Das Jahr 2022 hatte in Sachen Informationssicherheit bzw. Cyber Security einige anspruchsvolle Entwicklungen mit sich gebracht. Grund genug sich Ereignisse und Entwicklungen anzusehen und einen Blick auf die kommenden Entwicklungen in 2023 zu werfen. Unsere Cyber Security Prognosen für das Jahr 2023.
Bemerkenswerte Vorfälle und Bedrohungen 2022
Microsoft Hack
In einem Blogbeitrag – der nur wenige Stunden nach der Veröffentlichung einer Torrent-Datei mit Teilen des Quellcodes von Bing, Bing Maps und Cortana durch die Hacker-Gruppe Lapsus$ veröffentlicht wurde – gab Microsoft bekannt, dass das Konto eines einzelnen Mitarbeiters kompromittiert wurde, was den Angreifern „begrenzten Zugang“ zu den Systemen von Microsoft gewährte und den Diebstahl des Quellcodes des Unternehmens ermöglichte.
Lapsus$ gehört nach aktuellen Erkenntnissen zu der weltweit größten, bekannten Hackergruppierung und hat Berichten zufolge auch andere, große Tech-Unternehmen wie Cisco, Samsung, Nvidia und Okta (IAM-Provider) ins Visier genommen. Dabei suchte sie auch den Weg unter anderem über deren IT-Dienstleister und Subunternehmer.
Uber Hack
Ein 18-jähriger Hacker nutzte Social-Engineering-Techniken, um das Netzwerk von Uber zu kompromittieren. Er kompromittierte das Slack-Login eines Mitarbeiters, um eine Nachricht an die Uber-Mitarbeiter zu senden, in der er ankündigte, dass es zu einer Datenverletzung gekommen sei. Uber bestätigte den Angriff innerhalb weniger Stunden auf Twitter und gab weitere Details auf dieser Seite bekannt. Das Unternehmen behauptet, dass keine Nutzerdaten in Gefahr waren, die Strafverfolgungsbehörden informiert wurden und alle Dienste wieder in Betrieb genommen wurden.
Der Angreifer sprach anschließend mit verschiedenen Reportern und gab zu, dass er sich Zugang verschafft hat, indem er Social-Engineering-Techniken bei einem Auftragnehmer des Unternehmens eingesetzt hat. Der Angreifer richtete ein Man-in-the-Middle-MFA-Portal (konkreter: Adversary-in-the-Middle, AitM) ein und gaben vor von der IT-Abteilung von Uber zu sein.
Rockstar Gaming
Ein 17-jährier Hacker hat den Spielehersteller „Rockstar Games“ gehackt, auf sensible Interna zugegriffen und über 90 Videos des sich noch in der Entwicklung befindlichen Spiels „Grand Theft Auto 6“ an die Öffentlichkeit gebracht. Die Polizei der Stadt London hat Berichten zufolge den 17-Jährigen, der für den Hack verantwortlich ist, verhaftet.
Offenbar verschaffte sich der Angreifer administrativen Zugriff auf das interne Netzwerk von Rockstar Games, nachdem ein Mitarbeiter auf eine bösartige E-Mail geklickt hatte. Der Angreifer konnte dann die Videos aus den internen-Kanälen der Mitarbeiter herunterladen – eine ähnliche Methode wurde bei dem Uber-Hack verwendet.
Axie Infinity
Einer der größten Hacks im Cryptocoin-Sektor aller Zeiten fand Anfang des Jahres statt. Das Krypto-Videospielunternehmen Axie Infinity wurde um Kryptowährungen im Wert von circa 620 Millionen Dollar beraubt. Die Behörden behaupteten später, dass nordkoreanische Cyberkriminelle mit Verbindungen zur Hackergruppe Lazarus hinter dem massiven Diebstahl steckten.
Conti Ransomware Group
Bei einem der interessantesten Data Leaks des Jahres wurde eine bekannte Hackergruppe gehackt. Die Ransomware-Gruppe Conti, die mit einigen sehr großen Hacking-Fällen in Verbindung gebracht wurde, wurde selbst von ukrainischen Hacktivisten gehackt. Die Ukrainer stellten interne Chats und andere Informationen der Ransomware-Gruppe ins Netz. Der Inhalt des Lecks bot einige der bisher umfassendsten Einblicke in die Art und Weise, wie große Ransomware-Gruppen ihr lukratives Geschäft betreiben.
