Der Oktober ist der Cyber-Security-Awareness-Month – eine gute Gelegenheit, das Bewusstsein für IT-Sicherheit zu stärken. Ihre Bedeutung kann nicht hoch genug eingeschätzt werden, da die Digitalisierung den Alltag immer mehr bestimmt. Das nutzen Hacker für ihre kriminellen Zwecke. Von Datendiebstahl über Erpressung bis hin zur Rufschädigung können diese Bedrohungen schwerwiegende Folgen für Menschen und Unternehmen nach sich ziehen.
Aus diesem Grund stellt Check Point im Oktober 2024 fünf bedeutsame Bedrohungen vor und nennt Möglichkeiten zu deren Eindämmung.
Trend Eins: 90 Prozent aller Phishing-Seiten sind nur einen Tag aktiv
Diese Tatsache verdeutlicht einen alarmierenden Aspekt der Internet-Kriminalität: Die rasche Verbreitung solcher Websites erschwert deren Erkennung und Abwehr. Angreifer erstellen und entfernen Phishing-Websites in kürzester Zeit und zielen dabei häufig auf Ereignisse mit hohem Besucheraufkommen wie Feiertage, Shopping-Aktionen (Amazon Prime Day, Black Friday) oder wichtige Produkteinführungen, um ihre Chancen auf Erfolg innerhalb eines kurzen Zeitfensters zu maximieren. Diese kurzlebige Strategie macht herkömmliche Sicherheitsmaßnahmen weniger effektiv, da viele Erkennungssysteme auf historische Daten und etablierte Muster angewiesen sind, um Bedrohungen zu identifizieren. Die kurze Lebensdauer dieser Websites bedeutet, dass Phishing-Attacken, die von ihnen ausgehen, oft in der Lage sind, Sperrlistensysteme und andere Schutzmaßnahmen zu umgehen, bevor die Sicherheitslösungen überhaupt von deren Existenz erfahren. Es bedarf flexiblerer Mechanismen und Produkte, um diese kurzlebigen Bedrohungen zu erkennen und zu bekämpfen, die jederzeit auftauchen und ebenso schnell wieder verschwinden können. Außerdem sollten die Mitarbeiter, auch die Führungskräfte, regelmäßig geschult werden, um Phishing erkennen zu können (Absenderadresse prüfen, Rechtschreib- und Grammatikfehler beachten) und so eine starke Verteidigungslinie zu bilden. Auf dieser Basis kann zudem ein Aktionsplan erarbeitet werden, damit im Notfall jeder weiß, was er zu tun hat (Alarm geben, Konten deaktivieren, Benutzer benachrichtigen, Meldestellen informieren).
Trend Zwei: 70 Prozent der schädlichen Dateien werden per E-Mail verbreitet
Trotz des technologischen Fortschritts und neuer Kommunikationsmethoden ist die E-Mail nach wie vor ein beliebtes Kommunikationsmedium – und daher gut geeignet für Cyber-Angriffe. Ihre weite Verbreitung und das Vertrauen der Nutzer in ihre Postfächer spielen Hackern in die Karten. Die Anpassungsfähigkeit von E-Mails erlaubt es Angreifern außerdem, Nachrichten gezielt auf einzelne Empfänger abzustimmen, was die Wahrscheinlichkeit erhöht, dass diese auf Anhänge oder Links reagieren. So werden beispielsweise häufig Social-Engineering-Taktiken eingesetzt – was bedeutet, dass man über die Zielperson zuerst so viele personenbezogene Informationen sammelt, wie möglich, zum Beispiel über Social-Media – bei denen ein Gefühl der Dringlichkeit oder Vertrautheit erzeugt wird, um die Nutzer zu impulsiven Handlungen zu verleiten. Auf diese Weise wird nicht nur menschliches Verhalten manipuliert, sondern auch die Tatsache missbraucht, dass viele Unternehmen die E-Mails nach wie vor als wichtiges Mittel für den Austausch von Dateien und Informationen nutzen.
Daher sollte man auf Sicherheitsmaßnahmen setzen, die Dateien scannen und schädliche Inhalte blockieren, wie Content-Disarm & Reconstruction (CDR). Dies geht über die reine Malware-Analyse hinaus und ergreift Maßnahmen, um die jeweilige Datei zu entschärfen. CDR entfernt sofort alle ausführbaren Inhalte vor der Übertragung, unabhängig davon, ob sie als schädlich erkannt wurden oder nicht. Auf diese Weise weiß der Endbenutzer, dass er mit einer sicheren Datei arbeitet. Hinzu kommen muss ein sorgfältiger Umgang mit dem Postfach und angehängte Dateien, womit wir wieder bei der regelmäßigen Schulung der Angestellten landen. Dazu gehört auch, sich zu fragen, ob eine E-Mail mit einer angehängte Datei wirklich von der angeblichen Person stammen kann, oder überhaupt erwartet wird. Ein paar Minuten, um den Kontext der E-Mail zu bedenken, können oft helfen, zwischen legitimen und schädlichen Inhalten zu unterscheiden.
