Was ist ein Cyberangriff?

Bedrohungsakteure starten Cyberangriffe aus den unterschiedlichsten Gründen. Diese Attacken können Bagatelldiebstähle bis hin zu Kriegshandlungen sein. Cyberkriminelle nutzen verschiedene Taktiken wie Malware-Angriffe, Social Engineering und Passwortdiebstahl, um sich unbefugten Zugriff auf ihre Zielsysteme zu verschaffen.

Cyberangriffe können die Geschäftstätigkeit unterbrechen, Unternehmen Schaden zufügen und sie sogar ganz zerstören. Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich auf 4,88 Millionen US-Dollar. Dieser Preis beinhaltet die Kosten für die Entdeckung der Verletzung und die Reaktion darauf, für Ausfallzeiten und Umsatzeinbußen sowie für die langfristigen Reputationsschäden eines Unternehmens und dessen Marke.

Manche Cyberangriffe sind erheblich kostspieliger als andere. Es gab schon Ransomware-Angriffe, die Lösegeldzahlungen von bis zu 40 Millionen US-Dollar forderten, und BEC-Scams (Business E-Mail Compromise), die bei einem einzigen Angriff bis zu 47 Millionen US-Dollar von ihren Opfern stahlen. Cyberangriffe, die die personenbezogenen Daten von Kunden gefährden, können zu einem Verlust des Kundenvertrauens, zu Geldstrafen und sogar zu rechtlichen Schritten führen. Einer Schätzung zufolge wird Cyberkriminalität die Weltwirtschaft bis 2025 ganze 10,5 Billionen US-Dollar pro Jahr kosten.

Die Beweggründe für Cyberangriffe können unterschiedlich sein, aber es gibt drei Hauptkategorien:

1. Kriminell
2. Politisch
3. Persönlich

Kriminell motivierte Angreifer streben nach finanziellem Gewinn durch Gelddiebstahl, Datendiebstahl oder Betriebsunterbrechung. Cyberkriminelle können sich in ein Bankkonto hacken, um direkt Geld zu stehlen, oder sie nutzen Social Engineering, um Menschen dazu zu bringen, ihnen Geld zu schicken. Hacker können Daten stehlen und sie für Identitätsdiebstahl nutzen oder sie im Dark Web verkaufen.

Erpressung ist eine weitere Taktik, die verwendet wird. Hacker können Ransomware, DDoS-Angriffe oder andere Methoden nutzen, um Daten oder Geräte als „Geisel“ zu halten, bis ein Unternehmen ein Lösegeld zahlt. Laut dem jüngsten X-Force Threat Intelligence Index betrafen 32 Prozent der Cybervorfälle jedoch den Diebstahl und Verkauf von Daten und nicht die Verschlüsselung zur Erpressung.

Persönlich motivierte Angreifer, z. B. verärgerte aktuelle oder ehemalige Mitarbeiter, suchen in erster Linie Vergeltung für eine vermeintliche Kränkung. Sie können Geld erbeuten, vertrauliche Daten stehlen oder die Systeme eines Unternehmens stören.

Politisch motivierte Angreifer werden oft mit Cyberkrieg, Cyberterrorismus oder „Hacktivismus“ in Verbindung gebracht. In der Cyberkriegsführung zielen nationalstaatliche Akteure häufig auf die Regierungsbehörden oder kritischen Infrastrukturen ihrer Feinde ab. Seit Beginn des Russland-Ukraine-Krieges kam es in beiden Ländern beispielsweise schon zu mehreren Cyberangriffen auf wichtige Institutionen. Aktivistische Hacker, sogenannte „Hacktivisten“, fügen ihren Opfern keinen großen Schaden zu. Stattdessen machen sie in der Regel auf ihre Anliegen aufmerksam, indem sie ihre Angriffe in der Öffentlichkeit bekannt machen.

Zu den selteneren Beweggründen für Cyberangriffe gehören Unternehmensspionage, bei der Hacker geistiges Eigentum stehlen, um sich einen unfairen Vorteil gegenüber der Konkurrenz zu verschaffen, und sogenannte Red-Hat-Hacker, die die Sicherheitslücken eines Systems ausnutzen, um andere vor ihnen zu warnen. Und dann gibt es noch eine letzte Kategorie – nämlich Hacker, die einfach nur die intellektuelle Herausforderung genießen.

