ENISA: Threat Landscape Report 2022

Anfang November 2022 wurde der alljährliche ENISA-Report zur Cyber-Bedrohungslandschaft vorgestellt. Neben dem BSI-Lagebericht ist dies eine besonders bedeutende Quelle für aktuelle Entwicklungen im Bereich Cybersicherheits-Bedrohungen.

Schon auf den ersten Blick zeigt sich duchaus eine Überraschung: Die allgegenwärtigen und noch 2021 ausdrücklich hervorgehobenen „Mail-Bedrohungen“Mail related threats“ sind verschwunden, stattdessen steht das Social Enginnering im Fokus. Die wesentlichen Erkenntnisse stellen im Gesamtbild das dar, was man in den vorgangenen 1,5 Jahren miterlebt hat – im Detail gibt es aber Informationen die aufhorchen lassen.

Wichtige Erkenntnisse 2022

Der Report ist sehr umfangreich, die Verfasser bilden folgende Übersicht der wesentlichen Erkenntnisse (S.10/11):

• Ransomware und Bedrohungen der Verfügbarkeit standen im Berichtszeitraum an erster Stelle;
• Gewiefte Bedrohungsakteure haben sich 0-Day-Exploits zunutze gemacht, um ihre operativen und strategischen Ziele zu erreichen. Je ausgereifter die Abwehrmechanismen und Cybersicherheitsprogramme von Unternehmen sind, desto höher sind die Kosten für die Gegner, die sie dazu bringen, 0-Day-Exploits zu entwickeln und/oder zu kaufen, da Strategien für eine tiefgreifende Verteidigung die Verfügbarkeit von ausnutzbaren Schwachstellen verringern;
• Die Geopolitik hat weiterhin einen starken Einfluss auf Cyberoperationen;
• Zerstörerische Angriffe sind ein wichtiger Bestandteil der Operationen staatlicher Akteure. Während des Russland- Ukraine-Krieges wurden Cyber-Akteure laut ENISA beobachtet, wie sie Operationen in Abstimmung mit kinetischen Militäraktionen durchführten;
• Kontinuierliche „Rückzüge“ und die Umbenennung von Ransomware-Gruppen werden genutzt, um Strafverfolgung und Sanktionen zu vermeiden;
• Das Geschäftsmodell „Hacker-as-a-Service“ gewinnt an Zugkraft und wächst seit 2021;
• Der Fall Pegasus löste Medienberichterstattung und staatliche Maßnahmen aus, die sich auch in anderen Fällen widerspiegeln, in denen es um Überwachung und das Anvisieren der Zivilgesellschaft ging;
• Eine neue Welle des Hacktivismus ist insbesondere seit Beginn der Russland-Ukraine-Krise zu beobachten;
• Phishing ist wieder einmal der häufigste Vektor für den Erstzugang. Fortschritte bei der Raffinesse des Phishings, die Ermüdung der Nutzer und gezieltes, kontextbezogenes Phishing haben zu diesem Anstieg geführt;
• Die Erpressungstechniken entwickeln sich mit der beliebten Nutzung von Leak-Sites weiter;
• Malware ist nach dem festgestellten Rückgang, der mit der COVID-19-Pandemie in Verbindung gebracht wurde, wieder auf dem Vormarsch;
• Die Gefährdung von Daten nimmt unablässig von Jahr zu Jahr zu. Die zentrale Rolle von Daten in unserer Gesellschaft hat zu einem starken Anstieg der gesammelten Datenmenge und der Bedeutung einer angemessenen Datenanalyse geführt. Der Preis, dieser massiven Bedeutung ist eine kontinuierliche und unaufhaltsame Zunahme von Datenkompromittierungen;
• Modelle des maschinellen Lernens (ML) sind das Herzstück moderner verteilter Systeme und werden zunehmend
  werden zunehmend zum Ziel von Angriffen;
• DDoS werden immer größer und komplexer, verlagern sich auf mobile Netzwerke sowie das Internet der Dinge und werden
  werden im Rahmen der Cyberkriegsführung eingesetzt;
• Staatliche Zertifizierungsstellen (CA) machen es leicht, den HTTPS-Verkehr abzuhören und Man-in-the-middle-Angriffe auf seine Bürger durchzuführen – um damit die Internetsicherheit und die Privatsphäre zu gefährden;
• Desinformation ist ein Instrument der Cyberkriegsführung. Sie wurde bereits vor dem Beginn des „physischen“ Krieges als vorbereitende Maßnahme für Russlands Einmarsch in die Ukraine eingesetzt;
• KI-gestützte Desinformation und Fälschungen: Die Verbreitung von Bots, die Personas modellieren, kann leicht den Prozess der Bekanntmachung und Kommentierung von Vorschriften sowie die Interaktion der Gemeinschaft stören, indem sie Regierungsbehörden mit gefälschten Kommentaren überschwemmen;
• Bedrohungsgruppen haben ein gesteigertes Interesse an Angriffen auf die Lieferkette und auf Anbieter von verwalteten Diensten (MSP), bei zunehmenden Fähigkeiten in diesen Bereichen;