Trend Drei: Seit Beginn dieses Jahres war jedes Unternehmen durchschnittlich mehr als 1620 Cyber-Angriffen pro Woche ausgesetzt, was einem Anstieg von 40 Prozent gegenüber 2023 entspricht
Der Anstieg der virtuellen Attacken zeigt, dass die IT-Bedrohungen raffinierter und häufiger werden, da die Angreifer fortschrittliche Methoden, wie Künstliche Intelligenz (KI) und Automatisierung einsetzen, um Schwachstellen auszunutzen und ihre Malware zu verbessern. Mehrere Faktoren tragen zu dem deutlichen Anstieg der Angriffshäufigkeit bei, darunter die weit verbreitete Einführung von Fernarbeit und die zunehmende Nutzung von Partner-Firmen als Dienstleister, wodurch sich die potenzielle Angriffsfläche eines Unternehmens vergrößert hat. Cyber-Kriminelle nutzen aufkommende Sicherheitslücken, wenn Mitarbeiter von verschiedenen Standorten aus auf sensible Systeme zugreifen. Darüber hinaus trägt die anhaltende Verbreitung von Ransomware und anderen gewinnorientierten Angriffen zu diesem Wachstum bei, da die Hacker jede sich bietende Gelegenheit für einen finanziellen Gewinn nutzen wollen. Auch die Zeit zwischen dem ersten Angriff und dem Abfluss der Daten verkürzte sich von Wochen auf Sekunden. Die menschliche Reaktion ist nicht mehr schnell genug und KI-gesteuerte Prävention sowie automatisierte Reaktion sind die einzige Möglichkeit, diesen Trend zu verlangsamen. Tödlich für die Cyber-Abwehr sind dabei Sicherheitslösungen und Tools die schlecht zusammenarbeiten. Entweder sollten sie aus einer Hand stammen und über eine Plattform zentral gesteuert werden, um eine konsolidierte Sicherheitsarchitektur zu bilden, oder eine Drittanbieter-Lösung sollte eingesetzt werden, um alle Tools, unabhängig vom Hersteller, zu automatisieren und zu orchestrieren. Ein External Attack Surface Assessment managed service (EASM) hilft hier ungemein, um präventive Reaktionen auf erkannte Bedrohungen zu automatisieren.
Trend Vier: Hacker veröffentlichten Details von mehr als 3500 erfolgreichen Ransomware-Angriffen gegen Unternehmen in diesem Jahr
Cyber-Kriminelle nutzen die Offenlegung von Daten weiterhin als Mittel zur Erpressung. Eine Erklärung für diesen Trend ist das Aufkommen von günstig zu mietender Ransomware-as-a-Service (RaaS), welche es weniger erfahrenen Kriminellen erleichtert, Angriffe zu starten, und den Pool potentieller Täter somit vergrößert hat. Die Hacker wenden seit einigen Jahren die Doppelte, Dreifache und sogar Vierfache Erpressung als Methode an, bei der sie nicht nur Daten verschlüsseln, sondern auch mit der Veröffentlichung zuvor gestohlener sensibler Informationen drohen, falls das Lösegeld nicht gezahlt wird.
Aus diesem Grund sollten Starke Endpunkt-Sicherheitsmaßnahmen für alle Endpunkte, mobile Geräte, Tablets, Laptops und Server implementiert werden, einschließlich Zero-Phishing, Anti-Malware, Anti-Ransomware und vollständiger Festplattenverschlüsselung. Zudem hilft es, alle geschäftskritischen und hochsensiblen Daten in einem segmentierten Netzwerk in eigenen Zonen zu lagern, mit Zugriffskontrollen an den Grenzen sowie Datenschutzmaßnahmen versehen. Diese Daten müssen verschlüsselt, regelmäßig gesichert und die Backups sollten getestet werden. Dazu gehören PII, PHI, Finanzdaten, Unternehmensstrategie, geistiges Eigentum einschließlich Software, KI, sowie Schulungs- und Testdaten (verschlüsselt oder als Token, maskiert und anonymisiert), Mitarbeiter, Wettbewerbsinformationen, Kunden, Interessengruppen und Partner. Das alles unabhängig davon, wo die Daten sich befinden: vor Ort, in einer Cloud oder bei einem Partner. Darüber hinaus sollten starke E-Mail-Sicherheitsmaßnahmen implementiert werden, um den Missbrauch von Geschäfts-E-Mails (BEC) zu verhindern, da diese laut IC3 weiterhin der wichtigste Angriffsvektor sind und von Cyber-Kriminellen für Ransomware-, Malware-Angriffe und finanziellen Betrug genutzt werden.
