Staatliche Akteure erhöhen Spionageaktivitäten, Cyberangriffe und Desinformationskampagnen

Im vergangenen Jahr waren insgesamt 120 Länder von Cyberangriffen betroffen, die durch staatlich geförderte Spionage ausgelöst wurden. Dabei nahm auch die Zahl von Operationen zu, die gezielt auf die Beeinflussung von Menschengruppen zielen („Influence Operations“, IO). Zeitweise war fast die Hälfte dieser Angriffe gegen NATO-Mitgliedsstaaten gerichtet, mehr als 40 Prozent zielten auf staatliche oder privatwirtschaftliche Organisationen, die an Aufbau und Unterhalt kritischer Infrastrukturen beteiligt sind. Das sind einige der wichtigsten Erkenntnisse der vierten Ausgabe des jährlich erscheinenden Microsoft Digital Defense Report, der die Security-Trends im Zeitraum von Juli 2022 bis Juni 2023 in Bezug auf Aktivitäten von Nationalstaaten, Cyberkriminalität und Verteidigungstechniken erfasst.

Während die Angriffe im vergangenen Jahr oft auf Zerstörung von IT-Infrastrukturen oder finanziellen Gewinn durch Ransomware abzielten, zeigen die aktuellen Daten eine Rückkehr zu Motiven, die auf das Stehlen von Informationen, die heimliche Überwachung von Kommunikation oder auf die Manipulation von Meinungen gerichtet sind. Einige Beispiele:

  • Die russischen Geheimdienste haben ihre Cyberangriffe auf Spionageaktivitäten zur Unterstützung ihres Krieges gegen die Ukraine konzentriert, während sie ihre zerstörerischen Cyberangriffe in der Ukraine und ihre breit angelegten Spionageaktivitäten fortsetzen.
  • Die iranischen Bemühungen ­– früher darauf konzentriert, Netzwerkstrukturen ihrer Angriffsziele auszuschalten – sind jetzt auch darauf angelegt, manipulative Nachrichten zu verbreiten, um die geopolitischen Ziele des Landes zu fördern oder um Daten anzuzapfen, die durch sensible Netzwerke fließen.
  • China hat seine Spionagekampagnen ausgeweitet, um an Informationen zu gelangen, mit denen es seine „Belt and Road“-Initiative (Deutsch „Neue Seidenstraße“) oder seine Regionalpolitik vorantreiben kann. Dazu gehört das Ausspionieren der USA, einschließlich wichtiger Einrichtungen für das US-Militär, um sich Zugang zu den Netzwerken kritischer Infrastrukturunternehmen zu verschaffen.
  • Auch nordkoreanische Akteure haben versucht, Geheimnisse zu stehlen. Dabei haben sie unter anderem ein Unternehmen ins Visier genommen, das sich mit U-Boot-Technologie befasst. Zudem haben sie auf Cyberangriffe gesetzt, um Hunderte von Millionen US-Dollar in Kryptowährung zu entwenden.

Weitere Länder und Sektoren unter Beschuss

Während neben den USA und der Ukraine auch Israel nach wie vor am stärksten von staatlich gelenkten oder unterstützten Angriffen betroffen ist, hat das Ausmass der Angriffe im vergangenen Jahr auch weltweit zugenommen. Dies gilt vor allem für den globalen Süden, insbesondere für Lateinamerika und für die afrikanischen Länder südlich der Sahara. Der Iran hat seine Operationen im Nahen Osten verstärkt. Dabei gehören solche Organisationen zu den Hauptzielen, die an der Politikgestaltung und -umsetzung beteiligt sind. Das spiegelt die Verlagerung des Schwerpunkts auf Spionage wider.

Die am stärksten betroffenen Länder nach Regionen* waren:

 

Europa Naher Osten und Nordafrika Asien-Pazifik
1.      Ukraine (33%) 1.      Israel (38%) 1.      Korea (17%)
2.      Großbritannien (11%) 2.      Vereinigte Arabische Emirate (12%) 2.      Taiwan (15%)
3.      Frankreich (5%) 3.      Saudi-Arabien (9%) 3.      Indien (13%)
4.      Polen (5%) 4.      Jordanien (6%) 4.      Malaysia (6%)
5.      Italien (4%) 5.      Irak (5%) 5.      Japan (5%)
6.      Deutschland (3%) 6.      Bahrain (4%) 6.      Australien (5%)

*Eine detailliertere Aufschlüsselung der Daten befindet sich im Bericht.