Motivation von Angreifern

Es ist wichtig, Angreifer und Motivation hinter einem Cybersicherheitsvorfall oder gezieltem Angriff zu verstehen – denn (nur) so kann festgestellt werden, worauf der Gegner aus ist. Diese Kenntnis der Motivlage kann dabei helfen, Prioritäten in Sicherheitskonzepten zu setzen, insbesondere Verteidigungsanstrengungen auf das wahrscheinlichste Angriffsszenario für ein bestimmtes Gut zu konzentrieren.

Der Report definiert vier verschiedene Arten der Motivation, die mit den Bedrohungsakteuren in Verbindung gebracht werden können:

• Monetarisierung: jede finanziell motivierte Aktion (von Cybercrime-Gruppen durchgeführt);
• Geopolitik/Spionage: Erlangung von Informationen über geistiges Eigentum (IP), sensible Daten, geheime Daten (meist von staatlich geförderten Gruppen durchgeführt);
• Geopolitik/Disruption: jede störende Aktion, die im Namen der Geopolitik durchgeführt wird (meist von staatlich staatlich geförderten Gruppen);
• Ideologisch: jede Aktion, hinter der eine Ideologie steht (wie z. B. Haktivismus).

Der Report führt aus, dass die Hauptbedrohungen in den meisten Fällen wohl recht gleichmäßig unter eine oder mehrere Motivationen verteilt sind. Bei Ransomware geht es jedoch ausschließlich um finanziellen Gewinn.

Ransomware und Social Engineering

Unter den klassischen Threats sei hier zum einen Ransomware hervorgehoben: Weiterhin nimmt die Bedeutung zu, für den öffentlichen Sektor und die Privatwirtschaft stellt sich Ransomware als die schmerzliche Geißel (schlecht geführter) Digitalisierung dar. Der Report zeigt auf, dass LockBit, Conti und ALPHV (BlackCat) im ersten Quartal 2022 zu den wichtigsten Ransomware-Stämmen im Bereich „RaaS“ (Ransomware as a Service) gehören.

Zudem nimmt die Menge erlangter Daten in einem drastischen Ausmaß zu, das nicht abhängig von der Zahl der Vorfälle ist:

Zur Angriffsmethodik ist wohl weiterhin festzuhalten, dass die Kompromittierung über RDP (Remote Desktop Protocol) als erster Angriffsvektor weiter zurückgegangen ist, aber der zweitwichtigste Vektor für Ransomware-Angriffe bleibt. Bedrohungsakteure erzwingen mit roher Gewalt schwache RDP-Anmeldedaten, insbesondere wenn MFA nicht aktiviert ist. Inzwischen ist Phishing der am häufigsten genutzte Angriffsvektor, um sich einen in einer Organisation Fuß zu fassen. Beide Methoden sind billig und daher für Bedrohungsakteure sehr profitabel. Zur Zahlungswilligkeit ist festzuhalten, dass wohl 60 % der betroffenen Unternehmen möglicherweise Lösegeldforderungen gezahlt haben.