Trend 5: Im Durchschnitt ist das Bildungswesen am stärksten von Cyber-Angriffen betroffen, gefolgt vom Behörden- und Gesundheitswesen.
Bildungseinrichtungen, insbesondere Universitäten, konzentrieren sich oft auf die Zugänglichkeit, was zu ausgedehnten Netzwerken führt, die leicht von Hackern infiltriert werden können. Eine große Anzahl von Benutzern und Geräten kann zu schwächeren Sicherheitspraktiken führen, was sie zu attraktiven Zielen für Phishing und Datendiebstahl macht. Gleichermaßen sind staatliche Einrichtungen aufgrund der von ihnen verwalteten sensiblen Daten, die für finanzielle oder politische Zwecke missbraucht werden können, ein bevorzugtes Ziel.
Organisationen des Gesundheitswesens stehen zudem vor besonderen Herausforderungen, da sie mit großen Mengen personenbezogener Daten umgehen und daher oft mehr IT-Sicherheitsmaßnahmen benötigen als andere Branchen. Die Dringlichkeit der medizinischen Versorgung kann manchmal die Sicherheitsmaßnahmen beeinträchtigen und die Anfälligkeit für Ransomware und andere Angriffe erhöhen. Die jüngste Verlagerung hin zu digitalen Operationen oder Behandlung aus der Ferne, die durch die Corona-Krise beschleunigt wurde, hat die Angriffsfläche in allen Bereichen vergrößert und bietet Cyber-Kriminellen neue Möglichkeiten. Die Häufigkeit von Angriffen im Bildungs-, Behörden- und Gesundheitswesen unterstreicht die dringende Notwendigkeit verbesserter Cyber-Strategien, umfassender Mitarbeiterschulungen und wirksamer Notfallpläne, um wichtige Daten zu schützen und die betriebliche Stabilität zu gewährleisten.
Die aktuelle Cyber-Sicherheitslage sollte stets bewertet werden, damit die Sicherheitsleute wissen, wo sie stehen. Eine gründliche Analyse der Netzwerkinfrastruktur, Software-Anwendungen, Hardware, Sicherheitsprozesse und Unternehmensrichtlinien hilft dabei, Bereiche zu identifizieren, in denen Verbesserungen erforderlich sind. Die Netzwerkinfrastruktur sollte durch Segmentierung geschützt werden, um die Ausbreitung potenzieller Verstöße zu begrenzen und das Springen einer Malware oder Ransomware von einem System zum anderen zu verhindern. Es ist wichtig, eine präventive Haltung einzunehmen, da es im Ernstfall zu spät sein kann, wenn Angreifer erst einmal eingedrungen sind. Es müssen strenge Zugangskontrollen eingeführt werden, und die Einführung einer Zero-Trust-Architektur trägt dazu bei, dass nur befugtes Personal den Zugang zu sensiblen Informationen erhält. Außerdem stärken regelmäßige Schwachstellen-Scans, Lösungen für das EASM und ein zeitnahes Patch-Management die Cyber-Abwehr, da Sicherheitslücken geschlossen werden, bevor Hacker sie ausnutzen können. Darüber hinaus ist die Implementierung von Multi-Faktor-Authentifizierung sehr wichtig geworden. Darüber hinaus sollten Notfallpläne spezifische Schritte zur Erkennung, Eindämmung und Wiederherstellung enthalten und klare Kommunikationskanäle zwischen allen Beteiligten vorschreiben. Regelmäßige Backups wichtiger Daten sowie die Sicherstellung einer schnellen Wiederherstellung und des Zugriffs auf diese Backups können die Ausfallzeiten im Falle eines Angriffs erheblich reduzieren.
Schlussfolgerung
Den Oktober als Cyber-Security-Awareness-Month sollten Unternehmen und Privat-Leute nutzen, um ihre Cyber-Abwehr ebenso zu stärken, wie ihr Bewusstsein für IT-Bedrohungen. Die fünf Trends zeigen, dass Cyber-Sicherheitsprotokolle und das eigene Verhalten eine feste Grundlage brauchen, aber kontinuierlich angepasst werden müssen, um neuartige Bedrohungen effektiv abzuwehren und die Widerstandsraft der eigenen Systeme langfristig zu stärken. Präventive statt reaktiver Cyber-Sicherheitsmaßnahmen sind das Gebot der Stunde, sonst könnte eine Gegenmaßnahme zu spät erfolgen. Der Schaden wäre dann bereits angerichtet worden. Im anderen Fall aber schützt man nicht nur sensible Daten, sondern stärkt das Vertrauen der Kunden und Mitarbeiter in die Firma und Strategie.
Von Marco Eggerling, Global CISO bei Check Point Software Technologies
#CheckPoint