Bedrohungen nehmen zu, während die Investitionen in die Informationssicherheit gesunken sind. Was ist bis 2030 zu erwarten?

Wenn Sie Ökonomen fragen, in welche Richtung sich bestimmte Sektoren in der Zukunft bewegen werden und wo die meisten Investitionen getätigt werden, steht die Cybersicherheit normalerweise unter den Top drei, neben Investitionen in technologische Entwicklungen. In Kroatien schützt die Nationale CERT-Abteilung den kroatischen Cyberraum seit 15 Jahren. Diese Abteilung ist Teil des kroatischen akademischen und Forschungsnetzwerks CARNET, das sich mit der Bearbeitung von Cybersecurity-Vorfällen, der Sensibilisierung und der Aufklärung der kroatischen Bürger über Cybersicherheit beschäftigt.

Im Jahr 2022 bearbeitete CERT insgesamt 1.296 Cybersecurity-Vorfälle, was einem Anstieg von sieben Prozent im Vergleich zu 2021 entspricht. An der Spitze stehen Phishing und Phishing-URLs als Betrugsformen, gefolgt von Betrügereien.

Alles beginnt mit Identitätsdiebstahl

So viel wie 42,6 Prozent aller bearbeiteten Vorfälle sind Fälle von Phishing (Online-Identitätsdiebstahl). Eine signifikante Veränderung, sagen sie bei CERT, bezieht sich auf den Anstieg der Anzahl von Vorfällen, die als Betrügereien klassifiziert werden, die 2022 aufgrund der gestiegenen Anzahl von Bürgerberichten über diese Art von Vorfällen den zweiten Platz einnahmen.

– Als die größten Cyberbedrohungen für Unternehmen und Einzelpersonen würden wir sicherlich Phishing und Ransomware erwähnen. Phishing, weil es der häufigste Angriffsvektor ist, was bedeutet, dass alles mit Phishing beginnt. Bürger werden täglich von zunehmend ausgeklügelten Phishing-Kampagnen bedroht, die darauf abzielen, persönliche und Bankdaten zu stehlen. Neben Phishing-Nachrichten gibt es Phishing-URLs, die legitime Systeme und gefälschte Online-Shops bekannter Modemarken imitieren. Wir würden Ransomware als die nächste signifikante Bedrohung erwähnen, da sie Ausfallzeiten oder sogar Betriebsunterbrechungen aufgrund von Datenverlust verursachen kann, und die Opfer sind nicht nur Unternehmen, sondern auch Einzelpersonen – erklären sie bei CERT.

Im Januar 2023 bearbeitete das Nationale CERT insgesamt 139 Vorfälle, und es kann geschlossen werden, dass seit Jahresbeginn die Anzahl der Bedrohungen von Betrugsarten – CEO-Betrug und BEC (Business Email Compromise), Betrügereien, die sich gegen Banknutzer richten, Phishing-Betrügereien unter Verwendung von QR-Codes, kritische Schwachstellen in VMware ESXi-Hypervisoren, Betrügereien, bei denen bösartige Anhänge per E-Mail mit dem Ziel geliefert werden, Zugangsdaten für Microsoft-Systeme zu stehlen, und Betrügereien, die das e-Citizens-System imitieren, zugenommen hat.

Opferprofil

Die häufigsten Ziele in der Wirtschaft sind, wie CERT bestätigt, nach wie vor Banken und deren Kunden, gefolgt von Energieanlagen, Gesundheitseinrichtungen sowie kleinen und mittelständischen Unternehmen.

– Banken und Energieanlagen haben das höchste Schutzniveau, aber aufgrund potenziell hoher Belohnungen sind sie ständig Ziele von Cyberkriminellen. Kleine und mittelständische Unternehmen, die oft nicht denken, dass sie Opfer eines Cyberangriffs werden könnten, sind besonders anfällig. Ransomware-Angriffe, die eine Zahlung verlangen, um möglicherweise wieder Zugang zu ihren Daten zu erhalten, können neben dem Reputationsschaden Ausfallzeiten oder sogar Betriebsunterbrechungen verursachen. Angreifer überwachen Ereignisse und passen ihre Aktionen an aktuelle Themen an. So hatten wir in Kroatien Beispiele für Angriffe, die sich gegen mobile Banking-Nutzer richteten, indem sie das Thema des Übergangs zum Euro für den Angriff nutzten – betonen sie bei CERT.

—

—

Das Innenministerium fügte hinzu, dass Cybervorfälle oft in Form von Kampagnen auftreten; während solcher Zeiten wird in kurzer Zeit eine sehr große Anzahl von Vorfällen mit gemeinsamen Merkmalen aufgezeichnet. Gezielte Angriffe auf ein sehr spezifisches Ziel (z. B. ein bestimmtes Unternehmen) sind seltener, aber diese Angriffe sind normalerweise hochgradig ausgeklügelt.

Angesichts der Trends steigender Angriffsanzahlen und ihrer wachsenden Raffinesse ist es überraschend, dass die Investitionen der Unternehmen in ihre eigene Cybersicherheit zurückgehen. CERT präsentierte Daten aus dem Bericht der Europäischen Union Agentur für Cybersicherheit (ENISA) ‚NIS Investments 2022‘, der Ende 2022 veröffentlicht wurde, und stellte fest, dass der Anteil des gesamten IT-Budgets der Unternehmen für Informationssicherheit 6,7 Prozent beträgt, was ein Prozent weniger im Vergleich zu 2021 ist.

