Bedrohungslandschaft von Cyber-Erpressung dominiert

Besonders gefährdet sind KMUs, die Fertigungsindustrie und der öffentliche Sektor.

– Unternehmen aller Größenordnungen waren Angriffen ausgesetzt, wobei Malware 40% der CyberSOC-Vorfälle (Detection and Response Operation Center) ausmachte.
– Über 99.000 Untersuchungen zeigen einen Anstieg der Vorfälle um +5% im Vergleich zum Vorjahr; durchschnittlich 34 Vorfälle pro Monat/pro Kunde – mehr als ein Sicherheitsvorfall pro Tag pro Organisation.
– Es gibt eine klare Verschiebung bei der geografischen Lage der Opfer von Cyber-Erpressung. Von 2021 bis 2022 sank die Zahl der Opfer aus Nordamerika, während sie unter anderem in Europa (+18%) anstieg.
– Vor allem kleine Unternehmen hatten mit Malware-Vorfällen zu kämpfen (49%). Die Fertigungsindustrie ist am stärksten von Cyber-Erpressung betroffen und die öffentliche Verwaltung hat meist mit Vorfällen zu tun, die auf interne Ursachen zurückzuführen sind (66%).
– Fast die Hälfte (47%) aller von den CyberSOCs aufgedeckten Sicherheitsvorfällen stammen von internen Akteuren, sei es vorsätzlich oder versehentlich.
– Der Security Navigator 2023 enthält erstmals anonymisierte, proprietäre Daten zu den Patch-Levels von fast 5 Millionen Mobilgeräten, die die Unterschiede zwischen der Android und iOS-Schwachstellenlandschaft verdeutlichen.

Security Navigator 2023 – Die Zahl der Vorfälle nimmt weiter zu, obwohl sich das Tempo verlangsamt hat

Orange Cyberdefense, der auf Cybersicherheit spezialisierte Bereich der Orange Gruppe, hat seinen jährlichen Forschungsbericht zur Cybersicherheit, den Security Navigator 2023, veröffentlicht. Für den Forschungsbericht unterzogen die CyberSOC-Teams von Orange Cyber Defense unter anderem 99.506 potenzielle Vorfälle einer detaillierten Analyse. Dies entspricht einer Steigerung von 5% gegenüber dem Report von 2022.

Der diesjährige Report zeigt zwar Anzeichen dafür, dass sich das Tempo der Vorfälle verlangsamt hat, dennoch geben mehrere Faktoren weiterhin Anlass zu globaler Besorgnis. So zeigt sich, dass Cyberkriege zwischen Unternehmen und Angreifern in einigen Bereichen von Angreifern gewonnen werden und es noch eine Vielzahl von Herausforderungen gibt: Unternehmen brauchen immer noch 215 Tage, um eine gemeldete Schwachstelle zu beheben. Selbst bei kritischen Schwachstellen dauert es in der Regel mehr als 6 Monate, bis sie behoben sind. In der Tat melden Ethical-Hacking-Teams von Orange Cyberdefense in fast 50% aller von ihnen durchgeführten Tests ein „ernstes“, das heißt kritisches oder großes Problem.

Zudem betrifft Cyber-Erpressung weltweit Unternehmen aller Größenordnungen. So waren 82% der beobachteten Opfer von Cyber-Erpressung kleine Unternehmen. Im Vorjahr waren es 78 %.

Während zu Beginn des Ukraine-Krieges eine deutliche Verlangsamung der Cyberkriminalität beobachte werden konnte, nahm die Intensität kurz darauf wieder zu. Auch bei der Cyber-Erpressung war ein deutlicher Anstieg festzustellen: So stieg in den letzten sechs Monaten beispielsweise die Zahl der Opfer von Cyber-Erpressung in Ostasien und Südostasien um 30% bzw. 33%.

Cyber-Erpressung verlagert sich eindeutig von Nordamerika nach Europa, Asien und in Schwellenländer

Nachdem Ransomware und Cyber-Erpressungsangriffe nach wie vor eine große Bedrohung für Unternehmen weltweit darstellen, wurden sie im Laufe des Jahres regelmäßig in die World-Watch-Meldungen von Orange Cyberdefense aufgenommen. Im März und April häuften sich die Nachrichten über Ransomware aufgrund der Lapsus$-Aktivitäten und der Conti-Leaks sowie der Besorgnis über den Krieg in der Ukraine.

