Cyberangriff kann heute von jedem ohne umfangreiche Computerkenntnisse ausgeführt werden

Die Europäische Union hat den Oktober zum Monat der Cybersicherheit (EU Cyber Security Month – ECSM) erklärt, was eine Gelegenheit bietet, zu prüfen, ob wir mit der entwickelten westlichen Welt Schritt halten, nicht nur in Bezug auf Angriffe, sondern auch in Bezug auf den Schutz davor. Tatsächlich kann jeder Opfer eines Cyberangriffs werden, weshalb die diesjährige Sensibilisierungskampagne für den Europäischen Monat der Cybersicherheit speziell auf die breite Öffentlichkeit abzielt.

Das Nationale CERT gibt an, dass sie Statistiken über Cybervorfälle nach Arten von Vorfällen führen (gemäß der Nationalen Taxonomie von Computer-Sicherheitsvorfällen) und betonen, dass besonders gefährdete Gruppen die älteren Menschen, Bürger mit geringer digitaler Kompetenz sowie Mikro-, kleine und mittlere Unternehmen sind, die über keine finanziellen Mittel, Kenntnisse oder personellen Ressourcen verfügen, um sich neben ihren täglichen Geschäften mit Fragen der Cybersicherheit auseinanderzusetzen.

– Sie werden am häufigsten von Angreifern aus dem Ausland angegriffen, und die Profile sowie ihre Motive können erheblich variieren. Es gibt eine grundlegende Unterteilung der Angreiferprofile in staatlich geförderte Gruppen, Cyberkriminelle, Hacktivisten, terroristische Gruppen, interne Bedrohungen und Akteure, für die Angriffe eine Art Herausforderung darstellen. Ihre Motive variieren und können geopolitisch, finanziell, ideologisch oder aus persönlicher Zufriedenheit sein. Akteure wenden sich zunehmend gewinnorientierten Aktivitäten zu, da dies die Finanzierung für weitere Aktionen sichert – erklären sie beim CERT.

Es ist jedoch vielleicht ein noch interessanterer Punkt, den sie anführen, dass man nicht nur von ‚Meistern‘ der Computer (wie die legendären Nadrealisten sagen würden) cyber angegriffen werden kann, sondern auch von völligen Anfängern. Dies steht im Gegensatz zu dem weit verbreiteten Glauben unter den Menschen, da viele denken (einschließlich des Autors dieses Textes), wenn nicht alle, dass die Durchführung eines Cyberangriffs umfangreiche Kenntnisse und Fähigkeiten erfordert. Daher warnt das CERT vor Akteuren, die als Script Kiddies bezeichnet werden. Dies sind Anfänger, die fertige Lösungen, d.h. den Code anderer Leute, verwenden, manchmal ohne zu verstehen, wie sie tatsächlich funktionieren.

Zusätzlich ist technisches Wissen, so führen sie beim CERT fort, für den Erfolg eines Angriffs nicht notwendig, beispielsweise für Social Engineering. Dies ist ein Angriff, bei dem das Opfer manipuliert wird, um einen Vorteil zu erzielen. Social Engineering ist genau das Hauptthema der diesjährigen Kampagne für den Europäischen Monat der Cybersicherheit, und wenn Leser mehr darüber erfahren möchten, können sie im Oktober alles auf dem Portal CERT.hr und in den sozialen Medien erfahren.

Mehrere Angriffe aus einem Zentrum

Auf Ebene der Europäischen Union werden Daten über Vorfälle gesammelt, und es wird erheblicher Aufwand in die Zusammenarbeit und den Informationsaustausch zwischen den CERTs der EU-Mitgliedstaaten gesteckt. Basierend auf den gesammelten Informationen werden Empfehlungen ausgesprochen und Prognosen über Trends im Bereich der Cybersicherheit erstellt. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) veröffentlicht jedes Jahr die ‚ENISA Threat Landscape‘, die die größten Bedrohungen und Ratschläge zum Schutz davor umreißt. Laut dem Bericht ‚ENISA Threat Landscape 2022‘ gehören zu den größten Bedrohungen: Ransomware (die Daten auf dem Computer sperrt), Malware (schadhafte Software, die ohne Zustimmung des Eigentümers läuft und Schäden verursacht), Social Engineering, DDoS (Angriffe, die zu Internetunverfügbarkeit, Desinformation und Angriffen auf die Lieferkette führen würden).

Lassen Sie uns etwas mehr auf DDoS-Angriffe eingehen. Sie zielen auf Websites und Server ab, indem sie Netzwerkdienste stören, um die Anwendungsressourcen zu erschöpfen. Die Angreifer hinter diesen Angriffen überschwemmen die Website mit zufälligem Verkehr, was zu einer schlechten Funktionalität der Website oder einer vollständigen Netzwerktrennung führt. Diese Arten von Angriffen werden zunehmend häufiger. DDoS-Angriffe haben einen breiten Umfang und zielen auf verschiedene Aktivitäten und Unternehmen aller Größenordnungen weltweit ab. Bestimmte Sektoren, wie die Gaming-Industrie, E-Commerce und Telekommunikation, werden häufiger angegriffen als andere. DDoS-Angriffe gehören zu den häufigsten Computerbedrohungen und gefährden potenziell Ihr Geschäft, die Internetsicherheit, den Umsatz und den Ruf.

