Risikoanalyse mit Vorfall-Priorisierung

asvin präsentiert eine nach eigenen Angaben Weltneuheit für industrielle Cybersicherheit: Software für Risiko-Analyse und für die Minimierung von Produktionsausfällen durch Cyberangriffe.

Priorisierende Verteidigung ist besser als jeder Angriff.

asvin liefert Technologie für das Priorisieren erkannter Cyber-Risiken: CISOs und Verantwortliche für Cybersicherheit in der Produktion sehen direkt ihre Hochrisiko-Bedrohungen, planen deren Beseitigung besser, und gewährleisten durchgehende Betriebsgarantie.

Die Analyse von Cyber-Risiken erfolgt durch eine tiefe, umfangreiche und verknüpfende Sicht auf interne und externe Daten, was kontextbasierte Entscheidungen ermöglicht. Cyber-Verantwortliche können damit im globalen Cyber-Wettkampf eigene Ressourcen besser planen und gezielter einsetzen.

Seine Methode für Risikomanagement in Operational Technology (OT) und kritischen Infrastrukturen stellt der Stuttgarter Cybersecurity-Spezialist asvin asvin auf der Hannover Messe vom 22. bis 26. April in Halle 15, Stand A 06 bei Baden-Württemberg international vor. „Den bedrohlichen Sicherheitslagen in industrieller Infrastruktur begegnen Unternehmen idealerweise mit einem Perspektivwechsel bei der Cyberabwehr, indem sie nach Risiken priorisierende Cybermaßnahmen anwenden“, empfiehlt asvin-CEO Mirko Ross.

Der neue Fokus lohnt sich, weil Betreiber kritischer Infrastrukturen vor einem Ressourcen-Problem stehen: Angesichts permanent neuer Bedrohungen und Schwachstellen fehlen schlicht das Personal und die Mittel, um diesen Bedrohungen ad hoc begegnen zu können. asvin wirft darum nicht noch ein weiteres Werkzeug in den Ring, sondern eine Antwort zur Ressourcen-Optimierung und Fokussierung auf die drängendsten Cybersicherheitsprobleme: Risk by Context. Denn Produktionsverantwortliche oder CISOs brauchen heute vor allem eins: Eine Möglichkeit, Ihre Maßnahmen zur Risikominimierung im Rahmen der Geschäftskritikalität zu priorisieren, um Investitionen an den neuralgischen Punkten zuerst einzusetzen.

asvin Software bildet Kontexte zwischen Betriebs- und Bedrohungs-Szenarien ab und macht diese sichtbar. Sie setzt Informationen aus Daten- und Anwendungssilos in Beziehung und visualisiert bestehende und entstehende Angriffspfade. Das klingt kompliziert? Ist es auch in der Technologie. Nicht aber im Ergebnis. asvin-Anwender nutzen ein Dashboard, das ihnen einfach ihr aktuelles Cyber-Lagebild liefert. In dem sind nur die aktuell kritischsten Bedrohungen priorisiert. Dabei werden die Informationen zu Cyberrisiken je nach Anwendergruppe und Interesse zielgerichtet dargestellt: vom Ausfallrisiko im Gesamtunternehmen für Vorstände und Geschäftsleitung, bis zu Risiken an konkreten Maschinen oder Anlagen, die durch IT/OT Sicherheits-Verantwortliche minimiert werden müssen.

Die von asvin entwickelte Technologie für Risikoanalyse ermöglicht vorausschauende Risikovorhersagen. Das Produkt Risk by Context erkennt sicherheitsrelevante Zusammenhänge zwischen Produktionsprozessen, OT/IT Infrastruktur und Cyber-Schwachstellen. In der Visualisierung stellt die Software die betroffenen Segmente, Maschinen und Anlagen dar und priorisiert die Maßnahmen zum Beheben von erkannten Schwachstellen und zur Minimierung von Risiken.

Zusätzlich verknüpft Risk by Context die meist breite Skala vorhandener Tools und bisher isoliert gehaltener Daten in Unternehmen. Durch das Aufbrechen von Informationssilos lassen sich bekannte, aber auch unbekannte Risiken in die Analyse einbeziehen. Kontext-Informationen erlauben darüber hinaus die Vorhersage sich abzeichnender Risikolagen. Risk by Context™ versetzt Sicherheitsverantwortliche damit in die Lage, trotz schmaler Personalressourcen und chronischem Zeitdruck die richtigen Entscheidungen zu treffen, um Schäden durch Bedrohungen und Angriffe zu minimieren.

Raspberry Robin: Malware-Bedrohung mit Wurm-Fähigkeiten

Raspberry Robin wurde erstmals 2021 von Red Canary entdeckt. Er hat sich über USB-Geräte verbreitet und sich so Zugang zu befallenen PCs verschafft. Diese USB-Laufwerke enthielten bösartige LNK-Verknüpfungsdateien, die sich als Thumb Drive oder Netzwerkfreigabe tarnten. Gemäß Malwarebytes starten die Partner von Raspberry Robin die LNK-Datei über Autoruns und setzen dabei auf Social Engineering, um ihre Opfer dazu zu bringen, die Datei anzuklicken. Sobald die LNK-Datei angeklickt wird, initiiert cmd.exe den Windows-Installationsdienst msiexec.exe, der eine bösartige Payload auf infizierten QNAP-NAS-Geräten (Network-Attached Storage) installiert.

Raspberry Robin hat sich als überaus anpassungsfähig und ausgeklügelt erwiesen. Im Laufe seiner Entwicklung wandte er fortschrittlichere Methoden an, wie zum Beispiel die Verwendung von Discord zur Übermittlung bösartiger Nutzdaten und die Ausnutzung von Zero Day-Schwachstellen wie CVE-2023-36802 für die lokale Ausweitung von Berechtigungen.

Im Bericht von Check Point vom Februar 2024 wird erwähnt, dass ein jüngster Angriff von einem Archiv ausging, das als Anhang in Discord heruntergeladen wurde. Dieses Archiv enthielt eine legitime Binärdatei, die von Windows signiert war, zusammen mit einer unsignierten bösartigen DLL-Datei. Die legitime Binärdatei wurde verwendet, um die unsignierte bösartige DLL-Datei über eine Technik namens DLL-Side-Loading zu laden.

Raspberry Robin und lokale Rechte

Außerdem wird in dem Bericht erklärt, wie die Malware eine Sicherheitslücke namens CVE-2023-36802 ausnutzte, um lokale Rechte zu erweitern. Dies geschah noch bevor Microsoft und die CISA im September 2022 offiziell darauf hinwiesen, dass diese Lücke aktiv ausgenutzt wurde.

Es wird angenommen, dass die Partner von Raspberry Robin den Exploit für CVE-2023-36802 in Dark-Web-Foren gekauft haben könnten, da er bereits im Februar 2023 dort zum Verkauf angeboten wurde. Eine frühzeitige Erkennung ist entscheidend, um die potenziellen Auswirkungen der schädlichen Aktivitäten von Raspberry Robin zu minimieren. Unternehmen haben die Möglichkeit, auf SIEM-Lösungen wie Logpoint zurückzugreifen, um mit fortschrittlichen Abfragefunktionen eine weitere Ausbreitung der Malware im Netzwerk zu verhindern. Sicherheitsexperten können sie dann effektiv identifizieren und angemessen reagieren. Die Plattform ermöglicht es Security Analysten, gezielte Suchanfragen zu erstellen, um kritische Anzeichen für Bedrohungen und mögliche Infektionen durch Raspberry Robin zu erkennen.

