Deutschland bleibt für Cyberkriminelle attraktiv, Phishing funktioniert immer noch hervorragend und Ransomware-Angriffe nehmen weiter zu. Der Krieg in der Ukraine führt vermutlich auch zu neuen Cyberangriffen. Zu den Angriffszielen Nummer eins gehört mittlerweile aber das Backup. Auf was IT-Abteilungen und Geschäftsleitungen achten sollen, klären wir in diesem Beitrag.
Deutlich über 40 Prozent der in der Region von Acronis-Produkten erkannten Ransomware zielte auf Unternehmen in Deutschland (Grafik: Acronis).Die Experten haben Bilanz gezogen: Wie nicht anders zu erwarten, war auch 2021 aus Cybersecurity-Sicht kein gutes Jahr. Zusammenfassungen und Statistiken gibt es viele, besonders aussagekräftig und auf den Punkt ist der Acronis Cyberthreats Report 2022. Demnach gehörte auch 2021 Deutschland (neben den USA und Kanada) wieder zu den drei Ländern mit den meisten identifizierten Malware-Angriffen. Die Zahl der von Acronis-Produkten blockierten Phishing-E-Mails nahm im dritten Quartal 2021 im Vergleich zweiten Quartal um 23 Prozent zu, bei blockierten Malware-E-Mails lag die Zunahme sogar bei 40 Prozent.
Die 2021 durch Ransomware verursachten Schäden schätzen die Acronis-Experten Alexander Ivanyuk und Candid Wüest auf mehr als 20 Milliarden US-Dollar. Angesichts dieser Zahlen wundert es nicht, dass auch die Zahl der Angriffe zugenommen hat: Nur 20 Prozent der von Acronis befragten Unternehmen gab an, 2021 nicht angegriffen worden zu sein. 2020 waren es noch 32 Prozent gewesen. Wie ernst die Lage mittlerweile ist, zeigt auch, dass die USA im November 2021 eine Belohnung von bis zu 10 Millionen US-Dollar für jede Person ausgelobt hat, die zu den Gruppen gehört, die hinter den Ransomware-Kampagnen mit »REvil« (auch »Sodinokibi« genannt) und »Darkside« stecken.
Mehr plattformübergreifende Malware erwartet
Alleine durch den Jahreswechsel hat sich an der Entwicklung nichts geändert. Sowohl Acronis als auch zahlreiche andere IT-Security-Anbieter gehe aufgrund ihrer Zahlen und Einblicke davon aus, dass Ransomware-Angriffe weiterhin zunehmen. Zu denen gehört etwa Sentinel One: »Zahlreiche aufsehenerregende Angriffe im Jahr 2021 haben gezeigt, dass diese Akteure jede Gelegenheit nutzen, um Profit aus ihren Opfern zu schlagen. Im Jahr 2022 wird die Verbreitung von hochkritischen Schwachstellen wie log4j, die unzählige Umgebungen gefährdet und gleichzeitig das Toolset der Angreifer erheblich vergrößert hat, immer wieder für Schlagzeilen sorgen«, prognostiziert das Unternehmen. Einen Grund dafür sieht es darin, dass immer mehr Malware in den Programmiersprachen Rust und Go geschrieben wird.
Ein der Hauptvorteile dieser Praxis sei die plattformübergreifende Kompatibilität. Einige aktuelle Beispiele hierfür sind BlackCat/AlphaVM-Ransomware, RansomEXX-Ransomware und ElectroRAT. Der Trend geht dahin, dass die meisten dieser Bedrohungen von vornherein plattformübergreifend sind. Sentinel One rechnet daher im Laufe des Jahres 2022 mit einer immer größeren Anzahl neuer, plattformübergreifender Malware-Familien.
Phishing und E-Mails bleiben Haupteinfallstore
In der Berichterstattung sorgen neu entdeckte Sicherheitslücken oft für spektakuläre Schlagzeilen. Im Alltag ist das Böse aber meist viel trivialer: Phishing und der Versand infizierter E-Mail-Anhänge sind nach wie vor die erfolgreichsten Angriffswerkzeuge. Im Vergleich zum zweiten Quartal hat zum Beispiel Acronis im dritten Quartal 23 Prozent mehr Phishing-E-Mails blockiert. Die Anzahl der Malware-E-Mails stieg in dem Zeitraum um 40 Prozent an. Die Gefahr ist bekannt: Bei einer Umfrage im Rahmen des Acronis Cyber Readiness Report haben IT-Administratoren Phishing als »größte reale Bedrohung« bezeichnet. 58 der Teilnehmer waren bereits von solchen Angriffen betroffen.
