Kategorien
IT-Sicherheit

ENISA: Threat Landscape Report 2022

Anfang November 2022 wurde der alljährliche ENISA-Report zur Cyber-Bedrohungslandschaft vorgestellt. Neben dem BSI-Lagebericht ist dies eine besonders bedeutende Quelle für aktuelle Entwicklungen im Bereich Cybersicherheits-Bedrohungen.

Cybersecurity: Quelle: ENISA THREAT LANDSCAPE 2022, S.10, Figure 1: ENISA Threat Landscape 2022 - Prime threats
Quelle: ENISA THREAT LANDSCAPE 2022, S.10, Figure 1: ENISA Threat Landscape 2022 – Prime threats

Schon auf den ersten Blick zeigt sich duchaus eine Überraschung: Die allgegenwärtigen und noch 2021 ausdrücklich hervorgehobenen „Mail-Bedrohungen“Mail related threats“ sind verschwunden, stattdessen steht das Social Enginnering im Fokus. Die wesentlichen Erkenntnisse stellen im Gesamtbild das dar, was man in den vorgangenen 1,5 Jahren miterlebt hat – im Detail gibt es aber Informationen die aufhorchen lassen.

Wichtige Erkenntnisse 2022

Der Report ist sehr umfangreich, die Verfasser bilden folgende Übersicht der wesentlichen Erkenntnisse (S.10/11):

  • und Bedrohungen der Verfügbarkeit standen im Berichtszeitraum an erster Stelle;
  • Gewiefte Bedrohungsakteure haben sich 0-Day-Exploits zunutze gemacht, um ihre operativen und strategischen Ziele zu erreichen. Je ausgereifter die Abwehrmechanismen und Cybersicherheitsprogramme von Unternehmen sind, desto höher sind die Kosten für die Gegner, die sie dazu bringen, 0-Day-Exploits zu entwickeln und/oder zu kaufen, da Strategien für eine tiefgreifende Verteidigung die Verfügbarkeit von ausnutzbaren Schwachstellen verringern;
  • Die Geopolitik hat weiterhin einen starken Einfluss auf Cyberoperationen;
  • Zerstörerische Angriffe sind ein wichtiger Bestandteil der Operationen staatlicher Akteure. Während des Russland- Ukraine-Krieges wurden Cyber-Akteure laut ENISA beobachtet, wie sie Operationen in Abstimmung mit kinetischen Militäraktionen durchführten;
  • Kontinuierliche „Rückzüge“ und die Umbenennung von Ransomware-Gruppen werden genutzt, um Strafverfolgung und Sanktionen zu vermeiden;
  • Das Geschäftsmodell „Hacker-as-a-Service“ gewinnt an Zugkraft und wächst seit 2021;
  • Der Fall Pegasus löste Medienberichterstattung und staatliche Maßnahmen aus, die sich auch in anderen Fällen widerspiegeln, in denen es um Überwachung und das Anvisieren der Zivilgesellschaft ging;
  • Eine neue Welle des Hacktivismus ist insbesondere seit Beginn der Russland-Ukraine-Krise zu beobachten;
  • ist wieder einmal der häufigste Vektor für den Erstzugang. Fortschritte bei der Raffinesse des Phishings, die Ermüdung der Nutzer und gezieltes, kontextbezogenes Phishing haben zu diesem Anstieg geführt;
  • Die Erpressungstechniken entwickeln sich mit der beliebten Nutzung von Leak-Sites weiter;
  • Malware ist nach dem festgestellten Rückgang, der mit der COVID-19-Pandemie in Verbindung gebracht wurde, wieder auf dem Vormarsch;
  • Die Gefährdung von Daten nimmt unablässig von Jahr zu Jahr zu. Die zentrale Rolle von Daten in unserer Gesellschaft hat zu einem starken Anstieg der gesammelten Datenmenge und der Bedeutung einer angemessenen Datenanalyse geführt. Der Preis, dieser massiven Bedeutung ist eine kontinuierliche und unaufhaltsame Zunahme von Datenkompromittierungen;
  • Modelle des maschinellen Lernens (ML) sind das Herzstück moderner verteilter Systeme und werden zunehmend
    werden zunehmend zum Ziel von Angriffen;
  • werden immer größer und komplexer, verlagern sich auf mobile Netzwerke sowie das Internet der Dinge und werden
    werden im Rahmen der Cyberkriegsführung eingesetzt;
  • Staatliche Zertifizierungsstellen (CA) machen es leicht, den HTTPS-Verkehr abzuhören und Man-in-the-middle-Angriffe auf seine Bürger durchzuführen – um damit die Internetsicherheit und die Privatsphäre zu gefährden;
  • Desinformation ist ein Instrument der Cyberkriegsführung. Sie wurde bereits vor dem Beginn des „physischen“ Krieges als vorbereitende Maßnahme für Russlands Einmarsch in die Ukraine eingesetzt;
  • KI-gestützte Desinformation und Fälschungen: Die Verbreitung von Bots, die Personas modellieren, kann leicht den Prozess der Bekanntmachung und Kommentierung von Vorschriften sowie die Interaktion der Gemeinschaft stören, indem sie Regierungsbehörden mit gefälschten Kommentaren überschwemmen;
  • Bedrohungsgruppen haben ein gesteigertes Interesse an Angriffen auf die und auf Anbieter von verwalteten Diensten (MSP), bei zunehmenden Fähigkeiten in diesen Bereichen;