Mehr zur technischen Analyse lesen Sie hier.

Insider-Bedrohungen: Wie man Innentätern entgegenwirkt

IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Überall hört man von einer „sich ständig verschärfenden Sicherheitslage“ und dass Unternehmen sich in alle Richtungen gegen jede erdenkliche Bedrohung absichern müssen. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot von Zero-Trust-Prinzipien auch noch der Mahnruf vor internen Bedrohungen hinzukommt (Insider-Bedrohungen), kann man sich als CISO durchaus fragen, wem man überhaupt noch vertrauen soll.

Sogenannte Insider-Threats (Insider-Bedrohungen ) sind ein reales Problem für Firmen aller Art und Größe. Ein aktuelles Beispiel ist der E-Autoproduzent Tesla: In der Gigafactory Berlin-Brandenburg gelangten im vergangenen Jahr über 100 Gigabyte an sensiblen Daten und Gehaltsinformationen von zehntausenden Beschäftigten in ganz Europa sowie Berichte über Fehlfunktionen und Probleme der Produkte an die Öffentlichkeit – im Verdacht standen zwei ehemalige Mitarbeiter Teslas. Zwar taten sie dies nicht, um sich an den Daten zu bereichern, sondern um auf Missstände und Sicherheitsprobleme innerhalb des Unternehmens hinzuweisen. Trotzdem handelt es sich beim Whistleblowing um eine Datenschutzverletzung, bei der die Informationen der Mitarbeiter auch für Identitätsraub oder Schlimmeres hätten missbraucht werden können.

Insider-Bedrohungen : Datenlecks sind existenzbedrohend, aber vermeidbar

Derartige Fälle stehen immer in Zusammenhang mit bestehenden Sicherheitsvorkehrungen und können durch die engmaschige Verwaltung von Zugriffsrechten verhindert werden. Andernfalls reicht ein verprellter Angestellter mit einem Hauch krimineller Energie und der Bereitschaft, sensible Informationen oder seine Zugangsdaten an Cyber-Kriminelle zu veräußern, aus, um Firmengeheimnisse, Kundendaten und womöglich die Existenz des gesamten Unternehmens zu gefährden. Zu allem Übel gehört zu den Strategien der Drahtzieher auch das Anwerben von Komplizen im Darknet. Im Austausch für sensible Login-Daten bieten sie abtrünnigen oder leichtfertigen Angestellten hohe Geldsummen an.

Der Gefahren nicht genug, können Datenlecks zudem unsagbar teuer werden. Es besteht nicht nur das Risiko einer Infiltration des Unternehmensnetzwerks und einem anschließenden Ransomware-Angriff samt horrender Lösegeldforderungen. Bei Datenschutzverletzungen schaltet sich obendrein auch der Gesetzgeber ein. Denn den Behörden ist es egal, ob ein Innentäter, ein unachtsamer Mitarbeiter oder ein sonstiges Datenleck für den Schaden verantwortlich ist: Wer Daten verliert, wird zur Kasse gebeten. Das kann Unternehmen gemäß der EU DS-GVO bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes kosten. Auch das Bundesamt für Verfassungsschutz warnt deshalb explizit vor der Bedrohung durch Innentäter.

Hier gilt es, nicht den Mut zu verlieren und sich der Gefahr von Innentätern, die digitale Identitäten für den Missbrauch der Zugriffsrechte kapern wollen, zu stellen und dabei differenziert vorzugehen, denn: Nicht jede Insider-Bedrohung ist das Ergebnis vorsätzlicher, böswilliger Handlungen und nicht jeder Mitarbeiter, der einen Fehltritt begeht, ist direkt ein Täter. Oft sind es unbeabsichtigte Fehler oder Unkenntnis, die Zwischenfälle verursachen. Lösungen für dieses Problem erfordern dabei nicht nur technische, sondern auch zwischenmenschliche Ansätze.

