CrowdStrike -Vorfall zeigt erneut Notwendigkeit robuster Sicherheitspraktiken

Am letzten Freitag löste ein Software-Update des Cybersecurity-Giganten CrowdStrike einen massiven IT-Ausfall aus, der sich über den gesamten Globus ausbreitete und Millionen von Windows-Systemen betraf. Das fehlerhafte Update löste Chaos aus, indem es Geräte zum Absturz brachte und den gefürchteten Bluescreen-Fehler“ (BSOD) anzeigte, wodurch kritische Bereiche wie das Gesundheitswesen, das Bankwesen und die Luftfahrt an einigen Standorten zeitweise zum Erliegen kamen.

Das Ausmaß und die Schwere der Störung verdeutlichen die Anfälligkeit unserer vernetzten digitalen Ökosysteme. Krankenhäuser hatten Schwierigkeiten, auf Patientenakten zuzugreifen, Banken hatten mit Betriebsstörungen zu kämpfen, und in Verkehrsnetzen kam es zu erheblichen Verspätungen und Ausfällen. Dieser Vorfall macht deutlich, wie sich eine einzige Softwarepanne zu einer globalen Krise ausweiten kann, die wichtige Dienste und Infrastrukturen beeinträchtigt.

Technischer Hintergrund von CrowdStrike

Der CrowdStrike-Update-Vorfall betraf laut Microsoft weltweit etwa 8,5 Millionen Windows-Geräte. Die Störung hatte weitreichende Auswirkungen und führte zur Annullierung von über 2000 Flügen in den USA sowie zahlreichen weiteren in Europa, einschließlich Deutschland. Dies verursachte erhebliche Verspätungen an großen Flughäfen wie Frankfurt und München. Passagiere mussten lange Wartezeiten in Kauf nehmen, und viele Flüge wurden gestrichen, wodurch Reisende und Fluggesellschaften das Chaos nur schwer bewältigen konnten. CrowdStrike bestätigte, dass der Fehler durch ein Inhaltsupdate für Windows-Hosts verursacht wurde und kein Cyberangriff vorlag. Das Unternehmen hat das Problem schnell behoben, doch der Vorfall unterstreicht die Notwendigkeit effizienter und effektiver Mechanismen zur Reaktion auf solche Zwischenfälle.

Resilienz von IT-Umgebungen

Die Bedeutung umfassender Strategien zur Reaktion auf Vorfälle in IT-Umgebungen kann nicht genug betont werden. Bei solchen Störungen müssen Unternehmen in der Lage sein, betroffene Systeme schnell zu identifizieren, zu isolieren und zu reparieren, um Ausfallzeiten zu minimieren und die Kontinuität des Betriebs sicherzustellen.

Dieser Vorfall ist ein Weckruf für die Cybersicherheits-Community und verdeutlicht die Wichtigkeit eines umfassenden Asset-Managements, automatisierter Abhilfemaßnahmen und kontinuierlicher Überwachung, um ähnliche Vorfälle in Zukunft zu vermeiden. In einer zunehmend digitalen Welt sind die Stabilität und Sicherheit unserer IT-Infrastruktur wichtiger denn je.

Um solche Störungen zu bewältigen, sind folgende präventive Strategien wichtig:

  • Identifizierung und Priorisierung kritischer Assets: Stellen Sie vollständige Transparenz aller Assets und ihrer Kommunikationswege sicher, um betroffene Geräte schnell zu identifizieren und Störungen beheben zu können. Nutzen Sie Telemetriedaten und KI-gestützte Erkenntnisse, um die für die Betriebskontinuität und die öffentliche Sicherheit kritischen Assets zu priorisieren.
  • Implementieren Sie Rollback- und Backup-Mechanismen: Führen Sie umfassende Backups durch und stellen Sie sicher, dass die Systeme zu einem letzten bekannten guten Zustand zurückkehren können, um die Ausfallzeiten bei Zwischenfällen zu minimieren. Aktualisieren Sie regelmäßig die Sicherungsprotokolle für kritische Systemzustände und testen Sie sie gründlich.
  • Automatisieren Sie und weisen Sie die Verantwortung zu: Wiederherstellungsprozesse sollten nach Möglichkeit automatisiert werden, um die Effizienz zu steigern. Verwenden Sie eingebettete Workflows, um die Verantwortlichkeit für betroffene Assets zuzuweisen, den Fortschritt zu verfolgen und die Wirksamkeit der Wiederherstellung zu messen.
  • Verbessern Sie die Erkennungs- und Reaktionsfähigkeiten: Diversifizieren Sie die Erkennungsmechanismen in IT- und OT-Umgebungen und setzen Sie sowohl passive Überwachung als auch aktive Abfragen ein, um Richtlinienverletzungen und anomales Verhalten zu erkennen. Regelmäßiges Aktualisieren und Testen von Reaktionsplänen auf Vorfälle.
  • Fördern Sie die Zusammenarbeit mit der Industrie: Engagieren Sie sich für den Informationsaustausch und kooperative Strategien innerhalb und zwischen den Branchen, um neuen Bedrohungen einen Schritt voraus zu sein und Best Practices für die Cybersicherheit zu entwickeln.

CrowdStrike -Vorfall Fazit

Unternehmen benötigen robuste Lösungen, um Vorfälle effektiv zu bewältigen und sicherzustellen, dass die gesamte Angriffsfläche in Echtzeit verteidigt und verwaltet wird. Hochentwickelte Plattformen, wie die von Armis, statten Unternehmen mit den notwendigen Werkzeugen aus, um betroffene Geräte schnell zu identifizieren, zu priorisieren und zu bereinigen, wodurch Betriebsunterbrechungen minimiert werden. Es ist entscheidend, dass Unternehmen ihre Widerstandsfähigkeit gegenüber ähnlichen Vorfällen stärken und gleichzeitig die Sicherheit und betriebliche Kontinuität aufrechterhalten. Dies erfordert die kontinuierliche Sichtbarkeit, den Schutz und die Verwaltung aller kritischen Ressourcen und Assets.

Weitere Details finden Sie diesem Blog.

Fortinet gab die Ergebnisse seines globalen 2024 State of Operational Technology and Cybersecurity Report bekannt. Die Ergebnisse stellen den aktuellen Stand der OT-Sicherheit dar und geben OT-Unternehmen konkrete Empfehlungen, wie sie ihr Security-Profil angesichts der ständig wachsenden IT/OT-Bedrohungslandschaft kontinuierlich stärken können.

Neben Trends und Erkenntnissen, die sich auf Unternehmen auswirken, bietet der „Operational Technology and Cybersecurity Report“ Best Practices, die IT- und OT-Security-Teams dabei unterstützen, ihre OT-Umgebungen besser zu schützen.

Während der aktuelle Bericht zeigt, dass OT-Unternehmen in den letzten 12 Monaten Fortschritte bei der Stärkung ihres OT-Sicherheitsprofils gemacht haben, gibt es immer noch kritische Verbesserungspotenziale, da IT- und OT-Netzwerkumgebungen weiter zusammenwachsen.

