Digital Trust Insights 2023

Cybercrime

Phishing

Das Versenden fingierter Mails oder SMS als vermeintlich vertrauenswürdige Person oder Unternehmen mit dem Ziel, persönliche Daten (Passwörter, Bankdaten etc.) abzugreifen und kriminelle Handlungen durchzuführen.

Smishing

Smishing ist eine Form des Phishings, bei dem überzeugende Phishing-SMS/Textnachrichten verwendet werden, um ein potenzielles Opfer dazu zu verleiten, auf einen Link zu klicken und private Informationen zum Angreifer zu senden oder Malware auf das Handy zu laden.

Fakeshops

Hinter Online-Händlern können sich auch Betrüger verbergen, die mit sogenannten Fake-Shops (gefälschten Internet-Verkaufsplattformen) Online-Einkäufer abzocken wollen. Die Betreiber bieten ihre Ware nur gegen Vorkasse an, liefern nach Zahlung der Ware aber kein Produkt oder bieten minderwertige Ware zu einem überhöhten Preis.

Skimming

Der englische Begriff „Skimming“ bedeutet „Abschöpfen“ oder „Absahnen“ und steht für eine Methode, illegal elektronische Daten von Zahlungskarten (Girocard und Kreditkarte) auszuspähen. Dies geschieht u.a. durch Manipulation von Geldautomaten.

Romance-Scamming

Beim so genannten Romance-Scamming suchen Betrügerinnen und Betrüger über das Internet gleichermaßen Kontakt zu Frauen und Männern und täuschen ihnen eine Liebesbeziehung vor. In Wahrheit erschleichen sie sich nur das Vertrauen ihrer Opfer, um sie am Ende zu Geldzahlungen zu bewegen.

Cyber Trading Fraud

Beim Cyber Trading Fraud locken Betrüger im Internet potenzielle Anleger für vermeintlich lukrative Investitionsgeschäfte an und verleiten sie zu Geldzahlungen. Die Kontaktaufnahme geschieht vornehmlich über Internet-Werbeanzeigen, soziale Netzwerke, Anrufe aus eigens geschaffenen Call- Centern oder Massenmails. Gezahltes Geld wird nicht wie versprochen angelegt, sondern verschwindet im kriminellen Netzwerk.

CEO Fraud

Bei der Betrugsmasche „CEO-Fraud“ versuchen Täter, entscheidungsbefugte Personen in Unternehmen zu manipulieren, damit diese hohe Geldbeträge ins Ausland überweisen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens (Geschäftsführer oder Vorstand = Chief Executive Officer = CEO). Es handelt sich um eine Variante des sogenannten Social-Engineerings, bei dem die „Schwachstelle Mensch“ ausgenutzt wird. Die Täter gehen meist sehr geschickt vor, indem sie sich zunächst möglichst viele Informationen über das Unternehmen und die Strukturen des Unternehmens verschaffen.

IT-Security Ausblick: Das wird 2023 wichtig

2022 war für die IT-Sicherheit ein Jahr voller Herausforderungen. Der Digitalverband Bitkom schätzt den Gesamtschaden in diesem Zeitraum allein für Deutschland auf 202,7 Milliarden Euro. Die Cyberangriffe auf das Stromnetz im Ukrainekrieg haben die Furcht vor einem Blackout auch in Deutschland geschürt. Ein Vorbote waren die Kollateralschäden bei den bundesweiten Windkraftanlagen. Aber auch die deutsche Wirtschaft und Behörden waren verstärkt im Fadenkreuz der Hacker. Der Autozulieferer Continental, die Industrie- und Handelskammern sowie zahlreiche Kreis- und Kommunalverwaltungen sind in diesem Jahr Opfer von Cyberangriffen geworden. Eines ist deutlich erkennbar: Cyberkriminalität hat sich spezialisiert und gezielte Attacken auf Unternehmen, Organisationen und Behörden gehören mittlerweile zum Alltag. Was erwartet uns 2023 im Hinblick auf die IT-Sicherheit?

