Mit dem Ausbruch von COVID-19 und dem gestiegenen Informationsbedürfnis in der Bevölkerung nahm auch die Bedrohungslage durch Hackerangriffe unter dem Deckmantel des Virus‘ zu. Das zeigt deutlich: Auch Cyberkriminelle haben sich an die „neue Normalität“ angepasst. Bemerkenswert ist dabei, wie sich die Angriffswelle seit Beginn der Pandemie global und regional entwickelt hat – und wie eng sie mit der Verbreitung des Virus’ selbst verknüpft ist.
Zurück zum Beginn des Jahres: Am 11. Februar gab die Weltgesundheitsorganisation (WHO) dem neuartigen Virus den offiziellen Namen COVID-19. Dieser Tag markiert auch den Startpunkt für die Cyberattacken im Zusammenhang mit der Pandemie. So nahmen in der Woche nach der WHO-Erklärung themenbezogene Angriffe um das Elffache zu. Auch wenn diese Art der Attacken weniger als zwei Prozent der von Microsoft insgesamt in diesem Monat beobachteten Angriffe ausmachte, war klar, dass Hacker sich die Situation zunutze machen wollten.
Den weltweiten Höhepunkt der Angriffe mit COVID-19-Bezug konnten wir in den ersten beiden Märzwochen beobachten. Das fiel mit den Maßnahmen vieler Länder zusammen, die Reisefreiheit zu beschränken, um die Ausbreitung des Virus‘ einzudämmen. Bis Ende März war jedes Land der Welt Opfer mindestens eines Angriffs unter dem Deckmantel von Corona geworden.
Alte Methoden in neuen Gewändern
Der Anstieg der COVID-19-bezogenen Angriffe spiegelte die Entwicklung der Pandemie genau wider. Aber stellten diese Attacken neue Angriffsformen dar oder handelte es sich um bereits bekannte Bedrohungen mit einer neuen Ausrichtung? Um diese Frage zu klären, haben unsere Sicherheitsexpert*innen Informationen zu Endpunkten, E-Mails, Daten, Identitäten und Anwendungen analysiert. Ihr Fazit: Die Angriffswelle ging vor allem von bekannten Angreifer*innen aus, die ihre bestehende Infrastruktur und Malware mit neuen Ködern nutzten.
Tatsächlich unterscheidet sich der Gesamttrend der weltweiten Malware-Erkennungen seit Ausbruch der Pandemie nicht wesentlich von der Zeit vor COVID-19. Die Spitze der Corona-bezogenen Angriffe stellt kaum einen Bruchteil des Gesamtvolumens der Bedrohungen dar, die wir normalerweise in einem Monat sehen. Malware-Kampagnen, Angriffsinfrastruktur und Phishing-Angriffe zeigten alle Anzeichen für ein opportunistisches Verhalten der Kriminellen, die sich zweckmäßig an die aktuelle Lage anpassten. Diese Verschiebungen sind typisch für die globale Bedrohungslandschaft.
Ziel ihrer Schadsoftware waren dabei Einzelpersonen sowie systemrelevante Industrien wie der Gesundheitssektor, die an der Eindämmung des Virus‘ arbeiteten. Auffällig war jedoch, dass die Globalität der Pandemie und ihre Auswirkungen es den Hackern besonders leicht machten. Sie beuteten unsere Besorgnis und unser Informationsbedürfnis zu ihrem individuellen Vorteil aus.
Sicherheit und Schutz in der „neuen Normalität“
Nach ihrem Höhepunkt im März wurden die themenbezogenen Angriffe Teil unserer „neuen Normalität“. So ist ihre schiere Anzahl noch immer deutlich höher als Anfang Februar, das wird voraussichtlich über die gesamte Zeit der Pandemie andauern. Der größte Teil der Bedrohungslandschaft beinhaltet typische Methoden wie Phishing und Identitätsmissbrauch.
Cyberkriminelle sind anpassungsfähig und kreativ, sie suchen immer neue Wege, um ihre Opfer zu finden. Ihr Ziel besteht darin, größtmögliche Beute zu machen – bei möglichst geringem Risiko. Die Sicherheitsbranche konzentriert sich oftmals auf komplexe und fortgeschrittene Angriffstechniken. Doch im Alltag geht das größere Risiko davon aus, dass Menschen dazu verlockt werden, unbekannte Programme auszuführen oder schadhafte Dokumente zu öffnen – das haben glücklicherweise auch viele IT-Verantwortliche erkannt. So können wir seit April beobachten, dass Unternehmen weltweit mehr in Schulungen investieren, um das Bewusstsein ihrer Beschäftigten für die Gefahrenlage zu schärfen.