Die wichtigsten Ergebnisse der weltweiten Umfrage zu OT-Unternehmen sind

  • Cyberangriffe auf OT-Systeme nehmen zu. Im Jahr 2023 erlebten 49 Prozent der Befragten einen Angriff, der entweder OT-Systeme oder sowohl IT- als auch OT-Systeme betraf. In diesem Jahr sind jedoch fast drei Viertel (73 Prozent) der Unternehmen betroffen. Die Erhebungsdaten zeigen auch einen Anstieg der Angriffe auf OT-Systeme im Vergleich zum Vorjahr (von 17 Prozent auf 24 Prozent). Angesichts der Zunahme von Angriffen gibt fast die Hälfte (46 Prozent) der Befragten an, dass sie den Erfolg anhand der Zeit messen, die für die Wiederherstellung des normalen Betriebs erforderlich ist.
  • Unternehmen erlebten in den letzten 12 Monaten eine hohe Anzahl von Sicherheitsvorfällen. Fast ein Drittel (31 Prozent) der Befragten berichtete von mehr als sechs Cybersecurity-Vorfällen, im Vorjahr waren es nur elf Prozent. Alle Arten von Angriffen haben im Vergleich zum Vorjahr zugenommen, mit Ausnahme von Malware, die abgenommen hat. Phishing und kompromittierte geschäftliche E-Mails waren am häufigsten, während Sicherheitsverletzungen bei mobilen Geräten und Web-Kompromittierungen die am häufigsten verwendeten Techniken waren.
  • Die Erkennungsmethoden können mit den heutigen Bedrohungen nicht Schritt halten. Da die Bedrohungen immer raffinierter werden, weist der Bericht darauf hin, dass die meisten Unternehmen immer noch blinde Flecken in ihrer Umgebung haben. Der Anteil der Befragten, die angaben, dass ihr Unternehmen innerhalb der zentralen Sicherheitsprozesse vollständige Transparenz über OT-Systeme hat, ist seit dem letzten Jahr von zehn auf fünf Prozent gesunken. Allerdings ist der Anteil der Unternehmen, die eine Transparenz von 75 Prozent angeben, gestiegen. Dies deutet darauf hin, dass die Unternehmen ihr Sicherheitsprofil realistischer einschätzen. Mehr als die Hälfte (56 Prozent) der Befragten hat jedoch bereits Ransomware- oder Wiper-Angriffe erlebt – ein Anstieg von nur 32 Prozent im Jahr 2023, was wiederum darauf hindeutet, dass Netzwerktransparenz und Erkennung noch verbessert werden können.
  • In einigen Unternehmen wächst die Verantwortung für die OT-Security in den Führungsetagen. Der Anteil der Unternehmen, die die OT-Security mit dem CISO koordinieren, steigt weiter von 17 Prozent im Jahr 2023 auf 27 Prozent in diesem Jahr. Gleichzeitig stieg die Übertragung von OT-Verantwortung auf andere C-Suite-Rollen, einschließlich CIO, CTO und COO, auf über 60 Prozent in den nächsten 12 Monaten, was eine deutliche Besorgnis über OT-Sicherheit und Risiken im Jahr 2024 und darüber hinaus zeigt. Die Ergebnisse deuten auch darauf hin, dass in einigen Unternehmen, in denen der CIO nicht direkt verantwortlich ist, eine zunehmende Verlagerung dieser Verantwortung vom Director of Network Engineering zum Vice President of Operations stattfindet, was eine weitere Eskalation der Verantwortung darstellt. Diese Aufwertung auf den Führungsebenen und darunter, unabhängig vom Titel der Person, die für die OT-Sicherheit zuständig ist, lässt darauf schließen, dass die OT-Sicherheit zu einem wichtigeren Thema auf Vorstandsebene wird.

 Best Practices

Der globale Fortinet 2024 State of Operational Technology and Cybersecurity Report bietet OT-Unternehmen umsetzbare Maßnahmen zur Stärkung ihres Sicherheitsprofils. Unternehmen können den Herausforderungen der OT-Sicherheit mit den folgenden Best Practices begegnen:

  • Segmentierung bereitstellen. Die Reduzierung von Sicherheitsvorfällen erfordert eine robuste OT-Umgebung mit starken Netzwerkrichtlinienkontrollen an allen Zugangspunkten. Diese Art der verteidigungsfähigen OT-Architektur beginnt mit der Einrichtung von Netzwerkzonen oder -segmenten. IT-Teams sollten auch die Gesamtkomplexität der Verwaltung einer Lösung bewerten und die Vorteile eines integrierten oder plattformbasierten Ansatzes mit zentralisierten Management-Funktionen in Betracht ziehen.
  • Transparenz und Kompensationskontrollen für OT-Anlagen schaffen. Unternehmen müssen in der Lage sein, alles, was sich im OT-Netzwerk befindet, zu sehen und zu verstehen. Sobald Transparenz hergestellt ist, müssen Unternehmen alle Geräte schützen, die anfällig erscheinen. Dies erfordert den Schutz durch Kompensationskontrollen, die speziell für sensible OT-Geräte entwickelt wurden. Funktionen wie protokollbewusste Netzwerkrichtlinien, System-to-System-Interaktionsanalysen und Endpunkt-Monitoring können die Kompromittierung gefährdeter Assets erkennen und verhindern.
  • OT in den Sicherheitsbetrieb und die Incident-Response-Planung integrieren. OT-Unternehmen sollten sich auf IT-OT SecOps einstellen. Um dies zu erreichen, müssen Cybersecurity-Teams OT speziell in Bezug auf SecOps und Incident-Response-Pläne berücksichtigen. Ein Schritt, den Teams in diese Richtung unternehmen können, ist die Erstellung von Playbooks, die die OT-Umgebung des Unternehmens einbeziehen.
  • OT-spezifische Threat Intelligence– und Security-Dienste nutzen. Die OT-Sicherheit hängt von einem rechtzeitigen Erkennen und einer präzisen Analyse drohender Risiken ab. Unternehmen sollten sicherstellen, dass ihre Bedrohungsinformationen und Inhaltsquellen robuste, OT-spezifische Informationen in ihren Feeds und Services enthalten.
  • Plattformansatz für die gesamte Security-Architektur in Betracht ziehen. Um den sich schnell entwickelnden OT-Bedrohungen und der wachsenden Angriffsfläche zu begegnen, setzen viele Unternehmen eine Vielzahl von Cybersecurity-Lösungen unterschiedlicher Anbieter ein, was zu einer übermäßig komplexen Security-Architektur führt. Ein plattformbasierter Ansatz für Cybersecurity hilft Unternehmen dabei, ihre Lieferanten zu konsolidieren und ihre Security-Architektur zu vereinfachen. Eine robuste Cybersecurity-Plattform, die speziell für den Schutz von IT-Netzwerken und OT-Umgebungen entwickelt wurde, kann die Integration von Lösungen bieten und gleichzeitig ein zentralisiertes Management ermöglichen, um die Effizienz zu steigern.

Hintergrund: Der Fortinet 2024 State of Operational Technology and Cybersecurity Report basiert auf Daten einer weltweiten Umfrage unter mehr als 550 OT-Experten, die von einem externen Forschungsunternehmen durchgeführt wurde.     Die Befragten kamen aus verschiedenen Teilen der Welt, darunter Australien, Neuseeland, Argentinien, Brasilien, Kanada, China, Frankreich, Deutschland, Hongkong, Indien, Japan, Mexiko, Norwegen, Südafrika, Südkorea, Spanien, Taiwan, Thailand, Großbritannien und die Vereinigten Staaten.        Die Befragten vertreten eine Reihe von Branchen, die starke OT-Anwender sind, darunter: Fertigung/Produktion, Transport/Logistik, Gesundheitswesen/Pharma, Öl, Gas und Raffinerie, Energie/Versorgung, Chemie/Petrochemie und Wasser/Abwasser.

