Cybersicherheitsvorfälle: 81 % der Unternehmen betroffen

81 Prozent der Unternehmen in Deutschland waren in den vergangenen zwei Jahren von mindestens einem Cybersicherheitsvorfall betroffen, mehr als die Hälfte (65 Prozent) sogar von mindestens zwei.

Der Großteil (61 Prozent) verfügt intern nicht über die notwendige Expertise und Tools, um Cybersicherheit zu verwalten, weshalb 58 Prozent weitere Mitarbeiter einstellen und einige generell das Investment in Cybersicherheit erhöhen möchten (35 Prozent). 22 Prozent wollen sogar in Outsourcing an MSP und MSSP investieren. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Umfrage hervor.

Laut der Studie beklagten mehr als drei Viertel (81 Prozent) der IT-Sicherheitsexperten mindestens einen IT-Sicherheitsvorfall in den vergangenen zwei Jahren, 65 Prozent mindestens zwei. Fast die Hälfte (45 Prozent) von diesen wurde als „schwerwiegend“ eingestuft, 16 Prozent als „sehr schwerwiegend“.

Cybersicherheitsvorfälle – die Gründe

Gründe für Cybervorfälle seien laut den IT-Sicherheitsexperten unter anderem ein Mangel an notwendigen Tools zur Bedrohungserkennung (12 Prozent) und ein Mangel an internem IT-Sicherheitspersonal (16 Prozent). Um diese Herausforderungen zu adressieren, wollen sie weitere Tools zum effektiveren Cybersicherheitsmanagement (38 Prozent) erwerben und Threat Detection und Prevention Protocols (36 Prozent) implementieren. Weiterhin:

  • Soll allgemein mehr in die Cybersicherheit investiert werden (35 Prozent)
  • Mitarbeitern mehr Schulungen angeboten werden (35 Prozent)
  • mehr externe Spezialisten involviert werden (33 Prozent).

Weiterhin plant fast die Hälfte (43 Prozent), in den nächsten anderthalb Jahren in das Outsourcing ihrer Cybersicherheit zu investieren. Ein Viertel (24 Prozent) möchte hierfür professionelle externe Services in Anspruch nehmen, während 22 Prozent ein Outsourcing der Cybersicherheit an MSP/MSSP beabsichtigen.

Auch die Automatisierung von Cybersicherheitsprozessen spielt für Unternehmen zunehmend eine Rolle. Fast die Hälfte der Unternehmen in Deutschland (52 Prozent) hat konkrete Pläne Software zu implementieren, die ihre Cybersicherheit automatisch verwaltet. Weitere 16 Prozent diskutieren über die Einführung einer solchen Lösung.

Automatisierung von Cybersicherheitsprozessen

„Eine der wichtigsten Maßnahmen, auf die sich Unternehmen konzentrieren können, die mit einem Mangel an Fachleuten und Überlastung zu kämpfen haben, sind die Automatisierung sowie die Auslagerung von Aufgaben im Bereich der Cybersicherheit“, erklärt Ivan Vassunov, VP Corporate Products bei Kaspersky. „Der Rückgriff auf externe Experten – sei es durch Outsourcing, um das gesamte Cybersicherheitssystem zu verwalten, oder durch die Übernahme von Dienstleistungen auf Expertenebene als Unterstützung der IT-Sicherheitsabteilung – ist für viele die optimale Lösung. Cybersecurity-Anbieter, MSP und MSSP sind diejenigen, die über einschlägiges Fachwissen und alle erforderlichen Tools verfügen und für Kunden jeder Größe ein effektives Cybersecurity-Management übernehmen können. Zudem bieten sie eine Vielzahl von Services an, wie zum Beispiel Managed Detection and Response Services, bei denen SOC-Experten eine kontinuierliche Überwachung durchführen, oder auch Unterstützung in Notfällen, beispielsweise bei der Untersuchung eines bestimmten Vorfalls. Automatisierungstools, die von Cybersecurity-Anbietern bereitgestellt werden, sind eine weitere Möglichkeit, wie ein Unternehmen seine Cybersicherheit stärken kann. Dazu gehören beispielsweise XDR- und MDR-Lösungen, die mit Hilfe von Untersuchungs- und Reaktions-Playbooks und eingebetteter KI eine einfache Automatisierung ermöglichen und Kunden und Partner befähigen, ihre Informationssicherheitsprozesse weitgehend zu automatisieren. Angesichts der von Experten zur Verfügung gestellten Angebote kann jedes Unternehmen den Umfang der benötigten Dienstleistungen anhand von Cybersicherheitslücken oder der gewünschten Entwicklungsrichtung selbst bestimmen.“

 

 

Schweiz startet  Bundesamt für Cybersicherheit (BACS)

Das neue Bundesamt für Cybersicherheit (BACS) und das neue Staatssekretariat für Sicherheitspolitik (SEPOS) nehmen am 1. Januar 2024 die Arbeit auf. Der Bundesrat legte nun die rechtlichen Grundlagen für die beiden Einheiten fest und präzisierte ihre jeweiligen Aufgabenfelder.

Um die Sicherheitspolitik der Schweiz zur Bewältigung von zunehmenden Bedrohungen und Gefahren wirksamer zu gestalten, schafft der Bundesrat auf den 1. Januar 2024 zwei neue Verwaltungseinheiten im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport VBS.

Zum einen nimmt das Staatssekretariat für Sicherheitspolitik (SEPOS) als neues Kompetenzzentrum für Sicherheitspolitik und Informationssicherheit des Bundes seinen Betrieb auf. Zum anderen wird das bisherige Nationale Zentrum für Cybersicherheit (NCSC), das bisher im Eidgenössischen Finanzdepartement EFD angesiedelt war, in das neue Bundesamt für Cybersicherheit (BACS) umgewandelt. Dieses koordiniert die Umsetzung der Nationalen Cyberstrategie (NCS), ist Ansprechpartner für Behörden, Wirtschaft und Bevölkerung zu Cyberfragen und koordiniert als Kompetenzzentrum für Cyberbedrohungen die Arbeiten im Bund.

Seit seinen Grundsatzentscheiden für diese Stellen hat der Bundesrat deren Aufgaben detailliert ausgearbeitet und nun mit den Anpassungen der rechtlichen Grundlagen festgelegt.