Die Cyberattacken verliefen regional
Cyberkriminelle nehmen meist den einfachsten Weg: Um den Köder für potenzielle Opfer auszulegen, nutzen sie beispielsweise lokale Schlagzeilen und passen ihre Angriffe dem Standort oder der Umgebung des anvisierten Opfers an, wie Studien zeigen. So sieht die eingehende Schadsoftware zum Beispiel aus wie ein im Unternehmen lange erwartetes Dokument. Während des COVID-19-Ausbruchs ahmten Cyberkriminelle die lokalen Entwicklungen der Pandemie und die Reaktionen darauf genau nach. Werfen wir einen Blick auf drei Länder, um den Zusammenhang zwischen lokalen Ereignissen und Cyberattacken zu verdeutlichen:
- Vereinigte Staaten: Die Angriffe mit COVID-19-Bezug folgten in den USA weitgehend dem globalen Angriffstrend. Die Attacken erreichten ihren ersten Höhepunkt Ende Februar, zeitgleich mit dem ersten bestätigten Todesfall im Land. Mitte März, parallel zum angekündigten internationalen Reiseverbot, erreichten sie den Höchstwert. In der letzten Märzhälfte gingen die Corona-bezogenen Angriffe deutlich zurück. Zwischen April und Mai pendelte sich die Zahl der Angriffe bei 20.000 bis 30.000 pro Tag ein.
- Vereinigtes Königreich: Die Angriffe auf Großbritannien folgten zunächst dem globalen Trend, stiegen aber früh sprunghaft an. Wie in den Vereinigten Staaten führte der erste bestätigte britische COVID-19-Todesfall zu einem Höhepunkt. Die Angriffskurve stieg weiter an und erreichte ihren höchsten Stand Mitte März, als die USA die Ausreise nach Europa untersagten. In der zweiten Märzhälfte informierte die Regierung des Vereinigten Königreichs verstärkt die Öffentlichkeit. Bis zum 5. April nahmen die Angriffe stark ab. Königin Elisabeth II. richtete sich an diesem Tag in einer außergewöhnlichen Ansprache an die Nation. Am Tag darauf wurde Premierminister Boris Johnson auf die Intensivstation verlegt. Die Daten zeigen eine entsprechende Zunahme der Angriffe bis zum 12. April, dem Tag, an dem der Premierminister aus dem Krankenhaus entlassen wurde. Bis Ende April pendelte sich die Anzahl der COVID-bezogenen Angriffe bei etwa 3.500 täglich ein. Anfang Mai verkündete die britische Regierung, das Land habe den Höhepunkt der Infektionen überschritten. Die Angriffe gingen deutlich zurück, auf etwa 2.000 Angriffe pro Tag.
- Republik Korea: Die Republik Korea war eines der ersten von COVID-19 betroffenen Länder – und eines der aktivsten bei der Bekämpfung des Virus‘. Analog zum weltweiten Trend erreichte auch Korea Anfang März den ersten Höhepunkt der Angriffe. Der Anstieg der Bedrohungen verlief im Vergleich zum weltweiten Durchschnitt jedoch steiler. Interessanterweise waren die Corona-bezogenen Angriffe Anfang Februar trotz der frühen Auswirkungen des Virus‘ minimal. Erst Mitte Februar nahmen die Cyberattacken Fahrt auf. Ausschlaggebend waren Schlüsselereignisse wie die Identifizierung von Patient*innen der religiösen Organisation Shincheonji, die Sperrung von Militärbasen und internationale Reisebeschränkungen. Verstärkte Tests und Transparenz über den Ausbruch führten schließlich zu einer Abwärtsentwicklung der Angriffe in der ersten Märzhälfte. Bis Ende Mai wich der Trend zu COVID-bezogenen Angriffen In Korea jedoch deutlich von der globalen Entwicklung ab. Entgegen des weltweiten Trends nahmen die Cyberattacken zu und erreichten um den 23. Mai ihren Höhepunkt. Eine atypische Entwicklung, deren Analyse noch nicht abgeschlossen ist.
Lehren aus der Pandemie
Insgesamt stellen die COVID-19-Angriffe nur einen kleinen Prozentsatz der Gesamtbedrohungen dar, die wir in den letzten Monaten beobachten konnten. Aus unseren Analysen können wir jedoch wichtige Erkenntnisse über die globale Bedrohungslage ableiten:
- So passen Cyberkriminelle ihre Taktik an, um lokale Ereignisse für ihre Zwecke zu nutzen. Sie verändern ihre Köder schnell, während die zugrunde liegenden Malware-Infrastrukturen bestehen bleiben.
- Die Bedrohungslage ist auf globaler Ebene konstant. Wer Unternehmen und Einzelpersonen schützen will, investiert daher am besten in bereichsübergreifende Signalanalysen, die Bereitstellung von Sicherheitsupdates und Schulungen der Anwender*innen.
- Um Systeme und Nutzer*innen effektiv zu schützen, ist es wichtig, das Verhalten der Angreifer*innen in den Blick zu nehmen, nicht nur ihren Angriffsmethoden.
Um Unternehmen und Organisationen beim Schutz vor Cyberattacken zu unterstützen, haben wir Microsoft Threat Protection (MTP) entwickelt. Damit können unsere Kund*innen ihre Verteidigung koordinieren und Schutz, Erkennung und Reaktion über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg orchestrieren. Microsoft Secure Score unterstützt sie zudem bei der Bewertung und Messung ihrer Sicherheitslage sowie bei der Anwendung empfohlener Verbesserungsmaßnahmen, Anleitungen und Kontrollen. Mithilfe des zentralen Dashboards im Microsoft 365 Security Center können Unternehmen ihre Sicherheitslage vergleichen und Leistungskennzahlen (KPIs) festlegen.
Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos