Cyberangriffe auf Unternehmen
Betrachtet man die Entwicklung der Cyberangriffe auf Unternehmen über die letzten Jahre, so kann man einen rasanten Anstieg von Schadprogrammen feststellen. Vor allem die Zahl der Ransomware, Angriffe und Kampagnen ist im Vergleich zu den Jahren vor 2018 enorm angestiegen. Aber auch Identitätsdiebstahl erfreut sich immer größerer Beliebtheit bei den Hackern.
Noch nie zuvor wurden so viele personenbezogene Daten gestohlen. Eine drastische Entwicklung von Cyberangriffen auf Unternehmen in den letzten Jahren zeigt ebenfalls die Verwendung von Bot-Netzten, und zwar sowohl im privaten als auch geschäftlichen Bereichen. Eine anhaltende Spezialisierung durch Verwendung neuer Angriffsvektoren, Multivektoren-Attacken und durch den Einsatz modernster Angriffswerkzeuge wie DDoS Angriffe aus der Cloud, führen zu einer konstant hohen Bedrohungslage. Die Anzahl des verwendeten Schadprogramm-Spams im Rahmen von Cyberangriffen auf Unternehmen ist in den letzten Jahren zwar gesunken, allerdings ist die Qualität und somit Effizienz von Spam deutlich gestiegen, was zu einem weiterhin hohen Bedrohungsniveau führt.
Neue Studie: Verdoppelung der Cyber-Angriffe durch Staaten in den letzten drei Jahren
HP gesponserter Bericht: Unternehmen häufigstes Ziel, Nationalstaaten fokussieren sich auf geistiges Eigentum von Technologie– und Pharmafirmen
Die Ergebnisse der neuen Studie „Nation States, Cyberconflict and the Web of Profit“ im Auftrag vonHP Inc. zeigen, dass Nationalstaaten immer häufiger Cyber–Angriffe durchführen. Darüber hinaus haben die Attacken vielfältigere Ziele und sind offener als bislang. Sie bringen die Welt näher an einen „fortgeschrittenen Cyber–Konflikt“ als jemals zuvor seit Einführung des Internets.
Die Studie wurde von Dr. Mike McGuire, Senior Lecturer in Kriminologie an der University of Surrey, im Auftrag von HP durchgeführt. Sie zeigt, dass es zwischen den Jahren 2017 und 2020 einen Anstieg von „signifikanten“ Vorfällen durch Nationalstaaten um 100 Prozent gab. Die Analyse von über 200 Cybersecurity–Vorfällen, die seit 2009 mit Aktivitäten von Nationalstaaten in Verbindung gebracht wurden, belegt außerdem, dass Unternehmen mittlerweile das häufigste Ziel sind (35 Prozent). Sie werden gefolgt von Cyber–Verteidigung (25 Prozent), Medien und Kommunikation (14 Prozent), Regierungsstellen und Regulierungsbehörden (12 Prozent) sowie kritischen Infrastrukturen (zehn Prozent).
Neben der Analyse der durch Nationalstaaten ausgelösten Cyber–Angriffe stützt sich die Studie auch auf Daten aus erster Hand – und zwar von Informanten, die im Dark Web unterwegs sind. Abgerundet werden die Ergebnisse durch Gesprächemit 50 führenden Experten aus relevanten Bereichen wie Cybersicherheit, Nachrichtendienste, Regierung, Wissenschaft und Strafverfolgung. Die Erkenntnisse zeichnen ein deutliches Bild von der Eskalation der Spannungen, unterstützt durch immer komplexere Strukturen, die sich mit der Cybercrime–Ökonomie überschneiden –dem so genannten Web of Profit.
Die wichtigsten Ergebnisse in der Übersicht:
64 Prozent der Experten gaben an, dass das Jahr 2020 eine „ besorgniserregende “ oder „ sehr besorgniser regende “ Eskalation der Spannungen darstellt . Insgesamt 75 Prozent denken , dass COVID – 19 eine „ signifi kante Gelegenheit “ für Nationalstaaten ist , dies auszunutzen .
