Unsere Anwendungen, Systeme und Lösungen verarbeiten täglich mehr als 24 Billionen Sicherheitssignale. Das hilft uns, ein umfassendes Bild von der aktuellen Lage im Bereich Cybersicherheit zu erhalten. In der aktuellen Ausgabe des Microsoft Digital Defense Reports stellen wir die zentralen Erkenntnisse zu Entwicklungen und Trends in der IT-Sicherheit bereit.
58 Prozent aller Cyberattacken von staatlichen Akteuren, die Microsoft im vergangenen Jahr registriert hat, stammten aus Russland. Die Angriffe der russischen Hackergruppen werden dabei immer effektiver: So stieg die Rate erfolgreich kompromittierter Systeme von 21 Prozent im vergangenen Jahr auf 32 Prozent im Jahr 2021. Staatliche Akteure aus Russland haben es dabei zunehmend auf Regierungsbehörden abgesehen, um Informationen zu sammeln. Vor einem Jahr machten solche Attacken noch drei Prozent ihrer Ziele aus, zuletzt waren es bereits 53 Prozent. Betroffen sind vor allem Behörden aus den Bereichen Außenpolitik, nationale Sicherheit und Verteidigung. Zu den drei Ländern, die am stärksten im Visier der staatlichen Akteure aus Russland standen, zählen die Vereinigten Staaten, die Ukraine und das Vereinigte Königreich.
Dies sind nur einige der Erkenntnisse unseres zweiten Microsoft Digital Defense Reports, der die weltweite Bedrohungslage im Zeitraum von Juli 2020 bis Juni 2021 analysiert hat. Seine Ergebnisse zeigen Trends in den Bereichen staatliche Aktivitäten, Cyberkriminalität, Sicherheit von Lieferketten, IoT und OT, Sicherheit in der hybriden Arbeitswelt und Desinformation.
Hier geht es zum kostenlosen Download des Digital Defense Reports.
Staatliche Aktivitäten
Beim Blick auf die Aktivitäten staatlicher Akteure zeigt der Digitale Defense Report, dass nicht allein Angreifer*innen aus Russland ihre Angriffsmethoden weiterentwickelt haben. Spionage ist zudem keineswegs die einzige Motivation für Attacken.
- So kamen nach Russland die meisten beobachteten Angriffe aus Nordkorea, dem Iran und China. Südkorea, die Türkei – neu in unserer Berichterstattung – sowie Vietnam waren ebenfalls aktiv, allerdings in wesentlich geringerem Umfang.
- Auch wenn Spionage der häufigste Grund von Angriffen staatlicher Akteure ist, lassen sich bei einigen Aktivitäten der Angreifer*innen auch andere Ziele ausmachen. So hat der Iran seine Angriffe auf Israel im vergangenen Jahr vervierfacht und inmitten verschärfter Spannungen zwischen den beiden Ländern Attacken gestartet. Als Reaktion auf Sanktionen und COVID-19 nahm Nordkorea hingegen aufgrund wirtschaftlicher Interessen Kryptowährungs-Unternehmen ins Visier.
- 21 Prozent der von uns beobachteten Angriffe staatlicher Akteure zielten dabei auf Verbraucher*innen, 79 Prozent auf Unternehmen. Am stärksten betroffen waren Regierungsbehörden (48 Prozent) sowie Nichtregierungsorganisationen und Thinktanks (31 Prozent).
China steht mit seinem Ziel der Informationsbeschaffung längst nicht alleine da. Gleichwohl ist bemerkenswert, dass gleich mehrere chinesische Akteure eine Reihe von zuvor nicht identifizierten Schwachstellen genutzt haben. Über die HAFNIUM-Angriffe auf Exchange-Server in firmeneigenen Rechenzentren wurde medial viel berichtet. Darüber hinaus hat Microsoft Anfang des Jahres eine Zero-Day-Lücke sowohl bei Pulse Secure VPN als auch bei SolarWinds entdeckt und gemeldet – beide Schwachstellen wurden ebenfalls von chinesischen Akteuren ausgenutzt.
Die Informationsbeschaffung nutzt China für eine Vielzahl von Zwecken: So hat es ein Akteur aus China, genannt CHROMIUM, auf Einrichtungen in Indien, Malaysia, der Mongolei, Pakistan und Thailand abgesehen, um soziale, wirtschaftliche und politische Informationen über seine Nachbarländer zu sammeln. Ein weiterer chinesischer Akteur, NICKEL, hat staatliche Außenministerien in Mittel- und Südamerika und Europa im Blick. Da China seinen Einfluss mit der „Belt-and-Road-Initiative“ auf andere Länder auszuweiten versucht, gehen wir davon aus, dass diese Akteure auch weiterhin Cyberspionage betreiben werden, um Einblicke in Investitionen und Verhandlungen zu bekommen und um Einfluss zu gewinnen. Die chinesischen Hacker*innen sind dabei bemerkenswert hartnäckig. Selbst nachdem wir Chinas Versuche aufgedeckt hatten, Beteiligte der US-Wahlen 2020 auszuspionieren, setzte der Akteur ZIRCONIUM seine Aktivitäten bis zum Wahltag fort.
Insgesamt haben wir unsere Kunden in den vergangenen drei Jahren mehr als 20.000-mal über die Versuche staatlicher Akteure informiert, in ihre Systeme einzudringen. Aber auch wenn diese große Zahl einen anderen Schluss nahelegt: Microsoft kann nicht jeden globalen Cyberangriff beobachten. So haben wir beispielsweise nur einen begrenzten Einblick, wenn Systeme angegriffen werden, die von Unternehmen selbst verwaltet werden – wie z.B. die Angriffe auf Exchange Server zu Beginn dieses Jahres. Das gilt natürlich auch für Angriffe auf Kunden anderer Technologieanbieter. Wir glauben deshalb, dass das Teilen von Daten über solche Bedrohungen mit Kunden, politischen Entscheidungsträgern sowie einer breiteren Sicherheitsgemeinschaft hilfreich wäre – und wir laden alle dazu ein, das auch zu tun.
Cyberkriminalität
Cyberkriminalität – insbesondere Ransomware – bleibt eine ernste und wachsende Bedrohung, wie der diesjährige Bericht zeigt. Doch während staatliche Akteure ihre Opfer meist in der Hoffnung auf nützliche Informationen auswählen, haben es Cyberkriminelle vor allem auf Geld abgesehen. An sich haben die Angriffe aber oft unterschiedliche Profile: Cyberangriffe auf kritische Infrastrukturen – wie der Ransomware-Angriff auf die Colonial Pipeline in den USA – schaffen es zwar oft in die Schlagzeilen. Doch die fünf wichtigsten Branchen, auf die sich unser Detection and Rapid Response Team (DART) im vergangenen Jahr aufgrund von Ransomware-Vorfällen konzentriert hat, waren der Einzelhandel (13 Prozent), Finanzdienstleistungen (12 Prozent), das verarbeitende Gewerbe (12 Prozent), Behörden (11 Prozent) und das Gesundheitswesen (9 Prozent). Die USA sind bei weitem das am stärksten betroffene Land. Dort gibt es mehr als dreimal so viele Ransomware-Angriffe als beim Zweitplatzierten, China. Ihnen folgen Japan, Deutschland und die Vereinigten Arabischen Emirate.
Im vergangenen Jahr hat sich „Cybercrime-as-a-Service“ von einer aufstrebenden, aber schnell wachsenden Branche zu einem ausgereiften kriminellen Wirtschaftszweig entwickelt. Heute kann jede Person – auch ohne ausgeprägte technische Kenntnisse – im Darknet Dienstleistungen erwerben, die für die Durchführung von Angriffen erforderlich sind. Wir beobachten drei Entwicklungen:
- Kriminelle spezialisieren sich aufgrund der gestiegenen Nachfrage zunehmend auf unterschiedliche Standard-Angriffswerkzeuge und erhöhen den Einsatz der Automatisierung, um so die Kosten zu senken und die Reichweite zu erhöhen. Wir haben Werkzeug-Kits gesehen, die für gerade einmal $ 66 US-Dollar zu kaufen sind.
- Verschiedene Anbieter bieten kompromittierte Zugangsdaten an, die für den Zugriff auf Benutzerkonten und die Bereitstellung von Kits erforderlich sind. Wir haben beobachtet, dass Anmeldeinformationen je nach dem angenommenen Wert des Ziels für einen bis $ 50 US-Dollar verkauft werden.
- Treuhanddienste für Kryptowährungen dienen als Vermittler zwischen Käufer*innen und Verkäufer*innen, um sicherzustellen, dass die Angriffswerkzeuge und Anmeldedaten wie angeboten funktionieren. Wir haben zudem begonnen, ausgeklügelte Kits zu identifizieren, die nicht nur die Daten der Opfer an den Kriminellen weitergeben, der das Kit gekauft und eingesetzt hat, sondern heimlich auch an das Unternehmen, das das Kit erstellt hat.
Ransomware ist nach wie vor eine der größten Bedrohungen im Bereich Cyberkriminalität. Der Einsatz von Schadsoftware wurde auch im vergangenen Jahr weiterentwickelt – mit schwerwiegenden Auswirkungen. Dabei geht der Trend weg von automatisierten Angriffen, die auf Volumen und leicht zu zahlende niedrige Forderungen setzen, hin zu einer von Menschen gesteuerten Ransomware. Diese stiehlt Informationen aus Online-Quellen, untersucht die Finanz- und Versicherungsunterlagen des Opfers sowie kompromittierte Netzwerke, um potenzielle Angriffsziele zielgerichtet auszuwählen und so höhere Lösegeldforderungen stellen zu können.
