Bedrohungsradar mit Swiss Infosec

Was die Schweizer IT-Bedrohungslandschaft im Juni geprägt hat

Uhr
von Coen Kaat und ml

Nur wer weiss, welche Gefahren lauern, kann diesen effektiv entgegentreten. Der monatliche Bedrohungsradar von SwissCybersecurity.net zeigt, wovor man sich hüten sollte. Was im Juni die Schweizer Bedrohungslandschaft prägte, sagt Niklaus Manser, Head of IT Security Consulting bei Swiss Infosec.

(Source: Skill Up / Fotolia.com)
(Source: Skill Up / Fotolia.com)

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Niklaus Manser: Die Bedrohungen im digitalen Arbeitsalltag sind seit einiger Zeit konstant, zunehmend und drehen sich zumeist um bekannte Themen wie Ransomware oder Betrugsversuche. Innerhalb des vergangenen Monats gab es hierbei keine grundlegenden Veränderungen. Unverändert und wichtig ist die Bedrohung durch: 

  • Existierende Angriffsvektoren infolge mangelhafter Awareness bei den Mitarbeitenden: Rund 50 Prozent des weltweiten E-Mail-Traffics ist schadhafter Natur. Jedes Schweizer Unternehmen sieht sich tagtäglich mit solchen Angriffsversuchen konfrontiert und muss Technik, Organisation und Mensch auf den Umgang mit Bedrohungen im digitalen Arbeitsalltag trimmen.
  • Existierende Angriffsvektoren infolge mangelhafter Cyberhygiene innerhalb der eigenen IT-Infrastruktur: Ein kontinuierlicher Effort ist nötig, um die eigene IT-Infrastruktur in «cyber-gesundem» Zustand zu halten. Dass viele Unternehmen dieser elementaren Anforderung ans Haushalten in der eigenen IT nicht nachkommen, zeigten nicht zuletzt auch die teilweise vergeblichen Bemühungen des NCSC rund um die Exchange-Verwundbarkeit 'ProxyNotShell'.

Diejenigen Angriffe, welche die mangelhafte Awareness einzelner Mitarbeitenden oder die fehlende Cyberhygiene innerhalb einer IT-Infrastruktur erfolgreich auszunützen vermögen, münden meistens in einem Betrugs- oder Erpressungsversuch. Um Banktransaktionen auf das Konto der Betrüger auszulösen, wird bei Betrugsversuchen meist die Identität einer Person mit Autorität innerhalb der Firma verwendet (sog. CEO-Fraud) oder aber auf offene Rechnungen innerhalb der Lieferkette verwiesen (sog. Vendor Fraud). Bei der Erpressung sind unverändert Ransomware-Angriffe das wichtigste Thema. Hierbei gilt es unbedingt zu beachten, dass die Erpresser heute meistens eine mehrgleisige Erpressungsstrategie fahren. Nachdem die Erpressung rund um die Entschlüsselung der Daten abgeschlossen ist, startet ein weiterer Erpressungslauf: Die Veröffentlichung der kompromittierten Daten wird angedroht und das Opfer wird damit ein weiteres Mal erpresst, oder aber die Veröffentlichung der Daten wird zumindest als Druckmittel für die Verfahrensbeschleunigung eingesetzt.

Niklaus Manser, Head of IT Security Consulting bei Swiss Infosec. (Source: zVg)

Niklaus Manser, Head of IT Security Consulting bei Swiss Infosec. (Source: zVg)

Wie kann man sich davor am besten schützen?