Diskrepanzen zwischen den Sicherheitswahrnehmungen von Führungskräften und Entwicklern

JFrog hat die Ergebnisse eines neuen Berichts vorgestellt, der Unterschiede in der Sicherheitswahrnehmungen von Führungskräften und Entwickler-Teams beleuchtet, die das Risiko von Angriffen auf die Software-Lieferkette weltweit erhöhen.

Sicherheitsverletzungen in der Software-Lieferkette nehmen deutlich zu, wie die jüngsten IDC-Umfragedaten zeigen, die einen erstaunlichen Anstieg solcher Angriffe um 241 Prozent im Vergleich zum Vorjahr belegen. Überraschenderweise gaben nur 30 Prozent der Umfrageteilnehmer an, dass die Beseitigung von Schwachstellen in ihrer Software-Lieferkette ein wichtiges Sicherheitsproblem darstellt.

„Die Komplexität der heutigen Software-Lieferkette birgt noch nie dagewesene Risiken. Trotz der Bemühungen der Führungskräfte, die Entwickler-Teams mit den richtigen Werkzeugen auszustatten, haben die Entwickler Schwierigkeiten, die Effizienz zu erhöhen und die Produktivität zu verbessern, da die Sicherheitstools unübersichtlich sind und die Freigabe von Open-Source-Software sowie Audit- und Compliance-Prüfungen langwierig sind“, sagt Paul Davis, Field CISO bei JFrog. „Diese Diskrepanz unterstreicht die Dringlichkeit für Unternehmen, ihre Sicherheitsstrategien zu überdenken und einen kooperativen Ansatz zwischen Führungskräften und operativen Teams zu verfolgen, um ihre Software-Lieferketten effektiv zu stärken.“

Der neue Bericht von JFrog offenbart mehrere Diskrepanzen der Sicherheitswahrnehmungen zwischen den Sicherheitsverantwortlichen und den Entwickler-Teams in Bezug auf die Erkennung bösartiger Open-Source-Pakete, der Integration von KI/ML-Tools und der Notwendigkeit von Sicherheitsscans auf Code-Ebene, darunter:

  • 92 Prozent der Führungskräfte geben an, dass ihre Unternehmen über Tools zur Erkennung bösartiger Open-Source-Pakete verfügen, während nur 70 Prozent der Entwickler dieser Aussage zustimmen.
  • Über 90 Prozent der Führungskräfte glauben, dass sie ML-Modelle in ihren Softwareanwendungen einsetzen, während nur 63 Prozent der Entwickler dies bestätigen.
  • 88 Prozent der Führungskräfte glauben, dass KI/ML-Tools für Sicherheitsscans und Abhilfemaßnahmen eingesetzt werden, doch nur 60 Prozent der DevSecOps-Teams geben an, dass sie diese Tools tatsächlich nutzen.
  • 67 Prozent der Führungskräfte glauben, dass Sicherheitsscans auf Code-Ebene regelmäßig durchgeführt werden, aber nur 41 Prozent der Entwickler bestätigen dies.

Die Untersuchung befasst sich auch mit den regionalen Unterschieden in Bezug auf Sicherheitstechniken und die Transparenz der Software-Lieferkette, wie z.B.:

  • Bekanntheit von Sicherheitslösungen: 14 Prozent der Befragten in der EMEA-Region waren keine Tools zur Identifizierung bösartiger Open Source-Pakete bekannt, im Gegensatz dazu sind es in den USA nur 9 Prozent und in Asien sogar nur 1 Prozent. Es gibt also eine erhebliche Diskrepanz zwischen der Sicherheitsstrategie und der operativen Umsetzung in der EMEA-Region.
  • Einführung von KI/ML-Modellen: Nur 82 Prozent der Befragten in der EMEA-Region gaben an, bereits KI-/ML-Modelle zu verwenden, im Vergleich zu 91 Prozent in den USA und 99 Prozent in Asien. Diese Divergenz könnte auf das risikoscheue, von strengen Vorschriften geprägte Umfeld in Europa hindeuten, während in den USA eine schnellere Einführung von KI/ML-Technologien beobachtet wird.

Für detaillierte Einblicke können Sie den vollständigen Bericht herunterladen.

Cybersecurity bei Aufzügen: Betreiberpflichten zum Schutz vor Angriffen

Eine umfassende Betriebssicherheit von Aufzügen erfordert heutzutage zwingend Cybersecurity bei Aufzügen. Denn die Digitalisierung und Vernetzung von Aufzugsanlagen erhöht die Anfälligkeit für solche Angriffe, die schwerwiegende Konsequenzen haben können – von versagenden Notrufsystemen über manipulierte Steuerungen bis hin zu Ausfällen von Aufzügen.

Bereits seit dem vergangenen Jahr sind die Betreiber von Aufzügen daher verpflichtet, technische und organisatorische Maßnahmen zum Schutz vor Cyberangriffen umzusetzen. Dies ist auch Bestandteil der regelmäßigen Aufzugsprüfungen durch die Fachleute von TÜV Rheinland. Grundlage dieser Prüfung ist eine um den Teil “Cybersecurity bei Aufzügen” aktualisierte Gefährdungsbeurteilung. Darin legen Betreiber dar, mit welchen Maßnahmen sie für Cybersecurity sorgen. “Wir müssen die digitalen Schwachstellen erkennen, um Softwarefehler oder einen Cyberangriff zu verhindern”, erläutert Christian Thielmann, Experte für Aufzugsprüfungen bei TÜV Rheinland. “Dabei schauen unsere Expertinnen und Experten, ob Betreiber die richtigen IT-Systeme identifiziert, den Schutzbedarf korrekt festgestellt und die richtigen Cybersecurity-Maßnahmen ausgewählt haben.”

Cybersecurity bei Aufzügen: Weniger erhebliche Mängel

Insgesamt zählen Aufzüge in Deutschland auch dank der regelmäßigen Prüfungen durch unabhängige Prüforganisationen wie TÜV Rheinland weiterhin zu den sichersten Anlagen. Das ergibt sich aus der Mängelstatistik im aktuellen Anlagensicherheitsreport des TÜV-Verbandes. So war der Anteil der erheblichen Mängel, bei denen eine Nachprüfung auf Mängelbeseitigung erforderlich ist, 2023 erneut rückläufig. Laut Anlagensicherheitsreport weist jeder zehnte Aufzug in Deutschland (10,9 Prozent) erhebliche bis gefährliche Mängel auf, im Jahr 2022 waren es noch 12,5 Prozent, 2021 sogar noch 15,1 Prozent. Typische Mängel sind fehlerhafte Aufzugssteuerungen, defekte Türverriegelungen, Abnutzung wie Verschleiß an Tragseilen oder ausgefallene Notrufsysteme. “Der Nutzer einer Aufzugsanlage muss sich auf den sicheren Betrieb verlassen können”, sagt Christian Thielmann. “Unsere unabhängigen Expertinnen und Experten erkennen mit ihren Prüfungen frühzeitig Risiken.”