Russland und China stützen sich zunehmend auf Diaspora-Gemeinschaften

Sowohl Russland als auch China bauen ihren Einfluss auf verschiedene Diaspora-Gemeinschaften aus. Darunter versteht der Bericht Menschen, die sich mit einem konkreten geografischen Ort identifizieren, aber derzeit anderswo leben, zum Beispiel Flüchtlinge oder Expats. Russland zielt weltweit darauf ab, ukrainische Gemeinschaften einzuschüchtern und Misstrauen zwischen Kriegsflüchtlingen und Aufnahmegemeinschaften in verschiedenen Ländern zu säen – insbesondere in Polen und den baltischen Staaten. China nutzt ein riesiges Netz von koordinierten Konten auf Dutzenden von Plattformen, um verdeckte Propaganda zu verbreiten, die sich direkt an chinesisch-sprachige Gemeinschaften in der ganzen Welt wendet. Darüber verunglimpft China US-Institutionen und zeichnet zugleich ein insgesamt positives Bild des eigenen Landes – durch Hunderte von mehrsprachigen Lifestyle-Influencer*innen.

Konvergenz von Influence Operations (IO) und Cyberangriffen

Nationalstaatliche Akteure setzen neben Cyberoperationen zunehmend Operationen ein, die gezielt auf die Beeinflussung von Menschengruppen gerichtet sind und Propagandabotschaften verbreiten. Diese IO genannten Operationen werden durchgeführt, um nationale und internationale Meinungen zu manipulieren und um demokratische Institutionen in vermeintlich verfeindeten Ländern zu unterminieren. Am gefährlichsten sind solche Operationen im Kontext bewaffneter Konflikte und nationaler Wahlen.

Beispielsweise hat Russland nach der Invasion der Ukraine seine IO-Operationen konsequent mit seinen militärischen Angriffen und Cyberattacken synchronisiert. In ähnlicher Weise liess der Iran auf zerstörerische Cyberangriffe auf die albanische Regierung im Juli und September 2022 jeweils auch eine koordinierte Beeinflussungskampagne folgen, die immer noch andauert.

Trends nach Nationalstaaten

Während die Bedrohungsaktivitäten insgesamt zugenommen haben, lassen sich bei den aktivsten nationalen Akteuren die folgenden Trends beobachten.