Lieferketten – Angriffe verzeichneten 2019 einen Anstieg von 78 Prozent, zwischen 2017 und 2020 gab es über 27 verschiedene solcher Cyber – Angriffe, die mit nationalstaatlichen Akteuren in Verbindung gebracht werden konnten.
Bei über 40 Prozent der analysierten Vorfälle handelte es sich um einen Angriff auf Vermögenswerte, die sowohl eine physische als auch eine digitale Komponente hatten . Dazu gehört zum Beispiel ein Angriff auf ein Kraftwerk. Dieses Phänomen wird a uch als „ Hybridisierung “ bezeichnet. Die von Nationalstaaten angewandten Taktiken , um sich COVID – 19 – bezogene IP – Daten zu beschaffen, wurden zuvor anscheinend von Cyberkriminellen erprobt. Nationalstaaten werden so Nutznießer und Mitwirkende des Web of Profit , das die Cyber crime – Wirtschaft ausmacht.
Es gibt außerdem Hinweise darauf, dass Nationalstaaten Zero–Day–Schwachstellen „horten“. Zehn bis 15 Prozent aller Verkäufe von Darknet–Anbietern werden mit sogenannten atypischen Verkäufern getätigt oder solchen, die im Auftrag anderer Kunden stattfinden. Dazu gehören auch nationalstaatliche Akteure.
„Wenn wir die Aktivitäten von Nationalstaaten durch die Linse dieses Berichts betrachten, ist es keine Überraschung, dass wir im letzten Jahr eine derartige Eskalation erlebt haben. Die Zeichen standen bereitsseit einiger Zeit auf Sturm“, kommentiert Dr. Mike McGuire, Senior Lecturer in Kriminologie an der University of Surrey. „Nationalstaaten verwenden viel Zeit und Ressourcen darauf, sich einen strategischen Cyber–Vorteil zu verschaffen. So setzen sie nationale Interessen durch, erweitern ihre nachrichtendienstlichen Fähigkeiten und bauen ihre militärische Stärke durch Spionage, Störung und Diebstahl weiter aus. Versuche, an Forschungsdaten über Impfstoffe zu gelangen und Cyber–Angriffe auf Software–Lieferketten zeigen, wie weit Nationalstaaten bereit sind, zu gehen, um ihre strategischen Ziele zu erreichen.“
„Nationalstaatliche Auseinandersetzungen finden nicht im luftleeren Raum statt –das zeigt auch die Tatsache, dass Unternehmen die häufigste Opfergruppe innerhalb der analysierten Cyber–Angriffe sind“, soIan Pratt, Global Head of Security for Personal Systems bei HP Inc. „Egal, ob sie nun ein direktes Ziel sind oder eher als Einfallstor dienen, um Zugang zu lohnenderen Zielen zu erhalten, wie wir bei dem Angriff auf die vorgelagerte Lieferkette von SolarWinds gesehen haben: Firmen jeder Größe müssen sich dieses Risikos bewusst sein. Da der Umfang und die Raffinesse von Cyber–Angriffen durch Nationalstaaten weiter zunehmen, ist es wichtig, dass Unternehmen in Sicherheitsmaßnahmen investieren. Diese helfen ihnen, den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein.“
Nationalstaaten u nd das Web of Profit
Eine der wichtigsten Erkenntnisse des Berichts ist, dass Nationalstaaten sich im Web of Profit engagieren und davon profitieren. Sie kaufen Tools und Dienstleistungen über das Dark Web. Umgekehrt finden von Nationalstaatenentwickelte Tools ebenfalls ihren Weg auf den Schwarzmarkt. Dazu gehört etwa der Eternal Blue Exploit, der von den WannaCry–Hackern im Jahr 2017 verwendet wurde. Fast zwei Drittel (65 Prozent) der Experten sind der Meinung, dass Nationalstaaten Geld mit Cyberkriminalität verdienen; 58 Prozent sagen, dass es immer häufiger vorkommt, dass Nationalstaaten Cyberkriminelle für die Durchführung von Cyber–Angriffen rekrutieren.