Insgesamt handelte es sich bei 40% der von den CyberSOCs verarbeiteten Vorfälle um Malware.

Zudem gibt es eine klare und sichtbare geografische Verschiebung. In Nordamerika ging die Anzahl der Opfer von Cyber-Erpressung um 8% zurück, in Kanada um 32%, während sie in Europa, Asien und den Schwellenländern von 2021 bis 2022 anstiegen: in der Europäischen Union um 18%, im Vereinigten Königreich um 21% und in den nordischen Ländern um 138%. Ostasien verzeichnete einen Anstieg von 44% und Lateinamerika von 21%.

Ebenso ist eine dramatische Veränderung in der Zusammensetzung der aktiven Hackergruppen zu beobachten. Von den 20 größten Akteuren, die 2021 beobachtet wurden, sind 14 im Jahr 2022 nicht mehr unter den Top 20. Nachdem sich Conti im zweiten Quartal 2022 aufgelöst hatte, wurden Lockbit2 und Lockbit3 mit insgesamt über 900 Opfern zu den größten Cyber-Erpressern im Jahr 2022.

Zudem gehen die Akteure opportunistisch vor. Fast 90% aller Täter, die von Orange Cyberdefense verfolgten wurden, forderten beispielsweise Opfer in den USA. Mehr als 50% schlugen im Vereinigten Königreich zu, mehr als 20% sogar in Japan – das Land, das eine der niedrigsten beobachteten Opferzahlen im Datensatz von Orange Cyberdefense hat.

Auswirkungen des Krieges in der Ukraine

Hervorzuheben ist, dass in den ersten Wochen des Krieges gegen die Ukraine ein Rückgang der cyberkriminellen Aktivitäten gegen polnische Kunden um bis zu 50% beobachtet wurde, was offenbar darauf zurückzuführen ist, dass die Kriminellen durch den Krieg abgelenkt wurden und sich neu formieren mussten. Nach einigen Wochen kehrten die Aktivitäten jedoch zur Normalität zurück.

KMUs, die Fertigungsindustrie und der öffentliche Sektor sind besonders gefährdet

Kleine bis mittlere Unternehmen

Der Report verzeichnet etwa 4,5-mal mehr kleine Unternehmen, die Opfer von Cyber-Erpressung werden, als mittlere und große Unternehmen zusammen. Im Verhältnis dazu sind große Unternehmen jedoch immer noch viel stärker betroffen.

Kleine und mittlere Unternehmen sind besonders stark mit Malware-Vorfällen konfrontiert. In diesem Jahr waren es 49% der bestätigten Vorfälle (gegenüber 10% im Jahr 2019, 24% im Jahr 2020 und 35% im Jahr 2021). Da die durchschnittlichen Kosten für Datenschutzverletzungen bei Unternehmen mit weniger als 500 Mitarbeitern auf 1,9 Millionen US-Dollar geschätzt werden, besteht für KMUs die Gefahr, dass sie aufgrund dieser Verstöße untergehen werden.

Unternehmen des öffentlichen Sektors

Der öffentliche Sektor verzeichnete den fünfthöchsten Anteil an Vorfällen und auch den größten Anteil an Social-Engineering-Vorfällen innerhalb des Datensatzes.

In den meisten Branchen wird die Mehrheit der von Orange Cyberdefense entdeckten Vorfälle intern ausgelöst. Bei den Kunden im Gesundheitswesen ließen sich jedoch erstaunlicherweise 76% der Vorfälle auf externe Akteure wie kriminelle Hacker und APTs (staatlich unterstützte Bedrohungsgruppen) zurückführen.

Die Fertigungsindustrie ist nach wie vor die am stärksten betroffene Branche, was die Zahl der Opfer betrifft

Die Fertigungsindustrie nimmt unter allen Branchen die erste Stelle ein, wenn es um die Zahl der Opfer von Cyber-Erpressungen geht. In punkto Bereitwilligkeit Lösegeld zu bezahlen, steht sie der Untersuchungen zufolge nur an fünfter Stelle. Zudem zeigt sich, dass die Kriminellen eher „konventionelle“ IT-Systeme als die spezialisiertere Betriebstechnologie angreifen. Die hohe Zahl von Opfern lässt sich in erster Linie auf ein schlechtes IT-Schwachstellenmanagement zurückführen. Die Daten zeigen, dass Unternehmen in diesem Sektor durchschnittlich 232 Tage brauchen, um gemeldete Schwachstellen zu beheben. Bei dieser Kennzahl schneiden nur vier andere Branchen schlechter ab als die Fertigungsindustrie.