Um viele Szenarien abzudecken, sind diese Maßnahmen empfehlenswert

  • Role-based Access Control (RBAC): Ein Kernstück des Identitäts-Managements: Mitarbeiter erhalten beim Antrifft ihres neuen Jobs oder einer neuen Position automatisiert die Zugriffsrechte, die sie basierend auf ihrer Rolle und Tätigkeit im Unternehmen benötigen. So wird sichergestellt, dass alle Angestellten und Führungskräfte nur auf die Informationen und Systeme zugreifen können, die sie für ihre Arbeit benötigen. Indem man die Menge an Zugriffsrechten der Mitarbeiter rollenbasiert auf das Notwendige reduziert, wird im Falle eines unbefugten Zugriffs die Bewegungsfreiheit – der sogenannte Blast-Radius – des Angreifers wesentlich eingeschränkt. Das schränkt abtrünnige Mitarbeiter in jedem Szenario ein – egal, ob sie ihre Zugangsdaten innerhalb oder außerhalb des Unternehmens zu missbrauchen versuchen. KI-gestützte Lösungen können RBAC-Systeme obendrein mit intelligenter, kontextbasierter Zuweisung und Automatisierung in neue Höhen treiben und effizient verwalten.
  • Privileged Access Management (PAM): Ähnlich der RBAC hilft PAM dabei, den Zugriff auf kritische Systeme und Daten zu kontrollieren. Durch die Vergabe, Verwaltung und Überwachung von privilegierten Berechtigungen wird sichergestellt, dass nur autorisierte Personen, wie CEOs, Entwickler und Netzwerkadministratoren, Zugriff auf hochsensible Informationen haben. Mit PAM und RBAC lässt sich außerdem umgehend feststellen, ob die Zugriffsrechte mehrerer Benutzer plötzlich erweitert wurden – beispielsweise, weil ein Hacker mit einem gestohlenen Benutzerkonto auch seinen Komplizen Zugriff auf das Netzwerk der Zielorganisation verschaffen will.
  • Joiner-Mover-Leaver-Systeme: Dieses System steuert den Lebenszyklus von Mitarbeiteridentitäten im Unternehmen. Es gewährleistet, dass Zugriffsrechte bei Eintritt, Versetzung oder Ausscheiden eines Mitarbeiters entsprechend angepasst werden, um unnötige Sicherheitsrisiken zu vermeiden. Der Clou: Man schützt sich, wie auch bei RBAC und PAM, sowohl vor externen als auch vor internen Angriffen. Zum einen werden sogenannte Verwaiste Konten vermieden. Das sind Benutzerkonten, die eigentlich keinem Mitarbeiter mehr zugeordnet werden, aber durch das Raster fallen und immer noch mit Zugriffsrechten ausgestattet sind, manchmal hochrangigen. Solche sind unter Hackern beliebt, weil sie dann mit einem gut ausgestatteten, legitimen Benutzerkonto unter dem Radar der IT-Abwehr fliegen können. Lösungen für Identity Governance and Administration (IGA) automatisieren die daher wichtigen Anpassungen und liefern obendrein besagte RBAC- und PAM-Funktionen, die Compliance gewährleisten und IT-Teams entlasten. Zum anderen wird so der Fall vermieden, dass ein verärgerter Mitarbeiter nach Ausscheiden aus dem Unternehmen seine Zugangsdaten zum Schaden des alten Arbeitgebers missbrauchen oder diese sogar im Darknet lukrativ an organisierte Kriminelle verkaufen kann.
  • Black- und Whitelisting von Software: Durch das Festlegen von genehmigter (Whitelist) und unerwünschter (Blacklist) Software wird die Wahrscheinlichkeit verringert, dass Malware eingeschleust oder unerlaubte Anwendungen im Unternehmensnetzwerk verwendet werden. So wird sogenannter Schatten-IT und der unkontrollierten Erstellung von Nutzerkonten ein Riegel vorgeschoben. Dennoch sollten die Mitarbeiter dazu eingeladen werden, Vorschläge für die Beschaffung neuer Tools vorzubringen, um ihre tägliche Arbeit zu erleichtern. Wer die eigene Belegschaft zudem sensibilisiert, dass eigenmächtig heruntergeladene Software einen Schadcode enthalten könnte, der verhindert unbeabsichtigte Innentäterschaft.
  • Schulungen und Workshops: Um Gefahren im Keim zu ersticken, muss man sie kennen und erkennen können. Die Taktiken Cyber-Krimineller werden so schnell weiterentwickelt, dass man von keinem Angestellten verlangen kann, stets über die jüngsten Maschen im Bilde zu sein. Phishing-Mails sind nicht zuletzt durch die Möglichkeiten von GenKI mittlerweile solch authentische Imitate von E-Mails vertrauenswürdiger großer Marken geworden, dass man sehr leicht versehentlich auf einen verseuchten Link klickt und so aus Versehen zum Hacker-Komplizen wird. Regelmäßige Fortbildungen zu modernen Phishing-und Social-Engineering-Methoden, wie Voice-Phishing per KI-Nachbildung von Stimmen, und der Erkennung von Bedrohungsindikatoren stärken das Bewusstsein der Mitarbeiter für diese Risiken und lehren sie, diese zu erkennen. Sie sind dazu eine nützliche Teambuilding-Maßnahme, die das Vertrauen der Mitarbeiter untereinander stärken kann.
  • Überwachung der Benutzeraktivität und Zero Trust: Der Zero-Trust-Ansatz ist zum fundamentalen Grundprinzip jeder modernen IT-Sicherheitslösung geworden und das mit gutem Grund: Er ist nämlich die Antithese zu jeder Art von Zugangsmissbrauch. ‘Vertraue niemandem und wenn, dann erst nach ausreichender Prüfung’, so lautet die Devise. Dabei kann es jedoch schwierig sein, gewöhnliches von verdächtigem Nutzungsverhalten zu unterscheiden. Die Überwachung von Login-Verhalten und die Nutzung von IAM-Systemen (Identity Access Management) und Multi-Faktor-Authentifizierung (MFA) sind daher entscheidend, um ungewöhnliche oder unbefugte Zugriffsversuche frühzeitig zu erkennen. Solche Systeme tragen dazu bei, Insider-Bedrohungen zu identifizieren, bevor sie Schaden anrichten können und verkleinern die Angriffsfläche jeder Organisation enorm.
  • Mitarbeiter-Wohlbefinden: Ein oft übersehener Aspekt der Sicherheitskultur ist das Wohlbefinden der Mitarbeiter. Regelmäßige Check-ins und das Vermitteln des Gefühls, dass ihre Meinungen und Bedenken ernst genommen werden, können dazu beitragen, das Risiko zu verringern, dass Mitarbeiter wissentlich oder unwissentlich zu einer Sicherheitsbedrohung werden. Gleichzeitig erhöhen das die Motivation in der Belegschaft, Sicherheitsmaßnahmen ernst zu nehmen, und vorsichtig zu sein, um sich selbst und ihr Arbeitsumfeld zu schützen. Auch innerbetriebliche Konflikte zwischen dem Personal können ausschlaggebend für Sabotage-Akte sein. Diese durch offene Kommunikation, Mediation und Schlichtung zu unterbinden, hilft letztlich nicht nur dem Arbeitsklima, sondern auch der Compliance. Denn warum sollten sich Mitarbeiter gegen den Arbeitgeber wenden, wenn sie wertschätzend behandelt und gehört werden?

Mit Menschlichkeit und Technik gegen Bedrohungen von innen

Insider-Bedrohungen sind eine wachsende Bedrohung, doch das heißt nicht, dass aus einer vertrauensvollen Unternehmenskultur nun ein Spionage-Thriller werden muss, in dem alle gemeinsam den Maulwurf suchen und niemand niemandem mehr vertraut. Die Prävention gegen Insider-Bedrohungen erfordert schlicht einen umfassenden Ansatz, der sowohl technische Maßnahmen für das Zugriffs-Management als auch die Förderung einer positiven Unternehmenskultur umfasst. Unter dem Dach von Identity Management vereinen sich zudem alle Werkzeuge, die CISOs und IT-Verantwortliche brauchen, um Risiko-Quellen im Inneren schnell erkennen und bannen zu können. Das wirksamste Mittel gegen unabsichtliche oder geplante Insider-Gefahren sind jedoch immer noch Mitarbeiter, die ihrem Arbeitgeber wohlgesonnen sind und obendrein noch ein geschultes Auge für Betrugsmaschen besitzen.

Die Zahl der “human and not-human” Identitäten in Unternehmen wächst schnell, und jede dieser Identitäten benötigt früher oder später Zugriff auf kritische Ressourcen. Das macht sie für Cyberkriminelle extrem attraktiv. Mit diesen intelligenten Berechtigungskontrollen lassen sich die privilegierten Zugriffe aller Identitäten absichern.

Die Zeiten, in denen nur wenige Administratoren über weitreichende Berechtigungen in den IT-Infrastrukturen von Unternehmen verfügten, sind längst vorbei. Inzwischen benötigen auch die meisten Mitarbeiter, Anwendungen und Geräte solche Rechte, um auf kritische Ressourcen zuzugreifen, die sie im Arbeitsalltag benötigen. Die klassische Definition von privilegierten Identitäten greift daher nicht mehr, denn letztlich kann jede Identität privilegiert sein und bedarf eines besonderen Schutzes.

