Gezielte Angriffe sind an der Tagesordnung

In den ersten Monaten des Jahres 2021 ritten Cyberkriminelle immer noch auf der Pandemie-Welle und der dadurch resultierenden gesundheitlichen und sozialen Krise, um ihren „personalisierten“ Botschaften mit Gesundheitsthemen, Tools für intelligente Telearbeit oder Anfragen für Warenanlieferungen Glaubwürdigkeit zu verleihen. Laut dem Phishing-Attack-Landscape-Report stieg die Erfolgsrate von Phishing-Angriffen um 30 %. Die bekannte französische Wirtschaftsprüfungsgesellschaft CDER weiß es nur zu gut: Cyberkriminelle hackten sich in den E-Mail-Account eines leitenden Angestellten und veranlassten durch dessen Imitation („CEO-Fraud“) die Genehmigung einer Zahlung von fast 15 Millionen Euro.

Ransomware auf dem Vormarsch: Gesundheitswesen und Versorgungsunternehmen am stärksten betroffen

Attackierte Unternehmen zu erpressen, damit sie die Kontrolle über die eigenen Daten wieder erlangen, ist eine Taktik, die Angreifer zunehmend im Gesundheitssektor einsetzen. So wurden bereits zahlreiche Einrichtungen des Gesundheitswesens, Kliniken und Biotech-Unternehmen in Amerika und Europa Opfer von solchen Angriffen. Die Angreifer veröffentlichten anschließend abertausende Patientenakten im Dark-Web. Laut einem Bericht des FBI und der NSA kosteten Ransomware-Angriffe auf den Gesundheitssektor die USA 2020 insgesamt rund 21 Milliarden Dollar. Die Schäden in Europa weichen nicht viel von denen in den USA ab. Jedoch kommt ein erschwerender Faktor hinzu: Nur in Europa hat ein Ransomware-Angriff bisher zum Tod eines Patienten geführt.

Das Thema Cybersicherheit in Einrichtungen des Gesundheitswesens ist überaus komplex, da es einigen an IT-Ressourcen fehlt und anderen an ausreichendem Wissen in IT-Fragen. Verschärft wird die Problematik durch die allgemein bestehende Krise des Gesundheitswesens. Krankenhäuser händeln Unmengen an verschiedenen Daten: Patientenakten, Patente, wissenschaftliche Forschung, Mitarbeiter- und Betriebsinformationen, erbrachte Dienstleistungen und sogar strategische Daten. Diese Varietät an sensiblen Informationen erhöht den Druck auf die Krankenhäuser, die jederzeit einsatzbereit sein müssen: Wenn die Organisation sich weigert, das Lösegeld zu zahlen, geht es oft zulasten der Patienten.

Eine wachsende Bedrohung für Software- und Sicherheitshersteller

Uwe Gries, Country Manager DACH bei Stormshield

Für Softwarehersteller sind Bedrohungen wie der Fall Solarwinds nach wie vor an der Tagesordnung. Angriffe auf bekannte IT-Anbieter (wie Mimecast, Codecov oder Qualys) mit immer ausgefeilterer Malware, wie Sunburst finden bei Cyberkriminellen immer mehr Anklang. „Seit 2020 gibt es einen enormen Anstieg solcher Attacken“, erklärt Uwe Gries, Country Manager von Stormshield DACH. „Das Vorgehen dieser cyberkriminellen Gruppierungen zeigt, dass sie sowohl Zeit und Ressourcen haben als auch sehr gut organisiert sind, um ihre Ziele erfolgreich zu erreichen.“

Eine neue Entwicklung in diesem Zusammenhang sind auch Angriffe auf Hersteller von Cybersecurity-Lösungen. Laut Stormshield ist der Versuch, Sicherheitslösungen zu sabotieren, zu einem neuen Modus Operandi geworden. Dieser neue Trend sollte engmaschig beobachtet werden, da er eine logische Weiterentwicklung von „herkömmlichen“ Cyberangriffen ist. Gerade Antiviren-Software oder andere Cybersecurity-Lösungen für Clients haben hohe Privilegien auf den Rechnern, auf denen sie installiert sind, daher ist es nur stringent, dass Cyberkriminelle versuchen, sie zu umgehen oder anzugreifen. Das Prinzip von Malware ist, die Erkennung durch diese Systeme zu vermeiden, damit sie sich bestmöglich verbreiten kann. Das Deaktivieren oder sogar Kompromittieren von Sicherheitslösungen bietet eine gute Möglichkeit, dies zu erreichen.