Im kommenden Jahr rechnen die ESET Sicherheitsexperten mit einer weiteren Zunahme der gezielten Angriffe. „Die deutsche Wirtschaft stand 2022 unter Dauerbeschuss durch Hacker. Das wird auch 2023 nicht anders werden und sich sogar noch verstärken“, warnt Thorsten Urbanski, IT-Sicherheitsexperte bei ESET. „Hybride Arbeitsmodelle werden für Kriminelle das Einfallstor in die Unternehmensnetzwerke werden. Neben den klassischen Vektoren wie Zero-Day-Angriffe oder Phishing-E-Mails werden auch Attacken über Teams, Slack und Co. fest ins Arsenal der Hacker aufgenommen. Hier sehen wir gerade im Mittelstand erheblichen Nachholbedarf. Endpoint Detection und Response, kurz EDR, darf kein Fremdwort mehr sein. Auch Deepfakes werden zunehmend ein Problem für Privatanwender und Unternehmen. Die Angriffe per CEO-Fraud oder die Verbreitung von Fakenews sind so auf einem ganz anderen Niveau möglich. Erfreulich sind die neuen Verordnungen und Richtlinien für Smart Devices und die Automobilindustrie. Diese sind ein richtiger und überfälliger Schritt.“

Smarte Helfer endlich kein Sicherheitsrisiko mehr?

Das Analystenhaus Gartner prognostiziert, dass 2023 weltweit 43 Milliarden smarte Geräte mit Internetverbindung im Einsatz sind. IoT-Geräte - von intelligenten Wearables bis hin zu Haushaltsgeräten, Autos, Gebäudealarmsystemen und Industriemaschinen - haben sich für IT-Sicherheitsverantwortliche nicht selten als Ärgernis erwiesen. Häufig haben die Hersteller versäumt, diese Geräte mit Sicherheits-Patches und Updates zu schützen. Ihrer Meinung nach war dies nicht von Nöten, da smarte Geräte in vielen Fällen keine sensiblen Daten speichern. Doch Hacker haben sie oft als Einfallstor auf andere vernetzte Geräte genutzt. In den letzten Jahren ist es seltener geworden, dass beispielsweise ein Gerät mit einem Standardpasswort oder einer Standard-PIN ausgeliefert wurde, ohne dass der Benutzer ein eigenes Passwort festlegen muss. Im Jahr 2023 sollen weltweit eine Reihe von Regierungsinitiativen in Kraft treten, die darauf abzielen, die Sicherheit von vernetzten Geräten sowie von Cloud-Systemen und Netzwerken zu erhöhen, die sie alle miteinander verbinden.

Hacker angeln sich Collaboration-Tool

Hybride Arbeitsmodelle haben sogenannte Collaboration-Tools wie Slack oder Microsoft Teams fest im Unternehmensalltag integriert. Während Phishing-Versuche auch im betrieblichen Umfeld eine alltägliche Bedrohung darstellen, werden Kriminelle im kommenden Jahr ihre Palette an Angriffswerkzeugen erweitern und gezielt diese Programme ins Visier nehmen. Hier können sensible Daten erbeutet werden, weil viele Mitarbeiter weiterhin oder dauerhaft aus der Ferne arbeiten.

Ransomware bleibt Dauerbrenner

Seit Jahren tyrannisiert Ransomware Unternehmen und Privatpersonen. Solche Verschlüsselungstrojaner werden von Kriminellen mittlerweile noch gezielter eingesetzt. Das Geschäftsmodell ist und bleibt attraktiv. ESET Experten sehen derzeit eine Abkehr vom Modell der massenhaften Verbreitung hin zu präzisen Angriffen auf lukrative Ziele und zu „Ransomware-as-a-Service“, bei dem Cyberkriminelle eine Erpressersoftware entwickeln und sie für Attacken vermieten.

Deepfakes werden zur Gefahr

Im Oktober 2022 wurde ein Deepfake von US-Präsident Joe Biden in Umlauf gebracht. Statt der Nationalhymne singt er in diesem Video das Lied Baby Shark. Solche mit Hilfe von künstlicher Intelligenz gefälschten Aufnahmen imitieren Gesichter und Stimmen täuschend echt. Selbst versierte Laien sind mittels dieser Technologie in der Lage, mediale Inhalte wie Audioaufnahmen, Bilder und Videos zu manipulieren. Hierdurch können schlimmstenfalls biometrische Systeme überwunden werden. Insbesondere bei Fernidentifikationsverfahren (z.B. der Videoidentifikation) sind solche Angriffe erfolgsversprechend. Auch bei Spear-Phishing Attacken können Deepfake-Verfahren eingesetzt werden, um so an finanzielle Mittel oder Daten zu gelangen. Ebenso können diese Methoden für Desinformationskampagnen genutzt werden, um gefälschte Medieninhalte von Schlüsselpersonen zu erstellen und zu verbreiten.