  • Russland nimmt NATO-Verbündete der Ukraine ins Visier
    Russische staatliche Akteure haben ihre Aktivitäten im Zusammenhang mit dem Krieg gegen die Ukraine auch auf Kiews Verbündete ausgedehnt, insbesondere auf NATO-Mitglieder. Im April und Mai 2023 hat Microsoft eine Zunahme der Aktivitäten gegen westliche Organisationen beobachtet, von denen 46 Prozent auf NATO-Mitgliedstaaten abzielten, insbesondere auf die USA sowie auf Großbritannien und Polen. Mehrere russische staatliche Akteure gaben sich dabei als westliche Diplomat*innen oder ukrainische Beamt*innen aus und versuchten, über den Zugang zu Konten Einblicke in die westliche Aussenpolitik gegenüber der Ukraine, in Verteidigungspläne und -absichten sowie in Ermittlungen wegen Kriegsverbrechen zu erhalten.
  • China zielt auf die Verteidigung der USA, die Staaten im Südchinesischen Meer und die Partner der Initiative Neue Seidenstraße
    Chinas umfangreiche und ausgeklügelte Aktivitäten stehen für ein doppeltes Streben des Landes nach globalem Einfluss und der Sammlung von Informationen. Zu den Zielen gehören die Verteidigungs- und kritische Infrastruktur der USA, die Anrainerstaaten des Südchinesischen Meeres (insbesondere Taiwan) und sogar Chinas eigene strategische Partner. Zusätzlich zu den zahlreichen Angriffen auf US-Infrastrukturen, die in dem Bericht beschrieben werden, hat Microsoft auch Angriffe chinesischer Akteure auf Partner der Initiative Neue Seidenstrasse beobachtet, darunter auf Malaysia, Indonesien und Kasachstan.
  • Iran bringt neue Angriffe nach Afrika, Lateinamerika und Asien
    Im vergangenen Jahr haben einige iranische staatliche Akteure die Komplexität ihrer Angriffe erhöht.  Der Iran hat nicht nur westliche Länder ins Visier genommen, von denen er glaubt, dass sie Unruhen im Iran schüren, sondern seine geografische Reichweite auch auf asiatische, afrikanische und lateinamerikanische Länder ausgedehnt. An der IO-Front hat der Iran Narrative verbreitet, die auf eine Unterstützung des palästinensischen Widerstands setzen, um für Panik unter israelischen Bürger*innen zu sorgen, schiitische Unruhen in den arabischen Golfstaaten zu schüren und die Normalisierung der arabisch-israelischen Beziehungen zu verhindern. Zudem hat sich der Iran auch um eine bessere Koordination seiner Aktivitäten mit Russland bemüht.
  • Nordkorea nimmt unter anderem russische Organisationen ins Visier
    Nordkorea hat seine Cyber-Operationen im vergangenen Jahr weiter verfeinert, insbesondere für den Diebstahl von Kryptowährungen und für Angriffe auf weltweite Lieferketten. Darüber hinaus nutzt das Land Spear-Phishing-E-Mails und LinkedIn-Profile, um weltweit Expert*innen anzusprechen und Informationen zu sammeln. Trotz des jüngsten Treffens zwischen Putin und Kim Jong-Un nimmt Nordkorea auch Russland ins Visier, insbesondere um Informationen über Atomenergie, Verteidigung und Regierungspolitik zu sammeln.

KI sorgt für neue Bedrohungen – und für neue Chancen auf ihre Abwehr

Cyberkriminelle setzen künstliche Intelligenz (KI) als Waffe ein, um beispielsweise Phishing-Mails sowie die Beeinflussung durch synthetische Bilder zu verbessern. KI wird in Zukunft aber auch im Kern einer besseren Verteidigung stehen, weil sie Aspekte der Cybersicherheit wie die Erkennung von Bedrohungen sowie die Reaktion, Analyse und Vorhersage automatisiert und erweitert. KI hilft mit ihren großen Sprachmodellen (Large Language Models, LLM), aus komplexen Daten Erkenntnisse und Empfehlungen in natürlicher Sprache zu generieren und Analyst*innen so effektiver und reaktionsschneller zu machen.

Wir erleben bereits, wie KI einen konstruktiven Beitrag zur Cyberabwehr leistet. In der Ukraine beispielsweise hat KI bei der Abwehr von aus Russland gestarteten Cyberangriffen geholfen.

Da transformative KI viele Aspekte der Gesellschaft nachhaltig verändern wird, müssen wir ethische Praktiken einführen, die das Vertrauen in die Technologie und den Schutz personenbezogener Daten verbessern. Generative KI-Modelle erfordern von uns die Weiterentwicklung der Cybersicherheit, damit wir neue Herausforderungen bewältigen können, die sich zum Beispiel aus der Möglichkeit ergeben, realistische Inhalte in Text, Bild, Video und Audio zu generieren. Selbstverständlich werden auch Cyberkriminelle diese Möglichkeiten nutzen, um Fehlinformationen oder bösartigen Code zu verbreiten.

Um diesen neuen Bedrohungen immer einen Schritt voraus zu sein, werden wir all unsere KI-Produkte und -Dienstleistungen so entwickeln und nutzen, dass wir damit unsere hohen ethischen Prinzipien einhalten.

Aktueller Stand der Internetkriminalität

Das Katz-und-Maus-Spiel zwischen Cyberkriminellen und Verteidiger*innen setzt sich auf einer immer höheren Ebene fort. Während die Angreifenden das Tempo ihrer Angriffe im vergangenen Jahr erheblich erhöht haben, konnten die in Microsoft-Produkten integrierten Schutzmechanismen viele Dutzend Milliarden Malware-Bedrohungen blockieren und 237 Milliarden Brute-Force-Angriffe auf Passwörter sowie 619.000 DDoS-Angriffe (Distributed Denial of Service) abwehren, die darauf abzielten, einen Server, einen Dienst oder ein Netzwerk durch eine Flut von Internetanfragen lahmzulegen.