München bei mängelfreien Anlagen mit Abstand vorne

Insgesamt wies gut jeder zweite Aufzug in Deutschland (54 Prozent) im Erhebungszeitraum 2023 Mängel auf. Von den rund 667.000 Aufzugsanlagen, die im letzten Jahr geprüft wurden, mussten mehr als 2.000 Aufzüge wegen gefährlicher Mängel sofort stillgelegt werden. Im Vergleich der Metropolregionen steht München den Zahlen von TÜV Rheinland zufolge bei der Cybersecurity bei Aufzügen mit 55 Prozent mängelfreier Anlagen besser da als der Bundestrend (46 Prozent). In Köln und Bonn hat nur jeder dritte Aufzug die Prüfung ohne Mangel bestanden, in Berlin war gerade noch jede vierte Anlage (25 Prozent) bei der Hauptprüfung mängelfrei, in Hamburg sogar nur 23 Prozent.

Aufzugsanlagen werden jährlich abwechselnd einer Haupt- und Zwischenprüfung durch eine unabhängige Prüforganisation wie TÜV Rheinland unterzogen. Die Terminverfolgung liegt in der Verantwortung der Betreiber, wobei TÜV Rheinland gerne unterstützt und erinnert. Ob ein Aufzug fristgerecht geprüft wurde, ist auf der Prüfplakette im Fahrkorb zu erkennen. Neben der Prüforganisation ist dort das Datum der nächsten fälligen Prüfung angegeben, welches grundsätzlich nicht überschritten sein darf.

Umfassende Informationen und Videos zur Prüfung von Aufzügen und den neuen Cybersecurity-Pflichten gibt es unter www.tuv.com/aufzug bei TÜV Rheinland. Den vollständigen Anlagensicherheitsreport des TÜV-Verbands finden Sie unter www.technische-ueberwachung.de.

Wiederherstellung im Angriffsfall: Fünf Fähigkeiten sind essentiell

Fünf Resilienz-Indikatoren bedingen gerechtfertigtes Vertrauen in die Abwehr sowie die Bereitschaft und die Recovery-Fähigkeit von Unternehmen, also die Wiederherstellung im Angriffsfall.

Commvault hat in Zusammenarbeit mit dem Forschungsunternehmen GigaOm den Cyber Recovery Readiness Report 2024 veröffentlicht. Die globale Umfrage unter 1.000 Sicherheits- und IT-Zuständigen in elf Ländern untersucht die grundlegende Frage, was Unternehmen tun können, um angesichts von Cyberangriffen ihre Resilienz zu steigern.

Wiederherstellung im Angriffsfall – fünf Resilienz-Merkmale

Die fünf Resilienz-Merkmale für die Wiederherstellung ergeben sich aus der Analyse der Umfrageergebnisse zu einer Reihe von Themen. In diesem Rahmen beantworteten die Teilnehmer, wie oft Unternehmen angegriffen wurden, welche Resilienz-Technologien sie einsetzten oder nicht einsetzten, und wie schnell Unternehmen in der Lage waren, Daten wiederherzustellen sowie den normalen Geschäftsbetrieb wieder aufzunehmen. Die herausgearbeiteten Resilienz-Merkmale sind:

  • Sicherheitstools, die eine frühzeitige Warnung vor Risiken, einschließlich Insiderrisiken, ermöglichen;
  • eine bekannte, saubere Dark Site oder ein vorhandenes sekundäres System;
  • eine isolierte Umgebung, um eine unveränderliche Kopie der Daten zu speichern;
  • definierte Runbooks, Rollen und Prozesse für die Reaktion auf Vorfälle; sowie
  • spezifische Maßnahmen zum Nachweis der Recovery Readiness der Daten und des Risikos

Bei der Auswertung der Ergebnisse wurden nur 13 Prozent aller Teilnehmer als Unternehmen mit hohem Cyber-Reifegrad für die Wiederherstellung eingestuft. Darüber hinaus trifft die Studie folgende wichtige Aussagen:

  • Schnellere Wiederherstellungen: Unternehmen mit hohem Cyber-Reifegrad, die wenigstens vier der fünf oben erwähnten Resilienz-Merkmale erfüllten, führten ihre Recovery um 41 Prozent schneller durch als Unternehmen, die nur eines oder gar keines der Kriterien erfüllten.
  • Weniger Eindringen in die IT: Insgesamt erlitten Unternehmen mit Cyber-Reife weniger Sicherheitsvorfälle also solche, die weniger als vier Resilienz-Merkmale erfüllten.
  • Größeres Vertrauen in die eigene Cyber Readiness: 54 Prozent der Unternehmen mit hohem Cyber-Reifegrad waren vollkommen zuversichtlich, dass sie sich von einer Sicherheitsverletzung erholen können, verglichen mit nur 33 Prozent der weniger vorbereiteten Organisationen.
  • Häufige Tests machen einen großen Unterschied: 70 Prozent der Unternehmen mit hohem Reifegrad testeten ihre Pläne zur Wiederherstellung vierteljährlich. Bei den Unternehmen, die keines oder nur eines der Resilienz-Merkmale erfüllten, testeten lediglich 43 Prozent mit derselben Frequenz.

„Eine der wichtigsten Erkenntnisse aus der Studie ist, dass Unternehmen nicht an Geld, Ressourcen und Zeit sparen dürfen, wenn sie besser auf Cyberereignisse vorbereitet sein wollen. Wir haben signifikante Unterschiede in der Cyberresilienz zwischen solchen Organisationen festgestellt, die ein oder zwei der Resilienz-Merkmale erfüllten und solchen, die vier oder fünf Merkmale einhielten”, sagt Chris Ray, Security Analyst bei GigaOm. „Entscheidend ist, dass Unternehmen Ausfallsicherheit mehrschichtig angehen. Weniger als 85 Prozent der Teilnehmer tun dies aber aktuell. Das muss sich rasch ändern, wenn Unternehmen widerstandsfähig sein und die Oberhand über feindliche Akteure behalten wollen.”

„Wenn wir diese Cyber-Fähigkeiten genauer unter die Lupe nehmen, kristallisieren sich mehrere Schlüsselpraktiken als grundlegend kritisch für jede Cyber-Preparedness-Strategie heraus. Das Testen der Cyber Recovery Readiness ist eine davon”, sagte Tim Zonca, VP, Portfolio Marketing, Commvault. „Unternehmen, die sich auf das Testen lediglich einer Disaster Recovery konzentrieren, verpassen den Anschluss. Angesichts der sich ständig weiterentwickelnden Bedrohungen sind häufige und moderne Testverfahren für die Cyber Recovery unerlässlich, um sicherzustellen, dass Umgebungen nicht erneut infiziert werden und die Wiederherstellungsprozesse robust sind.”

Methodik: Commvault hat in Zusammenarbeit mit GigaOm diese Erststudie mit 1.000 Befragten in elf Ländern im April 2024 durchgeführt, um die Ansichten der Befragten zur Cyber Readiness besser zu verstehen und um zu ermitteln, wie gut ihre Organisationen auf Cyber-Bedrohungen vorbereitet sind. Die Befragten stammten aus Unternehmen mit einem Jahresumsatz von mindestens 10 Millionen US-Dollar, wobei die Mehrheit 500 Millionen US-Dollar oder mehr einnahm. Fünfunddreißig Prozent der Befragten waren Führungskräfte auf Vorstands- oder C-Level-Ebene, 48 Prozent gehörten der oberen Führungsebene an, die restlichen 17 Prozent der mittleren oder unteren Führungsebene. Die elf Länder, die an der Umfrage teilgenommen haben, sind Australien, Kanada, Frankreich, Deutschland, Italien, Japan, die Niederlande, Spanien, Schweden, das Vereinigte Königreich und die Vereinigten Staaten.  Der vollständige Report findet sich unter https://www.commvault.com/gc/cyber-recovery-readiness-report zum direkten Download.

