Zum Jahresende 2022 bilden Ereignisse wie der Krieg Russlands gegen die Ukraine, die drohende Energieknappheit und die Corona-Pandemie die beherrschenden Themen in der öffentlichen Diskussion. Fast könnte man vergessen, dass sich im Windschatten dieser Themen die IT-Sicherheitslage dramatisch verschärft hat, wie jüngst der Jahresbericht des BSI bestätigte. Das IT-Fachportal CSO listet aktuell rund 60 IT-Sicherheitsvorfälle, die in diesem Jahr bereits publik wurden und so prominente Unternehmen und Kommunen wie Continental und die Stadt Kassel trafen. Selbst das Fraunhofer-Institut, von dem man einige IT-Expertise erwarten darf, blieb nicht verschont.
Bert Skaletski, Resident CISO für EMEA bei Proofpoint, wagt einen Blick aufs nächste Jahr und kann leider keine Entwarnung geben. Er hat sieben zentrale Cybersecurity-Trends für 2023 ausgemacht, die Sie gerne für Ihre Berichterstattung nutzen dürfen.
Mit der Identifikation dieser Cybersecurity-Threat-Trends geht ein Aufruf Skaletskis einher: „Der öffentliche und der private Sektor müssen zusammenarbeiten, um die Widerstandsfähigkeit gegen Cyberkriminalität zu erhöhen. Weil sich die Cybersicherheit in den letzten Jahren zu einem nationalen Sicherheitsproblem entwickelt hat, muss die IT-Sicherheitsbranche verstärkt mit Regierungen zusammenarbeiten, um die dringenden Probleme der Cybersicherheit anzugehen.“
1. Der wirtschaftliche Abschwung und physische Konflikte werden sich im gesamten Ökosystem bemerkbar machen und die Sicherheitslage verschärfen
Unser zunehmend komplexes, vernetztes digitales Ökosystem verstärkt systemische Risiken, bei denen Schwächen in einer einzelnen Komponente die Stärke des Ganzen bedrohen. Die Proofpoint-Studie Cybersecurity: The 2022 Board Perspective ergab, dass 75 Prozent der Vorstände glauben, die systemischen Risiken in ihren Unternehmen genau zu verstehen. Dennoch machen es die globalen Turbulenzen sehr schwierig, das volle Ausmaß der Bedrohungen für unsere Ökosysteme zu erfassen. Folglich wird das systemische Risiko ständige Aufmerksamkeit erfordern.
Der wachsende Druck durch den wirtschaftlichen Abschwung – Arbeitsplatzverluste, höhere Zinssätze, geringerer Lebensstandard und Inflation – fordert sowohl einen finanziellen als auch einen emotionalen Tribut von Mitarbeitern und ihren Familien. Mitarbeiter sind bei der Arbeit abgelenkt und unzufrieden, was es Cyberkriminellen leichter macht, menschliche Schwächen auszunutzen. Cyberangreifer profitieren von solchen Ängsten und nutzen die emotionale Verfassung der Menschen aus. Physische Konflikte wie der Krieg Russlands gegen die Ukraine verschärfen die allgemeinen weltweiten Turbulenzen, lösen neue Cyberangriffe aus und erhöhen das systemische Risiko für Unternehmen.
2. Die Kommerzialisierung von Hacking-Tools im Darknet führt zu vermehrter Cyberkriminalität
In den letzten Jahren haben wir erlebt, wie Hacker-Toolkits für die Ausführung von Ransomware-Attacken zu einer Handelsware im kriminellen Untergrund wurden. Ransomware-as-a-Service hat sich zu einem lukrativen Wirtschaftszweig im Darknet entwickelt, was zur Verbreitung von Ransomware-Angriffen geführt hat. Neue Darknet-Tools ermöglichen Ransomware-Angriffe ohne große technische Vorkenntnisse und eröffnen jedem eine cyberkriminelle Karriere, der einen Tor-Browser und ein wenig Zeit hat.
Da der Handel im Darknet weiterhin boomt, ist eine neue Welle von Angriffen zu erwarten, die durch diese Kommerzialisierung ermöglicht wird. Insbesondere werden mehr Tools für Smishing-Angriffe und die Kaperung von Mobilgeräten verfügbar sein, was es IT-Sicherheitsverantwortlichen erschwert, Cyberkriminelle zu stoppen, selbst wenn diese technisch wenig versiert sind.
3. Weil die Geschäftsmodelle der Ransomware-Kriminellen auf multiple Erpressung ausgerichtet sind, wird Datendiebstahl Teil eines jeden erfolgreichen Ransomware-Angriffs sein. Ferner wird sich Dreifacherpressung etablieren
Ransomware ist mittlerweile endemisch, und keine Organisation ist gegen diese Bedrohung immun. Laut dem State of the Phish Report 2022 von Proofpoint haben 68 Prozent der Unternehmen weltweit mindestens eine Ransomware-Infektion erlebt. Am besorgniserregendsten ist die Entwicklung in den letzten drei Jahren von der Datenverschlüsselung zu doppelten Erpressungsmethoden, die Daten sowohl verschlüsseln als auch stehlen.
Im Jahr 2019 verwendete nur eine Bande die Taktik der doppelten Erpressung. Im ersten Quartal 2021 waren 77 Prozent der Angriffe mit der Drohung verbunden, erbeutete Daten zu veröffentlichen. Der neueste Trend ist die dreifache Erpressung, bei der die Angreifer Zahlungen nicht nur vom direkten Opfer des Angriffs, sondern auch von allen Einrichtungen fordern, die von dem Datenleck betroffen sein könnten. Die Cyberkriminellen werden immer mutiger und ihre Monetarisierungsmaschen immer aggressiver. Die vollständige Abkehr von einfachen Verschlüsselungsangriffen scheint vollzogen.
4. Cyberkriminelle werden neue Wege finden, Verteidigungsmaßnahmen zu durchbrechen und menschliche Schwächen auszunutzen, um auch die Multi-Faktor-Authentifizierung (MFA) zu überwinden
Cyberkriminelle erfahren stets mehr über menschliche Verhaltensweisen und finden neue und einfachere Wege, an Anmeldedaten zu gelangen. Die Cybersicherheitsbranche hat darauf reagiert und sich für MFA stark gemacht, die inzwischen zu einer Standard-Sicherheitspraxis geworden ist. So beginnt ein neues Katz-und-Maus-Spiel: Je mehr Unternehmen MFA als Sicherheitsmaßnahme einführen, desto mehr Cyberangreifer nutzen die Schwächen von MFA und die MFA-Müdigkeit der Benutzer aus. Die jüngsten Schlagzeilen belegen diese Entwicklung, die 2023 zu einem wesentlichen Trend werden wird.
Die Bedrohung an sich ist nicht neu – Proofpoint-Experten haben bereits vor zwei Jahren Schwachstellen zur Umgehung von MFA identifiziert. Jetzt werden vermehrt Tools zur Ausführung dieser Angriffe verfügbar, z. B. Phishing-Kits zum Diebstahl von Token. Diese Bedrohung ist besonders schwerwiegend, weil sie nicht nur technologische, sondern auch menschliche Schwächen ausnutzt. Angreifer setzen oft auf eine Zermürbungstaktik und bombardieren einen Mitarbeiter mit Genehmigungsanfragen, bis er schließlich nachgibt.
5. Die Lieferkette wird zunehmend zu einer Waffe, die unser Vertrauen in Dritte ausnutzt
SolarWinds und Log4j mögen zwar ein Weckruf gewesen sein, aber wir sind noch weit davon entfernt, über angemessene Tools zum Schutz vor dieser Art von Schwachstellen in der digitalen Lieferkette zu verfügen. Eine Studie des Weltwirtschaftsforums ergab, dass fast 40 Prozent der Unternehmen negative Auswirkungen von Cybersicherheitsvorfällen innerhalb ihrer Lieferkette erfahren haben, und fast alle äußerten Bedenken über die Widerstandsfähigkeit kleiner und mittlerer Unternehmen innerhalb ihres Ökosystems.
Diese Bedenken bleiben 2023 nach wie vor bestehen, denn unser Vertrauen in Partner und Lieferanten wird zu einem der wichtigsten Angriffsvektoren werden. APIs geben besonderen Anlass zur Sorge, weil die Cyberkriminellen wissen, dass sich Unternehmen in hohem Maße auf sie verlassen. Erschwerend kommt hinzu, dass es vielen Unternehmen an verlässlichen Verfahren für die sichere Integration und Verwaltung von APIs mangelt. Es wir zu Spannungen zwischen den Parteien innerhalb der Lieferketten kommen. So werden die Due-Diligence-Prozesse von Unternehmen höhere Ansprüche an ihre Lieferanten beinhalten, während Lieferanten sich durch die gestiegenen Anforderungen überfordert fühlen können.
6. Deepfake-Technologien werden bei Cyberangriffen eine größere Rolle spielen und das Risiko von Identitätsbetrug, Finanzbetrug und Desinformation wächst
Deepfake-Technologien werden für die breite Masse immer leichter zugänglich. Dank KI-Generatoren, die mit riesigen Bilddatenbanken trainiert wurden, kann jeder mit geringem technischem Sachverstand Deepfakes erzeugen. Die Ergebnisse mögen nicht fehlerfrei sein. Aber die Technologien werden ständig verbessert, und Cyberkriminelle werden sie nutzen, um unwiderstehliche Geschichten zu kreieren.
Deepfakes werden traditionell für Betrug und BEC (Business Email Compromise, hierzulande auch „CEO-Betrug“ genannt) eingesetzt, aber ihre Nutzung wird weit über diese Täuschungsmanöver hinausgehen. Man stelle sich das Chaos auf dem Finanzmarkt vor, wenn ein gefälschter CEO oder CFO eines großen Unternehmens eine kühne Erklärung abgibt, die die Aktien stark fallen oder steigen lässt. Es ist auch beängstigend, wie Kriminelle die Kombination aus biometrischer Authentifizierung und Deepfakes für Identitätsbetrug oder die Übernahme von Konten nutzen könnten. Dies sind nur einige Beispiele, und die Kreativität Cyberkrimineller kennt keine Grenzen.
7. Zunehmende regulatorische Kontrolle wird die Rolle des CISOs weiter verändern und die Erwartungen und Anforderungen an die Führungsebene erhöhen
Die durch die US-Börsenaufsichtsbehörde vorgeschlagenen Berichtspflichten für mehr Transparenz werden Unternehmen dazu zwingen, die Aufsicht zu verbessern und das Fachwissen im Bereich Cybersicherheit in der Unternehmensleitung zu erhöhen. Sie werden neue Anforderungen und Erwartungen an ihre CISOs stellen und dessen traditionelle Rolle verändern.
Das jüngste Urteil eines US-Bundesgerichts im Fall Uber stellt einen gefährlichen Präzedenzfall dar, der Vorstände dazu ermutigt, die Haftung direkt auf die CISOs zu übertragen. Die Branche hat bereits Schwierigkeiten, Cybersecurity-Fachleute zu rekrutieren, und dieses Urteil könnte dazu führen, eine Karriere als CISO unattraktiv zu machen.
Da laut eigenen Aussagen nur die Hälfte der CISOs mit ihrer Unternehmensleitung auf Augenhöhe arbeitet, werden die steigenden Erwartungen und der Stress durch die potenzielle persönliche Haftung für einen Cyberangriff die Beziehung zwischen Management und CISO noch mehr belasten. Das kann enorme Auswirkungen auf die Cybersicherheit eines Unternehmens haben.