Kritische Schwachstellen bleiben bestehen und Verzögerungen bei Patches bedrohen die Sicherheit

Der neue Datenbestand zu den Schwachstellen zeigt, dass es in den IT-Systemen von Unternehmen nach wie vor schwerwiegende Schwachstellen gibt, wobei 47% der bestätigten Schwachstellen als „kritisch“ oder „hoch“ eingestuft wurden. Für die Behebung kritischer Schwachstellen benötigten Unternehmen immer noch mehr als ein halbes Jahr (184 Tage). Andere Schwachstellen können viel länger bestehen bleiben, wobei die Daten darauf hindeuten, dass viele Schwachstellen, selbst kritische, nie behoben werden.

Die Behebung von IT-Schwachstellen in der Fertigungsindustrie dauerte durchschnittlich 235 Tage, während es in allen anderen Sektoren durchschnittlich 215 Tage dauerte. In Krankenhäusern (innerhalb des Sektors Gesundheits- und Sozialwesen) dauerte sie im Durchschnitt 491 Tage, im Transportsektor 473 Tage.

Die durchschnittliche Zeit, die die Hacking-Experten von Orange Cyberdefense benötigten, um einen bestätigten schwerwiegenden (hohen oder kritischen) Befund zu entdecken, betrug 7,7 Tage.

Das menschliche Dilemma – In den meisten Branchen überwiegen Insider-Bedrohungen gegenüber externen Angriffen, während offene Stellen im Bereich Cybersicherheit nicht besetzt werden können

Die Mitarbeiter stehen an der vordersten Front der Unternehmensverteidigung, können aber auch das schwächste Glied im Unternehmen sein. Der Report hat beispielsweise Folgendes gezeigt:
– In der öffentlichen Verwaltung wurden die meisten Vorfälle, mit denen sich das CyberSOC-Team befasst hat, internen Quellen zugeschrieben, unabhängig davon, ob es sich um vorsätzliche oder versehentliche Vorfälle handelte.
– Bei den Kunden aus der Fertigungsindustrie wurden 58% der bearbeiteten Vorfälle als intern verursacht eingestuft. Im Bereich „Transport und Logistik“ ist der Anteil sogar noch höher – 64% der Vorfälle haben ihren Ursprung intern.

Der Security Navigator zeigt auch, dass ein höheres Maß an Monitoring die Wirksamkeit der Kontrollen verbessert, aber auch mehr Fehlalarme auslöst und zu einer höheren Belastung der Sicherheitsexperten führen kann. Und das in einer Branche, die allein in der EMEA-Region mit der Besetzung von über 300.000 offenen Stellen im Bereich Cybersicherheit kämpft.

Mobile Security: iOS vs. Android

Der Security Navigator 2023 enthält zum ersten Mal proprietäre Daten zu den Patch-Leveln von fast 5 Millionen Mobilgeräten, mit denen Orange Cyberdefense zwischen September 2021 und September 2022 gearbeitet hat. Untersuchungen von Drittanbietern zeigen, dass im Jahr 2021 beide Betriebssysteme, iOS und Android, mit gemeldeten Schwachstellen zu kämpfen hatten. Für Android waren es 547 und für iOS 357 Schwachstellen. 79% der Android-Schwachstellen wurden als wenig komplex eingestuft (d.h. sie sind für Angreifer leicht auszunutzen), während es bei iOS nur 24% waren. 45 iOS-Schwachstellen erhielten einen kritischen CVSS-Wert, während es bei Android nur 18 waren.

Im Security Navigator werden schwerwiegende Sicherheitslücken in Apple und Android untersucht, um festzustellen, wie lange das System braucht, um den erforderlichen Patch zu installieren. In einem iOS-Fall hat das Orange Cyberdefense-Team festgestellt, dass es 224 Tage dauerte, bis 90% des Apple-Systems auf die gepatchte Version aktualisiert war. Sowohl für Android als auch für iOS scheint es, dass etwa 10% der Nutzerbasis nie richtig gepatcht werden.

