Microsoft-Bericht über digitale Abwehr für das Jahr 2022
Erkenntnisse aus Billionen von täglichen Sicherheitssignalen
Ein einzigartiger Blickwinkel
Das Ziel des Microsoft-Berichts über digitale Abwehr, der nun schon im dritten Jahr erscheint (zuvor unter dem Namen Microsoft-Intelligence-Bericht mit über 22 archivierten Berichten), ist es, den Wandel der digitalen Bedrohungslandschaft in vier Schwerpunktbereichen zu beleuchten: Cyberkriminalität, Bedrohungen durch Nationalstaaten, Geräte und Infrastruktur sowie Desinformationskampagnen im Cyberspace. Gleichzeitig bietet der Bericht Einblicke und Empfehlungen für die Verbesserung der Cyber-Resilienz.
Microsoft betreut Milliarden von Kunden weltweit, wodurch wir Sicherheitsdaten aus einem breiten und vielfältigen Spektrum von Unternehmen und Verbrauchern erfassen können. Dieser Bericht stützt sich auf die umfangreichen Signaldaten aus dem gesamten Microsoft-Umfeld, einschließlich der Cloud, der Endpunkte und des Intelligent Edge. Dank dieses einzigartigen Blickwinkels erhalten wir ein sehr genaues Bild der Bedrohungslandschaft und des aktuellen Stands der Cybersicherheit, einschließlich Indikatoren, mit deren Hilfe wir die nächsten Schritte der Angreifer vorhersagen können. Transparenz und Informationsaustausch sind für uns von entscheidender Bedeutung, um unseren Kunden zu helfen, widerstandsfähiger gegen Cyberbedrohungen zu werden, und um das Ökosystem zu schützen.
In dieser Zusammenfassung des Berichts erfahren Sie mehr über den Stand der Cyberkriminalität, wie Internet of Things (IoT)-Geräte zu einem immer beliebteren Ziel werden, die neuen Taktiken von Nationalstaaten und den Aufstieg von Cyber-Söldnern, Desinformationskampagnen im Cyberspace und vor allem, wie Sie in diesen Zeiten widerstandsfähig bleiben.
- 43 Billionen Signale, die mithilfe ausgereifter Datenanalysen und KI-Algorithmen täglich synthetisiert werden, um digitale Bedrohungen und strafrechtlich relevante Cyberaktivitäten zu verstehen und sich vor ihnen zu schützen.
- Über 8.500 Fachkräfte aus den Bereichen Technik, Forschung, Datenwissenschaft und Cybersicherheit, Threat Hunter, geopolitische Analysten, Ermittler und Einsatzkräfte für die Frühintervention aus 77 Ländern.
- Über 15.000 Partner in unserem Sicherheitsökosystem, die Cyberresilienz für unsere Kunden erhöhen.
Cyberverbrechen sind weiter auf dem Vormarsch, angetrieben durch eine dramatische Zunahme zufälliger und gezielter Angriffe. Wir beobachten immer vielfältigere Bedrohungen in der digitalen Landschaft mit neuen Cyberangriffsmethoden und einer kriminellen Infrastruktur, die zur Verstärkung des physischen Krieges während der russischen Invasion in der Ukraine eingesetzt wird.
Ransomware-Angriffe stellen eine zunehmende Gefahr für die Bevölkerung dar, da das globale Ökosystem wächst und Cyberkriminelle kritische Infrastrukturen, Unternehmen jeder Größe sowie staatliche und lokale Behörden ins Visier nehmen. Je dreister die Ransomware-Angriffe werden, desto weitreichender sind ihre Folgen. Ein nachhaltiger und erfolgreicher Kampf gegen diese Bedrohung erfordert eine gesamtstaatliche Strategie in enger Partnerschaft mit dem Privatsektor.
Bei der Analyse unserer Reaktions- und Wiederherstellungseinsätze haben wir bei den betroffenen Organisationen durchweg schwache Identitätskontrollen, ineffektive Sicherheitsmaßnahmen und unvollständige Datenschutzstrategien festgestellt.