Während bei einem Fünftel (20 Prozent) der analysierten Vorfälle ausgeklügelte, maßgeschneiderte Waffen zum Einsatz kamen (zum Beispiel gezielte Malware oder waffenfähige Exploits, die wahrscheinlich im Rahmen spezieller staatlicher Cybersecurity–Programme entwickelt wurden), waren 50 Prozentder Vorfälle mit preisgünstigen, einfachen Tools verbunden, die sich leicht im Darknet erwerben lassen. 50 Prozent der eingesetzten Tools dienten der Überwachung, 15 Prozent der Infiltration in Netzwerke und der Positionierung. Insgesamt 14 Prozent sind darauf ausgerichtet, Netzwerke zu beschädigen oder zu zerstören, nur acht Prozent dienen der Datenextraktion. Dies deutet darauf hin, dass sich Nationalstaaten mehr auf das Zuhören als auf das Stehlen konzentrieren, was vor allem auf ihre Bemühungen zurückzuführen ist, im Verborgenen zu bleiben.
„Cybercrime–Ökonomien prägen den Charakter von Konflikten zwischen Nationalstaaten“, erklärt Dr. McGuire. „Momenten wird eine ‚zweite Generation‘ von Cyber–Waffen entwickelt, die mit verbesserten Fähigkeiten hinsichtlich Rechenleistung, KI und Cyber/Physik–Integrationen kommt. Ein Beispiel dafür ist die ‚Boomerang‘–Malware, bei der es sich um ‚eingefangene‘ Malware handelt. Sie lässt sich umdrehen, um gegen ihre Besitzer vorzugehen. Nationalstaaten entwickeln auch waffenfähige Chatbots, um überzeugendere Phishing–Nachrichten zu übermitteln. So reagieren sie auf neue Ereignisse und versenden Nachrichten über Social–Media–Seiten.In Zukunft ist auch damit zu rechnen, dass sie Deep Fakes einsetzen. Dazu gehören Drohnenschwärme, die in der Lage sind, die Kommunikation zu stören oder zu überwachen. Auch Quantencomputer, die fast jedes verschlüsselte System knacken können, sind eine Option.“
Wird es jemals ein praktikables C yberkonflikt – Abkommen geben?
Um die Spannungen im Cyberspace zu deeskalieren und zu verhindern, dass Nationalstaaten in weitere Cyber–Konflikte hineingezogen werden, halten 70 Prozent der Expertengruppe ein Cyber–Konflikt–Abkommen für notwendig. Allerdings sagen nur 15 Prozent, dass ein Abkommen in den nächsten fünf bis zehn Jahren zustande kommen wird. 37 Prozent geben an, dass dies zehn bis 15 Jahre dauern wird. Weitere 30 Prozent sind der Meinung, dass es keine Aussicht auf ein Cyber–Abkommen in irgendeinem Zeitrahmen gibt.
„Die Aussicht auf ein Cyber–Abkommen hängt von zwei Schlüsselfaktoren ab: Umfang und Konsens“, erklärt Dr. McGuire. „Jeder Vertrag müsste die beteiligten Parteien, die Bandbreite der beteiligten Gerichtsbarkeiten und die abgedeckten Aktivitäten festlegen. Auch die Einigung der Nationalstaaten auf die Prinzipien als Teil jedes Cyber–Abkommensgehört dazu, darunter etwa die Begrenzung von Waffen. Aber diese Faktoren sind schwer zu definieren und zu erreichen. Der jüngste Vorschlag für einen Vertrag über Cyber–Kriminalität, der den Vereinten Nationen vorgelegt wurde, ist ein Beispiel. Obwohl der Vorschlag angenommen wurde, stimmten 60 Mitglieder dagegen und 33 enthielten sich der Stimme. Ein fehlender internationaler Konsens macht den Erfolg eines Cyber–Abkommens unwahrscheinlich.“
„Wir sind der Auffassung, dass ein Cyber–Abkommenein wichtiger Meilenstein ist. Doch unabhängig davon, ob ein solcher Vertrag bevorsteht, müssen sich Personen und Unternehmen gleichermaßen schützen“, so Pratt abschließend. „Obwohl einige Nationalstaaten über sehr fortschrittliche Cyber–Fähigkeiten verfügen, ist es wichtig, Fortschritte beim Schutz von Unternehmen zu erzielen. Nationalstaatliche Hacker nutzen oft bewährte Mittel für ihre Angriffe. Der bei weitem einfachste und häufigste Weg ist, den Endpunkt ins Visier zu nehmen. Egal, ob sie eine Schwachstelle in einem Drucker ausnutzen, um eine Hintertür zu schaffen, oder ob sie Social Engineering und Phishing einsetzen, um einen PC zu kompromittieren –sobald ein Angreifer ein Gerät besitzt, ist er im Inneren der Organisation und damit deutlich schwerer zu entdecken. Von dort aus können Angreifer die Anmeldedaten stehlen, die sie benötigen, um ihre Präsenz aufrechtzuerhalten. Einige bleiben gar über Jahre hinweg verborgen.“
Die Nation States, Cyberconflict and the Web of Profit Studie finden Sie hier.