Im Allgemeinen besteht das Ziel des Social Engineering (und folglich auch die Auswirkung auf die Opfer) darin, Zugang zu Informationen oder Diensten zu erhalten oder sich Wissen über ein bestimmtes Thema anzueignen, aber es wird auch für finanziellen Profit eingesetzt. Der Report stellt es insoweit dann als naheliegend dar, dass im Berichtszeitraum Finanzinstitute zu den wichtigsten Organisationen gehörten, die von Phishern verkörpert wurden.

Neben dem Finanzsektor konzentrierten sich die Kriminellen bei ihren Social-Engineering-Kampagnen wohl auf den Technologiesektor, wobei Marken wie Microsoft, Apple und Google zu den am häufigsten nachgeahmten Zielen gehörten. Es gab auch Social-Engineering-Kampagnen, bei denen beliebte Cloud-Dienste, die von Telearbeitern genutzt werden, oder Plattformen, die von Streaming- und Medienanbietern verwendet werden, imitiert wurden.

Da die Erstellung von Phishing-Websites und die Einrichtung der zugrundeliegenden Infrastruktur für eine Social-Engineering-Kampagne sehr arbeitsintensiv ist, greifen Kriminelle immer häufiger auf vorgefertigtes Material zurück, das in Phishing-Kits angeboten wird, oder sie nutzen schlicht „Phishing-as-a-Service“.

Insgesamt ist wohl zu bemerken, dass sich durch den Einsatz von Multi-Faktor-Authentifizierung (MFA) die Möglichkeiten für Angreifer verringert haben, kompromittierte Konten als Ausgangspunkt für Social-Engineering-Kampagnen zu nutzen. Anstatt einzelne Postfächer ins Visier zu nehmen, wird daher wohl dazu übergegangen, legitime Infrastrukturen zu missbrauchen. Die Analyse stuft es dabei als „sehr wahrscheinlich“ ein, dass weiterhin bekannte (und manchmal „vertrauenswürdige“) Konten oder legitime Infrastrukturen für Phishing-Kampagnen genutzt werden, etwa durch die Ausnutzung von Schwachstellen in Systemen wie Microsoft Exchange.

Ausblick auf das Jahrzehnt bis 2030

Die ENISA hat zudem versucht, die 10 größten Bedrohungen für die Cybersicherheit, die bis 2030 auftreten werden, zu identifizieren, als da wären

• Gefährdung der Lieferkette durch Software-Abhängigkeiten
• Fortgeschrittene Desinformationskampagnen
• Zunahme des digitalen Überwachungsautoritarismus/Verlust der Privatsphäre
• Menschliches Versagen und ausgenutzte Altsysteme in cyber-physischen Ökosystemen
• Gezielte Angriffe durch Smart-Device-Daten verstärkt
• Mangelnde Analyse und Kontrolle der weltraumgestützten Infrastruktur und Objekte
• Aufkommen fortgeschrittener hybrider Bedrohungen
• Qualifikationsdefizit
• Grenzüberschreitende IKT-Dienstleister als Single Point of Failure
• Missbrauch künstlicher Intelligenz

Die Ergebnisse hat sie in einer Infografik zusammengefasst:

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

• BGH präzisiert Anforderungen an die Würdigung minder schwerer Fälle bei bewaffnetem Handel mit Betäubungsmitteln - 25. April 2024
• OLG Köln zur Bedeutung von Zielvorgaben für Motivation und Leistung - 25. April 2024
• Bedeutung der Beweisaufnahme im Lichte rechtlichen Gehörs - 25. April 2024