BACS: Schweiz startet  Bundesamt für Cybersicherheit

Das Staatssekretariat für Sicherheitspolitik SEPOS erarbeitet konzeptuelle Grundlagen und Vorgaben zur Gestaltung der Schweizer Sicherheitspolitik. In Zusammenarbeit mit den anderen Departementen und unter Einhaltung derer Zuständigkeiten koordiniert es sicherheitspolitische Geschäfte und Kooperation im Inland und erstellt für den Bundesrat strategische Vorgaben für die internationale sicherheitspolitische Kooperation. In Zusammenarbeit mit ihnen antizipiert es sicherheitspolitische Herausforderungen und leitet daraus Handlungsoptionen. Im VBS stellt das SEPOS die Umsetzung der sicherheitspolitischen Vorhaben sicher und begleitet die internationale Kooperation sowie die Verteidigungs- und Rüstungspolitik.

Ins Aufgabengebiet des SEPOS gehören auch die drei spezialisierten Fachstellen für Informationssicherheit, für Personensicherheitsprüfungen und für Betriebssicherheit. Damit trägt das Staatssekretariat zur Umsetzung des Informationssicherheitsgesetzes und somit der sicheren Bearbeitung von Informationen bei, für die der Bund zuständig ist.

NCSC führt seine Arbeiten zur Umsetzung der NCS als Bundesamt fort

Das Bundesamt für Cybersicherheit wird grundsätzlich die Tätigkeiten weiterführen, die es als Nationales Zentrum für Cybersicherheit bisher ausgeübt hat. Es ist das Kompetenzzentrum des Bundes für Cyberbedrohungen und damit erste Anlaufstelle für die Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung bei Cyberfragen. Es sensibilisiert und warnt die Öffentlichkeit in Bezug auf Cyberbedrohungen und präventiven Maßnahmen, nimmt Meldungen zu Cybervorfällen und Cyberbedrohungen entgegen und unterstützt insbesondere Betreiberinnen von kritischen Infrastrukturen bei der Bewältigung. Es koordiniert die Arbeiten des Bundes im Bereich Cybersicherheit. Dabei erstellt es unter anderem technische Analysen zur Bewertung und Abwehr von Cybervorfällen und Cyberbedrohungen sowie zur Identifikation und Behebung von Schwachstellen beim Schutz der Schweiz vor Cyberbedrohungen.

Nehmen Sie den Beschluss zur Nicht-Umsetzung der NIS-2-Richtlinie zurück!

 

NIS-2-Richtlinie muss bleiben: Im Beschluss 2023/39 hat der IT-Planungsrat die Länder und den Bund gebeten, den Anwendungsbereich der NIS-2-Richtlinie nicht auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene sowie Bildungseinrichtungen zu erstrecken und die Richtlinie nicht zurücknehmen.

TeleTrust und die CISO Alliance meinen hingegen: Das Gegenteil ist notwendig. zur Herstellung eines angemessenen IT-Sicherheitsniveaus in Deutschland ist es erforderlich und dringend geboten, insbesondere die Kommunen, aber auch die Bildungseinrichtungen gesetzlich auf IT-Sicherheit zu verpflichten und diese nicht pauschal aus dem Anwendungsbereich herauszulassen.

NIS-2-Richtlinie muss bleiben – zur Umsetzung der NIS-2-Richtlinie

RA Karsten U. Bartels LL.M.
RA Karsten U. Bartels LL.M.

Dazu haben nun der Vorstand und Geschäftsführung Bundesverband IT-Sicherheit e. V. (TeleTrusT), vertreten durch RA Karsten U. Bartels LL.M., Prof. Dr. Norbert Pohlmann, Dr. André Kudra sowie Dr. Holger Mühlbauer und Ron Kneffel, Vorstandsvorsitzender der CISO Alliance e.V. einen offenen Brief formuliert:

An der Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148) der EU wird derzeit intensiv gearbeitet. Der vom Bundesministerium des Innern und für Heimat federführend entwickelte Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich derzeit in der Ressortabstimmung. Nach zwei an die Öffentlichkeit gelangten Referentenentwürfen, einem nicht mit der Bundesregierung abgestimmten “Diskussionspapier” und dem anschließenden “Werkstattgespräch” des BMI mit den Verbänden ist deutlich geworden: die durch die NIS2-Richtlinie umzusetzenden Regelungen sind anspruchsvoll, aber für das Gemeinwohl, die Bürger, die Unternehmen und auch Behörden und öffentlichen Stellen als wichtig und wesentlich erkannt. Die Anstrengungen, funktionierende Regeln auf Bundesebene zu definieren, wird von den unmittelbar und mittelbar Beteiligten mit großer Ernsthaftigkeit betrieben. Das tut auch nicht zuletzt Not, da die Umsetzungsfrist am 17.10.2024 endet.

Prof. Norbert Pohlmann NIS-2-Richtlinie muss bleiben
Prof. Norbert Pohlmann

Der Bund darf mit einem NIS2UmsuCG die Umsetzung der NIS-2-Richtlinie jedoch nur im Rahmen seiner Kompetenzen für den Bund regeln. Die europäischen Umsetzungsvorgaben gehen darüber allerdings hinaus und umfassen zum einen auch “Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene”. Die Bundesländer haben also eigene IT-Sicherheitsgesetze zu schaffen respektive anzupassen.

Zum anderen bestimmt die NIS-2-Richtlinie, dass die Mitgliedstaaten die Anwendbarkeit für “Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene” sowie “Bildungseinrichtungen” vorsehen können. Die lokale Ebene sind in Deutschland die Kommunen. Ob die Kommunen und Bildungseinrichtungen gesetzlich auf IT-Sicherheit verpflichtet werden, liegt also im Ermessen der Mitgliedstaaten, hier der Bundesländer.

Der IT-Planungsrat veröffentlicht nun am 03.11.2023 den Beschluss 2023/39, in dem es unter anderem heißt:

“2. Er [der IT-Planungsrat] nimmt den Sachstandsbericht der AG Informationssicherheit zur Kenntnis und bittet die Länder und den Bund, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen.”

Dr. André Kudra
Dr. André Kudra

Diese ausdrückliche Bitte an Bund und Länder beinhaltet, die Kommunen und Bildungseinrichtungen vom Anwendungsbereich der NIS2-Richtlinie kategorisch auszunehmen. Würde dieser Bitte Folge geleistet, gäbe es auch in Zukunft keinen gesetzlichen Mindestanforderungen an die IT-Sicherheit für die genannten Bereiche. Und dies bei einer IT-Sicherheitslage, die noch zu keiner Zeit schlechter war als sie dieser Tage ist.

Deshalb fordert TeleTrusT den IT-Planungsrat auf, den Beschluss zurückzunehmen und zu Ziff. 2 des Beschlusses das Gegenteil zu beschließen. Das gemeinsame Ziel muss eine IT-Sicherheit auf bestmöglichem Niveau sein. Dazu leisten IT-Sicherheitsgesetze einen wichtigen Beitrag. Der Anspruch muss sein, auf jeder staatlichen Ebene alles dafür zu tun, IT-Sicherheit bestmöglich zu planen und umzusetzen.