Studie zeigt laxen Umgang mit Patches

Absolute Security veröffentlichte die Ergebnisse seiner jährlich erscheinenden Forschungsstudie „Absolute Security Cyber Resilience Risk Index“. Für die aktuelle Ausgabe wertete Absolute Security die Telemetriedaten von fünf Millionen PCs weltweit aus. Die Ergebnisse zeigen, dass die meisten Branchen bei der Behebung von Software-Schwachstellen (Patches) um Wochen oder sogar Monate hinterherhinken. Installierte Security-Tools wiesen Lücken auf und funktionierten deshalb in einem Viertel des Untersuchungszeitraums nicht richtig. Außerdem müssten die meisten der untersuchten Unternehmens-PCs ersetzt werden, um KI-basierte Technologien unterstützen zu können. Diese Faktoren führen zu zahlreichen Compliance- und Sicherheitsherausforderungen.   

Pachtes: Die wichtigsten Ergebnisse des Berichts auf einen Blick

  • Lückenhafte Security-Tools: Weil sie nicht über automatisierte Technologien zur Systemwiederherstellung verfügen, funktionierten Endpoint Protection-Plattformen (EPP) und Zero Trust Network Access-Lösungen (ZTNA) in durchschnittlich 24 Prozent der untersuchten Zeit nicht entsprechend branchenüblicher Compliance-Standards. Auf fast 14 Prozent der untersuchten Geräte fehlten EPPs gänzlich.
  • Unternehmen geraten bei wichtigen Patches Wochen oder sogar Monate in Rückstand: Die meisten Branchen sind um Wochen oder Monate im Rückstand, wenn es um die Einhaltung ihrer eigenen Patching-Richtlinien geht. Das Bildungswesen und die öffentliche Verwaltung sind am langsamsten: Sie benötigen 119 bzw. 82 Tage zum Patchen. Die positive Nachricht: Alle Branchen sind im Vergleich zum Vorjahr deutlich schneller geworden.
  • Die Mehrzahl der Unternehmen ist noch nicht bereit für KI: Obwohl KI auf Endgeräten aktuell schon stark im Fokus steht, weisen 92 Prozent der PCs eine unzureichende RAM-Kapazität auf, die jedoch für die Unterstützung von Unternehmens- und kommerziellen Anwendungen erforderlich ist. Unternehmen, die die Vorteile von KI nutzen wollen, müssten ihre gesamte Geräteflotte erneuern. Diese Erkenntnis spiegeln Marktforschungsinstitute wie IDC, die einen Anstieg von 50 Millionen auf 167 Millionen neue PCs bis 2027 prognostizieren. Damit stehen Unternehmen vor der zusätzlichen Herausforderung, die neuen Computer vor Cyberbedrohungen zu schützen und in Einklang mit internen sowie externen Sicherheitsrichtlinien zu bringen – das auch vor dem Hintergrund, dass Software-Installationen komplexer und Cyberbedrohungen mit Künstlicher Intelligenz gefährlicher werden.

Konkrete Handlungsempfehlungen auf dem Weg zur Cyber-Resilienz

Der „Absolute Security Cyber Resilience Risk Index“ vermittelt CISOs und anderen Sicherheits- und Risikofachleuten nicht nur wichtige Erkenntnisse, sondern auch ein Verständnis dafür, was Cyber-Resilienz bedeutet. Zudem gibt die Studie praktische Informationen an die Hand, um die wichtigsten Sicherheitsrisikofaktoren zu identifizieren und zu mindern und so die Cyber-Resilienz in Unternehmen zu verbessern.

„Cyber-Resilienz ist ein Paradigma, das über die traditionelle Cybersicherheit hinausgeht. Es geht darum, sicherzustellen, dass die digitalen Abläufe, die das Herzstück eines Unternehmens ausmachen, Cyberangriffen, technischen Störungen, absichtlichen Manipulationen und neuen Implementierungen standhalten und sich im Falle eines erfolgten Angriffs schnell erholen können“, ordnet Christy Wyatt, CEO von Absolute Security, ein.

„Als Experten für Cyber-Resilienz konzentrieren wir uns auf die unvermeidlichen Angriffe, die bevorstehenden Sicherheitsverletzungen sowie auf die Störungen, die schon hinter der nächsten Ecke lauern. Dabei stellen wir fest, dass den einfachen Strategien, die die Widerstandsfähigkeit von Unternehmen drastisch erhöhen würden, um gegen Schwachstellen resistent zu bleiben und sich schnell wieder zu erholen, nicht genügend Aufmerksamkeit geschenkt wird. So steht immer mehr auf dem Spiel, da wir alle dringend KI und andere Innovationen einsetzen müssen, um wettbewerbsfähig zu bleiben“, so Wyatt weiter.

Methodologie: Absolute Security analysierte Telemetriedaten von 5.070.044 PCs weltweit, auf denen die Software von Absolute Security lizenziert wird. Im Sample erfasst wurden die Computer von Unternehmen und Behörden mit mehr als 500 aktiven Geräten, auf denen Windows 10 oder 11 läuft. Neun Branchen wurden dabei berücksichtigt: Bildung, Behörden, Gesundheitswesen, Handel, Telekommunikation und Medien, Energie und Versorgung, Industrie, Finanzen und Professional Services. Die vollständige Studie erhalten Leser online.

Ransomware & Daten: 43% der Opfer können Daten nicht wiederherstellen

Laut dem Veeam Ransomware Trends Report 2024 sind Cyberangriffe nicht nur für Unternehmen schädlich, sondern haben auch negative Auswirkungen auf Menschen. 45 Prozent der Befragten geben an, dass sich ihre Arbeitsbelastung nach einem Angriff erhöht und bei 40 Prozent erhöht sich das Stresslevel. Ransomware & Daten haben eine enge Verbindung…

Ransomware bleibt eine konstante Bedrohung für Unternehmen und ist die Hauptursache für IT-Ausfälle und Downtime. Laut dem neuesten Veeam Ransomware Trends Report 2024 werden bei Cyberattacken 41 Prozent der Daten kompromittiert. Der Bericht zeigt, dass nur 57 Prozent dieser kompromittierten Daten anschließend wiederhergestellt werden können, was für Unternehmen einen erheblichen Datenverlust und andere geschäftsschädigende Auswirkungen bedeuten kann.

