Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht IT-Sicherheit

ENISA: Threat Landscape Report 2021

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)

Die europäische Cybersicherheits-Agentur ENISA stellt jährlich den Threat Landscape Report (kurz: „ETL“) vor. Im Jahr 2021 warnt die ENISA davor, dass „Auftragshacker“ ´ die Entwicklung der Bedrohungslandschaft voran treiben. Hier sieht die ENISA einen Hauptgrund für den Anstieg derjenigen Cyberkriminalität, die durch Ransomware oder Cryptojacking Geld verdienen will.

Zunahme von Cybercrime

Die Bedrohungen für die Cybersicherheit nehmen zu. Ransomware ist eine der größten Bedrohungen im Berichtszeitraum. Für jede der identifizierten Bedrohungen werden Angriffstechniken, bemerkenswerte Vorfälle und Trends sowie Empfehlungen genannt. Der neue Bericht enthält auch eine Liste von Trends in Bezug auf Bedrohungsakteure.

Die Bedrohungslage im Bereich der Cybersicherheit hat in Bezug auf die Raffinesse der Angriffe, die Komplexität und die Auswirkungen zugenommen. Dieser Trend wird durch die ständig wachsende Online-Präsenz, die Umstellung traditioneller Infrastrukturen auf Online-Lösungen, die zunehmende Vernetzung und die Ausnutzung neuer Funktionen aufkommender Technologien gefördert.

Es überrascht nicht, dass Angriffe auf Versorgungsketten zu den wichtigsten Bedrohungen zählen, da sie ein erhebliches Potenzial für katastrophale Kaskadeneffekte haben. Das Risiko ist so groß, dass die ENISA kürzlich einen eigenen Bericht über die Bedrohungslandschaft für diese spezielle Kategorie von Bedrohungen erstellt hat.

Die 9 wichtigsten Bedrohungen

ENISA hebt einige Bedrohungsgruppen hervor, die aufgrund ihres auffälligen Auftretens während des Berichtszeitraums besonders zu bemerken sind:

  • Ransomware;
  • Malware;
  • Kryptojacking;
  • E-Mail-Bedrohungen;
  • Bedrohungen gegen Daten;
  • Bedrohungen der Verfügbarkeit und Integrität;
  • Desinformation – Fehlinformation;
  • Nicht-bösartige Bedrohungen;
  • Angriffe auf die Versorgungskette.
ENISA: Threat Landscape Report 2021 - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Quelle: ENISA Report Seite 9

Durch die Corona-Pandemie mit daran hängenden Umständen wurden Möglichkeiten für Angreifer geschaffen, die die Pandemie als dominanten Köder in Kampagnen für z. B. E-Mail-Angriffe eingesetzt haben, wobei finanzielle Anreize hier klar die Hauptmotivation sind. Die Techniken, auf die die Bedrohungsakteure zurückgreifen, sind laut ENISA zahlreich. Die festgestellten häufigsten Techniken waren dabei:

  • Ransomware-as-a-Service (RaaS)-artige Geschäftsmodelle;
  • Mehrfache Erpressungs-Ransomware-Schemata;
  • Business Email Compromise (BEC);
  • Phishing-as-a-Service (PhaaS);
  • Desinformation-as-a-Service (DaaS)-Geschäftsmodell;
ENISA: Threat Landscape Report 2021 - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Quelle: ENISA Report Seite 11; NEAR = Betroffene Netze, Systeme, die innerhalb der EU-Grenzen kontrolliert und gesichert werden. Betroffene Bevölkerung innerhalb den Grenzen der EU. | MID = Netze und Systeme, die für die operativen Ziele im Rahmen des digitalen Binnenmarkts und der NISD-Sektoren der EU digitalen Binnenmarktes und der NISD-Sektoren als wichtig erachtet werden, deren Kontrolle und Sicherung jedoch von institutionellen oder öffentlichen oder privaten Stellen außerhalb der EU institutionellen oder MS-öffentlichen oder privaten Behörden. Betroffene Bevölkerung in geografischen Gebieten in der Nähe der EU-Grenzen. | FAR = Netze und Systeme, die, wenn sie beeinflusst werden, einen entscheidenden Einfluss auf die operativen Ziele haben werden im Rahmen des digitalen EU-Binnenmarkts und der NISD-Sektoren. Die Kontrolle und Sicherung dieser dieser Netze und Systeme liegt außerhalb der Zuständigkeit der EU-Institutionen oder der Mitgliedstaaten (MS) Behörden. Betroffene Bevölkerung in geografischen Gebieten fernab der EU.