Dieses Jahr gab es eine deutliche Zunahme von willkürlichem Phishing und dem Diebstahl von Zugangsdaten, um an Informationen zu gelangen, die dann verkauft und für gezielte Angriffe wie Ransomware, Datenexfiltration und Erpressung sowie die Kompromittierung von Geschäfts-E-Mails verwendet werden.
Cybercrime-as-a-Service (CaaS) ist eine wachsende und sich ständig weiterentwickelnde Bedrohung für Kunden weltweit. Die Microsoft Digital Crimes Unit (DCU) hat ein kontinuierliches Wachstum des CaaS-Ökosystems mit einer zunehmenden Anzahl von Online-Diensten festgestellt, die Cyberverbrechen begünstigen, darunter die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) und von Menschen gesteuerte Ransomware. CaaS-Anbieter offerieren zunehmend kompromittierte Zugangsdaten zum Kauf. Wir sehen immer mehr CaaS-Dienste und -Produkte mit erweiterten Funktionen, die die Entdeckung verhindern.
Angreifer finden neue Wege, um Techniken zu implementieren und ihre operative Infrastruktur zu hosten. So werden z. B. Unternehmen kompromittiert, um Phishing-Kampagnen und Malware zu hosten oder ihre Rechenleistung zum Mining von Kryptowährungen zu nutzen. Internet of Things (IoT)-Geräte werden zu einem immer beliebteren Ziel für Cyberkriminelle, die weit verbreitete Botnets einsetzen. Wenn Router nicht gepatcht und direkt im Internet offen zugänglich sind, können Bedrohungsakteure sie missbrauchen, um sich Zugang zu Netzwerken zu verschaffen, bösartige Angriffe auszuführen und sogar ihre Operationen zu unterstützen.
Hacktivismus war im vergangenen Jahr auf dem Vormarsch, wobei Privatpersonen Cyberangriffe zum Zwecke ihrer sozialen oder politischen Ziele durchführten. Im Rahmen des Krieges zwischen Russland und der Ukraine wurden Tausende von Personen mobilisiert, um Angriffe zu starten. Es bleibt abzuwarten, ob sich dieser Trend fortsetzen wird, aber die Technologiebranche muss gemeinsam eine globale Antwort auf diese neue Bedrohung finden.
Der rasante digitale Wandel hat das Cybersicherheitsrisiko für kritische Infrastrukturen und cyber-physische Systeme erhöht. In dem Maße, wie Unternehmen ihre Computingkapazitäten ausbauen und ihre digitale Transformation vorantreiben, um erfolgreich zu sein, nimmt die Angriffsfläche in der digitalen Welt exponentiell zu.
Die schnelle Einführung von IoT-Lösungen hat die Zahl der Angriffsvektoren und das Risiko für Unternehmen vergrößert. Diese Migration übersteigt die Fähigkeit der meisten Unternehmen, mit der Entwicklung Schritt zu halten, da Schadsoftware als Service in großem Maßstab gegen zivile Infrastrukturen und Unternehmensnetzwerke eingesetzt wird.
Wir verzeichnen eine Zunahme von Bedrohungen, die Geräte in allen Bereichen des Unternehmens ausnutzen, von traditionellen IT-Geräten bis hin zu Betriebsreglern (OT) oder einfachen IoT-Sensoren. Dabei haben wir Angriffe auf Stromnetze, Ransomware-Angriffe, die den OT-Betrieb stören, und IoT-Router erkannt, die für eine erhöhte Persistenz ausgenutzt werden. Gleichzeitig werden verstärkt Schwachstellen in der Firmware – Software, die in die Hardware oder Platine eines Geräts eingebettet ist – für schwerwiegende Angriffe ausgenutzt.