IT-Sicherheit lässt sich nur flächendeckend verbessern

Ohne eine funktionierende IT-Sicherheit kann der Staat bei Erfüllung seiner Aufgaben seinen Schutzpflichten nicht nachkommen und gefährdet das notwendige Vertrauen für eine Digitalisierung aller Lebensbereiche nachhaltig. Der “Weg für eine effiziente, sicherere und gut vernetzte digitale Verwaltung in Deutschland” (gemäß Selbstbeschreibung des IT-Planungsrats) wird so nicht geebnet.

Dr. Holger Mühlbauer NIS-2-Richtlinie muss bleiben
Dr. Holger Mühlbauer

Der Ausschluss aus dem Regelungsregime ignoriert auch die Signalwirkung auf Unternehmen und Gesellschaft. Wie vermieden werden soll, dass die vom künftigen Recht erfassten Unternehmen keine sachlich ungerechtfertigte Ungleichbehandlung erkennen, bleibt offen. Zumal sich die fatalen Folgen unzureichender digitaler Infrastruktur und fehlender IT-Sicherheitsmaßnahmen in den Kommunen aktuell besonders bemerkbar machen: eine Vielzahl von Cyberattacken führt gegenwärtig zu einem flächendeckenden Ausfall zahlreicher Bürgerämter, wodurch Bürger und Bürgerinnen über einen längeren Zeitraum Verwaltungsleistungen nicht in Anspruch nehmen können. Prognosen zeigen, dass Angriffe auf informationstechnische Systeme kommunaler Behörden in Zukunft weiter ansteigen werden. Auch Bildungseinrichtungen, wie Schulen oder Universitäten, sind vermehrt betroffen.

Im Bericht “Die Lage der IT-Sicherheit in Deutschland 2023” des BSI wird dazu festgestellt: “Kleine und mittlere Unternehmen (KMU) sowie besonders Kommunalverwaltungen und kommunale Betriebe wurden überproportional häufig angegriffen”. “Im Berichtszeitraum wurden insgesamt 27 kommunale Verwaltungen und Betriebe als Opfer von Ransomware-Angriffen bekannt.” Die betroffenen Kommunen hatten dabei knapp sechs Millionen Einwohnerinnen und Einwohner.

Die Gefahr eines weitreichenden Zusammenbruchs von Verwaltungs- und Bildungseinrichtungen ist evident, ebenso das damit einhergehende datenschutzrechtliche Risiko.

Der Beschluss des IT-Planungsrats ist kontraproduktiv

Ron Kneffel
Ron Kneffel

Denn er negiert eine konstruktive Beteiligung an den Aufgaben und enthält zudem auch keinerlei Vorschläge, wie auf anderem Weg für IT-Sicherheit gesorgt werden solle.

Es ist wichtig, die offensichtlichen Handlungsnotwendigkeiten für eine gute IT-Sicherheit allseits zu erkennen und konsequent zu handeln. Wer eine Regulierung ablehnt, womöglich auch aus Gründen praktischer Umsetzungsschwierigkeiten, dem wird man schwerlich zutrauen, die IT-Sicherheit auch ohne eine solche Regulierung freiwillig umzusetzen.

Der Möglichkeit, Kommunen und Bildungseinrichtungen auf nationaler Ebene von den europarechtlichen Vorgaben freizuhalten, sollten Bund und Länder verantwortlich entgegentreten. Der IT-Planungsrat sollte hier als politisches Steuerungsgremium von Bund und Ländern in Fragen der Informationstechnik und der Digitalisierung von Verwaltungsleistungen seiner Aufgabe gerecht werden.

Der Bundesverband IT-Sicherheit bietet seine Mitwirkung auf dem Weg zu mehr IT-Sicherheit auf allen Ebenen an und ist für Gespräche jederzeit offen.

Identitätsbezogene Bedrohungen: IT-Entscheider machen sich Sorgen

Omada, Unternehmen im Bereich Identity Governance und Administration (IGA), hat seinen State of Identity Governance Report 2024 veröffentlicht. Dieser untersucht die Sicht von IT- und Unternehmensleitern auf identitätsbezogene Bedrohungenund Lösungsmöglichkeiten.

Digitale Transformation und hybride Arbeit haben die Prozesse der Identitäts- und Berechtigungsverwaltung komplexer gemacht. Damit Identitätsverwaltung erfolgreich ist, muss sie gleichzeitig die Sicherheit eines Unternehmens verbessern und durch einfachere Arbeitsabläufe die Agilität des Unternehmens erhöhen. Konten mit zu vielen Berechtigungen vergrößern die Angriffsfläche, erhöhen das Risiko und führen zu mehr Sicherheitsverletzungen.

Omada hat deshalb IT- und Sicherheitsverantwortliche in 567 US-amerikanischen Unternehmen mit mehr als 1.000 Mitarbeitern befragt, um mehr über ihre Bedenken in Bezug auf Identitätsmanagement zu erfahren und wie sie diese Herausforderungen derzeit angehen.

Identitätsbezogene Bedrohungen: Die wichtigsten Ergebnisse

  • Fast alle Befragten (über 95 Prozent) gaben an, dass sie ernsthaft über identitätsbezogene Bedrohungen besorgt sind.
  • 72 Prozent der Befragten gaben an, dass Benutzer innerhalb der Organisation unnötige und damit zu umfangreiche IT-Berechtigungen haben.
  • 61 Prozent zählten „Anpassbarkeit an die Anforderungen eines Unternehmens“ zu den fünf wichtigsten Funktionen einer IGA-Lösung; 53 Prozent zählten generative KI zu den Top 5.
  • 86 Prozent der Befragten gaben an, dass sich ihre Unternehmen eher für eine „Best-of-Breed-Lösung“ – also für die bestmögliche Software-Lösung für den speziellen Anwendungsbereich – in Sachen Identitäts- und Zugriffsmanagement (IAM) entscheiden würden als für einen Plattformanbieter, der möglicherweise Module mit nicht durchgängig optimalen Funktionen bietet.

Identity Governance gegen identitätsbezogene Bedrohungen ist unerlässlich, um für die Sicherheitsverantwortlichen Transparenz zu schaffen und um gleichzeitig die Rechteverwaltung zu automatisieren und dadurch die Produktivität der Mitarbeiter zu verbessern. Da einerseits die Bedrohungsszenarien und andererseits die Zahl der Identitäten zunehmen, suchen immer mehr Unternehmen nach Lösungen, die sich eng in einen Identity-Fabric-Ansatz integrieren lassen.