Motivation von Angreifern

Es ist wichtig, Angreifer und Motivation hinter einem Cybersicherheitsvorfall oder gezieltem Angriff zu verstehen – denn (nur) so kann festgestellt werden, worauf der Gegner aus ist. Diese Kenntnis der Motivlage kann dabei helfen, Prioritäten in Sicherheitskonzepten zu setzen, insbesondere Verteidigungsanstrengungen auf das wahrscheinlichste Angriffsszenario für ein bestimmtes Gut zu konzentrieren.

Der Report definiert vier verschiedene Arten der Motivation, die mit den Bedrohungsakteuren in Verbindung gebracht werden können:

  • Monetarisierung: jede finanziell motivierte Aktion (von Cybercrime-Gruppen durchgeführt);
  • Geopolitik/Spionage: Erlangung von Informationen über geistiges Eigentum (IP), sensible Daten, geheime Daten (meist von staatlich geförderten Gruppen durchgeführt);
  • Geopolitik/Disruption: jede störende Aktion, die im Namen der Geopolitik durchgeführt wird (meist von staatlich staatlich geförderten Gruppen);
  • Ideologisch: jede Aktion, hinter der eine Ideologie steht (wie z. B. Haktivismus).
IT-Sicherheit - Quelle: ENISA THREAT LANDSCAPE 2022, S.10, Figure 10 Motivation of threat actors per threat category
Quelle: ENISA THREAT LANDSCAPE 2022, S.10, Figure 10 Motivation of threat actors per threat category

Der Report führt aus, dass die Hauptbedrohungen in den meisten Fällen wohl recht gleichmäßig unter eine oder mehrere Motivationen verteilt sind. Bei Ransomware geht es jedoch ausschließlich um finanziellen Gewinn.

Ransomware und Social Engineering

Unter den klassischen Threats sei hier zum einen Ransomware hervorgehoben: Weiterhin nimmt die Bedeutung zu, für den öffentlichen Sektor und die Privatwirtschaft stellt sich Ransomware als die schmerzliche Geißel (schlecht geführter) Digitalisierung dar. Der Report zeigt auf, dass LockBit, Conti und ALPHV (BlackCat) im ersten Quartal 2022 zu den wichtigsten Ransomware-Stämmen im Bereich „RaaS“ (Ransomware as a Service) gehören.

Zudem nimmt die Menge erlangter Daten in einem drastischen Ausmaß zu, das nicht abhängig von der Zahl der Vorfälle ist:

ENISA: Threat Landscape Report 2022 - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Quelle: ENISA THREAT LANDSCAPE 2022, S.44, Figure 12 Time series of ransomware incidents from May 2021 to June 2022. In red bars the number of ransomware incidents is shown. In blue bars the cumulative amount of stolen data is shown

Zur Angriffsmethodik ist wohl weiterhin festzuhalten, dass die Kompromittierung über RDP (Remote Desktop Protocol) als erster Angriffsvektor weiter zurückgegangen ist, aber der zweitwichtigste Vektor für Ransomware-Angriffe bleibt. Bedrohungsakteure erzwingen mit roher Gewalt schwache RDP-Anmeldedaten, insbesondere wenn MFA nicht aktiviert ist. Inzwischen ist Phishing der am häufigsten genutzte Angriffsvektor, um sich einen in einer Organisation Fuß zu fassen. Beide Methoden sind billig und daher für Bedrohungsakteure sehr profitabel. Zur Zahlungswilligkeit ist festzuhalten, dass wohl 60 % der betroffenen Unternehmen möglicherweise Lösegeldforderungen gezahlt haben.