Sicherheit in einer hybriden Arbeitswelt
Da die Online-Bedrohungen immer umfangreicher, ausgefeilter und wirkungsvoller werden, müssen wir alle Maßnahmen ergreifen, um die erste Verteidigungslinie zu stärken. Diese Linie besteht aus den grundlegenden Sicherheitsmaßnahmen, die wir alle unternehmen müssen – ähnlich wie das Zähneputzen zum Schutz vor Karies oder das Anschnallen im Auto.
Dazu gehören zum Beispiel starke Authentisierungsmethoden wie die Multi-Faktor-Authentifizierung (MFA). Bisher nutzen weniger als 20 Prozent unserer Kund*innen dieses Feature. Dabei bieten wir sie kostenlos an, Unternehmen können sie standardmäßig für ihre Benutzerkonten aktivieren. In Kombination mit Anti-Malware und einem regelmäßigen System-Update könnten Funktionen wie MFA Unternehmen vor über 99 Prozent der heutigen Angriffe schützen.
Natürlich spielen Technologieunternehmen wie Microsoft eine wichtige Rolle bei der Entwicklung sicherer Software und fortschrittlicher Cybersicherheitsprodukte sowie bei der Erkennung und Abwehr von Bedrohungen. Unternehmen, die die grundlegenden Maßnahmen zum eigenen Schutz ergreifen, sind jedoch weiter als die ausgefeilten Maßnahmen, die Technologieunternehmen und Behörden zum Schutz ergreifen können. Es gibt auch gute Nachrichten: In den vergangenen 18 Monaten hat die Nutzung von starken Authentifizierungsmethoden um 220 Prozent zugenommen. Unternehmen haben weltweit Maßnahmen ergriffen, um ihre Sicherheitsvorkehrungen in einer hybriden Arbeitsumgebung zu verbessern. Dennoch haben wir noch einen langen Weg vor uns. Dazu gehört es, mehr Fachleute für Cybersicherheit auszubilden, die Organisationen aller Art dabei helfen, sicher zu bleiben. In den kommenden Wochen werden wir dazu mehr berichten.
Grund zur Hoffnung
Es gibt jedoch auch Trends, die uns Hoffnung machen:
- Die US-Regierung hat aus unserer Sicht vorbildliche Schritte unternommen, um die Cybersicherheit mit Hilfe bereits bestehender Gesetze und Befugnisse zu stärken. Die im Mai verkündete Executive Order leistet einen wichtigen Beitrag, um die Sicherheit der US-Bundesregierung sowie derjenigen zu erhöhen, mit denen sie zusammenarbeitet. Die konstruktive Rolle des Weißen Hauses bei der Zusammenarbeit mit der Privatwirtschaft inmitten der HAFNIUM-Angriffe hat einen neuen Standard für die Kooperation bei solchen Zwischenfällen gesetzt.
- Regierungen auf der ganzen Welt führen neue Gesetze ein, die eine Meldepflicht bei der Entdeckung von Cyberangriffen vorschreiben. So bekommen die zuständigen Regierungsbehörden ein Gefühl für das Ausmaß des Problems und können die Vorfälle mit ihren eigenen Ressourcen untersuchen.
- Sowohl Regierungen als auch Unternehmen melden sich oft bereits freiwillig, wenn sie Opfer von Angriffen geworden sind. Diese Transparenz hilft allen, die Herausforderungen in der Cybersicherheit besser zu verstehen, und ermöglicht ein stärkeres Engagement von Behörden und Spezialist*innen.
Die Trends sind eindeutig: Staaten setzen Cyberangriffe zunehmend zum Erreichen ihrer politischen Ziele ein – ob Spionage, Störung oder Zerstörung – und werden dies auch weiterhin tun. Wir gehen davon aus, dass immer mehr Länder offensive Cyberoperationen durchführen werden und dass diese Angriffe immer dreister, hartnäckiger und schädlicher sein werden, wenn es keine ernsthaften Konsequenzen gibt. Wir können sie nur stoppen, wenn wir gemeinsam unsere Fähigkeiten weiterentwickeln. Wir arbeiten mehr denn je daran, diesen Bedrohungen entgegenzuwirken. Aber wir müssen sicherstellen, dass Cybersicherheit in den kommenden Jahren auf der nationalen und internationalen Agenda weit nach oben rückt.
Ein Beitrag von Tom Burt
Corporate Vice President, Microsoft Security and Trust