Um alle Identitäten über sämtliche Infrastrukturen, Systeme und Anwendungen hinweg zuverlässig zu schützen, benötigen Unternehmen die folgenden fünf intelligenten Berechtigungskontrollen:

Zero Standing Privileges (ZSP) und Just-in-Time Access (JIT)

Viele Unternehmen statten Anwender dauerhaft mit weitreichenden Berechtigungen aus, auch wenn diese die Rechte nur selten oder niemals benötigen. Die Identitäten werden nicht konsequent über ihren gesamten Lebenszyklus verwaltet und Berechtigungen daher bei Nichtbenutzung auch nicht entzogen. Besser ist es, die privilegierten Zugriffsrechte Just-in-Time zuzuweisen, sodass Anwender nur mit erweiterten Berechtigungen ausgestattet werden, wenn sie diese tatsächlich für eine bestimmte Aufgabe benötigen. Die Herausforderung liegt darin, die Berechtigungen nur für eine definierte Zeit zu vergeben und anschließend wieder zu entfernen. Andernfalls kommt es zu Rechteanhäufungen, durch die Anwender im Laufe der Zeit zu „Super-Usern“ werden. Die modernste Art der Berechtigungszuweisung ist es daher, Anwender standardmäßig mit Zero Standing Privileges auszustatten, sodass sie über keinerlei Berechtigungen in den Zielapplikationen verfügen. Anhand von attributbasierten Zugriffskontrollrichtlinien (ABAC) werden erweiterte Berechtigungen beim Zugriff des Anwenders zur Laufzeit zugewiesen und nach der Session automatisch wieder entfernt.

Berechtigungskontrollen: Session-Isolierung

Eine Session-Isolierung schützt den privilegierten Zugriff, indem der Datenverkehr zwischen dem Endgerät des Anwenders und den kritischen Ressourcen, auf die er zugreift, über einen Proxy-Server geleitet wird. Dadurch besteht keine direkte Verbindung und bei einem Angriff auf den Anwender ist das Risiko, dass auch das entfernte System kompromittiert wird, verringert.

Schutz und Aufzeichnung von Sessions

Der Proxy-Server kann als zusätzlicher Kontrollpunkt für Berechtigungskontrollen dienen, der die Session überwacht und aufzeichnet. Dabei werden alle Aktivitäten erfasst – bis hin zu einzelnen Mausklicks innerhalb einer Webanwendung oder auf einem Server. Die Aktivitäten lassen sich automatisiert analysieren, um ungewöhnliche Aktivitäten zu erkennen, die auf eine Bedrohung hindeuten. In einem solchen Fall wird die Session sofort unterbrochen.

Anwendungskontrolle auf dem Endpoint

Eine umfassende, richtlinienbasierte Anwendungskontrolle hilft, Endgeräte zu schützen und eine sichere Arbeitsumgebung für jede Benutzergruppe zu schaffen. Sie setzt Least-Privilege-Prinzipien auf Endpoints durch und berücksichtigt den Anwendungskontext und verschiedenste Parameter, um zu entscheiden, ob das Ausführen von Anwendungen, Skripten und anderen Aktivitäten zugelassen oder blockiert wird.

Credentials und Secrets Management

Credentials wie Benutzernamen und Passwörter sind notwendig, um Identitäten als Berechtigungskontrollen zuverlässig zu identifizieren. Ein Credential Management übernimmt nicht nur die Verwaltung von Passwörtern, Schlüsseln und anderen Credentials, sondern wacht auch über die Einhaltung von Passwortrichtlinien und rotiert Passwörter beziehungsweise Keys nach definierten Vorgaben, etwa nach einem Zeitplan oder nach bestimmten Ereignissen. Ein Secrets Management erlaubt es, ähnliche Sicherheitsrichtlinien für nicht-menschliche Identitäten durchzusetzen, die beispielsweise in Bots, Skripten, Cloud-Anwendungen und IoT-Geräten zum Einsatz kommen.

„Cyberangriffe auf alle Arten von Identitäten nehmen kontinuierlich zu und werden immer raffinierter“, betont Fabian Hotarek, Solutions Engineering Manager bei CyberArk. „Deshalb benötigen Unternehmen eine durchdachte Identity-Security-Strategie mit intelligenten Berechtigungskontrollen, um menschliche und nicht-menschliche Identitäten zu schützen und das Risiko, das mit dem Diebstahl von Anmeldedaten und Missbrauch von Privilegien einhergeht, zu minimieren.“

EU-Einrichtungen im Visier staatlich gesponserter Cyberangriffe

Ein kürzlich erschienener Report des IT-Notfallteams der Europäischen Union (CERT-EU) berichtet von einer hohen Zahl im Jahr 2023 erfolgter Spear-Phishing-Angriffe gegen Einrichtungen der Europäischen Union. Durchgeführt wurden die Angriffe scheinbar in erster Linie von Hackern und Gruppierungen, die in Verbindung mit staatlichen Akteuren stehen oder von diesen unterstützt werden. Der Bericht stellt fest, dass Spear Phishing weiterhin die am häufigsten genutzte Methode für staatlich unterstützte cyberkriminelle Gruppen ist, wenn sie versuchen, in Zielnetzwerke einzudringen.

Die den Angriffen zugrunde liegende Methode des Spear Phishing beinhaltet äußerst gezielte und personalisierte E-Mail-Kampagnen, die bestimmte Personen innerhalb von Organisationen täuschen sollen. Innerhalb der Einrichtungen der EU oder in deren Umfeld war Spear Phishing laut dem Bericht die am häufigsten von Kriminellen genutzte Methode, um Erstzugang zu erlangen. Sobald die Hacker sich Zugang zu den Netzwerken verschafft haben, konnten sie diesen für verschiedene Zwecke ausnutzen, darunter Spionage, Hacktivism, Datendiebstahl und andere cyberkriminelle Aktivitäten.

Die Bedrohungsakteure gaben sich häufig als Mitarbeiter von EU-Einrichtungen oder der öffentlichen Verwaltung von EU-Ländern aus. Sie verschickten Spear-Phishing-E-Mails mit bösartigen Anhängen, Links oder gefälschten PDF-Dateien. Diese enthielten anfangs interne oder öffentlich zugängliche Dokumente mit Bezug zu EU-Gesetzen, was dem Zweck der Täuschung diente. Die Tatsache, dass vor allem EU-Einrichtungen und die Verwaltungen von Mitgliedsstaaten im Visier waren, deutet auf ein großes Interesse der Angreifer an Informationen über verschiedene politische Angelegenheiten der EU hin.

EU-Einrichtungen leidern unter hoch personalisierte Attacken

Was die beschriebenen Attacken besonders macht, ist der auf Spear Phishing basierte personalisierte Ansatz. Die Angreifer investierten viel Zeit in das Auskundschaften ihrer Ziele und darauf aufbauend die Ausarbeitung angepasster Social-Engineering-Angriffe. Im ersten Schritt ging es darum, Informationen über Einrichtungen der EU zu sammeln, darunter die Rollen bestimmter Mitarbeiter, Kontaktlisten und häufig geteilte interne Dokumente.

Mithilfe der gesammelten Informationen und dem Einsatz von Social Engineering war es den Kriminellen dann möglich, glaubhaft wirkende Nachrichten zu erstellen und ihre Zielpersonen zu täuschen. Auch die Nutzung von Informationen aus früheren Angriffen und das Identifizieren von ungesicherten IT-Ressourcen halfen den Angreifer dabei, die Erfolgschancen ihrer Angriffe zu steigern und in vielen Fällen letztlich ihre Ziele zu erreichen.