Wasserindustrie: Ein Blick zurück auf die Cyberangriffe der letzten zwanzig Jahre
Als ebenso kritischer wie unverzichtbarer Sektor sah sich die Wasserwirtschaft in den letzten zwanzig Jahren mit zahlreichen Cyberbedrohungen konfrontiert. Eine Waffe zur Destabilisierung von Ländern, der öffentlichen Gesundheit ... Cyber-Kriminelle haben tausend Gründe für einen Angriff auf den Wassersektor. Und nicht alle Länder scheinen gleich zu sein, wenn es um die Zunahme dieser kriminellen Tendenz geht, deren Ursprung bei ehemaligen Mitarbeitern oder in der Geopolitik zu suchen ist. Eines ist jedoch sicher: Eine Beeinträchtigung der Informationssysteme dieser Infrastrukturen kann dramatische Folgen großen Ausmaßes haben. Ein Blick zurück auf die großen Angriffe der letzten Jahre.
Eine Kläranlage im Bezirk Maroochy Shire (Australien) im Jahr 2000
Im März und April 2000 hat ein ehemaliger technischer Dienstleister der Kläranlage Maroochy in Australien die Kontrolle über die Systeme der Anlage in böswilliger Absicht übernommen. Nachdem seine Bewerbung um eine Anstellung abgelehnt worden war, soll er sich in das System gehackt und sich Zugriff auf mehrere Pumpen verschafft haben. Dann wäre eine der Pumpen ausgefallen, wodurch Abwasser zum Meeresgrund geleitet, die lokale Fauna und Flora vergiftet wurde und üble Gerüche sich in der Umgebung ausgebreitet haben ... Für diesen „Erfolg“ hätte es nicht weniger als 46 Versuche gebraucht, sich Zugriff auf die Informationssysteme der Anlage zu verschaffen, und dies, ohne jemals entdeckt worden zu sein. Ein Angriff, der die Anfälligkeit der Wasserwirtschaft angesichts von Cyberbedrohungen deutlich macht.
Ein Kanalsystem in Kalifornien (USA) im Jahr 2007
Im Sommer 2007 wurde ein ehemaliger Mitarbeiter einer kleinen kalifornischen Wasserbehörde (Tehama Colusa Canal Authority in Willows) wegen der Installation von nicht autorisierter Software auf einem Computer, der für die Umleitung von Wasser aus dem Sacramento River für Bewässerungszwecke eingesetzt wird, angeklagt. Durch diese Installation wurde der Computer, der Teil des SCADA-Systems zur Prozessüberwachung und -steuerung war, beschädigt. Dieser ehemalige Mitarbeiter, der seinerzeit als leitender Elektriker für die IT-Systeme des Unternehmens verantwortlich war, besaß noch immer die Zugangsrechte zum Standort.
Eine Trinkwasseranlage in Georgia (USA) im Jahr 2013
Im April 2013 wurde ein Anschlag auf eine Trinkwasseranlage in einer kleinen Stadt in Nord-Georgia verübt. Es wurden keine Türen oder Fenster aufgebrochen, die Angreifer sollen über den Stacheldrahtzaun in die Anlage eingedrungen sein und sich dann Zugang zum Überwachungssystem verschafft haben. Daraufhin nahmen sie Änderungen an den Fluorid- und Chloreinstellungen vor, wodurch sich die Betreibergesellschaft veranlasst sah, den 400 Einwohnern zu raten, einige Tage lang kein Leitungswasser zu trinken bzw. zu verwenden.
