Sämtliche Bereiche in Wirtschaft und Gesellschaft durchlaufen einen fundamentalen Wandel. Zu der langfristigen Mission der digitalen Transformation gesellen sich aktuelle Herausforderungen wie die Pandemie und deren Folgen sowie der Ukraine-Krieg. Die Politik reagiert auf verschärfte Risikolagen mit neuen und strengeren IT-Richtlinien für einen erweiterten Betroffenenkreis. Gleichzeitig werden vor allem das Gesundheitswesen, Finanzdienstleister, produzierende Unternehmen sowie Software-as-a-Service- und Software-Anbieter verstärkt zu unfreiwilligen Adressaten aktueller Malware-Kampagnen.
Auch wenn Unternehmen aller Branchen und Größen derzeit einen starken Zuwachs an Hacker-Angriffen verzeichnen, stecken hinter diesen Vorfällen unterschiedliche Absichten der Cyberkriminellen. Bei allen Zielgruppen sind das illegale Veröffentlichen oder Weitergeben von Informationen mit großen Unannehmlichkeiten verbunden – jedoch treffen derartige Vorfälle den Finanzsektor und das Gesundheitswesen am stärksten. Das breite Spektrum von Angriffen auf die IT mit anderen Absichten zielt derzeit vor allem auf SaaS/Software-Anbieter, gefolgt von Finanzsektor, Produktionsunternehmen und dem Gesundheitswesen.
Zielbranche 1: Gesundheitswesen
Krankenhäuser, Krankenkassen und andere Einrichtungen im Gesundheitswesen verlassen sich zunehmend auf Plattformdienste, um Patientendaten und andere wichtige Informationen zu teilen und zu verwalten. Rationalisierungszwänge und eine im Rahmen der Pandemie beschleunigte digitale Transformation oder Initiativen wie die elektronische Patientenakte erhöhen den Drang, Abläufe vom Austausch von Daten über Terminplanungen oder auch Krankschreibungen zu digitalisieren. Daneben wächst die Zahl von Endpunkten etwa in der Cloud oder durch das Internet der Dinge.
Die stark zunehmende Zahl von Systemen, Applikationen und Anwendern erweitert die Angriffsfläche. Allein ein Angriff auf einen IT-Dienstleister wie etwa Bitmark genügt, um den Betrieb eines Krankenhauses massiv zu beinträchtigen. Kliniken sind zudem lukrative Ziele für erpresserische Attacken, da sie Ausfallzeiten oder Datenverluste im Interesse der Gesundheit der Patienten oder sogar wegen der Gefahr für deren Leben nicht hinnehmen können. Die Gesetzgeber verschärfen oder erweitern zudem ihre Compliance-Initiativen. Betroffen von den neuen NIS-2-Vorgaben sind jetzt etwa auch die Hersteller medizinischer Geräte. Die Schonzeiten zum Einhalten der DSGVO sind schon lange vorbei: Der Hamburgische Datenschutzbeauftragte verhängte etwa 2022 eine Strafe von 105.000 Euro wegen wiederholtem Falschversand von Arztbriefen und einer fehlenden Protokollfunktion für Zugriffe auf Patientendaten.
Zielbranche 2: Finanzdienstleister
Der digitalisierte Bankkunde von heute, der am Smartphone dieselbe Einfachheit seiner Bankgeschäfte wie bei einer Amazon-Bestellung und dabei gleichzeitig die Sicherheit eines Banktresors oder die Vertraulichkeit eines persönlichen Gespräches in der Filiale erwartet, ist der alles umwälzende Risikofaktor im E-Banking. Im Visier stehen sowohl die Kreditinstitute selbst oder im gleichen Maße spezielle Dienstleister wie der Partner für Kontowechsel der Deutschen Bank, der Postbank oder der ING oder die Sparkassentochter Deutsche Leasing. Angreifer übertragen branchenspezifisch allgemeine Methoden wie etwa Ransomware oder BEC-Angriffen (Business E-Mail Compromise) auf das avisierte Kreditinstitut: Cyberkriminelle geben sich als Führungskräfte oder andere hochrangige Personen aus, um Mitarbeiter dazu zu verleiten, Gelder zu überweisen oder vertrauliche Informationen preiszugeben.
Auch Anbieter von Finanzdiensten stehen deshalb unter vielfältigem regulatorischem Druck: Neben dem Gesetz zu Bankgeheimnis und Geldwäschebekämpfung, dem PCI-DSS-Standard für Kreditkarten oder den klassischen Industrienormen fordert das seit Januar für Finanzunternehmen und ihre IT-Dienstleister geltende Digital Operational Resilience Act (DORA) unter anderem ein Überwachen anomalen Verhaltens. Dies bedingt Sichtbarkeit der Systeme, der Prozesse und des Datenverkehrs in der IT-Infrastruktur über den klassischen Endpunkt hinaus.
Zielbranche 3: Produktionsunternehmen
Digitalisierte, automatisierte und zunehmend cloudbasierte Systeme und Prozesse in Produktion und Supply Chain erweitern die Angriffsfläche. Die Fertigungsbranche ist für Cyberspione mit staatlichem Hintergrund, die kritische Infrastrukturen stören und geistiges Eigentum stehlen wollen, ein wichtiges Ziel. Rheinmetall konnte einen vermutlich russischen Angriff erfolgreich abwehren. Wirtschaftliche Interessen waren die Triebkraft beim Angriff auf den Zulieferer von Automobilersatzteilen Bilstein Group als ein Beispiel der unter Druck stehenden Automobil-Industrie. Unzureichende Cybersicherheit, anfällige Geräte und falsch konfigurierte Systeme sind Risikofaktoren für bekannte Angriffsszenarien, die meistens mit einer Phishing-Attacke starten. Da verwundert es nicht, dass neben der ISO-Industrienorm ISO 27001 zusätzliche Regularien für neue IT-Hausaufgaben sorgen. NIS 2 wird für immer mehr Industrieunternehmen relevant, nachdem der Gesetzgeber den Kreis der betroffenen „wichtigen“ oder „essentiellen“ Unternehmen weiter ausgedehnt hat und nun auch kleine Unternehmen ab 50 Mitarbeitern einschließt.