Log4j
Ursprünglich im Dezember 2021 gefunden, war log4j auch im Jahr 2022 hochgradig präsent.
Eine kritische Sicherheitslücke im Log4j-Framework ermöglicht es Angreifern anfällige Systeme mit nur einer einzigen bösartigen Code-Injektion zu kompromittieren.
Da diese Sicherheitslücke so weit verbreitet ist und die meisten Unternehmen nicht wissen, dass sie davon betroffen sind, waren Eintrittswahrscheinlichkeit und Schadenspotenzial enorm hoch. Sicherheitsforscher haben zu Spitzenzeiten etwa 10 Millionen Angriffsversuche pro Stunde identifiziert, die auf Schwachstellen in Verbindung mit log4j stehen.
Mangelhafte Schutzmaßnahmen 2022
Auch im Jahr 2022 gab es typische und weit verbreitete Fehler im Umgang mit Bedrohungen und/oder der mangelhaften Umsetzung von Schutzmaßnahmen, sowohl auf organisatorischer als auch technologischer Basis. Das gilt besonders für nicht-regulierte Branchen. Unsere Erfahrungen im DACH-Raum decken sich hierbei mit den industrieübergreifenden Erkenntnissen und bestätigen sich im Austausch mit der Sicherheitsbranche und Ministerien und Behörden.
- Kein nennenswertes Risikomanagement für Informationssicherheit
- Unzureichendes Patch-Management, dadurch Gefährdung durch akut ausgenutzte Schwachstellen
- Verwendung schwacher Passwörter, fehlender Einsatz von Multi-Faktor-Authentifizierungen, insbesondere bei privilegierten Benutzerkonten
- Vernachlässigung von Datensicherung unternehmenskritischer Daten (und keine Vorbereitung auf Disaster Recovery)
- Mangelhafter Schutz vor weit verbreiteten Phishing-Kampagnen
- Unzureichende Sensibilisierung von Mitarbeitern
Das ist insofern bemerkenswert, als dass diese Auffälligkeiten sich in der letzten Dekade nicht nennenswert verändert haben. Dabei sind entsprechende Maßnahmen umsetzbar ohne die eigene Flexibilität einzuschränken und ohne Ressourcen durch Selbstverwaltung unnötig zu belasten. Die meisten Fehler und Unzulänglichkeiten lassen sich mit gängigen Produkten lösen, die die meisten Unternehmen bereits im Einsatz haben.
Unverändert sehen wir seit Jahrzehnten eine technokratische Grundhaltung, die darin resultiert neue Technologien (Hard- und Software) einzukaufen, anstatt bisherige Lösungen optimal einzusetzen, oder Prozesse zu optimieren und Personal zu schulen. Der Irrglaube, dass es für jedes Problem eine technologische Lösung gibt, belastet Budgets und Personal und schafft außerdem Komplexität die immer schwieriger zu überblicken wird. Unsere Cyber Security Prognosen 2023 zeigen verstärkt, dass bestehende Herausforderungen zukünftig zu ernsthaften Problemen führen können.
Bedrohungen und Trends
Die Bedrohungslandschaft entwickelt sich stetig weiter. Wir beobachten eine ungebrochene Professionalisierung der Angreifer, dies zeigt sich durch die Verbesserung der eingesetzten Werkzeuge, aber auch die optimierten Vorgehensweisen.
Ziele werden spezifischer ausgesucht und ausgespäht. Breitgefächerte (i.S.v. unspezifische) Angriffe werden u.a. durch Automatisierung qualitativ besser. Die Angreifer machen sich hierbei die Automatisierung und Orchestrierung ihrer Angriffsplattformen und Werkzeuge weiter zu Nutze, um das Potenzial zu erhöhen.
Zusätzlich werden schwache Ziele deutlich schneller identifiziert also noch in den Jahren zuvor. Neu veröffentlichte Schwachstellen (0-Day-Exploits) werden von den Crime-as-a-Service-Anbietern deutlich schneller ausgenutzt und anderen Kriminellen als Service angeboten. Die Zusammenarbeit innerhalb der kriminellen Gruppen hat sich verbessert und Fach- bzw. Branchenwissen innerhalb des Dunkelfeldes wird häufiger geteilt und genutzt.
