IBM hat heute den 2024 X-Force Threat Intelligence Index vorgestellt, aus dem hervorgeht, dass Europa die am häufigsten angegriffene Region der Welt ist. IBM X-Force sieht anhand des Berichts eine sich abzeichnende 'Krise der Identitäten' in Europa und weltweit. Cyberkriminelle missbrauchen Nutzeridentitäten verstärkt zur Kompromittierung von Unternehmen.
Gemäss IBM X-Force, der Abteilung für offensive und defensive Sicherheitsservices von IBM Consulting, haben Cyberkriminelle im Jahr 2023 weltweit mehr Möglichkeiten, sich über gültige Konten in Unternehmensnetzwerke einzuloggen, als diese zu hacken - eine Taktik, die von Angreifern bevorzugt wird. Dies gilt auch für Europa. Die Verwendung gültiger Konten durch Cyberkriminelle ist als Mittel zur Kompromittierung von Unternehmen im Vergleich zum Vorjahr um 66% gestiegen. X-Force Threat Intelligence basiert auf Erkenntnissen und Beobachtungen aus der Überwachung von täglich über 150 Milliarden Sicherheitsereignissen in über 130 Ländern. Darüber hinaus werden Daten aus mehreren Quellen innerhalb von IBM erfasst und analysiert, einschliesslich IBM X-Force Threat Intelligence, Incident Response, X-Force Red, IBM Managed Security Services sowie Daten von Red Hat Insights und Intezer, die zum Bericht 2024 beigetragen haben.
Der Bericht 2024 enthält unter anderem folgende Ergebnisse:
- Im Jahr 2023 war Europa mit 32 % der von X-Force bearbeiteten Vorfälle die am stärksten von Cyberangriffen betroffene Region, vor Nordamerika (26 %), Asien und Pazifik (23 %), Lateinamerika (12 %) sowie dem Nahen Osten und Afrika (7 %). Im Jahr 2023 verzeichnete X-Force die höchste Anzahl von Vorfällen in Europa im Vergleich zu den Vorjahren, mit einem Anstieg von 31 % gegenüber dem Vorjahr.
- Malware war mit 44 % der europäischen Vorfälle die am häufigsten beobachtete Ursache. Ausserdem gab es in Europa mit 26 % der Angriffe die meisten verzeichneten Ransomware-Angriffe weltweit, was mitverantwortlich für Europas Ranking im Jahr 2023 ist.
- Die drei wichtigsten Auswirkungen auf europäische Unternehmen waren das Abgreifen von Anmeldeinformationen - Credential Harvesting - (28 %), Erpressung (24 %) und Datenlecks (16 %).
- Die Fertigungsindustrie war die am häufigsten angegriffene Industrie in Europa (28 %), gefolgt von professionellen Dienstleistungen und Dienstleistungen für Unternehmen und Verbraucher (25 %), Finanzdienstleistungen (16 %) und dem Energiesektor (14 %).
- In Deutschland zielten 39 % der Angriffe auf Einrichtungen des Gesundheitswesens ab, während 23 % der Angriffe auf die Fertigungsindustrie und Finanzinstitute ausgerichtet waren.
- Auf globaler Ebene verzeichnete Europa den höchsten Prozentsatz an Vorfällen im Energiesektor (43 % aller weltweit erfassten Vorfälle) sowie in der Finanz- und Versicherungsbranche (37 %).
Einige der globalen Highlights und Ergebnisse des Berichts 2024 sind:
- Angriffe auf kritische Infrastrukturen machen „Fauxpas“ der Industrie sichtbar. Bei fast 85 % der Angriffe auf kritische Sektoren hätte die Kompromittierung mithilfe von Patches, Multi-Faktor-Authentifizierung oder dem Least Privilege Prinzip - dem Einschränken von Benutzer Accounts - verhindert werden können. Dies zeigt, dass die von der Sicherheitsbranche seit jeher als „Basissicherheit“ bezeichnete Sicherheit schwieriger zu erreichen ist als behauptet.
- Ransomware-Gruppen stellen auf ein schlankeres Geschäftsmodell um. Ransomware-Angriffe auf Unternehmen sind im vergangenen Jahr um fast 12 % zurückgegangen, da sich grössere Unternehmen gegen eine Zahlung und Entschlüsselung zugunsten des Wiederaufbaus ihrer Infrastruktur entschieden haben. Da dieser wachsende Widerstand wahrscheinlich die Umsatzerwartungen der Angreifer aus verschlüsselungsbasierter Erpressung beeinflusst, ist zu beobachten, dass die zuvor auf Ransomware spezialisierten Gruppierungen zunehmend zu Infostealern werden.
- Kein Gewinn durch Angriffe auf generative KI - noch nicht. Laut X-Force-Analyse ist davon auszugehen, dass, sobald eine einzelne generative KI-Technologie einen Marktanteil von 50 % erreicht oder sich der Markt auf drei oder weniger Technologien konsolidiert, Angriffe im grossen Stil gegen diese Plattformen erfolgen werden.