Zielbranche 4: SaaS und Software
Software-as-a-Service-Anbieter und Software-Hersteller treiben die digitale Transformation an. Als erste Anwender neuer Technologien sind sie am ehesten gefährdet. Der an sich positive Innovationswille kann diese Unternehmen neuen Gefahren aussetzen, welche die Beteiligten möglicherweise noch nicht vollständig verstehen.
Als Ausgangspunkt weitreichender kaskadierender Angriffe ist gerade die Supply Chain mit Software ein Einfallstor mit hohem Streueffekt für opportunistische, zunächst automatisch ablaufende Attacken. Schließlich können die Kunden schlecht betroffene Produkte abblocken, auf die sie angewiesen sind. Im Falles des Angriffs auf den Anbieter der Videokonferenz-App 3CX im April 2023 wussten die Angreifer, dass sie mit einem Angriff Tausende weitere Unternehmen kompromittieren können.
Die junge Branche mit einem hohem Startup-Anteil leidet zudem häufiger an Ressourcenknappheit, Fachkräftemangel in der Cybersicherheit und knappen IT-Budgets. Der Aufgabe Cybersicherheit muss sie sich dennoch stellen, denn Investoren beobachten die diesbezüglichen Anstrengungen der Investitionskandidaten bei ihren Entscheidungen zu Venture-Capital-Investment, Kauf oder Übernahme.
IT-Grundschutz gegen generalistische Angreifer
Nur ein Teil der Hacker sucht von Beginn an branchenspezifisch nach Schwachstellen oder versendet Spear-Phishing-Mails mit aufwändig recherchierten Adressaten. Die erste Abwehrkette muss daher in jeder Branche ein IT-Grundschutz nach aktuellem Stand der Technik gegen opportunistische Angreifer sein, der automatisiert mit verschiedenen Methoden nach Schwachstellen sucht.
Basis eines solchen IT-Grundschutzes ist der umfassende Echtzeitblick auf alle legitimen, aber auch auf potenziell anomalen IT-Vorgänge. Ein Security-Monitoring muss dabei die gesamte Infrastruktur erfassen, also die klassischen IT-Endpunkte ebenso wie das Netzwerk selbst. Er muss auch Cloud-Nodes und -Plattformen, Internet-of-Things Geräte und – falls vorhanden – auch OT-Umgebungen mit einschließen.
Externe Sicherheitsexperten gegen gezielt vorgehende Hacker
Jede Branche bedarf aber auch der Kenntnis der in ihrer Industrie aktuellen Angriffslandschaft. Bei hybriden opportunistischen Kampagnen ist nach einer automatischen Schwachstellenanalyse und dem Erstzugriff auf das Netz erst die zweite Stufe eines Angriffs spezifischer auf die Branche und das Opfer zugeschnitten. Sobald Angreifer Zugriff erhalten, suchen sie die Netze ab und passen ihre Aktionen an die jeweilige Branche an. Im Gesundheitswesen und im Finanzwesen beispielsweise, wo sensible Daten eine entscheidende Rolle spielen, konzentrieren sich Angreifer auf die Exfiltration der Daten, die den höchsten Erlös bringen oder für die Unternehmen am ehesten ein Lösegeld bezahlen. Andererseits ist die unterbrechungsfrei funktionierende Produktionsumgebung gern ein Hauptziel von Angriffen auf deren Verfügbarkeit: Angreifer könnten Ransomware hier einsetzen, um Systeme zu blockieren und einen kostspieligen Produktionsausfall zu verursachen.
Der Schutz vor diesen gezielten Bedrohungen verlangt externe Experten. Kein IT-Administrator kann wissen, wer gerade welche Anwendung bei der Konkurrenz angreift, die ein Betrieb selbst vielleicht auch einsetzt. Speziell kleinere bis mittlere Unternehmen verfügen oft nicht über die Kompetenzen und die Experten, um rechtzeitig zu reagieren, geschweige denn den Angreifern zuvorzukommen. Erst leistungsfähige Sicherheitsdienste, also zum Beispiel ein externes SOC bzw. ein Managed-Detection-and-Response (MDR)-Dienst mit externen Security-Analysten ermöglichen es, branchenspezifische Gefahren proaktiv aufzuspüren und im Falle eines Angriffs schnell zu reagieren. Eine kostspielige Investition in zusätzliche interne und häufig gar nicht erst verfügbare oder bezahlbare IT-Spezialisten ist somit nicht erforderlich. Zudem kann der Aufbau eines internen SOC-Teams und einer entsprechenden Infrastruktur Monate oder sogar Jahre dauern. Dies ist angesichts des zunehmenden regulatorischen und umweltbedingten Drucks ein nicht akzeptabler Zeitraum. Zur Hilfe von außen gehören aber auch Cyberversicherungen oder auch eine externe, professionelle Rechtsberatung und die Kenntnis um die aktuellen branchenspezifischen Förderkörbe.
Von Jörg von der Heydt, Regional Director DACH bei Bitdefender