Sowohl mangelhafte Awareness bei den Mitarbeitenden wie auch die mangelhafte Cyberhygiene innerhalbe der eigenen IT-Infrastruktur sind vielschichtige Themen und erfordern einen kontinuierlichen Effort zur Erreichung eines angemessenen und nachhaltigen Sicherheitsniveaus. Die Awareness der Mitarbeitenden sollte mit geeigneten Massnahmen angegangen werden. Weniger ist heute mehr und so sind Awareness-Lerneinheiten heute möglichst kurz und knapp (maximal 5 bis 10 Minuten) und sollten sich dafür mehrmals im Jahr wiederholen. Es bietet sich an, für das eigene Unternehmen eine langfristige Kampagne verschiedenen kleinen Lerneinheiten, beispielsweise bestehend aus simulierten Phishing-Angriffen, Infoveranstaltungen, gezielten Schulungen, E-Learning-Modulen, Plakat-Kampagnen oder Infomails aufzusetzen. In Sachen Cyberhygiene gibt es mehrere Themen, denen sich jedes Unternehmen annehmen sollte. In einem Blogpost von Swiss Infosec finden sich Ausführungen zu den Top 10 der wichtigsten Massnahmen. 

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

Im vergangenen Monat sind insbesondere die Angriffe von Bedeutung, bei welchen die Bundesverwaltung tangiert wurde. Einerseits zeigen die Angriffe rund um die Rede von Wolodomir Selenski vom 15. Juni, inwiefern cyberkriminelle Akteure heute das Geschehen in der Politik begleiten und auch mitgestalten.  Andererseits zeigte die Kompromittierung von Xplain im vergangenen Monat auf, dass ein Angriff auf die Lieferkette auch für eine Organisationen mit fortgeschrittenem Sicherheitsniveau, wie die Schweizerische Bundesverwaltung, eine ernsthafte Bedrohung darstellt. Die Risiken innerhalb der Lieferkette mittels eines systematischen IT Service Provider Managements aktiv anzugehen, stellt somit klar eine der zentralen Herausforderungen bei der Schaffung einer wirksamen IT-Sicherheitsarchitektur dar.

Was sollten Schweizer Unternehmen jetzt tun - in Bezug auf die IT-Sicherheit?

Generell gilt es, wie bereits erwähnt, eine grundlegende Awareness bei den Mitarbeitenden für Bedrohungen im digitalen Arbeitsalltag zu schaffen und die digitalen Arbeitsmittel selbst mittels Cyberhygiene-Massnahmen in einem sachgerechten und zeitgemässen Zustand zu halten. Für weiterführende Massnahmen kann es sich lohnen, sich links und rechts bei Partnern, innerhalb der Branche oder durch Inanspruchnahme von Beratungsdienstleistungen Orientierung über die essenziellen Security Best Practices und den Standpunkt der eigenen Organisation zu verschaffen.

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten wohl entwickeln?

Es ist sicherlich zu erwarten, dass der Durchbruch rund um Generative AI und ChatGPT das Cybersecurity-Ökosystem in irgendeiner Form nachhaltig beeinflussen wird. Es gibt erste Proof-of-Concept-Projekte mit polymorpher Malware, welche die Erkennungsrate von modernen Endpoint Protection-Lösungen in den Keller treiben. Zudem bietet ChatGPT selbst unterschiedliche Möglichkeiten für cyberkriminelle Institutionen zur Effizienz- und Qualitätssteigerung der ausgeführten Angriffe wie das Paper von Cloud Security Alliance zum Thema zeigt. Es bleibt jedoch abzuwarten, wie die Entwicklung, auf der anderen Seite, der Security Serviceprovider hierzu voranschreitet. Welchen Effekt der privatwirtschaftliche Durchbruch der künstlichen Intelligenz im Security-Sektor tatsächlich zur Folge hat, wird sich erst abzeichnen, sobald sich die ersten cyberkriminellen Akteure aktiv der neuen Technologien zur Erhöhung der Erfolgswahrscheinlichkeiten anfangen zu bedienen. Dahingegen werden wohl die Betrugs- und Erpressungsversuche unverändert weitergehen und auch in den nächsten Monaten die Sicherheitsbeauftragten und Verantwortungsträgerinnen und -träger der Schweizer Unternehmen auf Trab halten. 

Was 2023 bisher geschah

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
Ec9v8jCn