Michael Garrett, CEO von Omada, erläutert: „Hacker brechen nicht mehr ein, sondern loggen sich mit kompromittierten Zugangsdaten ein. Der Schutz von Identitäten muss daher eine Kernkomponente der gesamten Cyber-Strategie großer Unternehmen sein. Moderne IGA-Praktiken und -Technologien sind in der sich entwickelnden Bedrohungslandschaft von heute eine Notwendigkeit. Daher ist es einleuchtend, dass Unternehmen Best-of-Breed-Lösungen bevorzugen, um sowohl die Effizienz als auch die Sicherheit zu verbessern.“

Der Bericht steht unter diesem Link zum Download bereit.

International Fraud Awareness Week: Banken vs Betrug

Die International Fraud Awareness Week, die vom 12. bis 18. November 2023 stattfindet, ist eine Bestandsaufnahme der sich entwickelnden Bedrohungslandschaft und der Schwachstellen, denen Finanzdienstleister ausgesetzt sind. Sie wird genutzt, um vor den Gefahren bei modernen Finanzdienstleistung zu warnen.

Als Verwalter und Hüter von Finanzvermögen und den dazugehörigen Daten sehen sich Finanzdienstleister ständigen Angriffen ausgesetzt und werden von den Aufsichtsbehörden immer genauer unter die Lupe genommen. Sicherheitsteams aus der Finanzdienstleistungsbranche müssen ihre Umgebungen mit einer immer komplexer werdenden Multi-Cloud-Infrastruktur absichern.

International Fraud Awareness Week

Cyberkriminelle und Betrüger sind inzwischen so innovativ, dass sie die wachsende Angriffsfläche von Finanzinstituten ausnutzen und Risiken in Bedrohungen verwandeln können. Die neueste Ausgabe des Thales 2023 Data Threat Report, Financial Services Edition, untersucht 140 befragte Finanzdienstleister in 18 Ländern hinsichtlich ihres Verständnisses der Bedrohungslandschaft sowie der Herausforderungen und Strategien beim Datenschutz. Der Bericht hebt die kritischen Bereiche hervor, in die Führungskräfte aus dem Banken- und Finanzsektor investieren müssen, um das Potenzial und die Auswirkungen von Betrug und Cyberkriminalität zu minimieren.

Ransomware ist zu einem wichtigen Thema für Finanzdienstleistungen geworden. 64 Prozent der Unternehmen haben einen Anstieg der Angriffe festgestellt. Diese Zahl übertrifft deutlich den Branchendurchschnitt von 49 Prozent. Beunruhigenderweise berichten 35 Prozent der Umfrageteilnehmer von Ransomware-Angriffen, was die erhöhten Risiken für den Finanzsektor unterstreicht.

Verwendung einer aktivitätsbasierten Ransomware-Erkennung

Die Fähigkeit von Finanzunternehmen, Ransomware-Angriffe zu verhindern und sich von ihnen zu erholen, ist von entscheidender Bedeutung. Die Verwendung einer aktivitätsbasierten Ransomware-Erkennung und einer intelligenten Verschlüsselung zum Schutz sensibler Daten zusammen mit einer Multi-Faktor-Authentifizierung zum Schutz vor der Kompromittierung von Anmeldeinformationen sind bewährte Standardverfahren zur Prävention. Ein solider Notfallwiederherstellungsplan, der durch regelmäßige Backups und Mitarbeiterschulungen unterstützt wird, ist von entscheidender Bedeutung, um die Risiken und potenziellen finanziellen Verluste dieser Angriffe zu mindern.

Der Finanzsektor ist weiterhin in höchster Alarmbereitschaft, was die Schwachstellen von Quantencomputing und Blockchain betrifft. Dies ist von entscheidender Bedeutung, wenn man Entwicklungen wie digitale Zentralbankwährungen (CBDC) betrachtet. Der European Data Protection Supervisor (EDSB) stellt zum Beispiel fest: “Mangelnde Sicherheit könnte zu einem starken Vertrauensverlust bei den Nutzern führen.”

Infolgedessen äußern 49 Prozent Bedenken über die mit Blockchain-Angriffen verbundenen Risiken, während 66 Prozent sich Sorgen über die Entschlüsselung sensibler Daten im Netzwerk machen. Diese Zahlen übertreffen den Durchschnitt des globalen Berichts und unterstreichen die Notwendigkeit von verbesserten Schutzmaßnahmen gegen diese aufkommenden Bedrohungen.

Multi-Cloud-Umgebungen sind die neue Realität für Finanzdienstleistungen. Die durchschnittliche Zahl der genutzten Cloud-Anbieter beträgt inzwischen mehr als zwei (2,16). Diese Anzahl ist im letzten Jahr um 12 Prozent gestiegen. Eine Mehrheit (74 Prozent) hat zwei oder mehr Cloud-Anbieter. Darüber hinaus hat die Nutzung von Software-as-a-Service (SaaS)-Anwendungen bei Finanzdienstleistern zugenommen. Die durchschnittliche Anzahl der genutzten Anwendungen ist innerhalb von drei Jahren um 68 Prozent von 82 auf 137 gestiegen. Dadurch steigt die Anzahl der Endpunkte, an denen Daten gesichert werden müssen.

Sicherung von Daten in der Cloud

Infolgedessen wird die Sicherung von Daten in der Cloud als komplexer angesehen, wobei ein deutlicher Anstieg von 44 auf 55 Prozent im Vergleich zum Vorjahr zu verzeichnen ist. Die effiziente Absicherung von Daten über eine wachsende Zahl von SaaS-Anwendungen und Cloud-Plattformen hinweg erfordert einen umfassenden Ansatz, der ein robustes Identitäts- und Zugriffsmanagement sowie Verschlüsselungsprotokolle umfasst.

Dies ist unerlässlich, da in der Cloud gehostete Anwendungen und die Cloud-Infrastruktur die primären Ziele für Angreifer sind. Da 79 Prozent der Finanzunternehmen Bedenken hinsichtlich der Auswirkungen von Cloud-Implementierungen auf die digitale Souveränität äußern, ist es von entscheidender Bedeutung, Cloud-Sicherheitsstrategien mit der Einhaltung gesetzlicher Vorschriften und Anforderungen an die Datensouveränität in Einklang zu bringen.

Die Komplexität der Verschlüsselungsverwaltung stellt jedoch eine große Herausforderung für den Finanzsektor dar. Der Bericht zeigt, dass 63 Prozent der Unternehmen fünf oder mehr Schlüsselverwaltungssysteme haben. Darüber hinaus sind im Durchschnitt nur 46 Prozent der sensiblen Daten in der Cloud verschlüsselt, während mehr Finanzdienstleistungsunternehmen alle ihre Verschlüsselungsschlüssel kontrollieren (21 Prozent gegenüber 14 Prozent) als in anderen Branchen. Die Vereinfachung der Verwaltung von Verschlüsselungsschlüsseln und die verstärkte Verschlüsselung sensibler Daten sind für Finanzinstitute vorrangig, um ihre Datensicherheit zu verbessern.