Das Bewusstsein für Bedrohungen muss steigen

Der Bericht des CERT-EU zeigt anhand des Beispiels angegriffener EU-Einrichtungen, dass professionell durchgeführte Spear-Phishing-Angriffe eine große Gefahr darstellen. Diese Art von Cyberattacken beschränkt sich aber keinesfalls auf staatliche Einrichtungen. Unternehmen im Allgemeinen müssen sich darüber im Klaren sein, dass solche Angriffe äußerst zielgerichtet und personalisiert sind und aufgrund dieser Tatsache eine hohe Erfolgsquote aufweisen.

Derartige Täuschungsversuche können alle Arten von Organisation betreffen und stellen eine ernsthafte Bedrohung für die Sicherheit sensibler Daten und Informationen dar. Um auf Social Engineering basierte Gefahren wie Spear Phishing vorbereitet zu sein, gilt es Mitarbeitende aufzuklären und ihr Bewusstsein gegenüber den Methoden und Taktiken der Angreifer zu stärken. Hier können Security Awareness-Schulungen hilfreich sein, um die Sicherheitskultur einer Organisation zu stärken. Das Einführen solcher Trainings ermöglicht es Mitarbeitern, ihr Bewusstsein für Security-relevante Themen zu stärken, ein sicheres Verhalten im Cyberraum zu kultivieren und damit die von Cyberbedrohungen ausgehende Gefahr zu verringern

Bundesamt für Cybersicherheit Schweiz

 

Der Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) behandelt die Datenanalysen nach dem Cyberangriff auf die Firma Xplain, der im Mai 2023 stattfand. Xplain, ein bedeutender Dienstleister für verschiedene Bundesbehörden, war Ziel eines Double Extortion-Ransomware-Angriffs, bei dem sensible Daten gestohlen und anschließend im Darknet veröffentlicht wurden. Der Bericht analysiert die Folgen des Vorfalls, die Art der entwendeten Daten und die ergriffenen Maßnahmen zur Wiederherstellung der Sicherheit.

  1. Einleitung

Der Angriff auf Xplain führte zu einem erheblichen Datenabfluss, der sicherheitsrelevante und personenbezogene Daten betraf. Nach der Veröffentlichung im Darknet waren diese Daten öffentlich zugänglich, was zu einem Vertrauensverlust in die Datensicherheit der Bundesverwaltung führte. Der Bundesrat beauftragte eine Administrativuntersuchung, um die Verantwortlichkeiten und zukünftige Präventionsmaßnahmen zu klären. Das NCSC leitete die Vorfallbewältigung und führte eine umfassende Analyse der veröffentlichten Daten durch.

  1. Ausgangslage

Der Angriff wurde von der Hackergruppe Play durchgeführt, die mit Ransomware operiert und sowohl die Verschlüsselung von Daten als auch die Drohung mit deren Veröffentlichung nutzt, um Lösegeld zu erpressen. Xplain weigerte sich, die Forderungen der Angreifer zu erfüllen, was zur Veröffentlichung von etwa 400 GB Daten im Darknet führte. Die Bundesverwaltung, als Kunde von Xplain, war ebenfalls betroffen, was eine sofortige Risikoeinschätzung und Sofortmaßnahmen erforderte.

  1. Ziele der Datenanalyse

Das NCSC hatte zwei Hauptziele bei der Datenanalyse: Erstens sollten die betroffenen Verwaltungseinheiten identifiziert werden, und zweitens sollte der unmittelbare Handlungsbedarf ermittelt werden. Die Analyse erfolgte in zwei Schritten: einer systematischen Kategorisierung der Daten und einer Zusammenstellung der wichtigsten Ergebnisse.

  1. Beschreibung der veröffentlichten Daten

Im Darknet wurden insgesamt 646 RAR-Archivdateien mit einem Gesamtvolumen von 431 GB veröffentlicht. Die Dateien enthielten eine Vielzahl an Datenformaten, einschließlich unstrukturierter Daten, die eine komplexe Analyse erforderlich machten. Die Herausforderung bestand darin, die relevanten Informationen von irrelevanten zu trennen und die Daten in ein lesbares Format zu überführen.

  1. Datenauswertung

Zur Auswertung der Daten kam ein eDiscovery-System zum Einsatz, das eine strukturierte Sichtung und Analyse der Daten ermöglichte. Neun Mitarbeiter des NCSC und 27 Freiwillige aus verschiedenen Bundesämtern arbeiteten an der Analyse. In der ersten Phase wurden rund 65.000 Dokumente als potenziell relevant identifiziert, die einer detaillierten manuellen Prüfung unterzogen wurden.

  1. Ergebnisse der Datenanalyse

Die Analyse ergab, dass die meisten Daten (73 %) von Xplain stammten, gefolgt von der Bundesverwaltung (14 %) und den Kantonen (10 %). Über 5.000 Objekte mit sensitiven Informationen wurden identifiziert, darunter personenbezogene Daten, technische Informationen und klassifizierte Dokumente. Die größte Bedrohung stellten die personenbezogenen Daten dar, die über 90 % der sensitiven Objekte ausmachten.

  1. Analyse des Deltas zwischen veröffentlichten und gefährdeten Daten

Eine der zentralen Fragen war, warum die Angreifer nur etwa 400 GB von ursprünglich 907 GB entwendeten Daten veröffentlichten. Das NCSC führte eine Analyse durch, um festzustellen, ob Daten bewusst zurückgehalten oder unvollständig veröffentlicht wurden. Die Ergebnisse zeigten, dass 39 % der Daten von fedpol veröffentlicht wurden, jedoch zahlreiche Dateien, die potenziell sensibel waren, nicht auftauchten. Diese Lücken könnten sowohl auf technische Gründe als auch auf eine oberflächliche Prüfung der Daten durch die Angreifer hinweisen.

  1. Fazit aus den Datenanalysen

Der Bericht schließt mit der Erkenntnis, dass eine umfassende Analyse der Daten unabdingbar ist, um den Vorfall richtig zu bewerten und die Betroffenen zu informieren. Der Analyseprozess war arbeitsintensiv und erforderte erhebliche Ressourcen, um relevante von irrelevanten Informationen zu trennen. Trotz der Herausforderungen ist es dem NCSC gelungen, die nötigen Infrastrukturen schnell zu mobilisieren und die politische Führung sowie die Öffentlichkeit transparent zu informieren.

Zusammenfassend zeigt der Bericht, dass auch zukünftig mit Cyberangriffen gerechnet werden muss und dass die Bundesverwaltung weiterhin an der Verbesserung ihrer Sicherheitsstrategien und der Analysefähigkeit arbeiten sollte, um auf ähnliche Vorfälle besser vorbereitet zu sein. Die gewonnenen Erkenntnisse werden im Rahmen der Administrativuntersuchung weiter untersucht, um künftige Präventionsmaßnahmen zu entwickeln und das Vertrauen in die Datensicherheit der Bundesverwaltung wiederherzustellen.

