Cyberangriffe sind vorsätzliche Versuche, Daten, Anwendungen oder andere Assets durch unbefugten Zugriff auf ein Netzwerk, ein Computersystem oder ein digitales Gerät zu stehlen, offenzulegen, zu verändern, zu deaktivieren oder zu zerstören.
Bedrohungsakteure starten Cyberangriffe aus den unterschiedlichsten Gründen. Diese Attacken können Bagatelldiebstähle bis hin zu Kriegshandlungen sein. Cyberkriminelle nutzen verschiedene Taktiken wie Malware-Angriffe, Social Engineering und Passwortdiebstahl, um sich unbefugten Zugriff auf ihre Zielsysteme zu verschaffen.
Cyberangriffe können die Geschäftstätigkeit unterbrechen, Unternehmen Schaden zufügen und sogar ganz zerstören. Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich auf 4,35 Millionen US-Dollar. Dieser Preis beinhaltet die Kosten für die Entdeckung der Verletzung und die Reaktion darauf, für Ausfallzeiten und Umsatzeinbußen sowie für die langfristigen Reputationsschäden eines Unternehmens und dessen Marke.
Manche Cyberangriffe sind erheblich kostspieliger als andere. Es gab schon Ransomware-Angriffe, die Lösegeldzahlungen von bis zu 40 Millionen US-Dollar forderten (Link befindet sich außerhalb ibm.com), und BEC-Scams (Business E-Mail Compromise), die bei einem einzigen Angriff bis zu 47 Millionen US-Dollar von ihren Opfern stahlen (Link befindet sich außerhalb von ibm.com). Cyberangriffe, die die personenbezogenen Daten von Kunden gefährden, können zu einem Verlust des Kundenvertrauens, zu Geldstrafen und sogar zu rechtlichen Schritten führen. Einer Schätzung zufolge wird Cyberkriminalität die Weltwirtschaft bis 2025 ganze 10,5 Billionen US-Dollar pro Jahr kosten (Link befindet sich außerhalb ibm.com).
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu bewältigen.
Für den X-Force Threat Intelligence Index registrieren
Die Beweggründe für Cyberangriffe können unterschiedlich sein, aber es gibt drei Hauptkategorien:
Kriminell motivierte Angreifer streben nach finanziellem Gewinn durch Gelddiebstahl, Datendiebstahl oder Betriebsunterbrechung. Cyberkriminelle können sich in ein Bankkonto hacken, um direkt Geld zu stehlen, oder sie nutzen Social Engineering, um Menschen dazu zu bringen, ihnen Geld zu schicken. Hacker können Daten stehlen und sie für Identitätsdiebstahl nutzen oder sie im Dark Web verkaufen.
Erpressung ist eine weitere Taktik, die verwendet wird. Hacker können Ransomware, DDoS-Angriffe oder andere Methoden nutzen, um Daten oder Geräte als „Geisel“ zu halten, bis ein Unternehmen ein Lösegeld zahlt. Laut dem jüngsten X-Force Threat Intelligence Index betrafen 32 Prozent der Cybervorfälle jedoch den Diebstahl und Verkauf von Daten und nicht die Verschlüsselung zur Erpressung.
Persönlich motivierte Angreifer, z. B. verärgerte aktuelle oder ehemalige Mitarbeiter, suchen in erster Linie Vergeltung für eine vermeintliche Kränkung. Sie können Geld erbeuten, vertrauliche Daten stehlen oder die Systeme eines Unternehmens stören.
Politisch motivierte Angreifer werden oft mit Cyberkrieg, Cyberterrorismus oder „Hacktivismus“ in Verbindung gebracht. In der Cyberkriegsführung zielen nationalstaatliche Akteure häufig auf die Regierungsbehörden oder kritischen Infrastrukturen ihrer Feinde ab. Seit Beginn des Russland-Ukraine-Krieges kam es in beiden Ländern beispielsweise schon zu mehreren Cyberangriffen auf wichtige Institutionen (Link befindet sich außerhalb ibm.com). Aktivistische Hacker, sogenannte „Hacktivisten“, fügen ihren Opfern keinen großen Schaden zu. Stattdessen machen sie in der Regel auf ihre Anliegen aufmerksam, indem sie ihre Angriffe in der Öffentlichkeit bekannt machen.
Zu den selteneren Beweggründen für Cyberangriffe gehören Unternehmensspionage, bei der Hacker geistiges Eigentum stehlen, um sich einen unfairen Vorteil gegenüber der Konkurrenz zu verschaffen, und sogenannte Red-Hat-Hacker, die die Sicherheitslücken eines Systems ausnutzen, um andere vor ihnen zu warnen. Und dann gibt es noch eine letzte Kategorie – nämlich Hacker, die einfach nur die intellektuelle Herausforderung genießen.
