Unsere Sicherheitslösungen verarbeiten täglich mehr als acht Billionen digitale Signale, um mit Hilfe von künstlicher Intelligenz und Machine Learning Cyberbedrohungen frühzeitig zu erkennen und abzuwehren. Hinzu kommen mehrere Tausend Sicherheitsexperten aus 77 Ländern, die die Daten interpretieren und auf Basis ihrer langjährigen Erfahrung bewerten. Das versetzt uns in die einzigartige Lage, einen Rundumblick auf die weltweite Sicherheitslage zu werfen und Indikatoren für Trends in der IT-Sicherheit abzuleiten. Unsere Erkenntnisse haben wir im Digital Defense Report 2020 zusammengefasst. Der Bericht ist eine Neuauflage unseres zuvor jährlich erschienen Microsoft Security Intelligence Reports.
Mehr als 470 Milliarden E-Mails, 18 Millionen URLs und 600 Milliarden Dokumente analysieren unsere Sicherheitstools monatlich im Hinblick auf mögliche Sicherheitsrisiken. Diese fassen wir im sogenannten Microsoft Intelligent Security Graphen zusammen. Mehr als 5 Milliarden Angriffe wehren wir so pro Monat ab, ohne dass unsere Kunden es in den meisten Fällen überhaupt mitbekommen.
Doch das sind noch lange nicht alle Bedrohungen. Die Cyberkriminalität ist in den vergangenen Jahren zu einem hochprofessionellen „Geschäft“ herangewachsen. Die einzelnen Akteure sind gut organisiert, äusserst flexibel, bestens ausgerüstet und sie bieten ihre Produkte und Dienste weltweit zum Verkauf an. Erpressung, Diebstahl und Spionage sind Standard-Services im Portfolio globaler Cybercrime-Organisationen. Unser Digital Defense Report 2020 zeigt, dass die Angriffe und Methoden immer komplexer werden und gerade im vergangenen Jahr massiv an Raffinesse gewonnen haben. Die Cyberkriminellen nutzen zwar eine Vielzahl an Techniken, in den letzten zwölf Monaten zeigten sich aber auch eindeutige Präferenzen: Die grösste Bedrohung ging von Phishing unter dem Deckmantel von COVID-19, Ransomware und Angriffen auf das Internet of Things (IoT) aus.
Das sind die fünf wichtigsten Erkenntnisse des desjährigen Digital Defense Reports:
1. Kriminelle Gruppen entwickeln ihre Technik weiter
Hacker nutzen die Gefühlslage der Menschen und die tagesaktuelle Nachrichtenlage für ihre Attacken aus. So konnten wir beobachten, wie sich Angreifer weltweit gezielt die Angst der Menschen vor COVID-19 und ihr Informationsbedürfnis zunutze gemacht haben – beispielsweise durch Phishing. Angesichts der vielen Informationen, die uns bereits für diese Form der Cyberkriminalität zur Verfügung stehen, wenden die Angreifer nun viel Zeit, Geld und Mühe auf, um Betrügereien zu entwickeln, die versiert genug sind, um selbst Fachleute zu Opfern zu machen. Multi-Faktor-Authentifizierung (MFA) bietet einen effektiven Schutz gegen diese Angriffe auf Identitäten.
Auch Social Engineering gehört immer mehr zum Standard-Repertoire von Cyberkriminellen, um vertrauliche Informationen zu beschaffen oder etwa unbefugte Geldtransaktionen durchzuführen. Eine der gängigsten Methoden war im letzten Jahr der sogenannte „CEO Fraud“: Hierbei gibt sich der oder die Angreifer, oft nach monatelanger Beobachtung des Unternehmens und der Zielpersonen, als Vorgesetzte aus und verfasst beispielsweise eine E-Mail mit der Aufforderung für eine Überweisung – in der Hoffnung, dass eine Anweisung vom CEO oder CFO des Unternehmens nicht hinterfragt wird. Auch diese Vorgehensweise haben Cyberkriminelle in den vergangenen Monaten gezielt weiterentwickelt, um auch versierte Nutzer reinzulegen.
2. Staatliche Angreifer suchen sich neue Ziele
Microsoft hat 16 staatliche Akteure ausgemacht, die versuchten, Kunden von uns anzugreifen, die sich besonders stark im Kampf gegen COVID-19 engagieren, oder sich die Krise zunutze gemacht haben, um leichter an sensible Informationen zu gelangen oder Schadsoftware zu verbreiten. Ziel der Attacken waren staatliche Gesundheitseinrichtungen wie auch Forschungseinrichtungen und andere Organisationen, die in die Impfstoffforschung eingebunden sind. Anders als in früheren Jahren spielten Angriffe auf kritische Infrastruktur nur eine untergeordnete Rolle. Interessanterweise waren es vor allem NGOs wie etwa Menschenrechtsorganisationen, die besonders häufig ins Visier der Kriminellen gerieten. Staatliche Angreifer griffen im vergangenen Jahr vor allem auf Schadsoftware und Phishing zurück und nutzten Schwachstellen in Virtual Private Networks (VPN) aus. Zudem setzten sie oft auf Reconnaissance, also Informationsbeschaffung aus öffentlich zugänglichen Quellen, die den Kriminellen bereits vor dem Angriff einen guten Einblick in die betroffenen Systeme ermöglicht.