 



Voice Cloning: KI-basierte Audio-Video-Klone als Teil betrügerischer Kampagnen

In einer Studie dokumentieren die Bitdefender Labs die starke Zunahme von mit Künstlicher Intelligenz (KI) produzierten Video Deepfakes mit Voice Cloning von Prominenten. Diese verbreiten Cyberkriminelle über Anzeigen immer mehr über beliebte Social-Media-Plattformen wie Facebook, Instagram oder Messenger.

In den Videos geklonte Prominente leiten die Opfer mit verlockenden Angeboten auf überzeugend aufgebaute E-Commerce-Webseiten. Viele der Videos sind allerdings nicht von bester Qualität, weisen sichtbare Artefakte oder Fehler wie verzerrte Darstellungen und asynchrone Lippenbewegungen auf. Ein aufmerksamer Beobachter kann sie erkennen. Die Bitdefender Labs schätzen, dass mit solchen betrügerischen Maschen mindestens eine Million Nutzer in den USA und zahlreichen europäischen Ländern erreicht werden. Eine der beobachteten Anzeigen erreichte rund 100.000 Nutzer der verschiedensten Altersgruppen zwischen 18 und 65 Jahren. Die Experten von Bitdefender rufen anlässlich dieses sich verstärkenden Trends zu Datensparsamkeit auf, die auch für digitale Sprachsamples gilt.

KI-basierte Stimmgeneratoren

In den manipulierten Videoinhalten nutzten die Angreifer KI-basierte Stimmgeneratoren, um die Stimmen bekannter Prominenter wie Jennifer Aniston, Elon Musk, Tiger Woods, den rumänischen Präsidenten oder Ion Tiriac zu imitieren. Die vermeintlichen Prominenten versprechen dann hochwertige Waren, wie aktuelle iPhone-Modelle, Macbooks, Chicco-Autositze, Luxustaschen von Michael Kors oder Coach sowie Dyson-Staubsauger als Geschenk. Fällig werden lediglich minimale Liefergebühren, wie etwa 9,95 Euro bei einem MacBook. Andere betrügerische Inhalte werben mit Gewinnspielen und attraktiven Investitionsmöglichkeiten. Wie bei anderen betrügerischen Angeboten, stehen die Waren angeblich nur einem kleinen Kreis von Interessenten für eine begrenzte Zeit bereit. Um die Glaubwürdigkeit der Offerten zu erhöhen, bauen die Cyberkriminellen Internetpräsenzen von Tageszeitungen wie etwa der New York Times, sowie professionell anmutende Check-Out-Seiten für den Erwerb der Produkte auf. Hauptziel der Anwender ist das Stehlen persönlicher Daten wie Kreditkartennummern.

Voice Cloning: Hintergrund

Beim Voice Cloning nutzen die Urheber KI-Werkzeuge, um synthetische Kopien einer individuellen menschlichen Stimme zu erstellen. Diese anspruchsvollen Technologien nutzen Deep Learning und verwenden die tatsächliche Stimme des Originals als Ausgangsbasis. Die Klone bringen sie dann mit Text-to-Speech-Systemen zum Reden. Zunächst sammeln die Autoren Stimmproben. Es genügen schon wenige Sekunden Material aus einem Video, einer Social-Media-Sequenz oder einer anders erstellten Aufnahme. Die KI analysiert die Stimme auf ihre individuellen Charakteristiken wie Höhe oder Tiefe, Sprachgeschwindigkeit, Tonfall oder Lautstärke. Aufbauend auf diesen Analysedaten erfolgt das Training eines Machine-Learning-Modells. Danach ist die Software in der Lage, gesprochene Rede und einen Voice Clone zu generieren. Mit weiteren Daten lässt sich die Qualität des Klons weiter optimieren.

Voice Cloning kennt viele legitime Anwendungsfälle in Bildung, Gesundheitswesen oder Unterhaltung, wie etwa persönliche Video-Assistenten, Overdubs für Schauspieler, Audiobooks, legitime Social-Media-Inhalte oder die Hilfe für Menschen mit Sprachbehinderungen. Cyberkriminelle nutzen aber weltweit die Stimmimitation für Betrug von Verwandten, Erpressungen, Cyberbullying, vorgetäuschte Entführungen oder – wie in den von Bitdefender analysierten Beispielen – für das Hinleiten auf Phishing-Links. Beim CEO-Fraud geben sich Betrüger als Geschäftsführer aus, um Mitarbeiter zur Herausgabe vertraulicher Informationen oder Transaktionen zu veranlassen.

Mit Voice-Cloning-Betrug umgehen

Nutzer sind dringend aufgefordert, beim Umgang mit Video/Audio-Inhalten vorsichtig zu sein und folgende Ratschläge zu berücksichtigen:

  • Die Qualität und Konsistenz der Stimme prüfen: Mängel in der Sprachqualität sind oft hörbar. Ein ungewöhnlicher Tonfall, eine statisch klingende Stimme oder ein inkonsistentes Sprechmuster (Sprechweise, falsche Aussprache und Betonung) deuten auf eine Fälschung hin.
  • Hintergrundgeräusche und Artefakte: Reines Voice Cloning minimiert Hintergrundgeräusche. Bei Audio/Video-Clips sind diese oft noch zu erkennen. Auch digitale Artefakte sind Warnzeichen.
  • Datensparsamkeit gilt auch für Sprachsamples: Wer sich im Internet bewegt, sollte nicht nur so wenig wie möglich persönliche Informationen von sich preisgeben. Auch Sprachproben sollten nicht mit Unbekannten geteilt werden. Schon wenige Sekunden an Audiomaterial können ausreichen, um einen Video-Clone zu erstellen.
  • Ungewöhnliche Anfragen und zu attraktive Angebote hinterfragen: Bei den Kampagnen mit Deep-Fake-Videoinhalten gelten dieselben Regeln, wie bei anderen Inhalten aus dem Internet: Zu attraktive Angebote, das Erzeugen von zeitlichem Druck beim Adressaten und die Bitte um Herausgabe persönlicher Informationen sind Warnzeichen für betrügerische Absichten.
  • Im Zweifelsfall die vermeintlichen Anbieter kontaktieren: Ein Telefonat bei dem vermeintlichen Anbieter schafft schnell Klarheit.
  • Die Polizei verständigen: Betrügerische Sprachklone sollten Anwender immer an die Behörden melden.
  • Sich informieren und schützen: Verbraucher sollten Hinweise auf Kampagnen ernst nehmen. Ebenso wichtig ist Sicherheitssoftware zum Schutz der digitalen Identität, gegen KI-unterstütztes Phishing oder anderen Betrug auf Rechnern und Smartphones.

Die vollständige Studie finden Sie zum Download hier.

NIS2 effektiv umsetzen und Cyber-Resilienz stärken

Die NIS2-Richtlinie soll die Cybersicherheit in der europäischen Union erhöhen. Sie baut auf den Bemühungen der NIS-Richtlinie von 2016 auf, mit der ein EU-weites hohes Niveau der Cybersicherheit geschaffen werden sollte.