#1 Supply-Chain-Attacken
Skalierte Angriffe über die Versorgungsketten sind längst bekannt und beliebt bei verschiedenen Angreifergruppierungen. Der Aufwand der durch die Angreifer betrieben werden muss, erhöht sich zwar, jedoch wissen Angreifer wann sich Aufwand lohnt.
Insbesondere die schwächeren Glieder der Supply-Chains, werden immer interessanter für Angreifer und sind dadurch stärker betroffen als bisher.
Wir erwarten
- Mehr Angriffsversuche und mehr erfolgreiche Angriffe
- Qualitativ bessere Angriffe (in Bezug auf Taktiken, Technologien und Prozedere der Angreifer)
- Nicht nur Software-Hersteller sind spannende Ziele einer Supply-Chain, sondern auch IT-Dienstleister jeder Art.
- Angreifer optimieren einzelne Phasen der Cyber Kill Chain, der Schwerpunkt liegt weiterhin auf Verbreitung von Malware
Erwartete Trendentwicklung: Normal ansteigend
#2 Angriffe auf Cloud-basierte Tools
Durch die pandemische Weltlage waren viele Unternehmen weltweit gezwungen ihre Prozesse durch cloudbasierte Produkte und Lösungen zu unterstützen, oder gar komplett in die Cloud zu verlagern.
Das ist auch Angreifern jeder Art nicht entgangen. Bereits wenige Wochen nach der Umstellung auf Remote Work hat besonders die organisierte Kriminalität Wege gefunden
diesen Umstand auszunutzen. Weil nur wenige Unternehmen nachträglich Sicherheitsmaßnahmen einführen, bleiben Schwachstellen bestehen.
Wir erwarten
- Vermehrt Angriffe auf Identity-Management-Systeme in der Cloud.
- Optimierte Angriffe, z.B. (Spear-) Phishing auf Mitarbeiter und deren Benutzerkonten für kombinierte Kollaborations- und Kommunikations-Tool wie Slack, Confluence, Microsoft Teams.
(Motivation: Zugriff auf sensible Informationen und Staging / Lateral Movement auf andere Teile der attackierten Unternehmen.)
Erwartete Trendentwicklung: Stark Ansteigend
#3 Phishing über Social Media
Nicht nur „Scamming“ von Verbrauchern, auch die Erkenntnis, dass Mitarbeiter eines Unternehmens über beispielsweise Linkedin und ähnliche Plattformen erreichbar und vulnerabel für Social Engineering sind, nutzen Angreifer vermehrt aus. Dabei beobachten wir aktuell tendenziell aufwändige und mittelfristig angelehnte Social Engineering Kampagnen (die dennoch automatisiert und orchestriert sind), und einige sehr einfache, aber manchmal effektive Phishing-Versuche.
Der Missbrauch von Google Ads (Malvertising), um Opfer auf Phishing-Seiten zu locken, hat in den letzten Monaten verstärkt zugenommen, überraschenderweise auch mit zielgruppenspezifischer Wirkung.
Gestützt durch die fortschreitende Weiterentwicklung der Phishing-Angriffe, z.B. auf Basis von JavaScript (durch Obfuskieren) auf Phishing-Seiten macht es den Nutzern ungemein schwerer echte Login-Seiten von Phishing-Seiten zu erkennen, oder diese durch konventionelle Sicherheitssysteme zu detektieren.
Wir erwarten
- Mehr Malvertising-Angriffe, die durch die hohe Spezifizität von Google Ads etc. auch gezielter gegen einzelne Branchen oder Nutzergruppen (z.B. Administratoren) eingesetzt werden.
- Bessere Phishing-as-a-Service Angebote, weil die Entwicklung der Phishing-Seiten fortschreitet und die Detektionsvermeidung verbessert
- Effizientere Spear-Phishing-Kampagnen auf Job-Netzwerken wie LinkedIn etc.
Erwartete Trendentwicklung: Normal ansteigend
#4 Cyber-Versicherungen entwickeln sich weiter
Eine der vier Möglichkeiten im Risikomanagement ist die Verlagerung zu Versicherungen. In vielen Bereichen längst Standard, hat es für Cyber-Risiken interessante Entwicklungen gegeben.