Kriminelle versuchen, ihre Anonymität und Effektivität zu erhöhen. Remote Encryption, die Verschlüsselung von Daten aus der Ferne, dient dazu, ihre Spuren zu verwischen, aber sie nutzen auch cloudbasierte Tools und virtuelle Maschinen. Durch bessere private und öffentliche Partnerschaften geraten sie jedoch zunehmend in das Fadenkreuz der Strafverfolgungsbehörden. So wurde beispielsweise ein als „Target“ bekannt gewordener Ransomware-Betreiber enttarnt, und es kam zu Verhaftungen und Anklagen. Cyberkriminelle suchen jedoch weiterhin nach den einfachsten Einstiegspunkten in Systeme, und es bedarf kontinuierlicher und beschleunigter Anstrengungen, um ihnen dabei einen Schritt voraus zu sein.

Ransomware-Angriffe werden immer raffinierter und schneller

Die Auswertung von Telemetriedaten durch Microsoft zeigt, dass Unternehmen seit September 2022 einen Anstieg der von Menschen durchgeführten Ransomware-Angriffe um 200 Prozent hinnehmen mussten. Bei diesen Angriffen handelt es sich in der Regel nicht um automatisierte Angriffe, sondern um Attacken, die auf eine konkrete Organisation abgestimmt sind und individuelle Lösegeldforderungen stellen.

Angreifende entwickeln ihre Techniken auch weiter, um so wenig Spuren zu hinterlassen wie möglich. Fast zwei Drittel, 60 Prozent, verwenden Remote-Encryption. Dadurch hebeln sie prozessbasierte Abhilfemassnahmen aus.

Diese Angriffe zeichnen sich auch dadurch aus, dass sie nicht-verwaltete oder private Geräte angreifen, um über sie Zugriffe auf Netzwerke zu erhalten. Mehr als 80 Prozent aller Kompromittierungen, die wir beobachtet haben, gehen von solchen nicht-verwalteten Geräten aus. Die Betreiber von Ransomware nutzen zudem zunehmend Schwachstellen in wenig verbreiteter Software aus. Das macht es schwieriger, Angriffe vorherzusehen und abzuwehren.

Kriminelle, die Ransomware für die Erpressung ihrer Opfer einsetzen, drohen zunehmend damit, gestohlene Informationen der Öffentlichkeit preiszugeben, um ihren Forderungen nach Lösegeldzahlungen Nachdruck zu verleihen. Seit November 2022 haben wir eine Verdoppelung der potenziellen Daten-Exfiltrationen nach der Kompromittierung einer IT-Infrastruktur beobachtet. Allerdings steht nicht jeder Datendiebstahl im Zusammenhang mit dem Einsatz von Ransomware; er kann auch zum Abfangen von Anmeldeinformationen oder zur Spionage durch einen Staat erfolgen.

Multi-Faktor-Authentifizierung (MFA): Cyberkriminelle erzeugen eine zunehmende Müdigkeit bei den Nutzer*innen

Die Multi-Faktor-Authentifizierung (MFA) wird immer häufiger als Authentifizierungsmethode genutzt. Bei einer MFA müssen Nutzer*innen zwei oder mehr Identifizierungsfaktoren angeben, um Zugang zu einer Website oder Anwendung zu erhalten – zum Beispiel ein Passwort zusammen mit einer Gesichtserkennung oder einem eindeutigen Passcode. MFA ist eine der einfachsten und effektivsten Verteidigungsmassnahmen gegen Cyberangriffe, die das Risiko einer Kompromittierung um 99,2 Prozent verringert. Dennoch stellen wir eine zunehmende „MFA-Müdigkeit“ fest, die von Cyberkriminellen erzeugt wird, wenn sie Anwender*innen mit MFA-Benachrichtigungen bombardieren, in der Hoffnung, dass sie solche Anfragen schließlich akzeptieren und den Kriminellen damit Zugang zu einem eigentlich gut geschützten Konto gewähren.