Fazit: International Fraud Awareness Week

Die Ergebnisse des Thales 2023 Data Threat Report im Hinblick auf die Finanzdienstleister bieten eine ernüchternde Perspektive auf die Cybersicherheit der Branche. In kritischen Bereichen gibt es positive Trends, aber es muss noch viel mehr getan werden. Finanzunternehmen müssen robuste Cybersicherheitsmaßnahmen zum Schutz sensibler Daten priorisieren, einschließlich Investitionen in Disaster-Recovery-Planung, Blockchain-Sicherheit und Mitarbeiterschulungen. Die Vereinfachung der Verschlüsselungsverwaltung und die Absicherung von Daten in der Cloud sind ebenfalls von größter Bedeutung. Hier gilt es anzusetzen, denn viel bleibt zu tun, um digitale Finanzdiestleistungen sicher zu gestalten.

Neue Tricks der Cyberkriminellen: Unbrauchbare Telemetrie-Modelle

Neue Tricks von Cyberkriminellen: Die detaillierte Analyse tatsächlicher Angriffe auf Unternehmen deckt eine neue Masche der Cyberkriminellen auf, um ihre Verweildauer zu vertuschen und damit auch eine rasche Abwehrreaktion zu vereiteln: Sie machen die Telemetrie-Protokolle unbrauchbar. Sophos Field CTO John Shier ordnet die Ergebnisse ein und gibt Empfehlungen.

Sophos hat seinen neuen Active Adversary Report  veröffentlicht. Besonders auffallend: in 42 Prozent der analysierten Angriffe fehlten die telemetrischen Protokolle und in 82 Prozent dieser Fälle deaktivierten oder löschten die Kriminellen Telemetriedaten aktiv, um ihre Angriffe zu verstecken. Zudem nimmt die Aufenthaltsdauer im gekaperten System weiter ab und setzt damit den Trend vom letzten Report weiter fort.

Neue Tricks von Cyberkriminellen

„Active Adversary“ beschreibt als Fachbegriff die Art der Angriffsstrategie auf ein System. Im Gegensatz zur rein technischen und automatisierten Attacke kommt bei dieser Art der  menschliche Faktor ins Spiel: Cyberkriminelle sitzen aktiv am Keyboard und reagieren individuell auf die Gegebenheiten in einem infiltrierten System. Diese Schleichfahrten werden durch Lücken in der Telemetrie nochmals unterstützt, da sie die notwendige Sichtbarkeit in den Netzwerken und Systemen verringern. Ein großes Problem, besonders seit sich die Verweildauer der Angreifer – vom initialen Zugang bis zur Aufdeckung – kontinuierlich verringert und somit auch die Zeit für die Verteidigungsreaktion kürzer ist.

John Shier, Field CTO von Sophos, zum Telemetrieproblem: „Zeit ist der kritische Faktor bei der Reaktion auf eine aktive Bedrohung. Die Phase zwischen der Entdeckung eines initialen Zugriffs bis zur kompletten Entschärfung der Situation sollte so kurz wie möglich sein. Je weiter die Kriminellen in der Angriffskette kommen, desto mehr Probleme sehen wir im Abwehrzentrum. Fehlende Telemetriedaten erhöhen die Wiederherstellungszeit, etwas das die meisten Organisationen sich nicht leisten können. Deswegen ist ein komplettes und präzises Protokollieren sehr wichtig. Wir sehen aber, dass Organisationen viel zu oft nicht über die Daten verfügen, die sie eigentlich benötigen.“

Unter fünf Tage im System – schnelle Ransomware-Angriffe liegen bei 38 Prozent

Im Active Adversary Report klassifiziert Sophos Ransomware-Angriffe mit einer Verweildauer von bis zu fünf Tagen als „schnelle Attacken“. Davon gab es 38 Prozent in den untersuchten Fällen. „Langsame Attacken“ gelten als solche, die teilweise eine weitaus größere Verweildauer als fünf Tage haben. Davon gab es 62 Prozent. Auch wenn die „schnellen“ Attacken damit noch weniger oft vertreten sind, nimmt deren Anteil im Gesamtbild ständig zu – und das mit Gründen: Angreifer reagieren damit auf die besseren Erkennungsmethoden in Unternehmen, die ihnen weniger Zeit lassen und zudem sind die Cyberkriminellen mittlerweile auch einfach sehr geübt. „Wie bei jedem Prozess führen Wiederholung und Übung tendenziell zu besseren Ergebnissen“, so John Shier. „Moderne Ransomware wird in diesem Jahr zehn Jahre alt, ein lange Zeit mit vielen Beispielen, um immer mehr Kriminelle zu Experten zu machen. Eine umso gefährlichere Entwicklung, wenn viele Verteidigungsstrategien nicht mithalten konnten.“

Bei der Prüfung der schnellen und langsamen Typen ergaben sich wenig Variationen hinsichtlich der Werkzeuge, Techniken und LOLBins (living-off-the-land Binärprogramme), die die Angreifer einsetzen. Dies deutet darauf hin, dass die Verteidiger des angegriffenen Systems ihre Abwehrstrategien nicht neu erfinden müssen, wenn die Verweildauer sinkt. Allerdings müssen sich Unternehmen darüber im Klaren sein, dass schnelle Angriffe und fehlende Telemetrie schnelle Reaktionszeiten behindern und in der Folge zu einer erheblich umfangreicheren Störung des Geschäftsbetriebs führen können.

Neue Abwehrmaßnahmen nicht zwingend nötig

„Cyberkriminelle sind faul, sie nehmen nur Veränderungen vor, wenn sie dadurch besser ihr Ziel erreichen. Was läuft, ändern Angreifer nicht, selbst wenn sie dadurch nach der Infiltration schneller entdeckt werden. Das sind gute Nachrichten für Organisationen, da sie ihre Defensivstrategie nicht radikal ändern müssen, nur weil die Angreifer den Turbo einlegen. Defensivmaßnahmen, die schnelle Attacken aufspüren, greifen bei allen Attacken, zeitunabhängig. Das beinhaltet auch die komplette Telemetrie, den robusten Schutz für alle Bereiche und eine allgegenwärtige Überwachung“, gibt Shier zu bedenken. „Der Schlüssel liegt in der Erhöhung der Widerstände. Macht man es den Angreifern schwerer und zieht jede Phase des Angriffs in die Länge, bleibt mehr Zeit, um zu reagieren.

