Cyberangriffe

Die heutigen Bedrohungsakteure reichen von einzelnen Hackern und organisierten Cyberkriminellen bis hin zu staatlich geförderten Gruppen, die langfristige Cyberkriege führen. Ihre Taktiken umfassen ein ständig wachsendes Arsenal – darunter Malware-Angriffe, Social-Engineering-Betrug, Zero-Day-Exploits und sich selbst replizierende Würmer. 

Angreifer nutzen jede Art von Schwachstelle aus, von nicht gepatchten Webanwendungen bis hin zu falsch konfigurierten Cloud-Services, um ein Zielsystem zu kompromittieren und dessen Funktionalität zu stören. Um diese Bedrohungen zu mindern, benötigen Unternehmen mehrschichtige Abwehrmaßnahmen, um Cyberangriffe zu verhindern, zu erkennen und darauf zu reagieren, bevor sie Schaden anrichten können.   

Cyberangriffe finden nicht in einem Vakuum statt. Sie erfolgen dort, wo Technologie, Menschen und Motive aufeinandertreffen. Die Folgen gehen weit über einen vorübergehenden Ausfall oder eine gestohlene Datei hinaus. Der Cost of a Data Breach Report 2025 von IBM beziffert die weltweiten durchschnittlichen Kosten einer Datenverletzung auf 4,44 Millionen USD – eine Zahl, die die Kosten für die Erkennung, die Reaktion auf Vorfälle, Ausfallzeiten, entgangene Einnahmen und dauerhafte Schäden für die Marke umfasst.¹

Einige Vorfälle sind weitaus kostspieliger: Im März 2024 zahlte ein Opfer 75 Millionen USD für einen einzigen Ransomware-Angriff, während Business Email Compromise (BEC)-Betrugsfälle allein im Jahr 2024 bei 21.442 gemeldeten Vorfällen 2,77 Milliarden USD von Unternehmen abgezogen haben.² Analysten prognostizieren, dass die weltweiten jährlichen Kosten der Cyberkriminalität von etwa 9,2 Billionen US-Dollar im Jahr 2024 auf etwa 13,8 Billionen US-Dollar im Jahr 2028 ansteigen werden.

Um die Bedeutung von Cyberangriffen voll zu erfassen, ist es wichtig, sie aus drei Dimensionen zu betrachten:

• Wer einen Angriff startet 
• Worauf Angreifer abzielen
• Warum Angreifer zuschlagen

Cyberangriffe werden von einer Vielzahl böswilliger Akteure sowohl von außen als auch von innen ausgehen.

Externe Angreifer können sehr unterschiedlich sein. Organisierte Cyberkriminelle Gruppen können versuchen, durch Ransomware-Kampagnen oder durch den Verkauf gestohlener Daten im Dark Web Gewinne zu erzielen. Einige sind professionelle Hacker, die sich darauf spezialisiert haben, sich Zugang zu kompromittierten Systemen zu verschaffen.  

Auf nationalstaatlicher Ebene führen staatlich geförderte Akteure langfristige Kampagnen der Cyberkriegsführung und Spionage gegen rivalisierende Regierungen und Unternehmen durch. Darüber hinaus gibt es Hacktivisten, die in Systeme eindringen, um auf ein politisches oder soziales Anliegen aufmerksam zu machen, und nicht, um direkten finanziellen Gewinn zu erzielen.

Insider-Bedrohungen stellen ein weiteres, aber ebenso ernstes Risiko dar. Verärgerte Mitarbeiter könnten aus Rache absichtlich sensible Daten entwenden oder Systeme sabotieren. Andere sind einfach unvorsichtig: Ein Benutzer, der Kundendaten auf einem ungesicherten Laufwerk speichert, kann unbeabsichtigt dieselbe Lücke schaffen, die ein böswilliger Akteur ausnutzen würde. Nur wenn ein Insider seinen autorisierten Zugriff absichtlich missbraucht, handelt es sich um einen echten Cyberangriff. Allerdings kann bereits Fahrlässigkeit einem externen Angreifer einen ersten Zugang ermöglichen. 

Angreifer dringen in Systeme ein, da jedes Asset, sei es geistiges Eigentum oder personenbezogene Daten, einen eindeutigen Wert besitzt. Die häufigsten Ziele sind:

• Finanzielle Assets: Dazu gehören Bankkonten, Zahlungssysteme, Kryptowährungs-Wallets, Kreditkartennummern und Anmeldedaten, die einen direkten Diebstahl oder Weiterverkauf ermöglichen.

• Daten und geistiges Eigentum: Umfasst Kundendaten, Produktdesigns, firmeneigene Forschungsergebnisse und personenbezogene Daten (PII) für Identitätsdiebstahl oder den Weiterverkauf im Dark Web. 

• Kritische Infrastruktur und staatliche Systeme: Betrifft Energienetze, Gesundheitssysteme und Regierungsbehörden und beeinträchtigt wichtige Informationssysteme und öffentliche Dienste. 

Einige Kampagnen zielen darauf ab, die Funktionalität zu beeinträchtigen, anstatt Daten zu stehlen. Beispielsweise hat ein kürzlich erfolgter Distributed Denial-of-Service-Angriff (DDoS) sein Ziel mit 11,5 Terabit pro Sekunde (Tbps) Datenverkehr für etwa 35 Sekunden überlastet. Ein Forscher formulierte es so: „Das entspricht einer Überlastung Ihres Netzwerks mit über 9.350 HD-Filmen in voller Länge … in nur 45 Sekunden.“

Die möglicherweise schwierigste Frage zu beantworten ist, warum Angreifer zuschlagen. Die Motive können von Profit über Politik bis hin zu persönlichen Beschwerden reichen, und jeder einzelne Verstoß kann mehr als eine dieser Kräfte beinhalten. Die meisten Aktivitäten konzentrieren sich jedoch um drei breite Treiber: kriminelle, politische oder persönliche. 

• Kriminell: Kriminelle Motive sind nach wie vor am häufigsten. Manche Akteure sind auf einfache finanzielle Gewinne aus, indem sie in Systeme einbrechen, um Ransomware-Angriffe zu starten oder groß angelegte Phishing-Kampagnen durchzuführen. Andere konzentrieren sich auf Erpressung, indem sie DDoS-Angriffe nutzen, um Netzwerke in Geiselhaft zu nehmen, bis ein Lösegeld gezahlt wird. 
  
  
• Politisch: Auch die Politik macht einen großen Teil der Cyber-Aktivitäten aus. Staatlich geförderte Kampagnen und langfristige Cyberspionageoperationen untersuchen routinemäßig kritische Infrastrukturen, Regierungsnetzwerke und sogar Wahlsysteme. Neben diesen nationalstaatlichen Bemühungen gibt es Hacktivisten – Einzelpersonen oder lose Kollektive, die Netzwerke infiltrieren, um eine Sache ins Rampenlicht zu rücken oder einen Gegner in Verlegenheit zu bringen. 
  
  
• Persönlich: Persönliche Beweggründe sind zwar schwerer vorherzusagen, können aber ebenso destruktiv sein. Ein beunruhigter Auftragnehmer oder Geschäftspartner kann absichtlich sensible Daten freigeben oder Systeme sabotieren, um eine Rechnung zu begleichen. Und manchmal ist der Antrieb kaum mehr als Neugier oder Ego: Sogenannte „Sporthacker“ brechen einfach ein, um zu beweisen, dass sie es können.

Cyberkriminelle verwenden viele ausgeklügelte Tools und Techniken, um Systeme zu kompromittieren. Die Taktiken entwickeln sich ständig weiter, können aber in drei große Kategorien eingeteilt werden: allgegenwärtige, fortgeschrittene und neu auftretende Cyberbedrohungen.

Diese Techniken sind die Hauptwerkzeuge der Cyberkriminalität. Sie sind branchenübergreifend einsetzbar, nutzen menschliche Schwächen aus und erfordern in der Regel keine Ressourcen auf Staatsebene. Da sie so verbreitet und so effektiv sind, bilden sie die Grundlage der meisten Cybersicherheitsvorfälle.

Malware ist eine Schadsoftware, die dazu führt, dass infizierte Systeme nicht mehr funktionsfähig sind. Es kann Daten zerstören, Informationen stehlen oder Dateien löschen, die für die Funktionsfähigkeit des Betriebssystems entscheidend sind. Zu den gängigen Arten von Malware gehören:

• Trojanische Pferde: Angriffe tarnen sich als legitime Programme, um Benutzer zur Installation zu verleiten. Ein Remote-Access-Trojaner (RAT) schafft eine geheime Hintertür auf dem Gerät des Opfers, während ein „Dropper-Trojaner“ zusätzliche Malware installiert, sobald er Fuß gefasst hat.

• Ransomware: Verwendet eine starke Verschlüsselung, um Daten oder Systeme in Geiselhaft zu nehmen, bis ein Lösegeld bezahlt wird.

• Scareware: Bombardiert Opfer mit gefälschten Warnungen, um das Herunterladen oder die Herausgabe sensibler Informationen zu veranlassen.

• Spyware: Sammelt heimlich Benutzernamen, Passwörter und Kreditkartennummern und sendet sie an den Angreifer zurück.

• Rootkits: Ermöglichen die Kontrolle eines Betriebssystems auf Administratorenebene und bleiben dabei verborgen.

• Selbstreplizierende Würmer: Sie verbreiten sich automatisch zwischen Anwendungen und Geräten.

Social-Engineering-Angriffe nutzen das Vertrauen der Menschen aus, anstatt technische Schwachstellen auszunutzen, und bringen sie dazu, Informationen preiszugeben oder sogar Malware zu installieren. Das häufigste Beispiel ist Phishing, bei dem E-Mails, SMS oder Social-Media-Nachrichten legitime Anfragen imitieren und die Opfer dazu verleiten, auf bösartige Links zu klicken oder infizierte Anhänge zu öffnen.

Zu den gezielteren Varianten gehört Spear-Phishing, bei dem der Angriff anhand von Informationen aus öffentlichen sozialen Profilen auf eine bestimmte Person zugeschnitten wird. Whale Phishing ist eine Variante, die sich an Führungskräfte richtet, während BEC-Betrug vertrauenswürdige Personen wie einen CEO imitiert und Mitarbeiter dazu verleitet, Geld zu überweisen oder vertrauliche Daten weiterzugeben.

DoS- und Distributed-Denial-of-Service (DDoS)-Angriffe überfluten die Ressourcen eines Systems mit betrügerischem Datenverkehr, bis es nicht mehr auf legitime Anfragen reagieren kann. Ein DoS-Angriff geht von einer einzigen Quelle aus, während ein DDoS-Angriff mehrere Quellen nutzt – häufig ein Botnetz aus mit Malware infizierten Laptops, Smartphones und Geräten des Internet der Dinge (IoT). 

Bei einem Angriff zur Kompromittierung von Konten missbrauchen Kriminelle die Anmeldedaten eines legitimen Benutzers, um böswillige Aktivitäten durchzuführen. Sie können Passwörter phishen, gestohlene Datenbanken im Dark Web erwerben oder automatisierte Brute-Force-Angriffe starten, um Passwörter wiederholt zu erraten, bis eines funktioniert.

MITM-Angriffe, auch Lauschangriffe genannt, treten auf, wenn ein Hacker heimlich die Kommunikation zwischen zwei Parteien abfängt, oft über ungesichertes öffentliches WLAN. Angreifer können Nachrichten lesen oder ändern, bevor sie den Empfänger erreichen. Bei einer Session-Hijacking-Variante tauscht der Eindringling beispielsweise seine IP-Adresse mit der des Opfers aus und verleitet so den Server dazu, vollen Zugriff auf die geschützten Ressourcen zu gewähren.

Geduldigere Gegner führen Kampagnen durch Geschicklichkeit, Tarnung und Beharrlichkeit durch. Diese Taktiken kombinieren oft mehrere Angriffsvektoren – von verdeckten menschlichen Anwendern bis hin zu Einheiten automatisierter Bots – und können sich über Monate entfalten, sodass eine frühzeitige Erkennung unerlässlich ist.

Angreifer dringen in ein Unternehmen ein, indem sie dessen Softwareanbieter, Materiallieferanten oder andere Dienstleister ins Visier nehmen. Da Anbieter häufig mit den Netzwerken ihrer Kunden verbunden sind, kann eine einzige Sicherheitslücke einem Angreifer einen indirekten Zugang zu zahlreichen Unternehmen ermöglichen.

XSS-Angriffe fügen bösartigen Code in eine legitime Webseite oder Webanwendung ein. Wenn ein Benutzer die Website oder App besucht, wird der Code automatisch im Browser des Benutzers ausgeführt, wodurch sensible Informationen gestohlen werden oder der Besucher auf eine schädliche Website umgeleitet wird. Angreifer verwenden häufig JavaScript, um diese Exploits auszuführen.

SQL-Injection-Angriffe senden bösartige Structured Query Language (SQL)-Befehle an die Backend-Datenbank einer Website oder Anwendung. Angreifer geben diese Befehle über für Benutzer sichtbare Felder wie Suchleisten und Anmeldefenster ein und fordern die Datenbank auf, private Daten wie Kreditkartennummern oder andere Kundendaten zurückzugeben.

Domain Name System (DNS)-Tunneling verbirgt bösartigen Datenverkehr in DNS-Paketen, wodurch herkömmliche Sicherheitsmaßnahmen wie Firewalls und Intrusion-Detection-Systeme (IDS) umgangen werden können. Angreifer nutzen diese Technik, um verdeckte Kommunikationskanäle zu schaffen, über die sie unbemerkt Daten extrahieren oder Malware mit einem Remote-Command-and-Control-Server (C2) verbinden können.

Zero-Day-Exploits profitieren von zuvor unbekannten oder unpatched Softwarefehlern, genannt Zero-Day-Schwachstellen, bevor Entwickler einen Fix veröffentlichen können. Diese Angriffe können über Tage, Monate oder sogar Jahre hinweg wirksam bleiben, was sie zu einer bevorzugten Methode fortgeschrittener Bedrohungsgruppen macht.

Dateilose Angriffe nutzen Schwachstellen in legitimen Softwareprogrammen, um schädlichen Programmcode direkt in den Speicher eines Computers zu integrieren. Da sie nur im Arbeitsspeicher arbeiten und kaum Spuren auf der Festplatte hinterlassen, können sie viele Antivirensoftwarelösungen umgehen – sogar einige Antivirenprogramme der nächsten Generation (Next-Generation Anti Virus, NGAV). Angreifer nutzen oft Scripting-Umgebungen wie PowerShell, um Konfigurationen zu ändern oder Passwörter zu stehlen.

Auch als „DNS-Poisoning“ bezeichnet, verändert DNS-Spoofing heimlich DNS-Einträge, um die tatsächliche IP-Adresse einer Website durch eine gefälschte zu ersetzen. Wenn Opfer versuchen, die legitime Website aufzurufen, werden sie unwissentlich auf eine bösartige Kopie umgeleitet, die Daten stehlen oder Malware verbreiten kann.

Böswillige Akteure erweitern die Angriffsfläche, indem sie intelligente Systeme manipulieren, neue Infrastrukturen ausnutzen und sogar zukünftige Verschlüsselungen untergraben. Obwohl sich diese Cyber-Bedrohungen noch weiterentwickeln, erfordern sie bereits jetzt die Aufmerksamkeit von Sicherheitsoperationszentren (Security Operation Centers, SOC) und umfassenderen Sicherheitsteams.

Künstliche Intelligenz (KI), insbesondere generative KI, eröffnet Gegnern neue Möglichkeiten. Hacker können große Sprachmodelle (LLMs) nutzen, um hyperrealistische Phishing-Angriffe zu entwickeln, Deepfake-Audio- und -Videos zu erstellen und sogar die Aufklärung in einem noch nie dagewesenen Ausmaß zu automatisieren. Ausgefeiltere Techniken wie Prompt Injection oder AI Jailbreaks können KI-Systeme dazu verleiten, sensible Daten preiszugeben, indem sie integrierte Sicherheitskontrollen und Schutzvorrichtungen außer Kraft setzen.

Unternehmen verlagern weiterhin Workloads in Public Clouds und Hybrid Clouds und vergrößern damit die potenzielle Angriffsfläche. Fehlkonfigurierte Speicher-Buckets, exponierte Anwendungsprogrammierschnittstellen (APIs) und anfällige Container-Orchestrierungsplattformen wie Kubernetes bieten Angreifern die Möglichkeit, nahezu in Echtzeit Zugriff auf ganze Umgebungen zu erlangen. Durch die gezielte Ausnutzung einer einzigen Fehlkonfiguration in der Cloud kann ein Angreifer sich lateral über mehrere Workloads hinweg bewegen und Kundendaten exfiltrieren, ohne die herkömmlichen Perimeter-Sicherheitsmaßnahmen auszulösen.

Angriffe auf die Datenintegrität zielen darauf ab, Datensätze während der Übertragung, Speicherung oder Verarbeitung zu beschädigen oder subtil zu verändern, sodass nachgelagerte Systeme fehlerhafte Entscheidungen treffen. Dies kann die Manipulation von Echtzeit-Datenströmen oder die unbemerkte Bearbeitung von Finanz- oder Gesundheitsdaten umfassen. Eine besonders schwerwiegende Taktik ist das Datenvergiftung, bei der Angreifer Trainingsdatensätze für maschinelles Lernen mit bösartigen Datensätzen modifizieren, wodurch Modelle versteckte Hintertüren oder verzerrte Ergebnisse entwickeln. 

Fortschritte im Bereich Quantencomputing bedrohen die heutige Public-Key-Kryptographie. Angreifer verfolgen bereits Strategien nach dem Motto „Jetzt sammeln, später entschlüsseln“ und stehlen heute verschlüsselte Daten in der Erwartung, dass sie mit den zukünftigen Möglichkeiten der Quantencomputer die aktuellen Verschlüsselungsalgorithmen knacken und an vertrauliche Informationen gelangen können. Um sich auf diesen Wandel vorzubereiten, müssen Unternehmen die Entwicklungen im Bereich der Post-Quanten-Kryptografie (PQC) verfolgen und mit der Planung von Migrationspfaden für kritische Systeme beginnen.

Die Abwehr von Cyberangriffen erfordert mehr als nur ein einzelnes Produkt oder eine einzelne Richtlinie. Effektive Cybersicherheit verbindet Menschen, Technologien und Prozesse, um Bedrohungen zu antizipieren, die Exposition zu begrenzen und eine umfassende Erkennung von und Reaktion auf Bedrohungen zu ermöglichen. 

Eine starke Prävention beginnt damit, die wertvollsten Assets des Unternehmens und die sie umgebende Angriffsfläche zu kennen, um die Möglichkeiten für unbefugten Zugriff zu verringern. Zu den allgemeinen Sicherheitsvorkehrungen gehören:

• Identity und Access Management (IAM): Setzt das Prinzip der minimalen Rechtevergabe für den Zugriff, Multi-Faktor-Authentifizierung und strenge Passwortrichtlinien durch, um sicherzustellen, dass nur berechtigte Personen auf kritische Systeme zugreifen können. Viele Unternehmen verlangen außerdem, dass Remote-Benutzer sich über ein virtuelles privates Netzwerk (VPN) oder einen anderen sicheren Kanal verbinden.

• Datensicherheit und Data Loss Prevention (DLP): Verschlüsselt vertrauliche Daten, überwacht, wie sie verwendet und gespeichert werden, und führt regelmäßige Backups durch, um die Auswirkungen eines Verstoßes zu begrenzen.

• Netzwerkkontrollen: Stellt mehrschichtige Firewalls und Intrusion-Prevention-Systeme (IPS) bereit, um bösartigen Datenverkehr zu blockieren, der in das Netzwerk eindringt oder es verlässt. Dazu gehören auch Versuche durch Malware, einen C2-Server zu kontaktieren.

• Kontinuierliches Schwachstellenmanagement: Regelmäßiges Patching und Penetrationstests können dazu beitragen, Schwachstellen zu schließen, bevor Angreifer sie ausnutzen.

• Angriffsflächenmanagement (Attack Surface Management, ASM): Identifiziert, katalogisiert und bereinigt gefährdete Assets in lokalen, Cloud- und IoT-Umgebungen, bevor Angreifer sie entdecken.

• Unified Endpoint Management (UEM): Wendet konsistente Sicherheitsrichtlinien auf alle Endgeräte an, einschließlich Desktops, Laptops, mobilen Geräten und Cloud-Workloads.

• Schulung zum Sicherheitsbewusstsein: Versetzt Mitarbeiter in die Lage, Phishing-E-Mails, Social-Engineering-Taktiken und andere gängige Eintrittspunkte zu erkennen.

Da keine Verteidigung perfekt ist, benötigen Unternehmen einen Echtzeit-Einblick in ihre Computernetzwerke und Informationssysteme:

• Informationssicherheit und Ereignismanagement (SIEM): Aggregiert und analysiert Warnungen von Intrusionserkennungssystemen, Endpoint Detection and Response (EDR) und anderen Technologien.

• Threat-Intelligence: Ergänzt Warnmeldungen mit Daten zu bekannten Bedrohungsakteuren, Taktiken und Kompromittierungsindikatoren (IOC), um die Triage zu beschleunigen.

• Fortschrittliche Analytik und KI: Moderne Erkennungsplattformen nutzen zunehmend maschinelles Lernen, um Anomalien zu markieren und subtile Muster zu identifizieren, die auf einen laufenden Cybervorfall hindeuten können.

• Proaktive Bedrohungsjagd: Erfahrene Analysten suchen nach versteckten Eindringlingen, wie z. B. persistenten komplexen Bedrohungen (Advanced Persistent Threats, APTs), die automatisierte Tools möglicherweise übersehen.

Wenn Prävention und Erkennung einen Angriff aufdecken, begrenzt eine koordinierte Reaktion den Schaden und beschleunigt die Wiederherstellung:

• Planung der Reaktion auf Vorfälle: Ein dokumentierter, getesteter Plan ermöglicht es Teams, Cybersicherheitsbedrohungen einzudämmen und zu beseitigen, den Betrieb wiederherzustellen und eine Ursachenanalyse durchzuführen, um eine Wiederholung zu verhindern.

• Security Orchestration, Automatisierung and Response (SOAR): Integriert verteilte Tools und automatisiert Routineaufgaben, damit sich Sicherheitsteams auf komplexe Untersuchungen konzentrieren können.

• Erweiterte Erkennung und Reaktion (eXtended Detection and Response, XDR): Korreliert Signale über Endpunkte, Netzwerke, E-Mails, Anwendungen und Cloud-Workloads hinweg, um eine einheitliche Ansicht und schnellere Fehlerbehebung zu ermöglichen.

• Post-incident-Überprüfung: Erfasst gewonnene Erkenntnisse, aktualisiert Kontrollen und speist neue Informationen in Präventions- und Detektivmaßnahmen ein.