Und wie gefährlich Cyberkriminalität ist, zeigt nicht nur die Tatsache, dass Angreifer nicht physisch nahe sein müssen, um sie zu begehen, sondern auch, dass Angriffe und beobachtete Kampagnen gleichzeitig in mehreren Ländern auftreten können. Dies wird am besten durch den Fall der WannaCry-Ransomware im Jahr 2017 veranschaulicht, die über 200.000 Computer in 150 Ländern kompromittierte.

Unser So-So

Wie gut sind unsere Unternehmen sowie Organisationen und Institutionen auf Cyberangriffe vorbereitet? Tomislav Novosel, ein Cyber-Sicherheitsberater bei Duplico, sagt, dass unsere Unternehmen sich der Ernsthaftigkeit von Cyberangriffen noch nicht bewusst sind.

– Kleine und mittlere Unternehmen sind hier besonders anfällig. Große Unternehmen mussten aufgrund gesetzlicher oder vertraglicher Verpflichtungen beginnen, verschiedene Sicherheitsstandards umzusetzen, wodurch sie ihre eigene Cybersicherheit stärken. Es wurde jedoch festgestellt, dass in vielen Unternehmen Sicherheitsmaßnahmen nach dem Prinzip ‚was wir müssen‘ oder ‚um die Formalität zu erfüllen‘ umgesetzt werden. Leider kann dieser Ansatz nicht die notwendigen Informationssicherheitsmanagementsysteme aufbauen, die jedes Unternehmen haben sollte. Hier spielt die auf EU-Ebene verabschiedete NIS2-Richtlinie sowie das neue Gesetz zur Cybersicherheit eine bedeutende Rolle. Diese Gesetze sollten unsere Unternehmen dazu ermutigen, die Notwendigkeit des Cyber-Schutzes ernster zu nehmen – sagt Novosel.

Sein Kollege Filip Kiseljak, ein Experte für Informationssicherheit bei KING ICT, ist etwas optimistischer, da er sagt, dass man sagen kann, dass das Bewusstsein für die Notwendigkeit von Cybersicherheit für das Geschäft und das allgemeine Funktionieren in einer vernetzten und digitalisierten Welt steigt. Dies wird durch zunehmend strengere gesetzliche und branchenspezifische Vorschriften sowie durch die eigenen Erfahrungen der Organisationen oder Nachrichten über neue Angriffe und Schäden, die Organisationen erlitten haben, unterstützt.

– Im Durchschnitt sind regulierte Branchen wie der Finanzsektor und die Telekommunikation etwas besser auf Cyberangriffe vorbereitet als andere Branchen. Immer mehr Organisationen erkennen und akzeptieren, dass Cybersicherheit keine Kosten, sondern eine notwendige Investition für das Überleben und das Funktionieren in der digitalen und vernetzten Welt ist. Um Risiken effektiv zu managen und das Niveau der Cybersicherheit zu erhöhen, suchen Organisationen zuverlässige Partner für die Bereitstellung von Cybersicherheitslösungen und -dienstleistungen – sagt Kiseljak.

Sicherheitstests

Allerdings ist dies allgemein gesprochen unzureichend, sagt Mate Matijašević, ein Cyber-Sicherheitsanalyst bei Span, obwohl er hinzufügt, dass es tatsächlich vom Fall abhängt.

– Die Integration von Sicherheit in das Gefüge der Organisation ist ein kontinuierlicher und anspruchsvoller Prozess, der erhebliche finanzielle Investitionen erfordert. Es gibt natürlich verschiedene Open-Source-Lösungen, die eine andere Art von Investition erfordern, und dies bringt uns zum Problem des Mangels an qualitativ hochwertigem und qualifiziertem Sicherheitspersonal. Was ich als besonders problematisch hervorheben würde, ist das lässige Verständnis der grundlegenden Sicherheitsprinzipien. Ich meine nicht nur die Ausbildung der Endbenutzer, insbesondere im Bereich der Sicherheit von Geschäftsprozessen, sondern auch äußerst wichtige elementare Prozesse wie das Management digitaler Vermögenswerte. Natürlich garantiert dieser Prozess allein keine Sicherheit, aber er stellt den Grundstein für andere Sicherheitskontrollen dar, denn – man kann nicht schützen, was man nicht sehen kann – sagt Matijašević.

Und das CERT betont, dass die Bereitschaft von Organisation zu Organisation variiert und fügt hinzu, dass die Abteilung von CARNET für das Nationale CERT für CARNET-Mitgliedsinstitutionen regelmäßig Sicherheitstests durchführt und Sicherheitsempfehlungen ausgibt, um ihre Systeme und Infrastrukturen so sicher wie möglich zu machen.

– Auf unserem Internetportal finden sich Warnungen über aktuelle Bedrohungen und Kampagnen, die sich gegen die Bürger der Republik Kroatien richten. Wir veröffentlichen auch Schutzempfehlungen, die jeder Einzelne oder jedes Unternehmen anwenden kann, um ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Cybersicherheit ist ein kontinuierlicher Prozess. Bedrohungen ändern sich von Tag zu Tag, und nur durch regelmäßige Sensibilisierungskampagnen, Bildung und Schulungen der Benutzer können wir die Bereitschaft für eine schnelle Reaktion sicherstellen und die Widerstandsfähigkeit gegenüber Cyberbedrohungen erhöhen – schließen sie beim CERT.