3. Ransomware wird zu einer immer größeren Gefahr
Konzentrierten sich Cyberkriminelle früher eher auf Malware-Angriffe, haben sie ihren Schwerpunkt nun spürbar auf Ransomware und Phishing verlagert. Organisierte und von Menschen geführte Ransomware-Gangs durchforsten das Internet nach verwundbaren Einstiegspunkten. Die Gruppierungen, die hinter den Erpressungen mit Ransomware stehen, wissen sehr genau über die Abläufe in Unternehmen Bescheid. Die Zeit, die sie zwischen der Kompromittierung eines Netzwerks und der Lösegeldforderung verstreichen lassen, hat sich im Rahmen der COVID-19-Krise immer weiter verkürzt. In manchen Fällen vergingen gerade einmal 45 Minuten. Betroffen waren und sind davon auch deutsche Organisationen, unter anderem aus dem besonders gefährdeten Gesundheitssektor, wie der aktuelle Vorfall an der Uniklinik Düsseldorf oder auch der Angriff auf das Krankenhaus Weilheim-Schongau zu Beginn der Pandemie zeigen.
Oftmals übersteigt der Ressourcenaufwand für das Zurücksetzen bzw. Neuaufsetzen des kompromittierten Systems die ursprüngliche Lösegelderpressung um ein Vielfaches. Doch Unternehmen sollten beachten, dass die Angreifer durch die Attacke oftmals geheime oder vertrauliche Informationen und Dokumente erbeutet haben und sich möglicherweise auch nach Zahlung des Lösegelds eine Hintertür für weitere Angriffe offen lassen. Auch Ransomware-Angreifer nutzen Reconnaissance, um den bestmöglichen Zeitpunkt für den Angriff zu finden – beispielsweise an staatlichen Feiertagen oder in der Ferienzeit, wenn Abteilungen geringer besetzt sind und weniger schnell (z.B. durch Patches) agieren können, um ihr Netzwerk zu stärken.
4. Neue Gefahren durch das Arbeiten aus dem Homeoffice
Die Pandemie hat Millionen von Menschen vom Büro ins Homeoffice wechseln lassen. Während Unternehmen als Reaktion immer mehr Anwendungen in die Cloud migrieren, nutzen Kriminelle sogenannte DDoS-Attacken, um die Zugriffe von Nutzern zu stören – und auch um andere Angriffe auf die jeweiligen Systeme damit zu verschleiern. DDos steht für Distributed Denial of Service, eine Form von Angriffen, bei denen Cyberkriminelle beispielsweise Webserver mit massenhaften Anfragen von verschiedenen Rechnern aus fluten – bis die Serverkapazität ausgereizt ist und der attackierte Online-Dienst vollständig außer Gefecht ist. Daneben spielen Insider-Risiken eine zunehmende Rolle beim Arbeiten aus dem Homeoffice. Zudem registrierten wir in der ersten Jahreshälfte eine steigende Zahl von Brute-Force-Attacken auf Unternehmenskonten, um durch das Austesten aller möglichen Kombinationen Passwörter zu knacken. Immer mehr Unternehmen treten dieser komplexen Bedrohungslage mit einer sogenannten Zero Trust-Strategie entgegen. Diese basiert darauf, Risikosignale über alle Identitäten, Geräte, Anwendungen und Daten hinweg zu prüfen, bevor Zugriff gewährt wird. So wie Cloud-Technologie die Grenzen von Zusammenarbeit neu definiert, helfen unsere KI-Sicherheitsanwendungen dabei, diese grenzenlosen Systeme zu sichern.
5. Gemeinsames Vorgehen trägt entscheidend zur Cybersicherheit bei
Wir bei Microsoft setzen auf eine Vielzahl von technischen und rechtlichen Maßnahmen, die sowohl bei der Abwehr von Angriffen als auch proaktiv wirken. Fest steht für uns jedoch: Es braucht das gemeinsame Handeln von uns allen – das heisst von Politik, Wirtschaft und Einzelpersonen – um die Herausforderungen der Cyberkriminalität bewältigen zu können.
Mehr Informationen zu den aktuellen Entwicklungen und unseren Erkenntnissen gibt‘s im aktuellen Digital Defense Report.