Auf die Frage nach den möglichen Tätern antwortete der Geschäftsführer der Anlage, dass die Fahrzeuge der Mitarbeiter geortet wurden und dass sich keiner von ihnen zum Zeitpunkt des Angriffs in der Nähe der Anlage befand. Dann musste er allerdings hinzufügen, dass ehemalige Mitarbeiter noch Schlüssel oder Zugangsmöglichkeiten haben könnten, von denen sie nichts wussten ...
Ein öffentlicher Versorger in Michigan (USA) im Jahr 2016
Im Bundesstaat Michigan wurde der öffentliche Wasser- und Stromversorger The Lansing Board of Water & Light (BWL) Opfer eines Ransomware-Angriffs. Ein Mitarbeiter soll auf einen bösartigen Anhang in einer E-Mail geklickt haben. Der Angriff hatte mutmaßlich keine Auswirkungen auf die Wasser- und Stromsysteme, aber die Ransomware sorgte dafür, dass einige Bereiche von BWL, einschließlich Telefonleitungen und Kundendienst, nicht verfügbar waren.
Die Führungsebene entschied daraufhin, das von den Cyber-Kriminellen geforderte Lösegeld in Höhe von 25.000 US-Dollar zu zahlen, um den normalen Geschäftsbetrieb wieder aufnehmen zu können. Ein solcher Fall darf sich bei Ihnen nicht wiederholen.
Eine Versorgungsgesellschaft in North Carolina (USA) im Jahr 2018
Anfang Oktober 2018 hat die Onslow Water and Sewer Authority (ONWASA) mit Sitz in Jacksonville, Colo, zweimal einen illegalen Zugriff auf ihre Computer festgestellt. Am 3. Oktober hätte sich die Ransomware Emotet über die Informationssysteme des Unternehmens verbreitet, und dann anschließend, etwa zehn Tage später, die Ryuk-Ransomware. Das Unternehmen, das nicht weniger als 150.000 Haushalte mit Wasser versorgt, war gezwungen, einen Teil seiner IT-Infrastruktur abzuschalten, um die Verbreitung der Malware einzudämmen. Dieser doppelte Angriff soll den Betrieb der Wasser- und Abwassersysteme nicht gestört haben, aber zahlreiche Datenbanken und Schlüsselelemente von ONWASA wurden vermeintlich verschlüsselt.
Das Unternehmen war daher gezwungen, seine Tätigkeit für mehrere Wochen zurückzufahren und einen Teil seiner Informationssysteme zu erneuern bzw. neu einzurichten.
Ein Versorgungsunternehmen in Kansas (USA) im Jahr 2019
Im März 2019 war das öffentliche Wasserversorgungsunternehmen in Ellsworth County, Kansas, seinerseits Ziel einer bösartigen Aktion eines ehemaligen Mitarbeiters. Der Täter hat sich vermeintlich Fernzugriff auf die Informationssysteme des Unternehmens verschafft, um Änderungen an der Aufbereitung des für die Bevölkerung vorgesehenen Trinkwassers vorzunehmen.
Der ehemalige Mitarbeiter arbeitete ausgerechnet an den Überwachungssystemen der Anlage und als er das Unternehmen verließ, wurden seine Zugriffsrechte nicht widerrufen.
Pump- und Aufbereitungsanlagen in Israel im Jahr 2020
Diese Liste legt einen kurzen Stopp im Nahen Osten ein, genauer gesagt in Israel. Im April 2020 hätten Cyber-Kriminelle, die mutmaßlich mit dem iranischen Regime in Verbindung stehen, mehrere Pump- und Aufbereitungsanlagen für Abwasser angegriffen und versucht, den Chlorgehalt in einigen Wasserversorgungssystemen, die einen Teil der israelischen Bevölkerung versorgen, zu erhöhen. Die Regierung hätte schnell reagiert und alle Wasser- und Energieinfrastrukturen des Landes aufgefordert, die Passwörter für alle SCADA-Systeme zu ändern, um sich vor weiteren illegalen Zugriffen zu schützen.