Die Ergebnisse zeigen, dass ein höherer Anteil der iPhone-Nutzer gefährdet ist, wenn eine Sicherheitslücke zum ersten Mal bekannt wird, was auf den homogenen Charakter des Betriebssystems zurückzuführen ist. Die Nutzer wechseln jedoch schnell zu einer neuen Version, wobei 70% innerhalb von 51 Tagen nach Veröffentlichung des Patches ein Update durchführen. Die stärkere Fragmentierung des Android-Systems bedeutet, dass die Geräte oft für mehr alte Sicherheitslücken anfällig sind, während weniger Geräte für neue Sicherheitslücken angreifbar sind.

„Die letzten Monate waren in Bezug auf makroökonomische Ereignisse besonders turbulent, dennoch ist das Cybersecurity-Ökosystem infolgedessen wachsamer und geeinter geworden. Cyberattacken machen Schlagzeilen und der Krieg in der Ukraine erinnert uns eindringlich daran, dass unsere digitalisierte Welt auch das Feld virtueller Schlachten ist“, so Hugues Foulon, CEO von Orange Cyberdefense.

„Der erfreuliche Gesamtrückgang der Vorfälle bei unseren Kunden (17,7%) gibt uns Hoffnung, dass die Verteidiger beginnen, einige Schlachten gegen böswillige Akteure zu gewinnen. Doch auch wenn wir Schlachten gewinnen, geht der Kampf gegen die Internetkriminalität weiter. Die diesjährigen Ergebnisse verdeutlichen die Schwierigkeiten, mit denen Unternehmen bei der Abwehr von Bedrohungen aus allen Richtungen konfrontiert sind und machen deutlich, wie wichtig es ist, dass wir unsere Arbeit fortsetzen, um sie für diesen Kampf zu rüsten und zu unterstützen“, erläuterte Foulon abschließend.

Der Security Navigator 2023 enthält:
– 100% der Informationen aus erster Hand durch 2.700 Experten auf der ganzen Welt, 17 SOCs, 13 CyberSOCs und dem CERT von Orange Cyberdefense an 8 Standorten
– 28 Seiten mit CyberSOC-Statistiken
– Detaillierte Analyse der Cyber-Kriegsführung und der Auswirkungen des Ukraine-Krieges auf das Cyber-Umfeld
– Neueste Datensätze aus den VOC- und Penetrationstest-Services, die den Umfang und die Art der Schwachstellen analysieren, von denen Unternehmen aller Branchen betroffen sind
– Spotlight-Untersuchung der Bedrohungen und Schwachstellen der Fertigungsindustrie
– Neueste Daten zu Mobile Security: Bedrohungen und Schwachstellen

Der diesjährige Security Navigator Report 2023 ist seit 1. Dezember 2022 erhältlich.

Über diesen Link können Sie den Report bestellen: https://www.orangecyberdefense.com/de/security-navigator

Über Orange Cyberdefense
Orange Cyberdefense ist ein Unternehmen der Gruppe Orange, das auf Cybersicherheit spezialisiert ist. Es zählt 8500 Kunden weltweit. Als Europas führender Anbieter von Dienstleistungen im Bereich der Cybersicherheit setzten wir uns für den Schutz der Freiheit und eine besonders sichere digitale Gesellschaft ein. Unsere Leistungsstärke basiert auf Forschung und Informationen, wodurch wir unseren Kunden ein beispielloses Wissen über aktuelle und neu entstehende Bedrohungen zur Verfügung stellen können. Mit 25 Jahren Erfahrung im Bereich der Informationssicherheit, 2700 Spezialisten und Analysten, 17 SOCs und 13 CyberSOCs weltweit sind wir in der Lage, die globalen und lokalen Probleme unserer Kunden anzugehen. Wir schützen sie während der gesamten Dauer der Bedrohung in über 160 Ländern.

Firmenkontakt
Orange Cyberdefense
Emma Goodwin
Waterloo Road, South Bank 250
SE1 8RF London
+44 7746 515 781
emma.goodwin@orange.com
https://www.orangecyberdefense.com/

Pressekontakt
Maisberger GmbH
Emma Deil-Frank
Claudius-Keller-Str. 3c
81669 München
+49-(0)89 41959953
orange@maisberger.com
http://www.maisberger.de

Die Bildrechte liegen bei dem Verfasser der Mitteilung.