Der Sophos Active Adversary Report basiert auf 232 Incident-Response-Fälle vom 1. Januar 2022 bis 30. Juni 2023 über 25 Branchen hinweg. Betroffene Organisationen ließen sich in 34 verschiedenen Ländern auf sechs Kontinenten lokalisieren. 83 Prozent der Fälle betrafen Unternehmen mit weniger als 1.000 Mitarbeitern. Der Report liefert verwertbare Informationen, wie Sicherheitsexperten ihre Defensivstrategien optimal gestalten können.

Datenflut übersteigt Schutzfähigkeiten der IT-Sicherheitsverantwortlichen

Weltweit ist die Datenmenge in Unternehmen in den letzten 18 Monaten um 42 Prozent gestiegen. Die SaaS- Datenflut hat um 145 Prozent zugenommen.  Mehr als ein Viertel (27 Prozent) der befragten Organisationen in Deutschland hat im letzten Jahr sensible Daten verloren.

Eine neue Studie von Rubrik, Unternehmen für Zero Trust Data Security, untersucht die Herausforderungen für Unternehmen, die aus erfolgreichen Cyberangriffen auf Geschäftsdaten resultieren. Der Bericht zeigt: Mehr als ein Viertel (27 Prozent) der befragten Organisationen in Deutschland hat im letzten Jahr sensible Daten verloren. Bei rund einem von sechs Unternehmen kam es in den letzten 12 Monaten sogar zu mehreren Datenverlusten.

In der neuen Studie „Der Stand der Datensicherheit: Die Reise zur Absicherung einer ungewissen Zukunft“ gibt Rubrik Zero Labs einen aktuellen Einblick in die Herausforderungen durch Cyberrisiken und die Schwierigkeit, Daten über die wachsende Angriffsflächen hinweg zu sichern. Laut der Meinung von mehr als 1.600 Führungskräften in der IT-Sicherheit schaffen neue Technologien zahllose Möglichkeiten für moderne Bedrohungen der Cybersicherheit. Diese Technologien reichen von künstlicher Intelligenz (KI) bis hin zur Cloud und machen sich die rasante Zunahme der weltweiten Datenmengen zunutze.

Die weltweite Datenflut steigt unermüdlich an

  • Weltweit betrachtet ist die Datenflut eines typischen Unternehmens in den letzten 18 Monaten um 42 Prozent gestiegen. Wie der Rubrik Zero Labs Report (2023) zeigt, verzeichnen SaaS-Daten das größte Wachstum (145 Prozent), gefolgt von Cloud-Daten (73 Prozent) und lokalen Daten (20 Prozent).
  • Im Durchschnitt beträgt das Datenvolumen einer typischen Organisation 240 Backend-Terabytes (BETB). Drei von Rubrik geschützte Unternehmen melden sogar mehr als ein Petabyte an Daten im Backend-Speicher.
  • Die Rubrik Zero Labs prognostizieren, dass das Gesamtvolumen der Daten, die ein typisches Unternehmen sichern muss, im nächsten Jahr um fast 100 BETB steigen wird – und in den nächsten fünf Jahren sogar um das Siebenfache.

Unternehmen kämpfen um den Schutz ihrer sensiblen Daten

  • Globale Unternehmen haben im Durchschnitt 24,8 Millionen sensible Datensätze gespeichert.
  • 60 Prozent der befragten Unternehmen aus Deutschland speichern ihre sensiblen Daten an mehreren Standorten in Cloud-, On-Premises- und SaaS-Umgebungen. Weniger als drei Prozent geben einen speziellen Speicherort für sensible Daten an.
  • Mehr als die Hälfte (53 Prozent) der befragten Organisationen weltweit hat im letzten Jahr einen Verlust sensibler Daten erlitten. Am wenigsten Verluste gab es bei deutschen Unternehmen (27 Prozent). Dennoch berichtet etwa jede sechste Organisation (weltweit: 16 Prozent, Deutschland: 15 Prozent) von mehreren Datenverlusten im Jahr 2022.
  • Zu den in Deutschland am häufigsten kompromittiert Datenarten gehörten geistiges Eigentum (47 Prozent), Authentifizierungsdaten (41 Prozent) und Finanzdaten des Unternehmens (24 Prozent).

Anforderungen an die Datensicherheit erfordern verbesserte Datenrichtlinien

  • 48 Prozent der befragten Führungskräfte in der IT und IT-Sicherheit von deutschen Unternehmen glauben, dass das Datenwachstum ihre Fähigkeit übersteigt, diese Daten zu schützen und Risiken zu bewältigen.
  • Fast alle (98 Prozent) befragten Organisationen aus Deutschland glauben, dass sie derzeit Schwierigkeiten mit der Datentransparenz haben.
  • 45 Prozent der deutschen Befragten vermuten, dass Personen innerhalb ihres Unternehmens auf Daten zugreifen, obwohl sie damit gegen die Datenrichtlinien verstoßen.
  • 43 Prozent der befragten Organisationen haben eine einzelne Führungskraft benannt, die für Daten und deren Sicherheit verantwortlich ist.

„Das Datenwachstum resultiert aus dem Einsatz von Big Data in Kombination mit künstlicher Intelligenz, dem Internet der Dinge und der Nutzung persönlicher Daten, die von Geräten generiert werden. Darüber hinaus verändert es beide Seiten der Cybersicherheitsfronten rapide. Das schließt die unzähligen Möglichkeiten ein, wie Angriffe ausgeführt werden und wie unsere Systeme schnelle Reaktionen ausführen können – vom Posture Management bis zur Datensicherheit“, erklärt Steven Stone, Head of Rubrik Zero Labs. „Wir sehen, dass die heutige Zunahme an Daten, wenn sie unbeachtet bleibt, Unternehmen lähmen kann. Unternehmen brauchen den richtigen Einblick in ihre Daten, um sie zu sichern, und einen klaren Plan für Cyberresilienz, der die Geschäftskontinuität gewährleistet.“

Der Bericht „Der Stand der Datensicherheit“ stammt von Rubrik Zero Labs. Die Forschungseinheit für Cybersicherheit wurde von Rubrik gegründet, um die globale Bedrohungslandschaft zu analysieren und über aufkommende Herausforderungen in der Datensicherheit zu berichten. Sie gibt Unternehmen forschungsbasierte Einblicke und Best Practices an die Hand, mit denen die Organisationen ihre Daten gegen zunehmende Cyberereignisse schützen können.

 

Deutsche Endverbraucher fordern mehr Datensouveränität

Mehr Datensouveränität: Vor kurzem hat die jährliche globale Verbraucherstudie Brand Loyalty in the Age of the Digital Economy Zahlen veröffentlicht, zu der auch über 1.000 Deutsche befragt worden sind. Die Studie zeigt: neben Nutzerfreundlichkeit und Sicherheit wollen Endverbraucher vor allem eines: volle Kontrolle über ihre persönlichen Daten – auch in Deutschland.

74 Prozent der deutschen Umfrageteilnehmer gaben an, dass sie die Zahl der persönlichen Daten, auf die Unternehmen Zugriff nehmen können, gerne begrenzen würden. 66 Prozent erklärten, dass sie gerne die Zahl der Unternehmen, die Zugriff auf ihre persönlichen Daten haben, begrenzen würden. Die Mehrheit der Deutschen, sie wünscht sich also mehr Kontrolle über ihre persönlichen Daten – sie will mehr Datensouveränität. Unternehmen, die zum Management ihrer Online-Nutzer auf IAM- und CIAM-Lösungen setzen, sollten diesen Umstand bei der Auswahl ihrer Tools künftig stärker berücksichtigen.

Einsatz dezentraler Identitätsmanagementlösungen

Jahrelang wurde weltweit an entsprechenden Konzepten und Verfahren geforscht – auch in Europa. Mittlerweile sind nun erste Lösungen auf dem Markt erhältlich. Im Vergleich zum internationalen Ausland ist das Konzept dezentraler digitaler Identitäten in Deutschland schon relativ bekannt. In der Umfrage erklärten 61 Prozent, von dezentralen Identitäten zumindest schon einmal gehört zu haben.

Dezentrales Identitätsmanagement heißt: die Speicherung, Pflege, Verarbeitung und Absicherung persönlicher Daten in einer digitalen Wallet auf den Geräten der Endverbraucher – zum Beispiel auf ihren Smartphones. Auf dem Smartphone können die digitalen Wallets dabei so sicher abgeschirmt werden, dass auf ihnen von den Verbrauchern ohne Bedenken neben einfachen auch hochqualitative Identitätsdaten abgespeichert werden können. Dasselbe gilt für Zugangs- und Zugriffsdaten, um ein Bürogebäude zu betreten, ein Fahrzeug zu starten oder eine Maschine zu bedienen.

Und: die Credentials können vom Endverbraucher für einzelne anfragende Unternehmen mit einem Ablaufdatum versehen oder ganz einfach manuell – oder automatisiert – aktiviert und deaktiviert werden. Der Zugang zu und der Zugriff auf die einzelnen Identitätsdaten verbleibt dabei stehts voll und ganz unter Kontrolle des Endverbrauchers. Kein Online-Dienstleister muss mehr personenbezogene oder personenbeziehbare Daten auf seinen Servern abspeichern.

Deutsche Endverbraucher: Mehr Datenhoheit geht nicht

Jedoch: die Umfrage zeigt: viele Endverbraucher haben Bedenken. Sie fürchten, die neue Technologie nicht ausreichend beherrschen zu können. 30 Prozent gaben in der Umfrage zu Protokoll, sich von der Bedienung einer Wallet überfordert zu fühlen. 26 Prozent äußerten die Sorge, den Zugriff auf ihre Anmeldedaten zu verlieren. Und 22 Prozent gaben an, sich von den zahlreichen Speicheroptionen der digitalen Identitätsdaten überwältigt zu sehen.

Dass diese Ängste weitgehend unbegründet sind, zeigt bereits ein kurzer ein Blick auf die ersten voll einsatzfähigen dezentralen Identitätsmanagementlösungen. Bereits mit wenigen Klicks haben Endverbraucher hier ihre Identitätsdaten, von Name und Anschrift bis hin zur digitalen Kopie des Führerscheins, an einem Ort versammelt.

Das gewünschte Mehr an Datensouveränität – dies zeigen die ersten einsatzfähigen dezentralen Managementlösungen mehr als deutlich – es muss also nicht zu Lasten von Sicherheit und Nutzerfreundlichkeit gehen.

Sicherheit? Egal, Einsatz generativer KI-Tools wird priorisiert

Einsatz generativer KI-Tools wird priorisiert: Eine neue Studie legt nahe, dass Unternehmen trotz erheblicher Sicherheitsbedenken den Druck verspüren, generative KI-Tools (GenAI) schnell einzusetzen.

Sicherheitsrisiken bei GenAI Künstliche Intelligent KI AI
Sicherheitsrisiken bei GenAI

Laut der Umfrage „All eyes on securing GenAI“ unter mehr als 900 globalen IT-Entscheidern sehen zwar 89 Prozent der Unternehmen generative KI-Tools wie ChatGPT als potenzielles Sicherheitsrisiko an (99 Prozent in Deutschland), doch 95 Prozent (88 Prozent in Deutschland) nutzen sie bereits in irgendeiner Form für ihr Unternehmen.

Einsatz generativer KI-Tools wird priorisiert

Sicherheit? Noch beunruhigender ist, dass 23 Prozent (25 Prozent in Deutschland) der befragten IT-Entscheider die Nutzung dieser Tools überhaupt nicht überwachen und 33 Prozent (40 Prozent in Deutschland) noch keine zusätzlichen GenAI-bezogenen Sicherheitsmaßnahmen implementiert haben – obwohl viele dies auf ihrer Agenda haben. Besonders ausgeprägt scheint die Situation bei kleineren Unternehmen (500 bis 999 Mitarbeiter) zu sein, wo die gleiche Anzahl von Organisationen weltweit GenAI-Tools einsetzt (95 Prozent), aber sogar 94 Prozent das Risiko erkennen, das damit verbunden ist.

„GenAI-Tools, wie ChatGPT und andere, versprechen für Unternehmen immense Vorteile in Bezug auf Geschwindigkeit, Innovation und Effizienz“, betont Sanjay Kalra, Vice President Product Management bei Zscaler. „Angesichts der derzeitigen Unklarheit in Bezug auf ihre Sicherheitsmaßnahmen sehen jedoch nur 39 Prozent der Unternehmen ihre Einführung eher als Chance denn als Bedrohung. Dies gefährdet nicht nur die Integrität ihrer Geschäfts- und Kundendaten, sondern verschenkt auch ein enormes Potenzial.“

Sicherheit? IT-Teams wollen generative KI

Monitoring KI AI Künstliche Intelligenz GenAI
Monitoring

Der Druck, solche Tools schnell einzusetzen, kommt jedoch nicht von den vermuteten Abteilungen in Unternehmen. Trotz des allgemeinen Interesses für diese Tools scheinen nicht die Mitarbeitenden die treibende Kraft hinter dem aktuellen Interesse und der Nutzung zu sein – nur fünf Prozent der Befragten gaben an, dass die Nutzung von dieser Nutzergruppe ausgeht. Stattdessen gaben 59 Prozent (60 Prozent in Deutschland) an, dass der Einsatz direkt von den IT-Teams vorangetrieben wird. Sicherheit? Dieses Ergebnis deutet darauf hin, dass die IT-Abteilung die Kontrolle über die sichere Anwendung dieser Tools zurückgewinnen kann.

„Die Tatsache, dass IT-Teams das Ruder in der Hand haben, sollte den Geschäftsführern ein gutes Gefühl vermitteln“, führt Kalra aus. „Es verdeutlicht, dass das IT-Team die Möglichkeiten hätte, das Tempo der GenAI-Einführung strategisch zu drosseln und die Sicherheitsmaßnahmen in den Griff zu bekommen, bevor die Verbreitung im Unternehmen noch weiter voranschreitet. Es ist jedoch wichtig zu erkennen, dass das Zeitfenster für eine sichere Einführung und Verwaltung immer kleiner wird.“ Da 51 Prozent (40 Prozent in Deutschland) der Befragten bis zum Ende des Jahres einen deutlichen Anstieg des Interesses an GenAI-Tools erwarten, müssen Unternehmen schnell handeln, um die Lücke zwischen Einsatz und Sicherheit zu schließen.

Hier sind einige Schritte zum Sicherstellen, dass die Nutzung von GenAI im Unternehmen abgesichert erfolgt:

  • Implementierung einer ganzheitlichen Zero Trust-Architektur, um nur zugelassene KI-Anwendungen und User für den Zugriff darauf zu autorisieren.
  • Durchführen gründlicher Sicherheitsrisikobewertungen für neue KI-Anwendungen, um Schwachstellen klar zu erkennen und darauf reagieren zu können.
  • Einrichtung eines umfassenden Protokollierungssystems zur Nachverfolgung aller KI-Prompts und -Antworten.
  • Aktivieren von Zero Trust-gestützten Data Loss Prevention-Maßnahmen (DLP) zum Schutz vor Datenexfiltration für alle KI-Aktivitäten.

Methodik: Im Oktober 2023 beauftragte Zscaler Sapio Research mit der Durchführung einer Umfrage unter 901 IT-Entscheidungsträgern (ITDMs) in zehn Märkten (Australien & Neuseeland, Frankreich, Deutschland, Indien, Italien, Niederlande, Singapur, Spanien, Großbritannien & Irland, USA). Diese IT-Entscheider arbeiten in Unternehmen mit mehr als 500 Mitarbeitenden und in verschiedenen Branchen.

Hunters International – Nachfolger der Hive-Ransomware-Gang

Die Ransomware-Szene ist in Bewegung. Das zeigt die neu auftretende Gruppe Hunters International, die sich selber bereits als Nachfolger der Hive-Randsomware-Gang erklärt hat. Eine Analyse der Ransomware durch die Bitdefender Labs bestätigt dieses Statement und gibt Hinweise, wieweit Entwickler erpresserischer Attacken ständig ihre Malware-Tools optimieren. Hunters International steht am Anfang seiner Aktivitäten mit ersten Opfern in Deutschland, Großbritannien, den Vereinigten Staaten von Amerika und Namibia.

Positionierung als Ransomware-Optimierer – die Selbstdarstellung der Hunters-International-Gruppe.
Positionierung als Ransomware-Optimierer – die Selbstdarstellung der Hunters-International-Gruppe.

Die Hive-Gruppe war im Januar 2023 als Ergebnis einer konzertierten Aktion des FBI, des BKA, des Polizeipräsidiums Reutlingen und niederländischer Behörden enttarnt worden. Zu den Opfern von Hive gehörten 1.500 Krankenhäuser, Schulbehörden, Finanzdienstleister und andere Organisationen, deren Informationen die Angreifer offenlegten.

Als Folge der sieben Monate dauernden Ermittlungen wurde die Webseite von Hive abgeschaltet. 300 aktuelle Opfer erhielten einen Entschlüsselungs-Key, was diesen Lösegeldzahlungen in Höhe von 130 Millionen Dollar ersparte. Wie so häufig, kam es zu keinen Verhaftungen, aber die Ermittler legten die Infrastruktur der Gruppe offen. Zu häufig agieren die Hintermänner von Ländern aus, die mit anderen Ermittlungsbehörden nicht kooperieren.

Hunters International: Selbstdarstellung der Ransomware-Betreiber

Die Bitdefender Labs liefern nun in einer neuen Analyse zur neuen Ransomware-as-a-Service-Gruppe Hunter folgende Ergebnisse:

  • Vorhandene, schon von Sicherheitsforschern wie @rivitna2 oder @BushidoTokengefundene Überlappungen im Code bestätigten Ähnlichkeiten im Code und damit die Selbstaussage der Hunter-International-Betreiber, dass sie eine Neuauflage von Hive sind.
  • Dennoch ist Hunter International laut eigener Aussage eine unabhängige Gruppe, die Quellcode und Infrastruktur von Hive käuflich erworben hat. In ihrer Kommunikation positionieren sie sich als Weiterentwickler und Verbesserer des Codes. Ransomware-Akteure müssen sich nicht nur gegenüber Opfern, sondern auch gegenüber der Konkurrenz und den Kunden der Ransomware-as-a-Service-Schattenwirtschaft positionieren.
  • Die Analysen bestätigen ebenso die Selbstaussage von Hunters International, dass ihr Hauptaugenmerk darauf liegt, Daten offenzulegen. Verschlüsselt wurden Daten bisher in keinem Fall.
  • Die Code-Analyse zeigt, dass die Entwickler bei Hunters International den Code vereinfacht haben. Der Code besteht aus weniger Kommandozeilen, der Speicherprozess der Verschlüsselungs-Keys ist einfacher gestaltet. Nicht relevante Dateinamen, Dateierweiterungen oder Directories werden nicht verschlüsselt. Zudem greift die Ransomware gezielt Backup- und Wiederherstellungsfunktionalitäten an. Ziel ist das Deaktivieren von Backups und das Stoppen einer Recovery.
Die aktuelle Webpräsenz von Hunters International mit verzeichneten Offenlegungen von Daten.
Die aktuelle Webpräsenz von Hunters International mit verzeichneten Offenlegungen von Daten.

Bitdefender empfiehlt Unternehmen dringend einen Schutz gegen Ransomware sowie einen Maßnahmenkatalog zur sicheren Abwehr und zur Wiederherstellung von Daten nach einem erfolgten Angriff. Ebenso wichtig ist es, Backups sicherzustellen – auch gegen Attacken bösartiger Angreifer mit erweiterten Privilegien. Ein Offline-Backup spielt weiterhin eine zentrale Rolle. Außerdem sollten die Verantwortlichen die Sicherheitskontrollen auf ihren praktischen Wert regelmäßig bewerten.

Die Studie zum Download