Wie aus dem ENISA-Report hervorgeht, ist die Zahl der Vorfälle im Jahr 2021 höher als im Jahr 2020. Insbesondere die Kategorie NEAR weist eine konstant steigende Zahl von Vorfällen im Zusammenhang mit Hauptbedrohungen auf, was auf deren Bedeutung im Kontext der EU hinweist. Es überrascht laut ENISA nicht, dass die monatlichen Trends (aus Gründen der Übersichtlichkeit in der Abbildung nicht dargestellt) den verschiedenen Klassifizierungen recht ähnlich sind. Bemerkenswert ist, dass in den letzten Monaten, die vom ETL 2021 abgedeckt werden, NEAR deutlich anstieg.

Ransomware

Ransomware ist eine Art von bösartigem Angriff, bei dem Angreifer die Daten eines Unternehmens verschlüsseln und für die Wiederherstellung des Zugriffs eine Zahlung verlangen. Ransomware war die Hauptbedrohung im Berichtszeitraum, mit mehreren aufsehenerregenden und öffentlichkeitswirksamen Vorfällen. Die Bedeutung und Auswirkung der Ransomware-Bedrohung wird auch durch eine Reihe entsprechender politischer Initiativen in der Europäischen Union (EU) und weltweit deutlich.

Phishing-E-Mails und RDP-Brute-Forcing

Kompromittierung durch Phishing-E-Mails und Brute-Forcing bei Remote Desktop Protocol (RDP)-Diensten sind nach wie vor die beiden häufigsten Infektionsvektoren. Das Auftreten von dreifachen Erpressungen hat im Jahr 2021 ebenfalls stark zugenommen, und Kryptowährung bleibt die häufigste Auszahlungsmethode für Bedrohungsakteure.

Kryptojacking-Infektionen

Cryptojacking oder verstecktes Cryptomining ist eine Art von Cyberkriminalität, bei der ein Krimineller heimlich die Rechenleistung eines Opfers nutzt, um Kryptowährungen zu generieren. Mit der Verbreitung von Kryptowährungen und ihrer zunehmenden Akzeptanz in der breiten Öffentlichkeit wurde ein Anstieg der entsprechenden Cybersicherheitsvorfälle beobachtet. Kryptowährungen sind nach wie vor die häufigste Auszahlungsmethode für Bedrohungsakteure.

Fehlinformation und Desinformation

Diese Art von Bedrohungen taucht zum ersten Mal im ENISA-Bericht zur Bedrohungslandschaft auf. Desinformations- und Fehlinformationskampagnen sind auf dem Vormarsch, da die erhöhte Online-Präsenz aufgrund der COVID-19-Pandemie logischerweise zu einer übermäßigen Nutzung von Social-Media-Plattformen und Online-Medien führt.

Solche Bedrohungen sind in der Cyberwelt von größter Bedeutung. Desinformations- und Fehlinformationskampagnen werden häufig in hybriden Angriffen eingesetzt, um Zweifel zu schüren oder Verwirrung zu stiften, wodurch das Vertrauen insgesamt sinkt und diese wichtige Stütze der Cybersicherheit Schaden nimmt.

Die folgenden Abbildungen aus dem Report zeigen die betroffenen Sektoren in Bezug auf Vorfälle, die auf der Grundlage von OSINT (Open Source Intelligence) beobachtet wurden, und sind ein Ergebnis der Arbeit der ENISA im Bereich der Situationserkennung. Sie beziehen sich auf Vorfälle im Zusammenhang mit den Hauptbedrohungen des ETL 2021. Dies ist der erste Versuch der ENISA, die Auswirkungen von Bedrohungen auf bestimmte Sektoren zu erfassen. In den kommenden Jahren und bei künftigen Iterationen der Bedrohungslandschaft möchte die ENISA versuchen, die Sektoren an die in der Richtlinie über Netz- und Informationssicherheit (NIS) und dem Vorschlag für ihre Überarbeitung (NIS 2.0) anzugleichen.

Wer sind die Bedrohungsakteure?

Cyber-Bedrohungsakteure sind ein wesentlicher Bestandteil der Bedrohungslandschaft. Es handelt sich dabei um Akteure, die unter Ausnutzung bestehender Schwachstellen böswillige Handlungen ausführen, um ihren Opfern Schaden zuzufügen.

Zu verstehen, wie Bedrohungsakteure denken und handeln, was ihre Motive und Ziele sind, ist ein wichtiger Schritt zu einer besseren Reaktion auf Cybervorfälle. Die Überwachung der neuesten Entwicklungen in Bezug auf die Taktiken und Techniken, die von den Bedrohungsakteuren zur Erreichung ihrer Ziele eingesetzt werden, ist für eine effiziente Verteidigung im heutigen Cybersicherheitsökosystem von entscheidender Bedeutung. Eine solche Bedrohungsbewertung ermöglicht es uns, Sicherheitskontrollen zu priorisieren und eine angemessene Strategie zu entwickeln, die auf den potenziellen Auswirkungen und der Wahrscheinlichkeit der Verwirklichung der Bedrohung basiert.