Um diesen und anderen Bedrohungen zu begegnen, entwickeln und verfeinern Regierungen auf der ganzen Welt Richtlinien, mit denen die Risiken für die Cybersicherheit kritischer Infrastrukturen gemeistert werden sollen. Viele ergreifen auch Maßnahmen für eine bessere Sicherheit von IoT- und OT-Geräten. Die wachsende globale Welle politischer Initiativen bietet enorme Möglichkeiten zur Verbesserung der Cybersicherheit, stellt die Beteiligten im gesamten Ökosystem aber auch vor Herausforderungen. Da politische Aktivitäten in verschiedenen Regionen, Sektoren, Technologien und Bereichen des operativen Risikomanagements gleichzeitig verfolgt werden, besteht die Gefahr von Überschneidungen und Inkonsistenzen in Bezug auf Umfang, Kriterien und Komplexität der Anforderungen. Organisationen des öffentlichen und privaten Sektors müssen die Chance wahrnehmen, die Cybersicherheit durch zusätzliches Engagement und Bemühungen um mehr Einheitlichkeit zu verbessern.
- 68 % der Befragten glauben, dass die Einführung von IoT/OT für ihre strategische digitale Transformation entscheidend ist
- 60 % erkennen an, dass die IoT/OT-Sicherheit einer der am wenigsten gesicherten Aspekte ihrer Infrastruktur ist
Im vergangenen Jahr haben sich die Cyberbedrohungen durch Nationalstaaten von der Ausnutzung der Software-Lieferkette auf die Ausnutzung der IT-Service-Lieferkette verlagert. Sie zielen auf Cloud-Lösungen und Managed Services Provider ab, um nachgelagerte Kunden in den Bereichen Regierung, Politik und kritische Infrastruktur zu treffen.
In dem Maße, in dem Organisationen ihre Cybersicherheit verstärken, reagieren nationalstaatliche Akteure mit neuen und speziellen Taktiken, um Angriffe durchzuführen und sich der Erkennung zu entziehen. Die Ermittlung und Ausnutzung von Zero-Day-Schwachstellen ist eine wichtige Taktik in diesem Bestreben. Die Zahl der im vergangenen Jahr öffentlich bekannt gewordenen Zero-Day-Schwachstellen entspricht der des Vorjahres, das den höchsten Wert aller Zeiten aufwies. Viele Organisationen halten es für unwahrscheinlicher, Opfer von Zero-Day-Angriffen zu werden, wenn das Sicherheitsrisikomanagement fester Bestandteil ihrer Netzwerksicherheit ist. Die Kommerzialisierung von Exploits führt jedoch dazu, dass sie viel schneller auftreten. Zero-Day-Exploits werden oft von anderen Akteuren entdeckt und binnen kürzester Zeit in großem Umfang weiterverwendet, so dass ungepatchte Systeme gefährdet sind.
Es gibt eine wachsende Zahl von Offensivakteuren aus dem privaten Sektor, die Tools, Techniken und Dienstleistungen entwickeln und an Kunden – oft Regierungen – verkaufen, um in Netzwerke, Computer, Telefone und mit dem Internet verbundene Geräte einzudringen. Während sie für die Nationalstaaten nützlich sind, gefährden diese Akteure oft Dissidenten, Menschenrechtsverteidiger, Journalisten, Vertreter der Zivilgesellschaft und andere Privatpersonen. Solche Cyber-Söldner bieten fortschrittliche „Surveillance-as-a-Service“, die viele Nationalstaaten allein nicht hätten entwickeln können.
Die Demokratie braucht vertrauenswürdige Informationen, um zu gedeihen. Ein Schwerpunktbereich bei Microsoft sind die Desinformationskampagnen, die von den Nationalstaaten entwickelt und verbreitet werden. Diese Kampagnen untergraben das Vertrauen, verstärken die Polarisierung und gefährden demokratische Prozesse.