Allerdings priorisierten bei den anzuschaffenden IT-Sicherheitstechnologien dennoch nur 20 Prozent ein URL-Filterungslösungen. Das Böse ist eben oft so erfolgreich, weil es so trivial erscheint. Die Angreifer werden zudem immer besser und so schaffen es mehr dieser schädlichen E-Mails, bis zu den Benutzern durchzudringen. Im Januar 2021 versuchten noch 3,2 Prozent der Endgeräte auf schädliche URLs zuzugreifen – hatte also jemand auf einen bösartigen Link geklickt. Im Oktober waren es nach einem zwischenzeitlichen Rückgang dann schon 4,3 Prozent. Erschwert wird die Abwehr auch dadurch, dass inzwischen zwei Drittel der schädlichen URLs durch HTTPS verschlüsselt sind. Neben rein technischen Maßnahmen sind Awareness-Kampagnen ein weiteres Mittel, um die Gefahr zu reduzieren. Sie werden in Firmen immer beliebter und immer mehr Firmen bieten entsprechende Dienste an.
Unternehmen müssen vor allem Ransomware fürchten
Ransomware bleibt laut Acronis auch 2022 »die Cyberbedrohung Nr. 1 für Unternehmen«. Die derzeit aktiven Gruppen, die Ransomware-Angriffe vortragen, verfolgen zwei Ansätze: Ein Teil versucht, so viele Benutzer wie möglich zu infizieren, der andere konzentriert sich auf möglichst wertvolle Ziele, bei denen er hofft, mit wenigen Infektionen hohe Profite erreichen zu können. Aus diesem Grund ist die bloße Zahl von Bedrohungserkennungen kein Hinweis darauf, wie gefährlich eine Bedrohung ist. Außerdem nimmt laut Acronis das kriminelle »Geschäftsmodell« Ransomware-as-a-Service zu. Dadurch sei es noch schwieriger, die jeweiligen Hintermänner zu identifizieren.
Dem Sicherheitsspezialisten Cyberark zufolge hat die Entwicklung von Ransomware-as-a-Service (RaaS) gerade erst begonnen. Das Angebot an illegalen Services werde auch 2022 wachsen und spezialisierte Hacker dabei verstärkt zusammenarbeiten. Die meisten bekannten Ransomware-Familien basieren auf identischen Techniken, Taktiken und Verhaltensweisen, daher sind immer mehr aktuelle Sicherheits-Tools in der Lage, Ransomware-Attacken zu erkennen und zu blockieren. Die zunehmende Einführung solcher Sicherheits-Tools zwingt Ransomware-Autoren dazu, neue und innovative Methoden zu finden, die die heute üblichen Erkennungsmöglichkeiten umgehen. Laut Cyberark setzt sich daher das Katz-und-Maus-Spiel zwischen Security-Forschern und Cyberkriminellen weiter fort.
Backups immer häufiger als primäres Ziel von Ransomware
Sorgen macht dabei auch, dass Backups – lange Zeit als wichtige Versicherung gegen Ransomware-Angriffe gepriesen –ins Visier der Angreifer geraten sind. Die haben nämlich festgestellt, dass die Verschlüsselung der Backups nicht so schnell bemerkt wird, wie die der laufend aktiv genutzten Systeme. Die Chance, das Lösegeld tatsächlich zu erpressen steigt daher, wenn zuerst das Backup zerstört wird und danach der klassische Ransomware-Angriff erfolgt.
Deadbolt ist eine Ransomware, die so vorgeht. Sie wurde kürzlich von Sophos untersucht. Die Angriffe richteten sich vor allem gegen kleine Unternehmen oder private Power-User oder Freiberufler und Personen im Home-Office. Die Zielgruppe waren Nutzer, die einerseits um die Bedeutung eines Backups wussten, andererseits nicht viel Zeit oder Geld dafür aufwenden wollten, um sich darum zu kümmern. Dazu nutzten die Angreifer eine aus der Ferne angreifbare Sicherheitslücke in Qnap-Produkten aus. So mussten sie nicht einmal die womöglich vorhandenen Security-Produkte auf PCs und Notebooks der Nutzer überwinden.
Unwägbarkeiten durch den Ukraine-Krieg
Schon in den ersten Tagen der russischen Invasion in der Ukraine warnten Beobachter davor, dass die Auseinandersetzung nicht nur auf dem Schlachtfeld, sondern auch im Cyberraum ausgetragen werde. Angriffe auf IT-Infrastruktur ukrainischer Behörden einerseits aber auch auf Einrichtungen in Russland ließen nicht lange auf sich warten. In dem Maße, in dem sich andere Länder mit der Ukraine solidarisieren, müssen sich jedoch auch deren Firmen und Behörden darauf einstellen, ins Visier von Angreifern zu geraten, die von staatlicher Seite in Russland unterstützt werden. Das gilt natürlich vor allem für Einrichtungen, die dem Bereich KRITIS – also den sogenannten kritischen Infrastrukturen – zuzuordnen sind.
Chester Wisniewski, Sophos Chester Wisniewski, Security-Experte bei Sophos, formuliert dies so: »Da die weltweiten Sanktionen mittlerweile zu schmerzen anfangen sollten, kann es sein, dass Russland und verbundene Cyber-Gruppierungen nun versuchen, Vergeltungsmaßnahmen gegen diejenigen zu initiieren, von denen sie glauben, dass sie Hauptverursacher für die momentane Situation sind. Das Problem dabei ist, dass wir neben der ukrainischen IT-Armee und Anonymous, die sich für die Ukraine einsetzen, auch russische Patrioten und kriminelle Gruppen wie Conti haben, die möglicherweise ihren Hut in den Ring werfen.« Wisniewski spricht von einem drohenden »Cyberkrieg-Nebel« – also einer Situation, in der diverse Akteure im Kampf für ihre Sache echten oder vermeintlichen Gegner auf irgendeine Weise versuchen, Schaden zuzufügen.