Im Allgemeinen besteht das Ziel des Social Engineering (und folglich auch die Auswirkung auf die Opfer) darin, Zugang zu Informationen oder Diensten zu erhalten oder sich Wissen über ein bestimmtes Thema anzueignen, aber es wird auch für finanziellen Profit eingesetzt. Der Report stellt es insoweit dann als naheliegend dar, dass im Berichtszeitraum Finanzinstitute zu den wichtigsten Organisationen gehörten, die von Phishern verkörpert wurden.

Neben dem Finanzsektor konzentrierten sich die Kriminellen bei ihren Social-Engineering-Kampagnen wohl auf den Technologiesektor, wobei Marken wie Microsoft, Apple und Google zu den am häufigsten nachgeahmten Zielen gehörten. Es gab auch Social-Engineering-Kampagnen, bei denen beliebte Cloud-Dienste, die von Telearbeitern genutzt werden, oder Plattformen, die von Streaming- und Medienanbietern verwendet werden, imitiert wurden.

Da die Erstellung von Phishing-Websites und die Einrichtung der zugrundeliegenden Infrastruktur für eine Social-Engineering-Kampagne sehr arbeitsintensiv ist, greifen Kriminelle immer häufiger auf vorgefertigtes Material zurück, das in Phishing-Kits angeboten wird, oder sie nutzen schlicht „Phishing-as-a-Service“.

Insgesamt ist wohl zu bemerken, dass sich durch den Einsatz von Multi-Faktor-Authentifizierung (MFA) die Möglichkeiten für Angreifer verringert haben, kompromittierte Konten als Ausgangspunkt für Social-Engineering-Kampagnen zu nutzen. Anstatt einzelne Postfächer ins Visier zu nehmen, wird daher wohl dazu übergegangen, legitime Infrastrukturen zu missbrauchen. Die Analyse stuft es dabei als „sehr wahrscheinlich“ ein, dass weiterhin bekannte (und manchmal „vertrauenswürdige“) Konten oder legitime Infrastrukturen für Phishing-Kampagnen genutzt werden, etwa durch die Ausnutzung von Schwachstellen in Systemen wie Microsoft Exchange.

Ausblick auf das Jahrzehnt bis 2030

Die ENISA hat zudem versucht, die 10 größten Bedrohungen für die Cybersicherheit, die bis 2030 auftreten werden, zu identifizieren, als da wären

  • Gefährdung der Lieferkette durch Software-Abhängigkeiten
  • Fortgeschrittene Desinformationskampagnen
  • Zunahme des digitalen Überwachungsautoritarismus/Verlust der Privatsphäre
  • Menschliches Versagen und ausgenutzte Altsysteme in cyber-physischen Ökosystemen
  • Gezielte Angriffe durch Smart-Device-Daten verstärkt
  • Mangelnde Analyse und Kontrolle der weltraumgestützten Infrastruktur und Objekte
  • Aufkommen fortgeschrittener hybrider Bedrohungen
  • Qualifikationsdefizit
  • Grenzüberschreitende IKT-Dienstleister als Single Point of Failure
  • Missbrauch künstlicher Intelligenz

Die Ergebnisse hat sie in einer Infografik zusammengefasst:

ENISA: Threat Landscape Report 2022 - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Kanzlei ist spezialisiert auf Strafverteidigung, Wirtschaftsstrafrecht und IT-Recht. Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht und Fachanwalt für IT-Recht. RA JF ist Kommentator in einem StPO-Kommentar sowie Autor in zwei Fachzeitschriften im IT-Recht + Strafrecht, zudem Softwareentwickler. Seine Spezialität ist die Schnittmenge aus Strafrecht und IT, speziell bei Fragen digitaler Beweismittel & IT-Forensik.

Ihr Profi bei Strafverteidigung und im Wirtschaftsstrafrecht sowie für Unternehmen im IT-Recht inklusive Softwarerecht, Datenschutzrecht, IT-Compliance, IT-Sicherheit und IT-Vertragsrecht mit Arbeitsrecht.