Ransomware & Daten: Immer gefährlicher „dank“ KI

“Ransomware ist endemisch und hat 2023 drei von vier Unternehmen getroffen. Künstliche Intelligenz ermöglicht nicht nur die Entwicklung von intelligenteren und fortschrittlicheren Sicherheitsmaßnahmen, sondern führt auch zu einer Zunahme der Anzahl und der Raffinesse von Angriffen”, sagt Dave Russell, Senior Vice President, Head of Strategy bei Veeam. “Unser Bericht vermittelt eine klare Botschaft: Ransomware-Angriffe werden fortgesetzt und heftiger sein als erwartet. Die Auswirkungen werden die Unternehmen insgesamt mehr kosten als bisher von ihnen antizipiert. Unternehmen müssen daher Maßnahmen ergreifen, um ihre Cyber-Resilienz sicherzustellen und erkennen, dass eine schnelle und saubere Wiederherstellung am wichtigsten ist. Indem sie ihre Teams koordinieren und die Cybersicherheit mit unveränderlichen Backups stärken, können sie ihre wertvollen Unternehmensdaten schützen, während Veeam den Geschäftsbetrieb aufrechterhält und absichert.”

Der dritte jährliche Veeam Ransomware Trends Report über Ransomware & Daten basiert auf den Erkenntnissen von Unternehmen, die in den letzten 12 Monaten mindestens einen erfolgreichen Cyberangriff erlebt haben. Mit 1.200 Umfrage-Teilnehmern, darunter Führungskräfte, Informationssicherheitsexperten und Backup-Administratoren, bietet der Bericht einen umfassenden Überblick über die sich verändernde Bedrohungslandschaft.

Die Auswirkungen auf die Mitarbeiter der Organisation

Cyberangriffe beeinträchtigen nicht nur die finanzielle Stabilität einer Organisation, sondern haben auch erhebliche Auswirkungen auf Teams und Einzelpersonen. Nach einem Cyberangriff berichteten 45 Prozent der Befragten von einem erhöhten Druck auf die IT- und Sicherheitsteams. Darüber hinaus erlebten 26 Prozent einen Produktivitätsverlust und 25 Prozent berichteten von Störungen bei internen oder kundenbezogenen Diensten.

Der Bericht zeigt, dass die Auswirkungen auf die Menschen in den von Cyberangriffen betroffenen Unternehmen nicht unterschätzt werden sollten. 45 Prozent der Befragten gaben an, dass ihre Arbeitsbelastung nach einem Angriff zugenommen hat, während 40 Prozent von erhöhtem Stress und anderen persönlichen Belastungen berichteten, die an “normalen” Tagen nur schwer zu bewältigen sind. Diese Belastungen unterstreichen die Bedeutung wirksamer Cybersicherheitsstrategien im Zusammenhang mit bestehenden organisatorischen Schwierigkeiten.

Organisationen sind im Hinblick auf den Ernstfall nicht ausreichend vorbereitet

Trotz einer stärkeren Fokussierung auf die Vorsorge gegen Cyberangriffe besteht in den Organisationen nach wie vor eine Diskrepanz zwischen den Backup- und Sicherheits-Teams. Im dritten Jahr in Folge sind fast zwei Drittel (63 Prozent) der Organisationen der Ansicht, dass ihre Backup- und Cyberteams nicht ausreichend synchronisiert sind. Infolgedessen sind 61 Prozent der Sicherheitsexperten und 75 Prozent der Backup-Administratoren der Ansicht, dass die Teams entweder eine “erhebliche Verbesserung” oder eine vollständige Systemüberholung erforderlich ist.

Lösegeldzahlung garantiert keine Wiederherstellung

Auch im dritten Jahr des Reports Ransomware & Daten in Folge hat die Mehrheit (81 Prozent) der befragten Unternehmen das Lösegeld bezahlt, um den Angriff zu stoppen und die Daten wiederherzustellen. Ein Drittel dieser Unternehmen konnte die Daten jedoch trotz Lösegeldzahlung nicht wiederherstellen. Darüber hinaus haben in den letzten drei Jahren mehr Unternehmen das Lösegeld gezahlt, konnten aber ihre Daten nicht wiederherstellen, als die Organisationen, die ihre Daten ohne Zahlung wiederherstellen konnten.

Aufdeckung des wahren finanziellen Einflusses

Entgegen der Annahme, dass eine Cyberversicherung die Wahrscheinlichkeit von Lösegeldzahlungen erhöht, zeigt die Forschung von Veeam das Gegenteil. Obwohl nur eine Minderheit der Unternehmen eine Police zur Zahlung besitzt, haben sich 81 Prozent für die Zahlung entschieden. Interessanterweise zahlten 65 Prozent mit Versicherung und weitere 21 Prozent hatten eine Versicherung, zahlten jedoch ohne einen Anspruch geltend zu machen. Dies legt nahe, dass im Jahr 2023 86 Prozent der Unternehmen über eine Versicherungsdeckung verfügten, die bei einem Cybervorfall hätte genutzt werden können.

Die durchschnittlichen Lösegeldzahlungen machen nur 32 Prozent des finanziellen Gesamtschadens auf die Organisation nach einem Angriff aus. Darüber hinaus deckt eine Cyberversicherung nicht die gesamten Kosten eines Angriffs ab. Nur 62 Prozent der Gesamtschadens können durch Versicherungen oder andere Mittel zurückgefordert werden, während der Rest das Budget der Organisation belastet.

Mit einem “guten Backup” vorsorgen

  • Die häufigste Komponente eines Notfallplans ist ein “gutes Backup”. Obwohl Cyber- und Backup-Teams nicht immer organisatorisch aufeinander abgestimmt sind, gaben nur 2 Prozent der Organisationen an, über kein vorab definiertes Incident Response Team (IRT) zu verfügen. Weitere 3 Prozent hatten zwar Teams, aber dafür kein entsprechendes Playbook.
  • Weitere wichtige Ergebnisse des Veeam Ransomware Trends Report 2024 sind:
  • Cloud- und lokale Daten sind gleichermaßen anfällig: Überraschenderweise gab es keine signifikanten Unterschiede zwischen den betroffenen Daten in Rechenzentren im Vergleich zu Daten in Außenstellen oder sogar in öffentlichen oder privaten Clouds. Das bedeutet, dass alle IT-Infrastrukturen genauso leicht für Angreifer zugänglich sind, wie sie es für Benutzer sind.
  • Die meisten Organisationen laufen Gefahr erneut infiziert zu werden: Alarmierend ist, dass fast zwei Drittel (63 Prozent) der Organisationen bei der Wiederherstellung nach Ransomware-Angriffen oder größeren IT-Katastrophen der Gefahr einer erneuten Infektion ausgesetzt sind. Unter dem Druck, den IT-Betrieb schnell wiederherzustellen, und unter dem Einfluss von Führungskräften überspringen viele Organisationen wichtige Schritte wie beispielsweise das erneute Scannen von Daten in Quarantäne, was das Risiko erhöht, dass IT-Teams versehentlich infizierte Daten oder Malware wiederherstellen.
  • Organisationen müssen sicherstellen, dass ihre Daten wiederherstellbar sind: Als eine der Lehren aus früheren Cyberangriffen haben die Befragten die Bedeutung der Unveränderbarkeit erkannt. 75 Prozent der Organisationen verwenden nun Festplatten, die vor Ort gehärtet werden können, und 85 Prozent nutzen Cloud-Speicher mit Immutability-Funktionalitäten.

Über den Report: Dieser Forschungsbericht basiert auf 1.200 Umfrageantworten von unvoreingenommenen IT-Führungskräften und Umsetzern, deren Organisationen im Jahr 2023 mindestens einen Cyberangriff erlitten haben. Jeder Befragte fungiert entweder als CISO, Sicherheitsexperte oder Backup-Administrator. Die Umfrage wurde Anfang 2024 abgeschlossen und im Juni 2024 veröffentlicht. Der vollständige Veeam Ransomware Trends Report 2024 kann jetzt heruntergeladen werden.

