Im vergangenen Jahr waren insgesamt 120 Länder von Cyberangriffen betroffen, die durch staatlich geförderte Spionage ausgelöst wurden. Dabei nahm auch die Zahl von Operationen zu, die gezielt auf die Beeinflussung von Menschengruppen zielen („Influence Operations“, IO). Zeitweise war fast die Hälfte dieser Angriffe gegen NATO-Mitgliedsstaaten gerichtet, mehr als 40 Prozent zielten auf staatliche oder privatwirtschaftliche Organisationen, die an Aufbau und Unterhalt kritischer Infrastrukturen beteiligt sind. Das sind einige der wichtigsten Erkenntnisse der vierten Ausgabe des jährlich erscheinenden Microsoft Digital Defense Report, der die Security-Trends im Zeitraum von Juli 2022 bis Juni 2023 in Bezug auf Aktivitäten von Nationalstaaten, Cyberkriminalität und Verteidigungstechniken erfasst.
Während die Angriffe im vergangenen Jahr oft auf Zerstörung von IT-Infrastrukturen oder finanziellen Gewinn durch Ransomware abzielten, zeigen die aktuellen Daten eine Rückkehr zu Motiven, die auf das Stehlen von Informationen, die heimliche Überwachung von Kommunikation oder auf die Manipulation von Meinungen gerichtet sind. Einige Beispiele:
- Die russischen Geheimdienste haben ihre Cyberangriffe auf Spionageaktivitäten zur Unterstützung ihres Krieges gegen die Ukraine konzentriert, während sie ihre zerstörerischen Cyberangriffe in der Ukraine und ihre breit angelegten Spionageaktivitäten fortsetzen.
- Die iranischen Bemühungen – früher darauf konzentriert, Netzwerkstrukturen ihrer Angriffsziele auszuschalten – sind jetzt auch darauf angelegt, manipulative Nachrichten zu verbreiten, um die geopolitischen Ziele des Landes zu fördern oder um Daten anzuzapfen, die durch sensible Netzwerke fließen.
- China hat seine Spionagekampagnen ausgeweitet, um an Informationen zu gelangen, mit denen es seine „Belt and Road“-Initiative (Deutsch „Neue Seidenstraße“) oder seine Regionalpolitik vorantreiben kann. Dazu gehört das Ausspionieren der USA, einschließlich wichtiger Einrichtungen für das US-Militär, um sich Zugang zu den Netzwerken kritischer Infrastrukturunternehmen zu verschaffen.
- Auch nordkoreanische Akteure haben versucht, Geheimnisse zu stehlen. Dabei haben sie unter anderem ein Unternehmen ins Visier genommen, das sich mit U-Boot-Technologie befasst. Zudem haben sie auf Cyberangriffe gesetzt, um Hunderte von Millionen US-Dollar in Kryptowährung zu entwenden.
Weitere Länder und Sektoren unter Beschuss
Während neben den USA und der Ukraine auch Israel nach wie vor am stärksten von staatlich gelenkten oder unterstützten Angriffen betroffen ist, hat das Ausmaß der Angriffe im vergangenen Jahr auch weltweit zugenommen. Dies gilt vor allem für den globalen Süden, insbesondere für Lateinamerika und für die afrikanischen Länder südlich der Sahara. Der Iran hat seine Operationen im Nahen Osten verstärkt. Dabei gehören solche Organisationen zu den Hauptzielen, die an der Politikgestaltung und -umsetzung beteiligt sind. Das spiegelt die Verlagerung des Schwerpunkts auf Spionage wider.
Die am stärksten betroffenen Länder nach Regionen* waren:
| Europa | Naher Osten und Nordafrika | Asien-Pazifik |
| 1. Ukraine (33%) | 1. Israel (38%) | 1. Korea (17%) |
| 2. Großbritannien (11%) | 2. Vereinigte Arabische Emirate (12%) | 2. Taiwan (15%) |
| 3. Frankreich (5%) | 3. Saudi-Arabien (9%) | 3. Indien (13%) |
| 4. Polen (5%) | 4. Jordanien (6%) | 4. Malaysia (6%) |
| 5. Italien (4%) | 5. Irak (5%) | 5. Japan (5%) |
| 6. Deutschland (3%) | 6. Bahrain (4%) | 6. Australien (5%) |
*Eine detailliertere Aufschlüsselung der Daten befindet sich im Bericht.
