiert Rainer M. Richter.
Wie ernst die Cyberbedrohungen zu nehmen sind, zeigt der „Cyber Security Report“: Rund 60 Prozent der befragten Unternehmen in der DACH-Region wurden eigenen Anfragen zufolge in den letzten zwei Jahren mindestens einmal Opfer einer Cyberattacke. Das Spektrum der 300 befragten Führungskräfte und IT-Verantwortlichen erstreckt sich quer über zahlreiche Branchen und kritische Infrastrukturen, darunter Telekommunikation, Maschinenbau, Automobilindustrie, Gesundheitswesen, Bildung und Forschung.
Sammelsurium von Risikofaktoren
Als weitere Bedrohungspotenziale (Zweifachnennung war erwünscht) stufen die befragten Führungskräfte ein: falsch konfigurierte Software oder Hardware (16 Prozent), zu wenig Aufmerksamkeit für Sicherheit in der Firma (15 Prozent), Schatten-IT, also die Verwendung von Software oder Hardware abseits der Firmen-IT (13 Prozent), schwache und/oder nicht durchsetzbare Sicherheitsrichtlinien (9 Prozent), mangelndes Budget für Sicherheit (9 Prozent), unzureichend gesicherte Daten (8 Prozent) und schlechte oder unzureichende Sicherheitskontrollen (7 Prozent).
„Die Manager erkennen ein Sammelsurium von Cyberrisiken in ihren Organisationen, das kaum beherrschbar ist“, sagt Sicherheits-Experte Rainer M. Richter. Einzige Abhilfe seiner Meinung nach: „Die Firmen müssen durch selbstinszenierte Angriffe regelmäßig testen, wie sicher ihre IT-Infrastrukturen tatsächlich sind.“
Wenn Daten in falsche Hände geraten
„Es ist kein Wunder, dass die Allianz in ihrem Risk Barometer 2024 Cyberattacken als das Top-Risiko für Unternehmen in Deutschland und weltweit einstuft*“, erklärt Rainer M. Richter. „Die zunehmende Häufigkeit und Komplexität dieser Angriffe verdeutlicht, dass es für Unternehmen dringend notwendig ist, ihre Maßnahmen zur Cyber-Sicherheit zu verstärken, um sich vor wirtschaftlichen Schäden und Reputationsverlust zu schützen.“
Gelangen sicherheitskritische Daten in die Hände von Kriminellen, kann dies zu erheblichen finanziellen Schäden führen. Dies äußert sich unter anderem in Lösegeldforderungen, mit denen 29 Prozent der befragten Unternehmen bereits konfrontiert waren. Darüber hinaus entstehen Kosten für die aufwändige Wiederherstellung der Daten, ganz zu schweigen von den Ausfallzeiten und möglichen rechtlichen Konsequenzen für das Unternehmen. Für kritische Infrastrukturen sind Datenverletzungen besonders problematisch, da sie die Funktionsfähigkeit essenzieller Systeme beeinträchtigen können.
Hälfte der Unternehmen fühlt sich unzureichend vor Cyberangriffen geschützt
Die Hälfte der befragten Unternehmen räumte ein, dass kaum oder kein ausreichender Schutz gegen Cyberangriffe besteht, während weitere 32 Prozent zwar Maßnahmen ergriffen haben, diese jedoch für unzureichend halten. Lediglich 12 Prozent waren sich sicher, dass ihr Schutz vor Cyberattacken vollständig ist.
„Diese Ergebnisse zeigen, dass das Bewusstsein für die Wichtigkeit eines robusten Schutzes vor Cyberattacken steigt, aber allzu oft die Ressourcen fehlen, um der Herausforderung zu begegnen. Cybersicherheit wird seit Jahren von defensiven und reaktiven Maßnahmen bestimmt, die in einem aggressiven und zunehmend von KI-Tools unterstützten Umfeld von Cyberangriffen einfach zu langsam sind“, sagt Rainer M. Richter. Stattdessen fordert der Sicherheitsexperte Organisationen auf, einen offensiveren Ansatz zu wählen, um Cyberangreifern zuvorzukommen. Nur so können Unternehmen die Sicherheit ihrer Systeme effektiv schützen und den ständig wachsenden Bedrohungen im Cyberspace begegnen.
(pd/Horizon3.ai)