Durch die gestiegenen Sicherheitsvorfälle, weltweit, haben auch die Versicherer reagiert, weitere Anpassungen sind unausweichlich, zum Nachteil der Versicherungsnehmer.
Wir erwarten
- Mehr und höhere Anforderungen an Versicherungsnehmer.
- Stärkere Verpflichtungen für Versicherungsnehmer, ein Sicherheitsniveau aufzubauen und zu halten, inkl. Nachweispflichten z.B. durch externe Stellen.
- Höhere Beiträge für Versicherungsnehmer.
Erwartete Trendentwicklung: Negativer Trend für Versicherungsnehmer
#5 Geopolitische Konflikte häufiger im Cyber-Raum
Durch den Ukraine-Krieg wurden die Gefahren von Konflikten im sogenannten „Cyber-Raum“ wieder in Erinnerung gerufen. Auch wenn bisher schwerwiegende Angriffe auf NATO-Staaten durch Russland ausblieben, ist die Gefahr ungebrochen. Nicht nur kritische Sektoren sind weiterhin bedroht, durch die Komplexität der Weltwirtschaft sind die Auswirkungen nur schwer vorhersagbar.
Klar ist: Die Unternehmen weltweit, unabhängig von Größe und Bedeutung, sind nicht auf einen ausgeprägten Krieg im Cyber-Raum vorbereitet. Gezielte und flächendeckende Angriffe auf ganze Branchen können fatale Folgen haben. Auch wenn es ungewiss ist, ob und wann sich der Ukraine-Krieg oder andere drohende Konflikte auf hybride Kriegsführung ausweiten, gehen wir von punktuell verstärkten Aktivitäten durch staatliche Stellen, oder durch staatlich unterstützte kriminelle Gruppierungen aus.
Wir erwarten
- Mehr destruktive Angriffe mit Kollateralschäden (ähnlich NotPetya).
- Mehr Einsätze von „Cyber Kriegswaffen“ und gezielte Angriffe auf (kritische) und vulnerable Branchen wie Gesundheitsbranche, öffentliche Verwaltung oder Logistik.
- Eine Zunahme von geostrategischen Unsicherheiten, insbesondere durch mehr Fake News, und Deepfakes. Dies wird auch politische, wirtschaftliche und wirtschaftspolitische Folgen haben.
Erwartete Trendentwicklung: Leicht ansteigend
#6 Professionalisierung der Crime-as-a-Service-Ökonomie
Wie in der Einleitung angesprochen, professionalisiert sich die kriminelle Welt weiterhin und ist in der Lage sich schnell auf veränderte Lagen einzustellen. Der Trend zu mehr Effizienz statt nur Effektivität ist deutlich. Trotz der Erfolge, die die Strafverfolgung erzielt hatte, werden Crime-as-a-Service-Anbieter florieren.
Wir erwarten
- Schnellere Angriffe und schnellere Ausnutzung von sogenannten 0-Day-Exploits.
- Weiterentwicklung von Ransomware.
- Weiter Professionalisierung der Schwarzmarkt-Teilnehmer (bspw. Datenhändler, CaaS-Anbieter, etc.).
- Mehr „Hack and Leak“ Angriffe (Double Extortion).
- Geldwäsche wird durch Automatisierung vereinfacht.
- Neue Ransomware-Gruppen, die schnell Erfolge erzielen werden.
Erwartete Trendentwicklung: Leicht ansteigend
#7 Gesetzliche Vorgaben
Auch die Legislative nimmt die Bedrohungslagen wahr und reagiert mit zunehmenden Verpflichtungen für immer mehr Unternehmen, nicht nur in den konventionell kritischen Bereichen. Auf EU-Ebene gibt es bereits Anpassungen (hier: Verschärfungen) von gesetzlichen Vorgaben, auch sind neue Vorgaben entstanden, die im Jahr 2023 in nationales Recht umgesetzt werden müssen.
Wir erwarten
- Gesetzgebung wird verschärft.
- Rechtsprechung (insb. Datenschutz) wird mehr Anwendung finden und Vorgaben dadurch präzisieren.
- Bußgelder werden häufiger und höher verhängt.
