Als Einstieg an alle Leserinnen und Leser haben wir einige Zahlen vom BSI aus dem letzten Lagebericht aufbereitet, hier der Link zum kompletten Bericht.
Es werden im Monat mehrere hundert Veröffentlichungen der erbeuteten Daten von
Cyberkriminellen ins Internet gestellt. Der Höhepunkt war im November 2022 zu verzeichnen, es lagen nur in diesem einen Monat allein 360 Veröffentlichungen vor. D.h. es wurden von 360 Institutionen (u.a. Firmen, Verwaltungen, Behörden, usw.) Daten wie u.a. Dokumente, E-Mails
und Kontaktdaten für jeden zugänglich im Internet zum Download bereitgestellt.
Die Lösegeldzahlungen, die für eine nicht Veröffentlichung oder Entschlüsselung von Daten
gezahlt wurden, stiegen rasant an und liegen im Schnitt zwischen 200.000$ bis 300.000$ pro
Quartal und das nur in Deutschland. Ein sehr lukratives Geschäft für die Angreifer, die Ziele
sind hierbei vielfältig.
Die Bedrohungen betreffen Gesellschaft, Wirtschaft, Staat und Verwaltung und sind für alle
Bereiche eine große Herausforderung und Gefahr.
Welche Arten von IT- Angriffen gibt es Deiner Erfahrung nach überhaupt?
Ich würde 3 Arten unterscheiden, die natürlich immer abgewandelt oder kombiniert werden können.
Der Identitätsdiebstahl: Hier wird versucht eine Identität zu fälschen oder die Identität einer Person zu übernehmen. Das kann eine Identität im digitalen bspw. eine E-Mail-Adresse oder eine Webseite sein.
Es wird z.B. versucht im Namen einer Person, das Opfer davon zu überzeugen Geld zu überweisen. Bekanntestes Beispiel ist der CEO Fraud, hier fordert der angebliche Chef Mitarbeiter auf, eine Rechnung zu begleichen, die Rechnung und der Absender sind natürlich gefälscht. Hierdurch werden jedes Jahr Schäden in Millionenhöhe verursacht. WICHTIG: Der Angreifer hat hier (noch) keinen Zugriff auf die IT-Systeme des
Opfers, hier liegt ein klassischer Betrug vor.
Der technische Angriff: Klassisches Hacking von Systemen oder der Verteilung von Schadcode. Hier ist das Ziel, Zugriff auf ein System zu erlangen, um weitere Geräte
zu infizieren, Daten oder Passwörter zu erbeuten. Der Eintrittspunkt sind i.d.R. Phishing Attacken per E-Mail oder Angriffe auf Systeme mit einer aktuellen Schwachstelle, für die es keinen Patch gibt (Zero-day). Gute Beispiele sind hierfür die Sicherheitslücken Log4J (12-2021) oder Microsoft Exchange (12-2022), hierdurch
konnten Angreifer die Systeme komplett unter ihre Kontrolle bringen. Des Weiteren gibt es noch DDOS (Distributed Denial-of- Service) Angriffe, hierbei wird das System bspw. eine Webseite überlastet und ist
nicht mehr erreichbar.
Das Social Engineering: Hierbei ist es das Ziel physikalischen Zugang in ein Unternehmen zu erhalten, um Zugriff auf Unterlagen, PCs oder Server zu erlangen. Hierbei nutzt der Angreifer schlecht abgesicherte reale Zugänge (Raucherecke) oder gibt sich z.B. als Lieferant, Dienstleister oder Kunde aus. Durch die richtige Story kommt man in 90% der KMUs in Deutschland.
Das ganze Interview mit Kathrin Weber von IRM Interim-Risiko-Management GmbH und Patrick Jung von ISB PLUS, finden Sie hier zum Download.