Mit der Modernisierung des bestehenden Rechtsrahmens reagiert die EU auf die fortschreitende Digitalisierung und die sich stetig entwickelnde Bedrohungslandschaft. Zwar haben die Mitgliedstaaten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu überführen – Unternehmen sollten jedoch nicht bis dahin mit dessen Umsetzung warten. Kudelski Security erklärt, wie sich Organisationen auf die NIS2-Richtlinie vorbereiten und so ihre Cyber-Resilienz erhöhen können.

Während die NIS-Richtlinie von 2016 eine Grundlage für EU-Mitgliedstaaten bildete, ihre Anforderungen an Cybersicherheit anzupassen, ließ sie dennoch einige Fragen offen: Jedes Land hatte seine eigene Auffassung über die Höhe der Bußgelder, die Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit war nicht effektiv und es fehlte ein einheitlicher Leitfaden für das Vorgehen in Krisensituationen. Mit NIS2 will die EU nun mehr Klarheit schaffen und die Cybersicherheit in der gesamten Union erhöhen. Darüber hinaus verpflichtet die Richtlinie sowohl die Mitgliedstaaten als auch Unternehmen in kritischen Sektoren und legt gemeinsame Anforderungen an die Cybersicherheit fest. Neben den Bereichen  Abwasser, Raumfahrt, öffentliche Verwaltung und ITK berücksichtigt die Richtlinie auch andere kritische Sektoren wie Forschung, Lebensmittelproduktion, Post- und Kurierdienste, Abfallmanagement, Fertigung sowie Chemie. Auch Operation Technology (OT) kann unter die NIS2-Richtlinie fallen, sobald sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen hat.

NIS2 Maßnahmen-Katalog

Mit der NIS2-Richtlinie geben die EU-Mitgliedstaaten Unternehmen einen Katalog an Maßnahmen  an die Hand – dazu zählen Risikoanalysen, Maßnahmen zur Verbesserung der Lieferkettensicherheit oder das Erstellen von Unternehmensrichtlinien für den angemessenen Einsatz von Kryptographie und Verschlüsselung. Ob für IT-Abteilungen zusätzliche Kosten anfallen, hängt davon ab, wie gut sie bereits aufgestellt sind. Darüber hinaus spielt auch die Risikobereitschaft des Unternehmens eine Rolle: Der Vorstand sollte bereit sein, flexibel auf notwendige Veränderungen zu reagieren und neue Technologien beispielsweise zum Schutz vor Cyberangriffen einsetzen – auch, wenn dies mit zusätzlichen Kosten verbunden sein kann.

Unternehmen sollten bei der Umsetzung der NIS2-Maßnahmen nicht nur die Anforderungen erfüllen, um ein Bußgeld zu umgehen, sondern immer das übergeordnete Ziel im Hinterkopf behalten: Die Cybersicherheit in der gesamten EU zu erhöhen. Durch die richtigen Maßnahmen können Unternehmen die Risiken für ihre Dienste und Systeme kontrollieren – und so die Auswirkungen von Zwischenfällen auf ihre und womöglich auch andere Unternehmensabläufe minimieren oder verhindern. Dafür müssen Unternehmen kontinuierlich ihre Cybersicherheitsstrategie hinterfragen und ausreichend Zeit, Budget sowie Ressourcen zur Verfügung stellen. Doch im komplexen Cyberspace ist Schutz allein gegen aktuelle Angriffe nicht ausreichend: Sicherheitsmaßnahmen sollten immer eine Kombination aus Schutz, Erkennung und Reaktion darstellen. Es ist unerlässlich, dass Cybersicherheit für alle Mitarbeitenden keine lästige Pflicht, sondern selbstverständlich ist – von der Managementebene bis zu jedem Angestellten.

NIS2 effektiv umsetzen: Tipps

NIS2 effektiv umsetzen: Der Weg zur Umsetzung von NIS2 ist nur so gut oder nützlich wie die Risikobewertung der Unternehmen. Nur, wenn sie verstehen, welche Cyberrisiken ihre Geschäftsabläufe bedrohen, können sie die nötigen Maßnahmen ergreifen. Diese zehn Punkte helfen Unternehmen bei der Vorbereitung auf die NIS2-Richtlinie:

  • Ermitteln, ob das Unternehmen aufgrund der Unternehmensgröße, seines Umsatzes und seiner Branche die NIS2-Richtlinie einhalten muss.
  • Eine Risikobewertung (unter Berücksichtigung der Lieferkette kritischer Lieferanten) durchführen und die Risikobereitschaft bestimmen.
  • Alle Mitarbeitenden über Regulierung, Sanktionen sowie Bußgelder aufklären und diese Informationen im Unternehmen verbreiten.
  • Mit Hilfe von NIS2 Artikel 21 beurteilen, wo das Unternehmen noch Aufholbedarf hat, um die Richtlinie zu erfüllen.
  • Zeit und Budget für die Implementierung der fehlenden Maßnahmen kalkulieren.
  • Mithilfe von Playbooks für die häufigsten Cyber-Risikoszenarien einen umfassenden Plan für die Reaktion auf Vorfälle erstellen und diesen testen, um zu beurteilen, ob eine angemessene Reaktion möglich ist.
  • Auf die Meldepflicht von Sicherheitsvorfällen vorbereiten: Unternehmen müssen innerhalb von 24 Stunden eine erste Warnung herausgeben.
  • Festlegen, wie das Unternehmen im Falle eines Sicherheitsvorfalls das Geschäft weiterführen kann und einen Krisenmanagement-Plan erstellen.
  • Eine Vulnerability Disclosure Policy (VDP)  erstellen, mit der Unternehmen über ein Sicherheitsproblem oder eine Schwachstelle informieren können.
  • Regelmäßige Sicherheitstests und Audits durchführen.

Bei den meisten Regularien muss jedes Unternehmen individuell herausfinden, wie es die Maßnahmen bestmöglich implementieren kann. Dies gilt auch für NIS2: Es gibt keine allgemein geltende Schritt-für-Schritt-Anleitung für die Umsetzung. Umso wichtiger ist es, dass sich Unternehmen jetzt mit dem Thema auseinandersetzen – und nicht bis zum Oktober damit warten. Wenn Verantwortliche Unsicherheiten bei der Einschätzung, Bewertung und Umsetzung der NIS2-Richtlinie haben, lohnt es sich, auf einen externen Cybersicherheits-Partner zu setzen. Dieser kann ihnen darüber hinaus wertvolle Handlungsempfehlungen geben, die speziell auf das jeweilige Unternehmen zugeschnitten sind. Nur so gelingt es, NIS2 effektiv umsetzen.

IT-Vorfälle und Datenverlust: Jedes zweite Unternehmen 2023 betroffen

Cyberattacken werden für Unternehmen immer teurer, generative KI hat in puncto Datensicherheit zwei Seiten und Ransomware-Versicherungen greifen oft nicht. Das zeigt der Global Data Protection Index von Dell Technologies.

Der 2023 Global Data Protection Index (GDPI) ist die aktuelle Ausgabe einer Studie, mit der Dell Technologies regelmäßig die Datensicherungsstrategien von Unternehmen untersucht. Für sie wurden im Herbst 2023 weltweit 1.500 IT-Verantwortliche befragt, darunter auch 150 aus deutschen Unternehmen. 