Erwartete Entwicklung: Mehr Compliance-Vorgaben
#8 Krisen verursachen Budgetkürzungen
Verschiedene Krisen haben die meisten Unternehmen weltweit in schwierige, teilweise existenzbedrohende Lagen gebracht. Dadurch sind Budgets für IT und Informationssicherheit im Allgemeinen geschrumpft., vermehrt wird (wenn überhaupt) in die Optimierung investiert.
Wir erwarten
- Weniger Mitarbeiter werden sich zu Sicherheitsthemen fortbilden
- Günstigere IT-Dienstleister und Lösungsanbieter werden häufiger 1. Wahl für KMU, tendenziell sparen die günstigen Dienstleister an der Sicherheit à Qualität und Sicherheit nimmt ab.
- Insgesamt werden Investitionen in IT eher zurück gehen, Fachkräftemangel wird dadurch bedrohlicher und schwieriger zu begegnen.
Erwartete Entwicklung: Vergleichbar mit 2022
#9 Schutzniveau erhöht sich leicht
Trotz der eher negativen Entwicklungen konnten wir beobachten, dass das Schutzniveau im Vergleich zu den letzten Jahren leicht angestiegen ist.
Schwierigkeiten entstehen nun, wenn wie erwartet die Bedrohungen zunehmen, das allgemeine Schutzniveau aber nicht hinreichend ansteigt. Das Potenzial der zur Verfügung stehenden Mittel wird nicht vollkommen genutzt.
Wir erwarten insgesamt
- SASE und Zero-Trust werden an Bedeutung gewinnen und stärker verbreitet
- Patch-Management wird tendenziell besser
- XDR wird stärker genutzt und breiter eingesetzt
- Cyber-Risk-Management wird an Priorität gewinnen
- Angebote im Bereich Cyber-Security-as-a-Service (CSaaS) werden zunehmen
- Strafverfolgung wird effektiver (sowohl auf nationaler, als auch internationaler Ebene)
Schlussfolgerungen
Für Unternehmen
Der Druck auf verantwortliche Entscheidungsträger steigt durch die wachsende Bedrohungslage und die stärker ausgeprägte Gesetzeslage und Rechtsprechung. Unternehmen müsse ihre Reaktionszeiten und -fähigkeiten auf plötzlich aufkommende Bedrohungen müssen verbessern. Dabei ist lohnenswert die eigenen, bereits zur Verfügung stehenden Ressourcen besser zu nutzen, um das volle Potenzial auszuschöpfen. Dabei gilt es auch bereits ausgelagerte IT-Dienstleistungen und zukünftige Auslagerungen im Rahmen eines 3rd-Party-Risk-Managements zu betrachten. Es ist unerheblich, ob die Zahl der IT-Auslagerungen zunehmen werden oder nicht. Die Prognosen für 2023 zeigen gefährliche Entwicklungen die für alle Unternehmen relevant sind, die technologiegestützte Prozesse nutzen.
Durch Angriffe auf Supply-Chains werden Beschaffungsprozesse (IT und non-IT) stark in Mitleidenschaft gezogen. Speziell die Logistik-Branche ist selten auf moderne Angriffe vorbereitet, größere Ausfälle werden eine angespannte, internationale Lage zumindest zeitweise bemerkenswert verschärfen.
Es ist denkbar, dass sich die organisierte Kriminalität auf andere, bedeutende Branchen konzentriert, die leichtere Ziele darstellen und dort für relevanten Impact sorgen.
Für Internet Service Provider
Weil einige kriminelle Aktivitäten von ISP geblockt werden können, ist zu erwarten, dass deren Beteiligung in der Abwehr stärker gefordert werden wird. Dies ist nur durch mittel- und langfristige Maßnahmen realisierbar.
Für Sicherheitsmanagements
Eine stärkere Fokussierung auf technologische und prozessuale Schwachstellen ist erforderlich. In angespannten Budgetsituationen wird der Anspruch an kreative und pragmatische Herangehensweisen unumgänglich – Unternehmen, die eine nötige Anpassung an die Bedrohungslagen nicht hinreichend vollziehen können, werden sich in existenzbedrohenden Situationen wiederfinden.
Der Fachkräftemangel wird sich zudem deutlich zeigen und nur schwer durch risikoorientierte Handlungsweisen abfedern lassen.
Für weitere Informationen oder Beratungsleistungen kontaktieren Sie uns unverbindlich.