Gefahren, die man 2022 ebenfalls im Blick behalten sollte
Viele Unternehmen sind immer noch schlecht auf Cyberangriffe vorbereitet. Um das zu ändern, empfiehlt Sophos-Experte Wisniewski, sich eine von der US-Regierung herausgegeben Checkliste anzusehen. Zudem sollten sie mit externen Sicherheitsexperten die Schritte identifizieren, die kurzfristig umsetzbar sind, um die IT-Sicherheit zu stärken. Dazu kann ein sogenannter »Vulnerability Scan« sinnvoll sein. Wie der vorzubereiten ist und was dabei zu beachten ist, erklärt etwa das britische National Cyber Security Centre auf seiner Webseite recht verständlich. Bekannte Anbieter sind Tenable, Qualys und Rapid 7, für mittelständische Firmen interessant ist das Angebot der österreichischen Firma Lywand Software. Aber auch größere oder auf IT-Sicherheit spezialisierte IT-Dienstleister bieten solche Scans an.
Daneben empfiehlt sich – falls noch nicht geschehen – endlich einen Notfallplan zu erstellen und gegebenenfalls Kontakt zu Anbietern aufzunehmen, die »Managed Threat Response« beherrschen – also die Abwehr laufender Cyberangriffe koordinieren können. Die erst zu rufen, wenn ein Angriff bemerkt wird, ist zu spät.
In der Pandemie wurden vielfach neue Kollaborations-Tools – insbesondere Microsoft 365 – eingeführt. Sie bieten zwar einige Funktionen zur Ablage von Daten und Dateien, die erstellen aber keine Backups. Gerade für Microsoft Teams gibt es inzwischen ein breites Angebot an Tools, die echte Backups und eine granulare Wiederherstellung ermöglichen. Anbieter sind etwa Avepoint, Codetwo und Veeam, aber auch Synology bietet mit Active Backup for Microsoft 365 diese Möglichkeit.
Mike Hart, MandiantCloud-Angebot sind nicht an sich sicher. Das Security-Unternehmen Mandiant geht in seinem Bericht »14 Prognosen zur Cyber-Sicherheit für 2022 und darüber hinaus« davon aus, dass Hackerangriffe auf Cloud-Ressourcen mit der zunehmenden Cloud-Adaption weiter steigen werden. »Dabei werden vor allem Fehler, Schwachstellen, Fehlkonfigurationen oder Ausfälle aufseiten der Drittanbieter ausgenutzt. Für Unternehmen bedeutet dies, dass sie mit Unterbrechungen arbeiten und einen Vorfall bearbeiten müssen, ohne das primäre Ziel zu sein und möglicherweise ohne vollständiges Bild des Angriffsverlaufs in internen Protokollen«, erklärt Mike Hart, Vice President Western Europe bei Mandiant. »»Firmen dürfen sich daher, nicht länger auf Silo-Lösungen zu verlassen, sondern sollten eine ganzheitliche Betrachtung anstreben.«
2021 haben die Angriffe auf Solarwinds, Kaseya und im Dezember die Sicherheitslücke Log4j2 aufgezeigt, welche Gefahren die Nutzung von Software-Komponenten birgt. »Selbst mit den besten Absichten ist die Denkweise derjenigen, die nützliche Module, Plug-ins, Pakete und anderen Programmcode erstellen und weitergeben, selten sicherheitsorientiert«, mahnt Sentinel One. Cyberark dehnt diese Warnung auf die Nutzung von Open Source aus. »Nahezu alle aktuellen Entwicklungen rund um Cloud Computing, Internet der Dinge, Autonomes Fahren, Big Data oder Künstliche Intelligenz sind Open-Source-basiert. Aber unzählige offene und kostenlose OSS-Bibliotheken bedeuten auch eine dramatisch erweiterte Angriffsfläche«, ergänzt Cyberark unter Verweis auf die im April 2021 entdeckte Codecov-Attacke. Dabei konnte eine Änderung in einer Codezeile eine harmlose Bibliothek in eine bösartige verwandeln – und jedes Unternehmen gefährden, das sie nutzt.
- Mandiant-Bericht »14 Prognosen zur Cyber-Sicherheit für 2022 und darüber hinaus« (ohne Registrierung zum Download verfügbar)
- Acronis Cyberthreats Report 2022 (Download nach Registrierung mit E-Mail)
- Ransom-Abwehr: Offsite-Backup & Air-Gap sind Pflicht
- Jedes Unternehmen braucht einen IT-Notfallplan
- Trends & Technologien 2022: Kampf gegen Cyberkriminalität
- Bitkom: Angst vor digitaler Eskalation wegen Ukraine-Krieg
- Trend Micro: Juristischer Leitfaden IT-Security & IT-Compliance
- IT-Sicherheit: Alle Mann an Board