Russland und China stützen sich zunehmend auf Diaspora-Gemeinschaften
Sowohl Russland als auch China bauen ihren Einfluss auf verschiedene Diaspora-Gemeinschaften aus. Darunter versteht der Bericht Menschen, die sich mit einem konkreten geografischen Ort identifizieren, aber derzeit anderswo leben, zum Beispiel Flüchtlinge oder Expats. Russland zielt weltweit darauf ab, ukrainische Gemeinschaften einzuschüchtern und Misstrauen zwischen Kriegsflüchtlingen und Aufnahmegemeinschaften in verschiedenen Ländern zu säen – insbesondere in Polen und den baltischen Staaten. China nutzt ein riesiges Netz von koordinierten Konten auf Dutzenden von Plattformen, um verdeckte Propaganda zu verbreiten, die sich direkt an chinesisch-sprachige Gemeinschaften in der ganzen Welt wendet. Darüber verunglimpft China US-Institutionen und zeichnet zugleich ein insgesamt positives Bild des eigenen Landes – durch Hunderte von mehrsprachigen Lifestyle-Influencer*innen.
Konvergenz von Influence Operations (IO) und Cyberangriffen
Nationalstaatliche Akteure setzen neben Cyberoperationen zunehmend Operationen ein, die gezielt auf die Beeinflussung von Menschengruppen gerichtet sind und Propagandabotschaften verbreiten. Diese IO genannten Operationen werden durchgeführt, um nationale und internationale Meinungen zu manipulieren und um demokratische Institutionen in vermeintlich verfeindeten Ländern zu unterminieren. Am gefährlichsten sind solche Operationen im Kontext bewaffneter Konflikte und nationaler Wahlen.
Beispielsweise hat Russland nach der Invasion der Ukraine seine IO-Operationen konsequent mit seinen militärischen Angriffen und Cyberattacken synchronisiert. In ähnlicher Weise ließ der Iran auf zerstörerische Cyberangriffe auf die albanische Regierung im Juli und September 2022 jeweils auch eine koordinierte Beeinflussungskampagne folgen, die immer noch andauert.
Trends nach Nationalstaaten
Während die Bedrohungsaktivitäten insgesamt zugenommen haben, lassen sich bei den aktivsten nationalen Akteuren die folgenden Trends beobachten.
- Russland nimmt NATO-Verbündete der Ukraine ins Visier
Russische staatliche Akteure haben ihre Aktivitäten im Zusammenhang mit dem Krieg gegen die Ukraine auch auf Kiews Verbündete ausgedehnt, insbesondere auf NATO-Mitglieder. Im April und Mai 2023 hat Microsoft eine Zunahme der Aktivitäten gegen westliche Organisationen beobachtet, von denen 46 Prozent auf NATO-Mitgliedstaaten abzielten, insbesondere auf die USA sowie auf Großbritannien und Polen. Mehrere russische staatliche Akteure gaben sich dabei als westliche Diplomat*innen oder ukrainische Beamt*innen aus und versuchten, über den Zugang zu Konten Einblicke in die westliche Außenpolitik gegenüber der Ukraine, in Verteidigungspläne und -absichten sowie in Ermittlungen wegen Kriegsverbrechen zu erhalten. - China zielt auf die Verteidigung der USA, die Staaten im Südchinesischen Meer und die Partner der Initiative Neue Seidenstraße
Chinas umfangreiche und ausgeklügelte Aktivitäten stehen für ein doppeltes Streben des Landes nach globalem Einfluss und der Sammlung von Informationen. Zu den Zielen gehören die Verteidigungs- und kritische Infrastruktur der USA, die Anrainerstaaten des Südchinesischen Meeres (insbesondere Taiwan) und sogar Chinas eigene strategische Partner. Zusätzlich zu den zahlreichen Angriffen auf US-Infrastrukturen, die in dem Bericht beschrieben werden, hat Microsoft auch Angriffe chinesischer Akteure auf Partner der Initiative Neue Seidenstraße beobachtet, darunter auf Malaysia, Indonesien und Kasachstan. - Iran bringt neue Angriffe nach Afrika, Lateinamerika und Asien
Im vergangenen Jahr haben einige iranische staatliche Akteure die Komplexität ihrer Angriffe erhöht. Der Iran hat nicht nur westliche Länder ins Visier genommen, von denen er glaubt, dass sie Unruhen im Iran schüren, sondern seine geografische Reichweite auch auf asiatische, afrikanische und lateinamerikanische Länder ausgedehnt. An der IO-Front hat der Iran Narrative verbreitet, die auf eine Unterstützung des palästinensischen Widerstands setzen, um für Panik unter israelischen Bürger*innen zu sorgen, schiitische Unruhen in den arabischen Golfstaaten zu schüren und die Normalisierung der arabisch-israelischen Beziehungen zu verhindern. Zudem hat sich der Iran auch um eine bessere Koordination seiner Aktivitäten mit Russland bemüht. - Nordkorea nimmt unter anderem russische Organisationen ins Visier
Nordkorea hat seine Cyber-Operationen im vergangenen Jahr weiter verfeinert, insbesondere für den Diebstahl von Kryptowährungen und für Angriffe auf weltweite Lieferketten. Darüber hinaus nutzt das Land Spear-Phishing-E-Mails und LinkedIn-Profile, um weltweit Expert*innen anzusprechen und Informationen zu sammeln. Trotz des jüngsten Treffens zwischen Putin und Kim Jong-Un nimmt Nordkorea auch Russland ins Visier, insbesondere um Informationen über Atomenergie, Verteidigung und Regierungspolitik zu sammeln.