Insbesondere beobachten wir, dass bestimmte autoritäre Regime zusammenarbeiten, um das Informationsökosystem zu ihrem beiderseitigen Vorteil zu kontaminieren. Ein Beispiel dafür sind die Kampagnen, mit denen der Ursprung des Coronavirus verschleiert werden sollte. Seit Beginn der Pandemie ist verstärkt russische, iranische und chinesische COVID-19-Propaganda im Umlauf.
900 % – jährlicher Anstieg bei der Verbreitung von Deepfakes seit 2019
Wir stehen außerdem am Beginn einer voraussichtlich goldenen Ära der KI-gestützten Medienerstellung und -manipulation, die durch die Verbreitung von Tools und Diensten zur künstlichen Erzeugung hochrealistischer synthetischer Bilder, Videos, Audios und Texte und die Fähigkeit zur schnellen Verbreitung von für bestimmte Zielgruppen optimierten Inhalten vorangebracht wird. Eine längerfristig noch perfidere Bedrohung besteht für unser Verständnis der Wahrheit, wenn wir dem, was wir sehen und hören, nicht mehr vertrauen können.
Der rapide Wandel des Informationsökosystems in Verbindung mit nationalstaatlichen Desinformationskampagnen – einschließlich der Verschmelzung von traditionellen Cyberangriffen mit Desinformationskampagnen und Einmischung in demokratische Wahlen – erfordert einen gesamtgesellschaftlichen Ansatz. Es bedarf einer verstärkten Koordination und eines intensiveren Informationsaustauschs zwischen Regierung, Privatsektor und Zivilgesellschaft, um die Transparenz dieser Desinformationskampagnen zu erhöhen, sie zu entlarven und zu unterbinden.
Es wird immer dringender, auf die zunehmenden Bedrohungen im digitalen Ökosystem zu reagieren. Die geopolitischen Motive der Bedrohungsakteure haben gezeigt, dass Staaten verstärkt offensive Cyberoperationen einsetzen, um Regierungen zu destabilisieren und den globalen Handel zu beeinträchtigen. Da diese Bedrohungen wachsen und sich weiterentwickeln, ist es unerlässlich, Cyber Resilience in Unternehmensstrukturen zu integrieren.
Wie wir gesehen haben, sind viele Cyberangriffe nur erfolgreich, weil grundlegende Sicherheitsmaßnahmen vernachlässigt werden. Die Mindeststandards, die jedes Unternehmen einführen sollte, sind:
- Gründliche Überprüfung: Stellen Sie sicher, dass Benutzerinnen und Benutzer und Geräte vertrauenswürdig sind, bevor Sie ihnen den Zugriff auf Ressourcen erlauben.
- Prinzip der geringstmöglichen Berechtigungen: Lassen Sie nur die Berechtigung zu, die für den Zugriff auf eine Ressource benötigt wird, und nicht mehr.
- Eine Sicherheitsverletzung annehmen: Gehen Sie davon aus, dass Sicherheitsvorkehrungen umgangen wurden und Systeme angreifbar sind. Die Umgebung wird somit laufend auf Angriffsversuche überwacht.
Moderne Antischadsoftware verwenden
Implementieren Sie Software zur Erkennung und automatischen Abwehr von Angriffen, die Ihnen auch Erkenntnisse über Sicherheitsmaßnahmen liefert. Die Überwachung der Erkenntnisse aus Bedrohungserkennungssystemen ist eine wichtige Voraussetzung, um rechtzeitig auf Bedrohungen reagieren zu können.
Alles auf dem aktuellen Stand halten
Nicht gepatchte und veraltete Systeme sind ein Hauptgrund dafür, dass viele Unternehmen zum Ziel eines Angriffs werden. Stellen Sie sicher, dass alle Systeme auf dem aktuellen Stand bleiben – einschließlich Firmware, Betriebssystem und Anwendungen.
Daten schützen
Um einen angemessenen Schutz zu gewährleisten, ist es wichtig zu wissen, wo sich Ihre wichtigen Daten befinden und ob die richtigen Systeme implementiert sind.
Quelle: Microsoft-Bericht über digitale Abwehr, November 2022