Wasserpumpen in Israel im Jahr 2020
Im Juni desselben Jahres meldeten die israelischen Behörden, dass auch Wasserpumpen zur Versorgung der Landwirtschaft in der Region Galiläa angegriffen wurden, ebenso wie ein Wasserversorgungssystem in der Provinz Mateh Yehuda. Details des Angriffs wurden nicht veröffentlicht, aber es wird vermutet, dass die Cyber-Kriminellen auch hier versuchten, die Qualität des Wassers durch Veränderung des Chlorgehalts zu beeinträchtigen.
Ein Vorratsbehälter mit aufbereitetem Wasser in Israel im Jahr 2020
Annus horribilis in Israel, da eine Gruppe iranischer Hacker Anfang Dezember 2020 einen Fehler im Steuerungssystem eines Vorratsbehälters mit aufbereitetem Wasser aufdeckte. Den Cyber-Kriminellen zufolge war das HMI-System (Human Machine Interface [Mensch-Maschine-Schnittstelle]) ohne Authentifizierung über das Internet zugänglich, so dass jeder, der Böses im Schilde führte, auf bestimmte Parameter wie die Temperatur oder den Druck des Wassers zugreifen und ihre Kontrolle übernehmen konnte.
Zwei Kläranlagen in San Francisco und Florida (USA) im Jahr 2021
Wir sind wieder zurück in den Vereinigten Staaten, in der San Francisco Bay in Kalifornien. Im Januar 2021 hätte ein Hacker die Kontrolle über eine lokale Wasseraufbereitungsanlage übernommen und die Computerprogramme für die Trinkwasseraufbereitung gelöscht. Der Angriff wird derzeit noch von den US-Behörden analysiert. Erste Hinweise deuten darauf hin, dass sich der Cyber-Kriminelle Zugriff auf die Systeme des Klärwerks verschafft hat, indem er die Zugangsdaten ehemaliger Mitarbeiter für die Verbindung mit dem TeamViewer, einer Software für den Fernzugriff und die Fernsteuerung, genutzt hat.
Einen Monat später, im Februar 2021, stand die Stadt Oldsmar, Florida, kurz vor einer Gesundheitskatastrophe. Cyber-Kriminelle hätten die Kontrolle über die Kläranlage der Stadt übernommen, deren Computersysteme nur unzureichend geschützt waren. Tatsächlich hätten nach den ersten Erkenntnissen der Untersuchung zwei Einstiegspunkte den Angriff ermöglicht: Zum einen hätten die Angreifer TeamViewer-Anmeldedaten gesammelt, die von mehreren Mitarbeitern gemeinsam genutzt wurden, und zum anderen hätten sie Schwachstellen im Windows 7-Betriebssystem ausgenutzt. Dieser Angriff hätte es den Cyber-Kriminellen ermöglicht, die Natriumhydroxid-Konzentration deutlich zu erhöhen und somit das Trinkwasser zu vergiften. Glücklicherweise konnten die Mitarbeiter der Anlage die Situation schnell unter Kontrolle bringen und rund 15.000 Einwohner der Stadt Oldsmar vor einer Vergiftung bewahren.
Wasseraufbereitungsinfrastrukturen in Norwegen im Jahr 2021
Volue, ein norwegisches Unternehmen, das mehrere Wasseraufbereitungsinfrastrukturen mit Anwendungen und Software ausstattet, soll der Ryuk-Ransomware zum Opfer gefallen sein. Dieser Angriff hätte sich Anfang Mai 2021 ereignet und die Informationssysteme von 200 öffentlichen Wasserversorgern im Land, alles Kunden von Volue, wären von der Ransomware infiziert gewesen. Mehrere Front-End-Plattformen von Kunden wären betroffen gewesen. Das Unternehmen hat schnell Maßnahmen zur Isolierung und anschließenden Wiederherstellung der infizierten Systeme ergriffen, um die Auswirkungen auf seine Kunden zu begrenzen. Volue zufolge wären beim jetzigen Stand der Dinge 70 % der Kunden nicht von dem Angriff betroffen oder unerreichbar gewesen. Die vollständigen Details dieses Cyberangriffs sind jedoch noch nicht bekannt und die Ermittlungen dauern an.