Sowohl kriminelle Organisationen als auch staatliche Akteure und Privatpersonen können Cyberangriffe starten. Eine Möglichkeit, diese Akteure zu klassifizieren, besteht darin, zwischen externen und internen Akteuren zu unterscheiden.

Externe Akteure sind nicht berechtigt, ein Netzwerk oder ein Gerät zu nutzen, dringen aber trotzdem in sie ein. Zu den externen Cyberbedrohungsakteuren gehören organisierte kriminelle Gruppen, professionelle Hacker, staatliche Akteure, Amateur-Hacker und Hacktivisten.

Interne Akteure sind Benutzer, die autorisierten und legitimen Zugang zu den Assets eines Unternehmens haben und ihre Privilegien absichtlich oder unbeabsichtigt missbrauchen. Diese Kategorie umfasst Mitarbeiter, Geschäftspartner, Kunden, Auftragnehmer und Anbieter mit Systemzugriff.

Während fahrlässige Benutzer ihre Unternehmen gefährden können, handelt es sich nur dann um einen Cyberangriff, wenn der Benutzer seine Privilegien absichtlich für böswillige Aktivitäten nutzt. Ein Mitarbeiter, der nachlässig ist und vertrauliche Informationen auf einem nicht gesicherten Laufwerk speichert, begeht keinen Cyberangriff, aber ein verärgerter Mitarbeiter, der wissentlich Kopien vertraulicher Daten zur persönlichen Bereicherung anfertigt, schon.

Bedrohungsakteure brechen in der Regel in Computernetze ein, weil sie hinter etwas Bestimmtem her sind. Die häufigsten Ziele sind:

• Geld
• Finanzdaten von Unternehmen
• Kundenverzeichnisse
• Kundendaten, einschließlich personenbezogene Daten (Personally Identifiable Information; PII) oder andere vertrauliche Daten
• E-Mail-Adressen und Anmeldeberechtigungsnachweise
• Geistiges Eigentum, wie Geschäftsgeheimnisse oder Produktentwicklungen

In einigen Fällen möchten Cyberangreifer überhaupt nichts stehlen. Vielmehr wollen sie Informationssysteme oder die IT-Infrastruktur stören, um ein Unternehmen, eine Regierungsbehörde oder ein anderes Ziel zu schädigen.

Im Erfolgsfall können Cyberangriffe Unternehmen schaden. Sie können Ausfallzeiten, Datenverlust und finanzielle Schäden verursachen. Einige Beispiele:

• Hacker können Malware oder Denial-of-Service-Attacken nutzen, um System- oder Serverabstürze zu verursachen. Diese Ausfallzeit kann zu erheblichen Betriebsunterbrechungen und finanziellen Verlusten führen. Dem „Data Breach Kostenreport“ zufolge führt eine durchschnittliche Datenschutzverletzung zu einem Geschäftsverlust von 2,8 Millionen US-Dollar.
  
  
• SQL-Injection-Attacken ermöglichen es Hackern, Daten aus einem System zu ändern, zu löschen oder zu stehlen.
  
  
• Mit Phishing-Angriffen können Hacker Menschen dazu verleiten, ihnen Geld oder vertrauliche Informationen zu senden.
  
  
• Ransomware-Angriffe können ein System deaktivieren, bis das Unternehmen dem Angreifer ein Lösegeld zahlt. Laut einem Bericht beträgt die durchschnittliche Lösegeldzahlung 812.360 USD.
  

Abgesehen davon, dass sie ihren Opfern direkten Schaden zufügen, können Cyberangriffe eine Vielzahl sekundärer Kosten und Konsequenzen nach sich ziehen, die mit der Aufdeckung von, der Reaktion auf und der Behebung von Sicherheitsverletzungen verbunden sind. Unternehmen, die KI und Automatisierung zur Sicherheitsprävention einsetzten, konnten die Kosten von Datenschutzverletzungen jedoch am stärksten senken. Sie sparten im Durchschnitt 2,22 Millionen USD ein, verglichen mit Unternehmen, die diese Technologien nicht einsetzten.

Cyberangriffe können auch Auswirkungen auf die Opfer haben, die nicht ihr direkte Ziel waren. Im Jahr 2021 etwa griff die Ransomware-Gang DarkSide die Colonial Pipeline an, das größte Pipelinesystem für raffiniertes Öl in den USA. Die Angreifer drangen mit einem kompromittierten Passwort in das Unternehmensnetzwerk ein. Sie legten die Pipeline still, über die 45 % des an die US-Ostküste gelieferten Gas-, Diesel- und Kerosintreibstoffs transportiert wird, was zu einer großen Kraftstoffknappheit führte.

Die Cyberkriminellen forderten ein Lösegeld in Höhe von fast 5 Millionen USD in der Kryptowährung Bitcoin, das Colonial Pipeline auch bezahlte. Durch die Unterstützung der US-Regierung konnte das Unternehmen jedoch schließlich 2,3 Millionen US-Dollar des Lösegelds zurückerhalten.

Cyberkriminelle verwenden viele ausgeklügelte Tools und Techniken, um Cyberangriffe auf die IT-Systeme von Unternehmen, private PCs und andere Ziele zu initiieren. Zu den häufigsten Arten von Cyberangriffen gehören:

Malware ist eine Schadsoftware, die dazu führt, dass infizierte Systeme nicht mehr funktionsfähig sind. Malware kann Daten vernichten, Informationen stehlen oder sogar Dateien löschen, die für ein funktionierendes Betriebssystem unerlässlich sind. Malware gibt es in vielen Formen, darunter:

• Trojanische Pferde sind als nützliche Programme getarnt oder verstecken sich in legitimer Software. Ziel ist es, Benutzer zur Installation zu verleiten. Ein Remote-Access-Trojaner (RAT) schafft eine geheime Hintertür auf dem Gerät des Opfers, während ein Dropper-Trojaner zusätzliche Malware installiert, sobald er Fuß gefasst hat.
  
  
• Ransomware ist hochentwickelte Malware, die starke Verschlüsselung nutzt, um Daten oder Systeme in Geiselhaft zu nehmen. Als Gegenleistung für die Freigabe des Systems und die Wiederherstellung der Funktionalität verlangen Cyberkriminelle dann eine entsprechende Lösegeldzahlung. Laut dem X-Force Threat Intelligence Index von IBM ist Ransomware mit 17 % aller Angriffe die zweithäufigste Art von Cyberangriff.
  
  
• Scareware verwendet gefälschte Nachrichten, um Opfern Angst zu machen und sie dazu zu bringen, Malware herunterzuladen oder vertrauliche Informationen an einen Betrüger weiterzugeben.
  
  
• Spyware ist eine Art Malware, die vertrauliche Informationen wie Benutzernamen, Kennwörter und Kreditkartennummern heimlich erfasst. Diese Informationen werden dann an den Hacker gesendet.
  
  
• Rootkits sind Malware-Pakete, mit denen Hacker Administrator-Zugriffsrechte auf das Betriebssystem oder andere Assets eines Computers erhalten können.
  
  
• Computerwürmer sind sich selbst replizierender schädlicher Programmcode, der sich automatisch zwischen Apps und Geräten verbreiten kann.

Social-Engineering-Angriffe bringen Menschen dazu, Dinge zu tun, die sie nicht tun sollten, z. B. Informationen weiterzugeben, die sie nicht weitergeben sollten, Software herunterzuladen, die sie nicht herunterladen sollten, oder Geld an Kriminelle zu senden.

Phishing ist einer der am weitesten verbreiteten Social-Engineering-Angriffe. Dem Data Breach Kostenreport zufolge ist er die zweithäufigste Ursache für Datenschutzverletzungen. Ein typischer Phishing-Scam verwendet gefälschte E-Mails oder Textnachrichten, um die Anmeldedaten von Benutzern zu stehlen, vertrauliche Daten auszuspionieren oder Malware zu verbreiten. Phishing-Nachrichten sehen oft so aus, als würden sie von einer legitimen Quelle stammen. In der Regel werden die Opfer aufgefordert, auf einen Hyperlink zu klicken, der sie auf eine schädliche Website führt, oder einen E-Mail-Anhang zu öffnen, der sich als Malware entpuppt.

Cyberkriminelle haben aber auch komplexere Phishing-Methoden entwickelt. Spear-Phishing ist ein sehr gezielter Angriff, der eine bestimmte Person manipuliert, oft indem Informationen aus den öffentlichen Social-Media-Profilen des Opfers verwendet werden, um die Täuschung überzeugender zu machen. Whale Phishing ist eine Art des Spear-Phishing, die speziell auf hochrangige Unternehmensvertreter abzielt. Bei einem BEC-Betrug (Business Email Compromise) stellen sich Cyberkriminelle als Führungskräfte, Lieferanten oder andere Geschäftspartner heraus, um Opfer dazu zu verleiten, Geld zu überweisen oder sensible Daten preiszugeben.

Denial-of-Service (DoS)- und Distributed Denial-of-Service (DDoS)-Angriffe fluten die Ressourcen eines Systems mit betrügerischem Datenverkehr. Dieser überlastet das System, senkt seine Leistungsfähigkeit und verhindert Antworten auf legitime Anfragen. Ein Denial-of-Service-Angriff kann einzeln durchgeführt werden (sozusagen als Selbstzweck) oder als Mittel, um von einem weiteren Angriff abzulenken.

Der Unterschied zwischen DoS-Attacken und DDoS-Angriffen besteht einfach darin, dass Erstere eine einzige Quelle nutzen, um betrügerischen Datenverkehr zu generieren, während Letztere mehrere Quellen verwenden. DDoS-Angriffe werden häufig mit einem Botnet durchgeführt, einem Netz aus mit dem Internet verbundenen und mit Malware infizierten Geräten, das von einem Hacker kontrolliert wird. Botnets können Laptops, Smartphones und IoT-Geräte (Internet der Dinge) enthalten. Opfer wissen oft nicht, wann ein Botnet ihre Geräte gekapert hat.

Eine Kontokompromittierung ist ein Angriff, bei dem Hacker das Konto eines legitimen Benutzers für böswillige Aktivitäten nutzen. Cyberkriminelle können auf viele verschiedene Arten in das Konto eines Benutzers eindringen. Sie können Berechtigungsnachweise durch Phishing-Angriffe stehlen oder gestohlene Passwortdatenbanken im Dark Web kaufen. Sie können Tools wie Hashcat und John the Ripper verwenden, um Kennwortverschlüsselungen zu knacken, oder Brute-Force-Attacken durchführen, bei denen sie automatisierte Skripte oder Bots ausführen, um potenzielle Kennwörter zu generieren und zu testen, bis eines funktioniert.

Bei einem Man-in-the-Middle-Angriff (MiTM), auch Janusangriff genannt, fängt ein Hacker heimlich die Kommunikation zwischen zwei Personen oder zwischen einem Benutzer und einem Server ab. MitM-Angriffe werden häufig über ungesicherte öffentliche WLAN-Netzwerke durchgeführt, in denen es für Bedrohungsakteure relativ einfach ist, den Datenverkehr auszuspionieren.

Hacker können die E-Mails eines Benutzers lesen oder die E-Mails sogar heimlich ändern, bevor sie den Empfänger erreichen. Bei einem Session-Hijacking-Angriff unterbricht der Hacker die Verbindung zwischen einem Benutzer und einem Server, auf dem wichtige Assets wie eine vertrauliche Unternehmensdatenbank gehostet werden. Der Hacker tauscht seine IP-Adresse mit der des Benutzers aus, sodass der Server glaubt, dass es sich um einen legitimen Benutzer handelt, der bei einer legitimen Sitzung angemeldet ist. Dies gibt dem Hacker die volle Kontrolle, um Daten zu stehlen oder sonstigen Schaden anzurichten.

Angriffe auf die Lieferkette sind Cyberangriffe, bei denen Hacker in ein Unternehmen eindringen, indem sie dessen Softwareanbieter, Materiallieferanten und andere Dienstleister ins Visier nehmen. Da diese oft auf die ein oder andere Weise mit den Netzen ihrer Kunden verbunden sind, können Hacker das Netz dieser Anbieter als Angriffsvektor nutzen, um auf mehrere Ziele gleichzeitig zuzugreifen.

Im Jahr 2020 wurde beispielsweise der Softwareanbieter SolarWinds gehackt, woraufhin bösartige Akteure unter dem Deckmantel eines Software-Updates Malware an dessen Kunden sendeten. Die Malware ermöglichte den Zugriff auf sensible Daten verschiedener US-Regierungsbehörden, die die Dienste von SolarWinds nutzten, darunter das Finanz-, Justiz- und Außenministerium.

Cross-Site-Scripting- bzw. XSS-Angriffe integrieren schädlichen Programmcode in eine legitime Webseite oder Webanwendung. Wenn ein Benutzer die Webseite oder App besucht, wird der Code automatisch im Webbrowser des Benutzers ausgeführt. In der Regel werden sensible Informationen gestohlen oder der Benutzer wird zu einer gefälschten, schädlichen Website weitergeleitet. Angreifer verwenden häufig JavaScript für XSS-Angriffe.

SQL-Injection-Angriffe verwenden Structured Query Language (SQL), um schädliche Befehle an die Backend-Datenbank einer Website oder App zu senden. Hacker geben diese Befehle über für Benutzer sichtbare Felder wie Suchleisten und Anmeldefenster ein. Die Befehle werden dann an die Datenbank weitergeleitet, die daraufhin vertrauliche Daten wie Kreditkartennummern oder Kundendetails zurückgibt.

Beim DNS-Tunneling wird schädlicher Datenverkehr in DNS-Paketen versteckt, sodass er Firewalls und andere Sicherheitsmaßnahmen umgehen kann. Cyberkriminelle nutzen DNS-Tunneling, um geheime Kommunikationskanäle zu schaffen, über die sie unbemerkt Daten extrahieren oder Verbindungen zwischen Malware und einem Command-and-Control-Server (C&C) herstellen können.

Zero-Day-Exploits nutzen Zero-Day-Schwachstellen aus, d. h. Schwachstellen, die Sicherheitsexperten entweder nicht bekannt sind oder zwar erkannt, aber noch nicht behoben wurden. Diese Schwachstellen können Tage, Monate oder Jahre bestehen, bevor Entwickler von ihnen erfahren, was sie zu einem Hauptziel für Hacker macht.

Dateilose Angriffe nutzen Schwachstellen in legitimen Softwareprogrammen, um schädlichen Programmcode direkt in den Speicher eines Computers zu integrieren. Cyberkriminelle verwenden oft PowerShell, ein in Microsoft Windows-Betriebssysteme integriertes Scripting-Tool, um schädliche Skripte auszuführen, die Konfigurationen ändern oder Kennwörter stehlen.

DNS-Spoofing-Angriffe, auch „DNS-Poisoning“ genannt, bearbeiten heimlich DNS-Einträge, um die echte IP-Adresse einer Website durch eine gefälschte Adresse zu ersetzen. Wenn die Opfer versuchen, die echte Website zu besuchen, werden sie unwissentlich auf eine schädliche Kopie der Website weitergeleitet, die ihre Daten stiehlt oder Malware verbreitet.

Unternehmen können Cyberangriffe durch Cybersicherheitssysteme und -strategien reduzieren. Unter Cybersicherheit versteht man den Schutz kritischer Systeme und vertraulicher Informationen vor digitalen Angriffen durch eine Kombination aus Technologie, Mitarbeitern und Prozessen.

Viele Unternehmen implementieren eine Bedrohungsmanagementstrategie, um ihre wichtigsten Assets und Ressourcen zu identifizieren und zu schützen. Bedrohungsmanagement kann verschiedene Richtlinien und Sicherheitslösungen umfassen, etwa:

• Plattformen und Richtlinien für das Identity und Access Management (IAM), einschließlich des Zugriffsprinzip der geringsten Berechtigung, der Multi-Faktor-Authentifizierung und starker Kennwortrichtlinien, können sicherstellen, dass nur bestimmte Personen Zugriff auf bestimmte Ressourcen haben. Unternehmen können auch verlangen, dass Remote-Mitarbeiter virtuelle private Netze (VPNs) verwenden, wenn sie über ungesichertes WLAN auf sensible Ressourcen zugreifen.

• Eine umfassende Datensicherheitsplattform und DLP-Tools (Data Loss Prevention) können vertrauliche Daten verschlüsseln, deren Zugriff und Nutzung überwachen und Alerts auslösen, wenn verdächtige Aktivitäten erkannt werden. Unternehmen können auch regelmäßige Daten-Backups durchführen, um Schäden zu minimieren, wenn eine Datenschutzverletzung vorliegt.
  
  
• Firewalls können dabei helfen, Akteure, von denen eine Sicherheitsbedrohung ausgeht, von vornherein daran zu hindern, in das Netz einzudringen. Firewalls können auch schädlichen Datenverkehr blockieren, der aus dem Netz stammt, z. B. Malware, die versucht, mit einem Command-and-Control-Server zu kommunizieren.
  
  
• Schulungen zum Sicherheitsbewusstsein können Nutzern helfen, einige der häufigsten Cyberangriffsarten wie Phishing und andere Social-Engineering-Angriffe zu erkennen und zu vermeiden.
  
  
• Richtlinien für das Schwachstellenmanagement, einschließlich Patch-Management-Plänen und regelmäßigen Penetrationsprüfungen, können dabei helfen, Sicherheitslücken zu erkennen und zu schließen, bevor Hacker sie ausnutzen können.
  
  
• ASM-Tools (Attack Surface Management) können potenziell anfällige Ressourcen identifizieren, katalogisieren und beheben, bevor Cyberangreifer sie finden.
  
  
• Unified-Endpoint-Management- bzw. UEM-Tools können Sicherheitsrichtlinien und -kontrollinstrumente für alle Endpunkte im Unternehmensnetz einführen, darunter Laptops, Desktops und mobile Geräte.

Da es unmöglich ist, Cyberangriffe gänzlich zu verhindern, sollten Unternehmen eine kontinuierliche Sicherheitsüberwachung und Verfahren zur frühzeitigen Erkennung von Angriffen einsetzen, um laufende Cyberangriffe zu identifizieren und auf sie aufmerksam zu machen. Einige Beispiele:

• SIEM-Systeme (Security Information and Event Management) zentralisieren und verfolgen Alerts von verschiedenen internen Cybersicherheitstools, darunter Intrusion Detection Systems (IDS), Endpoint Detection and Response Systems (EDR) und andere Sicherheitslösungen.
  
  
• Threat-Intelligence-Plattformen bereiten Sicherheitsalarme auf, damit sie Sicherheitsteams dabei helfen, die Arten von Cybersicherheitsbedrohungen zu verstehen, mit denen sie konfrontiert werden könnten.
  
  
• Antivirus-Software kann Computersysteme regelmäßig auf Schadprogramme scannen und automatisch identifizierte Malware löschen.
  
  
• Proaktive Bedrohungsjagdprozesse können Cyberbedrohungen in einem Netz aufspüren, wie z. B. persistente komplexe Bedrohungen (Advanced Persistent Threats, APTs).

Unternehmen können auch Maßnahmen ergreifen, um eine geeignete Reaktion auf laufende Cyberangriffe und andere Cybersicherheitsvorfälle zu gewährleisten. Einige Beispiele:

• Notfallpläne können helfen, verschiedene Arten von Cyberangriffen einzudämmen und zu beseitigen, betroffene Systeme wiederherzustellen und die Ursachen für den Vorfall zu analysieren, um künftige Angriffe zu verhindern.
  Es ist erwiesen, dass Notfallpläne die Gesamtkosten von Cyberangriffen senken. Dem Data Breach Kostenreport zufolge haben Unternehmen mit formalen Notfallteams und -plänen im Durchschnitt 58 % weniger Kosten für Datenschutzverletzungen.
  
  
• SOAR-Lösungen (Security Orchestration, Automation and Response) ermöglichen es Sicherheitsteams, unterschiedliche Sicherheitstools in halb- oder vollautomatische Playbooks aufzunehmen, um in Echtzeit auf Cyberangriffe zu reagieren.
  
  
• Extended-Detection-and-Response- bzw. XDR-Lösungen integrieren Sicherheitstools und -vorgänge auf allen Sicherheitsebenen – Benutzern, Endpunkten, E-Mails, Anwendungen, Netzen, Cloud-Workloads und Daten. XDRs können dazu beitragen, komplexe Prozesse zur Verhinderung, Erkennung und Untersuchung von Cyberangriffen und zur Reaktion darauf (einschließlich der proaktiven Bedrohungsjagd) zu automatisieren.