Das Beispiel 2020 von Mitsubishi markiert den Beginn dieses neuen Trends. Cyberkriminelle nutzten eine Schwachstelle in einer bekannten Antivirenlösung aus und kompromittierten einen Teil des IT-Systems, wodurch Daten über die Partner des Unternehmens geleakt wurden. Mit dieser Methode richten Angreifer die Cybersecurity-Lösung gegen die Organisation, die sie einsetzt, und finden so den idealen Zugangspunkt zu Unternehmensressourcen. Das Nachrüsten von Sicherheitssoftware mit noch strengeren Schutzmechanismen liegt in der Verantwortung der Hersteller. Jedoch ist dies eine komplexe Aufgabe, da hinter jedem Sicherheitsprodukt eine ganze Architektur steht, die es zu berücksichtigen gilt.

Leider bleibt es allerdings nicht nur dabei. Die Entwicklung einer anderen Form der Cyber-Bedrohung ist bereits in den Startlöchern: die Gründung von gefälschten Cybersecurity-Unternehmen durch Hacker. Die Idee ist es, unter Vortäuschung eines Sicherheitsspezialisten an vertrauliche Daten und Infrastrukturinformationen zu gelangen. Ein ausgesprochen beunruhigendes Beispiel dafür ist SecuritiElite in Nordkorea.

 

Das Profil der Opfer: nicht nur der „Otto Normal“-Anwender ist betroffen

Gerade im Jahr 2021 sollte man nicht nur ein, sondern fünf mögliche Opferprofile im Hinterkopf behalten. Denn selbst wenn im Allgemeinen die gesamte Infrastruktur eines Unternehmens technische oder funktionale Schwachstellen aufweist, haben Hacker es mittlerweile auch auf bestimmte Mitarbeiterprofile abgesehen.

Entsprechend dem Trend der Angriffe auf Cybersicherheitsanbieter sind auch Techniker, IT-Spezialisten, Entwickler und Cybersicherheitsforscher gefährdet und besonders anfällig, Opfer von Social Engineering oder Identitätsdiebstahl zu werden. Für Cyberkriminelle geht es darum, wichtige technische Informationen zu stehlen und dann dediziert Sicherheitsprodukte anzugreifen. Auch Versorgungsunternehmen sind aufgrund der Vielfalt ihrer Endanwender ein Schlüsselelement, wenn es um die Bekämpfung von Bedrohungen wie zum Beispiel Angriffen auf die Lieferkette geht. IT-Abteilungen und -Manager sind ebenfalls ein Hauptziel, da sie die Infrastruktur verwalten und administrieren und dadurch über erhöhte Zugriffsrechte auf IT-Systeme verfügen.

Bei Mitarbeitern, die Zahlungen genehmigen oder ausführen, oder CFOs und deren unmittelbar unterstellten Mitarbeitern ist die Wahrscheinlichkeit höher, zur Zielscheibe von Betrügereien wie CEO- oder Geldtransferbetrug zu werden. „Die Erfahrung zeigt, dass Cyberkriminelle Finanz-, Buchhaltungs- oder Vertriebsabteilungen angreifen, indem sie den Eindruck erwecken, dass die beauftragte Finanztransaktion legitim ist“ veranschaulicht Gries. Auch Führungskräfte im Unternehmen sind davon nicht ausgenommen. Gries warnt: „Manager hantieren mit hochstrategischen Informationen, aber nicht alle von ihnen setzen die gleichen Sicherheitsmaßnahmen wie der Rest der Unternehmensmitarbeiter um.“

All dies zeigt, dass es keine Anzeichen für ein Abklingen der Cyber-Bedrohungen im Jahr 2021 gibt. Der vermehrte Einsatz digitaler Tools und die unzweifelhafte Rentabilität dieser Aktivitäten sind für Angreifer Motivation genug, ihre Bemühungen an die neuen Herausforderungen anzupassen. Und obwohl es sehr schwierig ist, sich in die Gedankenwelt von Cyberkriminellen hineinzuversetzen, lassen sich zwei Dinge von ihrem Verhalten ableiten: Sie werden weiterhin kreativ und überraschend erfinderisch sein, und Unternehmen müssen zwangsläufig ihre Cybersicherheitsstrategien und digitalen Hygienemaßnahmen ständig verstärken und neu überdenken.

#Stormshield