Impersonationsangriffe erkennen und bekämpfen: Strategien und Tipps

Jede bedeutende Macht birgt ein ebenso großes Potenzial für Missbrauch. Unter den vielfältigen Methoden, mit denen Bedrohungsakteure ihre Ziele verfolgen, haben sich Impersonisationsangriffe (Nachahmungsangriffe: der Versuch sich unbefugten Zugang zu Informationssystemen zu verschaffen, indem man sich als autorisierter Benutzer ausgibt) zu einem besonders kritischen Faktor entwickelt. Solche Angriffe untergraben das grundlegende Vertrauen in die Sicherheit digitaler Systeme und Netzwerke.

Die visuellen Technologien demonstrieren das verblüffende Potenzial zur Erstellung lebensechter animierter Porträts aus einem einzigen Foto. Allerdings werfen diese Fortschritte auch eine wichtige Frage auf: Wenn die Erstellung einer sprechenden, „emotionalen“ virtuellen Persona so einfach ist, wie kann dann zwischen Realität und Täuschung unterschieden werden? Die Beantwortung dieser Fragestellung sollte einen elementaren Bestandteil der gegenwärtigen Cyberabwehrstrategien bilden.

Angriffe durch Nachahmung (Impersonationsangriffe) treten in zahlreichen Formen auf, von denen eine überzeugender ist als die andere. Die Bandbreite an Methoden, die von Bedrohungsakteuren eingesetzt werden, ist vielfältig. Sie reicht von E-Mails und Social-Media-Nachrichten bis hin zu Sprach- und Videointeraktionen. Das Ziel ist es, durch psychologische Manipulation Vertrauensbeziehungen auszunutzen und sich unbefugten Zugang zu verschaffen, um Fehlinformationen zu verbreiten oder Betrug zu begehen.

Das Aufkommen fortschrittlicher Technologien zur Videogenerierung birgt eine erhebliche Bedrohung für Einzelpersonen und Organisationen gleichermaßen. Die Tools, welche die Erstellung hyperrealistischer Videoinhalte ermöglichen, wie beispielsweise animierte Porträts aus statischen Bildern, könnten als Waffe eingesetzt werden, um überzeugende Deepfakes von Persönlichkeiten des öffentlichen Lebens oder von Führungskräften zu erzeugen, welche durch gefälschte Anweisungen Betrugsmethoden ermöglichen.

Impersonationsangriffe: Schlüssel zur Verteidigung

  • Die Förderung von Bewusstsein und Bildung stellt eine wesentliche Voraussetzung für eine effektive Verteidigung dar.
  • Achten Sie auf Unstimmigkeiten in der Kommunikation. Dazu zählen beispielsweise untypische Sprache, ungewöhnliche Anfragen oder Abweichungen von gewohnten Kommunikationsmustern.
  • Dringliche oder nicht überprüfte Anfragen sollten mit einer gewissen Skepsis betrachtet werden, insbesondere wenn es um finanzielle Transaktionen oder die Preisgabe sensibler Informationen geht.
  • Inkonsistente oder manipulierte Audio- und Videodateien: Bei der Nutzung von audiovisuellen Medien ist insbesondere auf Synchronisationsprobleme zwischen Ton und Bild, unnatürliche Gesichtsbewegungen oder undeutliche Hintergründe zu achten, die auf Manipulationen hinweisen könnten.

Stärkung der Sicherheitskultur

Mit der zunehmenden Raffinesse von Impersonationsangriffen steigt das Risiko für Einzelpersonen und Unternehmen exponentiell. Finanzielle Verluste, Datenschutzverletzungen und Vertrauensverluste sind nur die Spitze des Eisbergs. In einer Umgebung, in der die Vertrauenswürdigkeit von Sehen und Hören zunehmend in Frage gestellt wird, ist die Etablierung einer starken Sicherheitskultur unerlässlich. Eine effektive Sicherheitsschulung sollte jeden Mitarbeiter in die Lage versetzen, Identitätsdiebstahlsversuche zu erkennen und abzuwehren, wodurch sie von potenziellen Sicherheitslücken zur wichtigsten Verteidigungslinie werden können.

Boom bei Identitätsmissbrauch hält an – deutsche Großunternehmen reagieren

Schon heute stellen kompromittierte digitale Nutzeridentitäten für Cyberkriminelle auf der ganzen Welt das zentrale Einfallstor in die Nutzerkonten und IT-Systeme ihrer Opfer dar Laut einer Studie der Identity Security Alliance lassen sich mittlerweile ganze 90 Prozent aller IT-Sicherheitsvorfälle auf kompromittierte Nutzeridentitäten zurückführen – es zeigt sich also ein echter Boom bei Identitätsmissbrauch.

Über Phishing-, Spear Phishing- und Social Engineering-Angriffe bringen sie sich in den Besitz fremder Identitätsdaten. Getarnt als legitime – da registrierte – Mitarbeiter, Partner, Zulieferer oder Kunden spionieren sie dann unbemerkt von der IT-Sicherheit ihrer Opfer, platzieren Malware oder tätigen Bestellungen und Überweisungen

Auch in Deutschland haben Angriffe, denen ein Identitätsmissbrauch zugrunde liegt, längst besorgniserregende Ausmaße erreicht. Laut einer im März dieses Jahres veröffentlichten Umfrage der Initiative Sicher Handeln (ISH) sind ganze elf Prozent aller erwachsenen Deutschen mittlerweile mindestens schon einmal Opfer eines digitalen Identitätsdiebstahls geworden. Weitere 20 Prozent gaben an, mindestens ein Opfer zu kennen.

Boom bei Identitätsmissbrauch auch wegen Verfügbarkeit von KI

Mit der zunehmenden Verfügbarkeit von künstlicher Intelligenz (KI), dürfte sich das Risiko, Opfer eines erfolgreichen Identitätsdiebstahls zu werden, nun noch einmal deutlich erhöhen. Erleichtert sie Angreifern doch erheblich ihre Arbeit. Neben der Steigerung der Effektivität und Effizienz eines Angriffs, erweitert sie auch den Handlungsspielraum der Cyberkriminellen beträchtlich.

Dass die wachsende Verfügbarkeit von KI noch einmal zu einem drastischen Anstieg der identitätsbedingten Risiken führen wird, davon sind auch 80 Prozent der IT-Entscheider deutscher Großunternehmen längst überzeugt. In der kürzlich erschienenen Ping Identity-Globalumfrage Fighting The Next Major Digital Threat: AI and Identity Fraud Protection Take Priority wurden 700 IT-Entscheider von Großunternehmen aus der ganzen Welt zur Sicherheit der von ihren Unternehmen gemanagten digitalen Identitäten befragt – darunter auch 100 deutsche.