KI sorgt für neue Bedrohungen – und für neue Chancen auf ihre Abwehr
Cyberkriminelle setzen künstliche Intelligenz (KI) als Waffe ein, um beispielsweise Phishing-Mails sowie die Beeinflussung durch synthetische Bilder zu verbessern. KI wird in Zukunft aber auch im Kern einer besseren Verteidigung stehen, weil sie Aspekte der Cybersicherheit wie die Erkennung von Bedrohungen sowie die Reaktion, Analyse und Vorhersage automatisiert und erweitert. KI hilft mit ihren großen Sprachmodellen (Large Language Models, LLM), aus komplexen Daten Erkenntnisse und Empfehlungen in natürlicher Sprache zu generieren und Analyst*innen so effektiver und reaktionsschneller zu machen.
Ein konstruktiver Beitrag zur Cyberabwehr wird bereits durch KI erlebt, beispielsweise in der Ukraine, wo KI bei der Abwehr von aus Russland gestarteten Cyberangriffen geholfen wurde.
Die Einführung ethischer Praktiken, die das Vertrauen in die Technologie und den Schutz personenbezogener Daten verbessern, muss vorangetrieben werden, da transformative KI viele Aspekte der Gesellschaft nachhaltig verändern wird. Generative KI-Modelle erfordern die Weiterentwicklung der Cybersicherheit, um neue Herausforderungen zu bewältigen, die sich aus der Möglichkeit ergeben, realistische Inhalte in Text, Bild, Video und Audio zu generieren. Es ist selbstverständlich, dass diese Möglichkeiten auch von Cyberkriminellen genutzt werden, um Fehlinformationen oder bösartigen Code zu verbreiten.
Um diesen neuen Bedrohungen immer einen Schritt voraus zu sein, sollen alle KI-Produkte und -Dienstleistungen von Microsoft so entwickelt und genutzt werden, dass ihre hohen ethischen Prinzipien eingehalten werden.
Aktueller Stand der Internetkriminalität
Das Katz-und-Maus-Spiel zwischen Cyberkriminellen und Verteidiger*innen setzt sich auf einer immer höheren Ebene fort. Während die Angreifenden das Tempo ihrer Angriffe im vergangenen Jahr erheblich erhöht haben, konnten die in Microsoft-Produkten integrierten Schutzmechanismen viele Dutzend Milliarden Malware-Bedrohungen blockieren und 237 Milliarden Brute-Force-Angriffe auf Passwörter sowie 619.000 DDoS-Angriffe (Distributed Denial of Service) abwehren, die darauf abzielten, einen Server, einen Dienst oder ein Netzwerk durch eine Flut von Internetanfragen lahmzulegen.
Kriminelle versuchen, ihre Anonymität und Effektivität zu erhöhen. Remote Encryption, die Verschlüsselung von Daten aus der Ferne, dient dazu, ihre Spuren zu verwischen, aber sie nutzen auch cloudbasierte Tools und virtuelle Maschinen. Durch bessere private und öffentliche Partnerschaften geraten sie jedoch zunehmend in das Fadenkreuz der Strafverfolgungsbehörden. So wurde beispielsweise ein als „Target“ bekannt gewordener Ransomware-Betreiber enttarnt, und es kam zu Verhaftungen und Anklagen. Cyberkriminelle suchen jedoch weiterhin nach den einfachsten Einstiegspunkten in Systeme, und es bedarf kontinuierlicher und beschleunigter Anstrengungen, um ihnen dabei einen Schritt voraus zu sein.
Ransomware-Angriffe werden immer raffinierter und schneller
Die Auswertung von Telemetriedaten durch Microsoft zeigt, dass Unternehmen seit September 2022 einen Anstieg der von Menschen durchgeführten Ransomware-Angriffe um 200 Prozent hinnehmen mussten. Bei diesen Angriffen handelt es sich in der Regel nicht um automatisierte Angriffe, sondern um Attacken, die auf eine konkrete Organisation abgestimmt sind und individuelle Lösegeldforderungen stellen.
Angreifende entwickeln ihre Techniken auch weiter, um so wenig Spuren zu hinterlassen wie möglich. Fast zwei Drittel, 60 Prozent, verwenden Remote-Encryption. Dadurch hebeln sie prozessbasierte Abhilfemaßnahmen aus.
Diese Angriffe zeichnen sich auch dadurch aus, dass sie nicht-verwaltete oder private Geräte angreifen, um über sie Zugriffe auf Netzwerke zu erhalten. Mehr als 80 Prozent aller Kompromittierungen, die beobachtet werden, gehen von solchen nicht-verwalteten Geräten aus. Die Betreiber von Ransomware nutzen zudem zunehmend Schwachstellen in wenig verbreiteter Software aus. Das macht es schwieriger, Angriffe vorherzusehen und abzuwehren.
Kriminelle, die Ransomware für die Erpressung ihrer Opfer einsetzen, drohen zunehmend damit, gestohlene Informationen der Öffentlichkeit preiszugeben, um ihren Forderungen nach Lösegeldzahlungen Nachdruck zu verleihen. Seit November 2022 wurde eine Verdoppelung der potenziellen Daten-Exfiltrationen nach der Kompromittierung einer IT-Infrastruktur beobachtet. Allerdings steht nicht jeder Datendiebstahl im Zusammenhang mit dem Einsatz von Ransomware; er kann auch zum Abfangen von Anmeldeinformationen oder zur Spionage durch einen Staat erfolgen.
Multi-Faktor-Authentifizierung (MFA): Cyberkriminelle erzeugen eine zunehmende Müdigkeit bei den Nutzer*innen
Die Multi-Faktor-Authentifizierung (MFA) wird immer häufiger als Authentifizierungsmethode genutzt. Bei einer MFA müssen Nutzer*innen zwei oder mehr Identifizierungsfaktoren angeben, um Zugang zu einer Website oder Anwendung zu erhalten – zum Beispiel ein Passwort zusammen mit einer Gesichtserkennung oder einem eindeutigen Passcode. MFA ist eine der einfachsten und effektivsten Verteidigungsmaßnahmen gegen Cyberangriffe, die das Risiko einer Kompromittierung um 99,2 Prozent verringert. Dennoch wird eine zunehmende “MFA-Müdigkeit” festgestellt, die von Cyberkriminellen erzeugt wird, wenn Anwender*innen mit MFA-Benachrichtigungen bombardiert werden, in der Hoffnung, dass solche Anfragen schließlich akzeptiert und den Kriminellen damit Zugang zu einem eigentlich gut geschützten Konto gewährt wird.
Microsoft beobachtete im vergangenen Jahr pro Tag etwa 6.000 Versuche, Nutzer*innen über solche MFA-Anfragen zu zermürben. Darüber hinaus gab es im ersten Quartal 2023 einen dramatischen Anstieg der passwortbasierten Angriffe auf Cloud-Identitäten, insbesondere im Bildungssektor, um das Zehnfache, von etwa 3 Milliarden pro Monat auf über 30 Milliarden – das entspricht durchschnittlich 4.000 Passwortangriffen pro Sekunde auf Microsoft-Cloud-Identitäten in diesem Jahr.
Die einzige sichere Verteidigung ist die kollektive Verteidigung
Das Ausmaß und die Art der im Microsoft Digital Defense Report beschriebenen Bedrohungen können beängstigend erscheinen. Aber andererseits werden an der Technologiefront auch enorme Fortschritte gemacht, um Angriffe abzuwehren, und gleichzeitig werden starke Partnerschaften geschmiedet, die über Grenzen, Branchen und die Kluft zwischen dem privaten und öffentlichen Sektor hinausgehen. Durch diese Partnerschaften wird zunehmend dazu beigetragen, dass wir alle geschützt werden, und deshalb ist es wichtig, dass sie weiter ausgebaut und vertieft werden.
Drei Viertel aller in demokratischen Ländern wahlberechtigter Bürger*innen haben in den kommenden anderthalb Jahren die Möglichkeit, ihre Regierungen neu zu wählen. Sichere Wahlen und starke demokratische Institutionen sind deshalb ein wichtiger Eckpfeiler der gemeinsamen Schutzmaßnahmen.