Für die Zwecke des ETL 2021 wurden vier Kategorien von Bedrohungsakteuren im Bereich der Cybersicherheit unterschieden: staatlich gesponserte Akteure, Cyberkriminalität, Auftragshacker und Hacktivisten.

Ransomware: Status Quo

Die aktuell größte wirtschaftliche Bedrohung scheinen Ransomware-Angriffe zu sein, wovor auch die Wirtschaft am meisten besorgt ist. Insoweit sollte man natürlich auch im ENISA-Report hierauf einen besonderen Blick werfen, nicht zuletzt deswegen hat wohl Ransomware ab Seite 34 ein eigenes Kapitel erhalten.

Während des ETL-Berichtszeitraums wurden (natürlich) mehrere Ransomware-Angriffe gemeldet. Die folgende Darstellung zeigt die beobachteten Vorfälle auf der Grundlage von OSINT (Open Source Intelligence), die von der ENISA zum Zwecke der Situationserkennung gesammelt wurden. Der Umfang der Sammlung ist global und Sektoren-übergreifend. Die ENISA hat einen stetigen Anstieg der gemeldeten Ransomware-Vorfälle seit 2020 sowie einen starken Anstieg im Mai und Juni 2021 beobachtet:

ENISA: Threat Landscape Report 2021 - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Quelle: ENISA Report Seite 34

ENISA beschäftigt sich auch mit der Frage, welche Ransomware-Gruppen den Markt beherrscht haben, dabei kommt man zu folgenden Betrachtungen:

  • Basierend auf Crowdsourced-Ransomware-Zahlungsdaten (wie in Abbildung 6 dargestellt) sind die Ransomware-Gruppen mit den größten finanziellen Gewinne im Jahr 2021 sind Conti (12,7 Millionen US-Dollar), REvil/Sodinokibi (12 Millionen US-Dollar), DarkSide (4,6 Millionen US-Dollar), MountLocker (4,2 Millionen US-Dollar), Blackmatter (4,0 Millionen US-Dollar) und Egregor (3,1 Millionen US-Dollar).
  • Bei der Betrachtung von Statistiken, die auf Trends bei den Reaktionen auf Ransomware-Vorfälle basieren, sind die Ransomware-Gruppen mit dem Ransomware-Gruppen mit dem größten Marktanteil in Q1 2021 sind REvil/Sodinokibi (14,2 %), Conti V2 (10,2 %), Lockbit (7,5 %), Clop (7,1 %) und Egregor (5,3%). Für 2021 Q2 ist die Spitze durch Sodinokibi (16,5%), Conti V2 (4,4%), Avaddon (5,4%) vertreten, Mespinoza (4,9 %) und Hello Kitty (4,5 %). Bei den letzten beiden handelt es sich um neu aufkommende Ransomware-Varianten.

Sowohl aus finanzieller Sicht als auch in Bezug auf Vorfälle zeigt sich für ENISA, dass Conti und REvil den Ransomware-Markt im Jahr 2021 dominiert haben. Die Gruppen REvil/Sodinokibi und Darkside sind inzwischen aber nicht mehr aktiv, sodass sie eine deutlich geringere Rolle spielen sollten.

Wie viel wird bei Ransomware gezahlt? Ich hatte mich schon mit der Frage beschäftigt, wie viel man bei Ransomware zahlt und warum diese Frage für die Haftung von Geschäftsführern eine Rolle spielen kann. Nunmehr widmet sich auch der ENISA-Report dieser Frage und kommt zu dem Ergebnis, dass sich das durchschnittliche gezahlte Lösegeld bis 2020 verdoppelt hat: Einer im Report auf Seite 39 zitierten Studie zufolge wurden 2019 im Durchschnitt rund 80.000 US-Dollar Lösegeld gezahlt. Im Jahr 2020 hat sich dieser Wert mehr als verdoppelt und lag bei durchschnittlich 170 000 USD. Derselben Studie zufolge lag der Durchschnitt im Jahr 2021 in Q1 und Q2 bei 180.000 $. Andere Untersuchungen zeigen, dass das durchschnittliche Lösegeld von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar im Jahr 2020 gestiegen ist.

Diese beiden Ergebnisse zeigen den gleichen Trend. Für die erste Hälfte des Jahres 2021 zieht den Rückschluss, dass der durchschnittliche Betrag weiter ansteigt. Diese Zahlen belegen, dass kleine Lösegeldbeträge für Bedrohungsakteure nach wie vor lohnenswert sind, während es für Unternehmen einfacher ist, die Zahlung abzuwehren.

Zugehörige Downloads

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht sowie Tätigkeit für Unternehmen im IP- & IT-Recht. Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr bundesweit verfügbarer Profi in Strafverteidigung, IT-Recht und regional im Arbeitsrecht. Strafverteidiger-Notruf: 0175 1075646.

Call Now Button