Zentrale Ergebnisse der aktuellen Studie: Über die Hälfte der weltweit befragten Unternehmen (54 Prozent) erlebte im Jahr 2023 Cyberangriffe oder Systemausfälle, die dazu führten, dass sie nicht mehr auf ihre Daten zugreifen konnten. Bei den meisten Unternehmen, die von einer Cyberattacke betroffen waren, drangen die Angreifer von außen ein. Sie schickten Spam- oder Phishing-Mails an Mitarbeiter, brachten sie dazu, auf bösartige Links zu klicken, stahlen ihre Anmeldedaten oder hackten ihre mobilen Endgeräte.

Die Auswirkungen von IT-Vorfällen mit Datenverlust sind immens: Im Jahr 2023 kosteten sie jedes der betroffenen Unternehmen durchschnittlich 2,61 Millionen US-Dollar (2,38 Millionen Euro), verursachten 26 Stunden ungeplante Ausfallzeiten und führten zu Datenverlusten von 2,45 TB. Die Kosten durch IT-Ausfälle, die durch Cyberattacken verursacht waren, lagen 2023 bei durchschnittlich 1,41 Millionen US-Dollar (1,29 Millionen Euro) – und haben sich damit im Vergleich zum Vorjahr mehr als verdoppelt.

IT-Vorfälle und Datenverlust: Generative KI hat Auswirkungen auf Datensicherheit

IT-Vorfälle und DatenverlustGenerative KI (GenAI) ist offenbar auf dem Weg, zu einem neuen strategischen Werkzeug für die Cyberabwehr zu werden. So gaben 52 Prozent der Umfrageteilnehmer an, dass sie in der Integration von GenAI einen Vorteil für die IT-Sicherheit ihres Unternehmens sehen. Den Verantwortlichen ist allerdings auch bewusst, dass generative KI die Komplexität der Datensicherheit weiter vergrößert. 88 Prozent der Befragten stimmten der Aussage zu, dass diese Technologie große Mengen neuer Daten erzeugen und den Wert bestimmter Datentypen weiter steigern wird.

Ransomware-Versicherungen bieten nur eingeschränkte Sicherheit

Was Ransomware angeht, zeigen Unternehmen ein überraschend großes Vertrauen in die Wirkung von Lösegeldzahlungen. 74 Prozent der Befragten glauben, dass sie im Falle einer Zahlung tatsächlich alle ihre Daten zurückerhalten; und 66 Prozent denken, dass sie nach Zahlung eines Lösegelds von den Erpressern künftig nicht mehr attackiert werden.

Mit 93 Prozent gab zwar eine sehr große Mehrheit der Befragten an, dass ihr Unternehmen über eine Versicherung gegen Ransomware verfügt. Von denjenigen, die tatsächlich von einem Angriff betroffen waren, konnten allerdings nur 28 Prozent berichten, dass ihr Unternehmen vollständig entschädigt wurde. Die Ransomware-Versicherungen sind offenbar mit zahlreichen Ausschlussklauseln versehen. So sagten zahlreiche Befragte, dass ihr Unternehmen eine Best Practice zur Abwehr von Cyberbedrohungen nachweisen musste, dass ihre Police die Entschädigungssumme begrenzt oder dass bestimmte Szenarien ihre Police unwirksam werden lassen.

Der vollständige Report zum Dell Technologies 2023 Global Data Protection Index kann hier abgerufen werden.

Alltagsdinge per Handy oder am Computer zu regeln – das tägliche Leben ist zunehmend digitalisiert und nicht nur in der Arbeitswelt nehmen digitale Kompetenzen einen immer höheren Stellenwert ein. Weiterbildung und Schulungen um die eigene Digitalkompetenz zu stärken, sollten daher selbstverständlich sein. Mit dem Online-Selbstlernangebot SecAware.nrw stehen nun auf dem Marktplatz IT-Sicherheit modulare Pakete zu vielen Aspekten der Cybersicherheit zur Verfügung.

Heute gibt kaum eine Berufsgruppe, die keine Berührungspunktemit der Digitalisierung hat. Digitale Kompetenzen sind dabei mehr als reines Fachwissen und technische Skills. Der Begriff schließt eine ganze Reihe unterschiedlicher Schlüsselkompetenzen mit ein. So geht es neben dem Umgang mit gängigen Computeranwendungen unter anderem darum, die Chancen und Risiken der digitalen Kommunikation zu verstehen. Das Wissen, wie sich die digitalen Technologien für den Austausch von Informationen, für Lernen, Kreativität und Innovation sicher nutzen lassen, gehört auch dazu. Kurz: Digitale Kompetenzen umfassen technische Fachkenntnisse, aber auch sogenannte Soft Skills.

Doch wie entwickelt man Digitalkompetenz?

Doch wie entwickelt man Digitalkompetenz? Wie lässt sie sich einschätzen, wie fördern? Unter digitaler Kompetenz wird die Fähigkeit verstanden, sich in der digitalisierten Welt zurechtzufinden und diese aktiv mitzugestalten. Für manche Menschen ist das selbstverständlich, andere empfinden die Digitalisierung und die damit verbundenen Anforderungen als Hürde. Die gute Nachricht: Digitale Kompetenzen können von jedem Menschen, unabhängig vom Alter, erlernt werden. Aus diesem Grund hat die Europäische Union die Digitalkompetenz schon 2006 in ihre Empfehlung der acht Schlüsselkompetenzen für lebenslanges Lernen aufgenommen. Das bedeutet, dass dieser Lernprozess nie abgeschlossen ist.

Online-Selbstlernangebot SecAware.nrw

Auf dem Marktplatz IT-Sicherheit hat das Marktplatz-Team nun aktuell das Online-Selbstlernangebot SecAware.nrw gestartet.

SecAware.nrw  ist ein Projekt des an der Westfälischen Hochschule Gelsenkirchen ansässigen Instituts für Internet-Sicherheit – if(is) und des an der Fachhochschule Dortmund ansässigen Instituts für die Digitalisierung von Arbeits- und Lebenswelten (IDiAL). Ziel des Vorhabens ist es, ein Lernangebot zu schaffen, das die Nutzer sensibilisiert und die entsprechenden IT-Kompetenzen im Kontext Cyberattacken schafft bzw. stärkt. Um das heterogene Wissensniveau der Nutzer zu berücksichtigen, ist das Selbstlernangebot modular aufgebaut, was individuelle Lernwege ermöglicht. Eine Erhebung des Wissensstands und des Lernerfolgs erfolgt durch Selbsttests in unterschiedlichen Formaten.

Die Lerninhalte decken das gesamte Feld der Cyber- und Informationssicherheit ab und konfrontieren die Lernenden mit Gefährdungslagen ihrer jeweiligen digitalen Arbeits- und/oder Alltagswelt. Durch das fallbasierte Lernen findet eine höhere Identifikation mit dem Themenkomplex statt und die Eigenmotivation zur Problemlösung wird gesteigert. Die Konzeption der Lernmodule erfolgt in enger Zusammenarbeit der beteiligten Institute.

Zu den Modulen geht es entweder mit dem “Kurs starten” Button oben oder mit der folgenden Navigation.