– Große Unternehmen in der EU geben im Durchschnitt 120.000 Euro pro Jahr für Cybersicherheit aus, während kleine und mittelständische Unternehmen im Durchschnitt 5.500 Euro ausgeben. Der Bankensektor investiert am meisten in Cybersicherheit, was nicht überraschend ist, da der durchschnittliche Schaden durch einen Cybersecurity-Vorfall in diesem Sektor 300.000 Euro beträgt, zusammen mit Reputationsschäden – fügen sie bei CERT hinzu.

Straftaten

Obwohl die Investitionen in Cybersicherheit im Vergleich zu 2021 niedriger sind, sagen Experten, dass die Gesamtausgaben für Cybersicherheit seit 2016 erheblich gestiegen sind, als die NIS-Richtlinie verabschiedet wurde, die Standards und Anforderungen für Cybersicherheit in der EU festlegte. Wir fragten CERT, ob sich das Profil der Hacker, die an Cyberkriminalität beteiligt sind, ändert und in welche Richtung, worauf wir die Antwort erhielten, dass es nicht ganz korrekt sei, Hacker ausschließlich im negativen Kontext zu betrachten.

– Eine Definition eines Hackers ist, dass es sich um eine Person handelt, die eine intellektuelle Herausforderung genießt, bei der die Einschränkungen eines Programms oder Systems kreativ umgangen werden, nicht unbedingt eines Computerprogramms – erklären sie bei CERT und fügen lebhaft ein Sci-Fi-Profil hinzu.

So wird heute der Cyberraum auf der einen Seite von Cybersicherheitsexperten bewacht, während auf der anderen Seite die dunklere Seite von sogenannten Akteuren und/oder Hackern angegriffen wird. Die Gründe, Motivationen und Ziele von Cyberangriffen variieren, aber einige der häufigsten sind finanzieller Gewinn, vertrauliche und persönliche Informationen, Neugier, Politik oder sich selbst zu beweisen.

Täter, die unbefugten Zugriff auf Computersysteme ausüben, begehen Straftaten, wie sie in Kapitel XXV des Strafgesetzbuches beschrieben und definiert sind. Das Innenministerium stellt fest, dass trotz des wachsenden Bewusstseins der Bürger, dass Cyberangriffe Straftaten sind, die gemeldet werden müssen, die Anzahl der nicht gemeldeten Cybervorfälle nach wie vor recht hoch bleibt, obwohl sie im Vergleich zu früheren Perioden zunimmt.

– Bürger und Unternehmen melden solche Ereignisse in der Regel nicht der Polizei, wenn sie den Schaden selbst beheben können, da sie eine Kopie der Daten (Backup) besitzen, und wenn sie keine Daten verlieren, die für das Geschäft wesentlich sind, sehen sie keinen Grund, eine Strafanzeige zu erstatten. Es ist jedoch ratsam, dass die betroffene Partei das Ereignis meldet, um mögliche sekundäre Folgen zu vermeiden. Der Täter kann die während des Eindringens in ein fremdes Computersystem (Bankdaten, nicht öffentliche persönliche und geschäftliche Daten, Passwörter, entdeckte Schwachstellen des Computersystems…) erhaltenen Daten nutzen, um weitere Straftaten zu begehen – betonen sie im Innenministerium.

Notwendige Hygiene

Die begehrtesten Ziele sind nach wie vor größere Unternehmen, aber sie investieren auch am meisten in den Schutz. CERT stellt fest, dass Unternehmen Cyberbedrohungen als reale Gefahr erkennen und in ihre Risikobewertung ihres Geschäfts einbeziehen müssen. Sie sollten sie als integralen Bestandteil des Prozesses verstehen und die Systeme, die sie bereits haben, aufrüsten.

—

—

Bürger sollten sich an die Regeln der ‚Cyberhygiene‘ halten, wie die Verwendung eines einzigartigen und starken Passworts für jeden Dienst, die Trennung von privaten und geschäftlichen Geräten, die regelmäßige Aktualisierung von Systemen, das Herunterladen von Inhalten aus sicheren Quellen, das Erstellen von Backups ihrer Daten und vor allem das rechtzeitige Erkennen von Cyberbedrohungen und die Pflege ihrer persönlichen Daten und digitalen Fußabdrücke. Was, um ehrlich zu sein, nur wenige Bürger tun.

Was wir in Zukunft erwarten können, warnt CERT, ist das Auftreten neuer Betrugsformen, mit denen wir zuvor nicht konfrontiert waren. Als Beispiel nennen sie die zunehmende Einfallsreichtum von Betrügern, indem sie anstelle eines Links in einer E-Mail einen QR-Code verwenden, der zu einer bösartigen Website führt.

– Auf diese Weise schafft der Angreifer eine Illusion von Legitimität und Sicherheit und verbirgt weiter die Adresse der Website, auf die er Sie lenken möchte. Hinzu kommt, dass der QR-Code mit einem Mobiltelefon gescannt werden muss, wo es aufgrund des kleineren Bildschirms schwieriger ist, den Betrug und die Adresse der Website zu erkennen, was die Chance auf Betrug erheblich erhöht. Mit der Entwicklung von KI können wir grammatikalisch korrekte Phishing-E-Mails erwarten, und wie sie sonst verwendet werden und welche Arten von Angriffen erstellt werden, bleibt abzuwarten – schließen sie bei CERT.

—

—