Microsoft beobachtete im vergangenen Jahr pro Tag etwa 6.000 Versuche, Nutzer*innen über solche MFA-Anfragen zu zermürben. Darüber hinaus gab es im ersten Quartal 2023 einen dramatischen Anstieg der passwortbasierten Angriffe auf Cloud-Identitäten, insbesondere im Bildungssektor, um das Zehnfache, von etwa 3 Milliarden pro Monat auf über 30 Milliarden – das entspricht durchschnittlich 4.000 Passwortangriffen pro Sekunde auf Microsoft-Cloud-Identitäten in diesem Jahr.

Die einzige sichere Verteidigung ist die kollektive Verteidigung

Das Ausmass und die Art der im Microsoft Digital Defense Report beschriebenen Bedrohungen können beängstigend erscheinen. Aber wir machen andererseits an der Technologiefront auch enorme Fortschritte, um Angriffe abzuwehren, und gleichzeitig schmieden wir starke Partnerschaften, die über Grenzen, Branchen und die Kluft zwischen dem privaten und öffentlichen Sektor hinausgehen. Diese Partnerschaften tragen immer mehr dazu bei, uns alle zu schützen, und deshalb ist es wichtig, dass wir sie weiter ausbauen und vertiefen.

Drei Viertel aller in demokratischen Ländern wahlberechtigter Bürger*innen haben in den kommenden anderthalb Jahren die Möglichkeit, ihre Regierungen neu zu wählen. Sichere Wahlen und starke demokratische Institutionen sind deshalb ein wichtiger Eckpfeiler unserer gemeinsamen Schutzmassnahmen.


Ein Beitrag von Tom Burt
Corporate Vice President, Customer Security and Trust

Tom Burt

Related Posts

KPMG Schweiz gewinnt den Schweizer Microsoft Country Partner of the Year Award 2024

KPMG Schweiz ist für seinen wegweisenden Einsatz von künstlicher Intelligenz (KI) in der Dienstleistungsbranche ausgezeichnet worden und hat den renommierten Partner of the Year Award für seine innovative Partnerschaft mit Microsoft erhalten. Dank dieser Zusammenarbeit konnte KMPG seine Dienstleistungen mithilfe modernster KI-Technologie, darunter Azure OpenAI und Copilot für Microsoft 365, entscheidend ausbauen.

KPMG Suisse gagne le Swiss Microsoft Country Partner of the Year Award 2024

KPMG Suisse a été récompensé pour son utilisation pionnière de l’intelligence artificielle (IA) dans les services professionnels, en recevant le prestigieux prix « Partner of the Year » pour son partenariat innovant avec Microsoft. Cette collaboration a été essentielle dans l’engagement de KPMG à améliorer ses services avec des technologies d’IA de pointe, y compris Azure OpenAI et Copilot pour Microsoft 365.

KPMG Switzerland wins the Swiss Microsoft Country Partner of the Year Award 2024

KPMG Switzerland has been recognized for its trailblazing use of artificial intelligence (AI) in professional services, receiving the prestigious Partner of the Year Award for its innovative partnership with Microsoft. This collaboration has been instrumental in KPMG’s commitment to enhancing its services with state-of-the-art AI technologies, including Azure OpenAI and Copilot for Microsoft 365.

How to unlock new experiences on your Copilot+ PC

Copilot+ PCs are our fastest, most intelligent Windows PCs ever and are available for pre-order today and generally available beginning on June 18th. Today, we’re excited to share more information about our new advanced AI experiences that enable you to do things you can’t on any other PC, helping you be more productive, creative and communicate more effectively. These experiences are only available on new Copilot+ PCs.

Neue Anwendungen auf Copilot+ PC

Copilot+ PCs sind unsere schnellsten und intelligentesten Windows PCs. Sie können ab heute vorbestellt werden und sind ab dem 18. Juni im Handel verfügbar. Wir freuen uns, Ihnen heute Neuigkeiten zu fortschrittlichen KI-Anwendungen mitzuteilen, die so noch auf keinem anderen PC möglich und nur auf den neuen Copilot+ PCs verfügbar sind. Die Anwendungen werden Ihnen helfen, produktiver und kreativer zu sein und effektiver zu kommunizieren.