Eine klare Mehrheit von ihnen gab in der Umfrage zu Protokoll, in den kommenden 12 Monaten ihre Investitionen zum Schutz vor Identitätsbetrug beträchtlich aufstocken zu wollen, um so den Boom bei Identitätsmissbrauch einzudämmen. Rund 40 Prozent haben bereits eine Strategie gegen KI-gestützten Identitätsbetrug implementiert. Weitere 40 Prozent haben sie erarbeitet, rund 15 Prozent sind noch mit ihrer Planung beschäftigt. Rund 60 Prozent wollen ihre Mittel in den Bereichen Fraud Detection, Fraud Prevention, Fraud Mitigation und AI-based Threats kräftig aufstocken. Die meisten Großunternehmen – in Deutschland sind dies 42 Prozent – wollen 2024 im Schnitt rund 19 Millionen Euro in diese Bereiche investieren. Insgesamt liegt der deutsche Mittelwert sogar noch höher: bei ca. 36,2 Millionen Euro. Damit liegen deutsche Großunternehmen deutlich über dem internationalen Durchschnitt. Der setzt aber – im Gegensatz zu seinen deutschen Counterparts – auch mehrheitlich auf hybride Lösungen, auf eine Mischung aus Anbieter- und Inhouse-Lösungen. Deutsche Großunternehmen hingegen verfolgen mehrheitlich reine Inhouse-Strategien.

Dass KI in Punkto Boom bei Identitätsmissbrauch hierbei nicht allein als Problem gesehen werden muss, sondern auch als Lösung des Problems verstanden werden kann, haben die Befragten durchaus begriffen. Über 60 Prozent erhoffen sich durch einen Mehreinsatz von KI in ihren IAM- und CIAM-Systemen eine dynamischere Authentifizierungsregelung, über 50 Prozent ein besseres Training ihrer automatischen Betrugserkennung, und über 40 Prozent eine vereinfachte Anwendung ihrer jeweiligen Authentifizierungsfaktoren. Auch vom verstärkten Einsatz dezentraler Identitäten erhofft sich die Mehrheit ein Absinken ihrer Risiken. Rund die Hälfte der Befragten erklärte, dezentrale Identitäten bereits heute aktiv zu nutzen. Rund 30 Prozent gaben an, einen Einsatz in den kommenden 12 Monaten anzustreben.

Die neue Ping Identity-Globalumfrage zeigt, überall auf der Welt – auch in Deutschland – ist IT-Entscheidern von Großunternehmen klar, dass sich die ohnehin schon angespannte identitätsbezogene Sicherheitslage mit der zunehmenden Verfügbarkeit von KI noch einmal drastisch verschärfen wird. Schon vor geraumer Zeit haben sie deshalb begonnen, Gegenmaßnahmen einzuleiten – in neuere und neueste IAM- und CIAM-Technologien investiert. Nur mittels KI und dezentraler Identitäten werden sie die neuen Risiken, die sich für ihre digitalen Nutzeridentitäten aus dem wachsenden Missbrauch von KI-Technologien ergeben, in den Griff bekommen können. Kleine und mittlere Unternehmen – davon ist auszugehen – werden in den kommenden Jahren nachrüsten. Inhouse-Lösungen – wie die Großen – werden sich dabei nur die Wenigsten leisten können. Auf lange Sicht werden sich deshalb auch in Deutschland Anbieter-Lösungen durchsetzen.

Der Mensch als am häufigsten genutzter Angriffsvektor

Der Mensch bleibt nach wie vor der am häufigsten genutzte Angriffsvektor, dies ist eine der wichtigsten Erkenntnisse des am 1. Mai veröffentlichten Data Breach Investigations Reports 2024 von Verizon. 68 Prozent der für den Bericht ausgewerteten Sicherheitsverletzungen gehen auf das Konto des Menschen ohne böswilligen Missbrauch von Berechtigungen.

Die allgemeine Melderate für Phishing hat in den letzten Jahren zugenommen. Die von den Partnern der Studie im Jahr 2023 zur Verfügung gestellten Daten bestätigen, dass 20 Prozent der Mitarbeiter Trainings mit simuliertem Phishing durchlaufen hatten und 11 Prozent sich bei der IT-Abteilung meldeten, nachdem sie auf eine E-Mail geklickt hatten. Dies ist grundsätzlich eine erfreuliche Nachricht. Im Durchschnitt vergehen nach dem Öffnen einer E-Mail 21 Sekunden, bis ein bösartiger Link angeklickt wird, und dann nur noch 28 Sekunden, bis die Person, die in die Falle des Phishings getappt ist, ihre Daten eingibt. Die durchschnittliche Zeit, um auf Phishing hereinzufallen, beträgt also weniger als 60 Sekunden. Daraus folgt, dass Zeit wirklich von entscheidender Bedeutung ist. Je mehr Menschen vor dem Öffnen einer E-Mail überlegen, desto geringer das Infektionsrisiko für die gesamte Organisation.

Der Mensch im Visier der Cyberkriminellen

Die weiteren Ergebnisse zeigen auf, dass 32 Prozent der Sicherheitsverletzungen die Folge von Ransomware oder Erpressung und 28 Prozent auf Software- oder Konfigurationsfehler zurückzuführen waren. Beachtliche 15 Prozent waren auf Dritte, also Software-Supply-Chain-Infektionen zurückzuführen. Finanziell motivierte Bedrohungsakteure sind weiterhin erfolgreich, denn 59 und 66 Prozent der Ransomware- und anderen Erpressungsangriffe waren finanziell motiviert. Weitere 25 Prozent der finanziell motivierten Sicherheitsverstöße waren Pretexting-Angriffe. Bei Pretexting handelt es sich um eine Social Engineering-Taktik, bei der ein Angreifer versucht, Informationen, Zugang oder Geld zu erlangen, indem er ein Opfer dazu verleitet, ihm zu vertrauen. Bekannte Formen sind CEO-Fraud, Business-E-Mail Compromise (BEC), IT-Support-Anfragen oder aber angebliche Außendienstmitarbeiter.

Zu den Schwachstellen mit den größten Auswirkungen zählte MOVEit. Dabei handelte es sich um einen Zero-Day-Angriff, der zu nachfolgenden Erpressungsangriffen durch Cyberkriminelle führte. Die Schwachstelle hatte enorme Auswirkungen, wie ebenfalls im Security Culture Report von KnowBe4 ebenfalls hervorgehoben wurde. Die russischsprachige Hackergruppe Clop war für die Ausnutzung verantwortlich und war in 2023 besonders aktiv. Ihr Fokus lag auf Unternehmen der IT-Branche, die sie mit Erpressungsversuchen ins Visier nahmen. Inzwischen wird vermutet, dass die Angriffe auf diese Unternehmen zu einer weiteren Kompromittierung von über 2.000 Organisationen geführt hat. Wenig war in der damaligen Berichterstattung über die etwa 900 betroffenen Schulen und die kompromittierten sensiblen Daten von über 51.000 Personen zu lesen. Die Schwachstelle hatte also erhebliche Auswirkungen.

Daraus folgt, dass Security Awareness Training weiterhin auf den menschlichen Faktor abzielen muss. Nur dann wird es Organisationen gelingen, die im Report genannten 68 Prozent aller Angriffe wirksam zu bekämpfen. Das beliebteste Einfallstor ist die E-Mail, aber auch soziale Plattformen werden von den Cyberkriminellen immer häufiger genutzt. Der Bericht unterstreicht darüber hinaus die Bedeutung einer sorgfältigen Verwaltung von Anmeldeinformationen. Der Missbrauch von Zugangsdaten bleibt also ein Problem, dass sich trotz aller technischen und organisatorischen Maßnahmen eher vergrößert.