Globale 'Krise der Identitäten' wird sich weiter verschärfen
Cyberkriminelle nutzen heute Milliarden von kompromittierten Anmeldedaten im Dark Web, um gültige Konten zu missbrauchen. Dies ist der Weg des geringsten Widerstands. Im Jahr 2023 hat X-Force beobachtet, dass Angreifer vermehrt in Massnahmen zur Erlangung von Nutzeridentitäten investieren. Infostealing-Malware ist um 266 % gestiegen und zielt darauf ab, persönliche Informationen wie E-Mails, Anmeldedaten für soziale Medien und Messaging-Apps, Bankdaten, Krypto-Wallet-Daten und mehr zu stehlen. Dieser 'leichte Einstieg' für Angreifer ist weitaus schwieriger zu entdecken und erfordert kostspielige Massnahmen von Unternehmen. Laut X-Force waren grössere Vorfälle, die durch die Nutzung gültiger Konten von Angreifern verursacht wurden, mit fast 200% komplexeren Reaktionsmassnahmen der Sicherheitsteams verbunden als der durchschnittliche Vorfall. Sicherheitsverantwortliche müssen zwischen legitimen und bösartigen Benutzeraktivitäten im Netzwerk unterscheiden. In der Tat stellte der IBM 2023 Cost of a Data Breach Report fest, dass bei Sicherheitsverletzungen, die durch gestohlene oder kompromittierte Zugangsdaten verursacht wurden, rund 11 Monate für die Erkennung und Wiederherstellung benötigt wurden – die längste Reaktionszeit im Vergleich zu jedem anderen Infizierungsvektor. Dieser umfangreiche Zugriff auf die Online-Aktivitäten von Nutzern wurde deutlich, als das FBI und die europäischen Strafverfolgungsbehörden im April 2023 ein globales Forum für Cyberkriminalität ausschalteten, das die Anmeldedaten von mehr als 80 Millionen Nutzerkonten sammelte. Identitätsbasierte Angriffe werden voraussichtlich zunehmen. Angreifer nutzen generative KI, um ihre Angriffe zu optimieren. X-Force beobachtete bereits im Jahr 2023 über 800.000 Beiträge zu KI und GPT in Dark-Web-Foren. Dies bestätigt, dass diese Innovationen die Aufmerksamkeit und das Interesse von Cyberkriminellen geweckt haben.
Angreifer „loggen“ sich in kritische Infrastruktur-Netzwerke ein
Fast 70% der von X-Force unterstützten Angriffe weltweit richteten sich gegen Unternehmen mit kritischen Infrastrukturen. Dieses alarmierende Ergebnis verdeutlicht, dass Cyberkriminelle auf die Notwendigkeit der Verfügbarkeit dieser hochwertigen Ziele setzen, um ihre eigenen Ziele zu erreichen. In der EU machte dieser Sektor 74% der Vorfälle aus. 85 % der Angriffe, auf die X-Force in diesem Bereich reagierte, wurden durch die Ausnutzung von öffentlichen Anwendungen, Phishing-E-Mails und die Nutzung von gültigen Konten verursacht. Fast alle Angriffe wurden durch die Ausnutzung von öffentlichen Anwendungen, Phishing-E-Mails und die Nutzung von gültigen Konten verursacht. Letzteres stellt ein erhöhtes Risiko für den Sektor dar, wobei nach Angaben des DHS CISA die Mehrheit der erfolgreichen Angriffe auf Regierungsbehörden, Unternehmen mit kritischer Infrastruktur und staatliche Regierungsstellen im Jahre 2022 die Verwendung gültiger Konten beinhaltete. Dies unterstreicht die Notwendigkeit, dass diese Unternehmen häufiger Belastungstests für ihre Umgebungen durchführen müssen, um potenzielle Risiken zu erkennen und Pläne zur Reaktion auf Vorfälle zu entwickeln.
Generative KI - die nächste grosse Herausforderung
Die von Cyberkriminellen angegriffenen Technologien müssen in den meisten Unternehmen weltweit vorhanden sein, damit Cyberkriminelle von ihren Kampagnen profitieren können. Wie in der Vergangenheit werden auch in Zukunft technologische Voraussetzungen cyberkriminelle Aktivitäten begünstigen. Beispiele hierfür sind Ransomware und die Marktdominanz von Windows Server, BEC-Betrug und die Dominanz von Microsoft 365 oder Kryptojacking und die Konsolidierung des Infrastructure-as-a-Service-Marktes. Es ist sehr wahrscheinlich, dass sich dieses Muster auch auf KI ausweiten wird. X-Force geht davon aus, dass eine generative KI-Marktdominanz die Attraktivität von KI als Angriffsfläche erhöhen könnte. Eine solche Dominanz tritt auf, wenn eine einzelne Technologie einen Marktanteil von 50 % erreicht oder sich der Markt auf drei oder weniger Technologien konsolidiert. Dies könnte weitere Investitionen von Cyberkriminellen in neue Tools auslösen. Obwohl sich die generative KI derzeit in der Phase vor der Massenvermarktung befindet, ist es unerlässlich, dass Unternehmen ihre KI-Modelle sichern. Cyberkriminelle könnten ihre Aktivitäten ausweiten. Unternehmen sollten auch erkennen, dass ihre vorhandene zugrunde liegende Infrastruktur ein Gateway zu ihren KI-Modellen ist. Es bedarf keiner neuen Taktiken von Angreifern, um es zu attackieren. Im Zeitalter der generativen KI ist daher ein ganzheitlicher Sicherheitsansatz erforderlich.