„Security by Design“ in der Automobilindustrie

Auch Unternehmen aus der Automobilbranche sind zunehmend Opfer von Cyberattacken geworden. Schon seit Längerem haben Cyberkriminelle die Produktionssysteme und -prozesse, aber auch die Fahrzeugsoftware im Visier. Die Automobilindustrie hat bereits Maßnahmen zum Schutz der Daten von Fahrzeugbesitzern eingeführt (z.B. die ISO 21434) und wird in Deutschland mittlerweile auch gesetzlich dazu verpflichtet. Diese neuen Standards sind auch im Hinblick auf das autonome Fahren von Nöten. Doch diese Maßnahmen müssen immer wieder aufs Neue überprüft und an die aktuelle Lage angepasst werden. Diesem Beispiel werden andere Bereiche folgen, in denen Konsumgüter Daten speichern und verarbeiten. Und auch Hersteller werden in Zukunft für Schwachstellen in ihren Produkten bei Verstößen mehr zur Verantwortung gezogen.

Digital Trust Insights 2023

Welche Anforderungen an die Cybersicherheit gewinnen im kommenden Jahr an Bedeutung?

Neben dem technologisch getriebenen Schutz der IT-Infrastrukturen wird es für Unternehmen in den nächsten Jahren wichtiger, ihre Transparenz rund um sämtliche Belange der Cybersicherheit zu erhöhen. Kunden, Partner, Investoren und andere Stakeholder erwarten zunehmend, über etwaige Risiken in diesem Zusammenhang informiert zu werden. Darüber hinaus spielt die Informationspolitik bei konkreten Vorfällen eine wichtigere Rolle. Auch hier gilt es, im Rahmen der Möglichkeiten mit offenen Karten zu spielen. Für beide Aspekte fehlt es bislang aber noch an einheitlichen Standards und Vorgaben für die Berichterstattung. Europäische und insbesondere deutsche Unternehmen sind hier insofern im Vorteil, als dass bereits ein starkes Regelwerk seitens der Gesetzgeber existiert. Die Relevanz nationaler und europaweiter Regularien spiegelt sich nicht zuletzt auch in den Ergebnissen der Umfrage wider.

Wie gelingt es Unternehmen, mehr Transparenz in die Abläufe und Kennzahlen rund um die IT-Sicherheit zu bekommen?

Transparenz erfordert zunächst einmal Vereinfachung. Um ein klares Bild von sämtlichen Vorgängen, Risiken und Schwachstellen zu erhalten, müssen Unternehmen die Komplexität ihrer IT-Sicherheitsorganisation also erstmal grundlegend reduzieren. Das gelingt zum Beispiel, indem sie manuelle und wiederkehrende Tätigkeiten wie das Monitoring oder Reporting automatisieren. Das gleiche gilt für die Früherkennung potenzieller Gefahren. KI-gestützte Lösungen sind beispielsweise in der Lage, verdächtige Netzwerkbewegungen deutlich früher als menschliche Fachleute zu erkennen. Voraussetzung für solche Automatisierungsvorgänge sind wiederum fortgeschrittene Analytics-Lösungen, die aus den Daten die richtigen Schlüsse ziehen. Greifen diese Technologien richtig ineinander, bietet sich Unternehmen ein klares Bild der potenziellen Angriffsfläche. Dennoch kann ein solches Tool zur Angriffserkennung nur dann helfen, wenn beispielsweise im Vorfeld ein manuelles Reporting zu Sicherheitsvorfällen existiert, das es so zu optimieren gilt. Tools sind nur ein wichtiger Baustein einer ganzheitlichen Cyber Security.

Was würden Sie deutschen Unternehmen in Hinblick auf die Umfrageergebnisse raten?

Eine auffällige Abweichung zu den internationalen Ergebnissen ist sicher die Verteilung der Vorstandsverantwortlichkeiten in puncto Cybersicherheit. Während auf globaler Ebene in erster Linie Chief Information Security Officer (CISO) mit den Führungsaufgaben rund um die IT-Sicherheit betraut sind, übernehmen diese Aufgabe in Deutschland immer noch überwiegend die Chief Information Officer (CIO). Das könnte ein Anzeichen dafür sein, dass der Einfluss der deutschen CISOs auf Board-Ebene noch wachsen muss. Ab einer bestimmten Unternehmensgröße ist das meiner Meinung nach unumgänglich. CIOs sind bereits mit der digitalen Transformation ihrer Organisationen voll ausgelastet – Cybersicherheit droht in solchen Konstellationen schnell zur Nebensache zu werden. Die aktuelle Gefährdungslage zeigt allerdings, dass das Thema die volle Aufmerksamkeit erfordert, erst recht auf Vorstandsebene.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels