Verstehen, wie Cyberkriminelle operieren
Um Taktiken und Techniken von Angreifern zu verstehen, müssen sich Verteidigende in deren Denkweise hineinversetzen.
Die Angriffsfläche für Cyberattacken ist durch die zunehmende Digitalisierung von Unternehmen und Einrichtungen aller Art so groß wie nie zuvor. Von 2018 bis 2023 kamen Ransomwareangriffe, also Lösegelderpressung mit einem oder mehreren Druckmitteln, in der EU auf einen Anteil von über 31 Prozent aller Cyberangriffe – mit steigender Tendenz. Somit stellen sie den Großteil dar, so die jüngsten Statistiken der European Union Agency for Cybersecurity (ENISA). Auf Deutschland bezogen bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ransomwareangriffe als die größte Bedrohung für Staat, Wirtschaft und Gesellschaft. Dem jüngsten ENISA-Bericht zufolge sind in den Jahren 2022 und 2023 insbesondere die verarbeitende Industrie, der Finanz- und der Energiesektor die häufigsten Ziele von Cyberangriffen. Von Ransomwareangriffen in der EU überproportional betroffen sind die öffentliche Verwaltung, der Gesundheitssektor und das verarbeitende Gewerbe (siehe ENISA-Report, Lagebericht des BSI sowie alle Quellen zum Artikel unter ix.de/z7rr).
Die aktivsten und damit auch bedrohlichsten Angriffe und Kampagnen gehen von Plattformen und Gruppierungen aus, die Ransomware als Dienstleistung (Ransomware as a Service, RaaS) betreiben und anbieten. Ein prominentes Beispiel aus Deutschland sind die Folgen des Cyberangriffs auf den Automobilzulieferer Continental, den die im russischsprachigen Raum verortete kriminelle Gruppe „LockBit 3.0“ im Sommer 2022 angriff (Advanced Persistent Threat, APT). Dabei wurden ungefähr 55 Millionen Dateien über mindestens einen Monat hinweg extrahiert. Unter den Daten befanden sich hochsensible personenbezogene Informationen von Zulieferern und wichtigen Geschäftspartnern. Neben dem finanziellen und betrieblichen Verlust sowie dem Imageschaden kommen also mögliche juristische Folgen für das Management hinzu, falls gravierende Versäumnisse im Bereich IT-Sicherheit festgestellt werden. Einfallstor in die Konzern-IT war ein Mitarbeiter in einem osteuropäischen Werk, der einen nicht autorisierten und mit Malware infizierten Browser heruntergeladen hatte. LockBit hatte gedroht, die Daten für 40 Millionen US-Dollar im Darknet anzubieten, sollte Continental das geforderte Lösegeld nicht zahlen. Dies ist nach aktueller Kenntnislage nicht erfolgt (siehe ix.de/z7rr).