Sowohl kriminelle Organisationen als auch staatliche Akteure und Privatpersonen können Cyberangriffe starten. Eine Möglichkeit, diese Akteure zu klassifizieren, besteht darin, zwischen externen und internen Akteuren zu unterscheiden.
Externe Akteure sind nicht berechtigt, ein Netzwerk oder ein Gerät zu nutzen, dringen aber trotzdem in sie ein. Zu den externen Cyberbedrohungsakteuren gehören organisierte kriminelle Gruppen, professionelle Hacker, staatliche Akteure, Amateur-Hacker und Hacktivisten.
Interne Akteure sind Benutzer, die autorisierten und legitimen Zugang zu den Assets eines Unternehmens haben und ihre Privilegien absichtlich oder unbeabsichtigt missbrauchen. Diese Kategorie umfasst Mitarbeiter, Geschäftspartner, Kunden, Auftragnehmer und Anbieter mit Systemzugriff.
Während fahrlässige Benutzer ihre Unternehmen gefährden können, handelt es sich nur dann um einen Cyberangriff, wenn der Benutzer seine Privilegien absichtlich für böswillige Aktivitäten nutzt. Ein Mitarbeiter, der nachlässig ist und vertrauliche Informationen auf einem nicht gesicherten Laufwerk speichert, begeht keinen Cyberangriff – aber ein verärgerter Mitarbeiter, der wissentlich Kopien vertraulicher Daten zur persönlichen Bereicherung anfertigt, schon.
Bedrohungsakteure brechen in der Regel in Computernetze ein, weil sie hinter etwas Bestimmtem her sind. Die häufigsten Ziele sind:
In einigen Fällen möchten Cyberangreifer überhaupt nichts stehlen. Vielmehr wollen sie Informationssysteme oder die IT-Infrastruktur stören, um ein Unternehmen, eine Regierungsbehörde oder ein anderes Ziel zu schädigen.
Im Erfolgsfall können Cyberangriffe Unternehmen schaden. Sie können Ausfallzeiten, Datenverlust und finanzielle Schäden verursachen. Einige Beispiele:
Abgesehen davon, dass sie ihren Opfern direkten Schaden zufügen, können Cyberangriffe eine Vielzahl sekundärer Kosten und Konsequenzen nach sich ziehen. Der Bericht „Cost of a Data Breach“ ergab beispielsweise, dass Unternehmen durchschnittlich 2,62 Millionen US-Dollar ausgeben, um Sicherheitsverstöße zu erkennen, auf sie zu reagieren und sie zu beheben.
Cyberangriffe können auch Auswirkungen auf die Opfer haben, die nicht ihr direkte Ziel waren. Im Jahr 2021 etwa griff die Ransomware-Gang DarkSide die Colonial Pipeline an, das größte Pipelinesystem für raffiniertes Öl in den USA. Die Angreifer drangen mit einem kompromittierten Passwort in das Unternehmensnetz ein (Link befindet sich außerhalb von ibm.com). Sie legten die Pipeline still, über die 45 % des an die US-Ostküste gelieferten Gas-, Diesel- und Kerosintreibstoffs transportiert wird, was zu einer großen Kraftstoffknappheit führte.
Die Cyberkriminellen forderten ein Lösegeld in Höhe von fast 5 Millionen US-Dollar in der Kryptowährung Bitcoin, das Colonial Pipeline auch bezahlte (Link befindet sich außerhalb von ibm.com). Durch die Unterstützung der US-Regierung konnte das Unternehmen jedoch schließlich 2,3 Millionen US-Dollar des Lösegelds zurückerhalten.
Cyberkriminelle verwenden viele ausgeklügelte Tools und Techniken, um Cyberangriffe auf die IT-Systeme von Unternehmen, private PCs und andere Ziele zu initiieren. Zu den häufigsten Arten von Cyberangriffen gehören:
Malware ist eine Schadsoftware, die dazu führt, dass infizierte Systeme nicht mehr funktionsfähig sind. Malware kann Daten vernichten, Informationen stehlen oder sogar Dateien löschen, die für ein funktionierendes Betriebssystem unerlässlich sind. Malware gibt es in vielen Formen, darunter:
Social-Engineering-Angriffe bringen Menschen dazu, Dinge zu tun, die sie nicht tun sollten, z. B. Informationen weiterzugeben, die sie nicht weitergeben sollten, Software herunterzuladen, die sie nicht herunterladen sollten, oder Geld an Kriminelle zu senden.
Phishing ist einer der am weitesten verbreiteten Social-Engineering-Angriffe. Dem Bericht „Cost of a Data Breach“ zufolge ist er die zweithäufigste Ursache für Datenschutzverletzungen. Ein typischer Phishing-Scam verwendet gefälschte E-Mails oder Textnachrichten, um die Anmeldedaten von Benutzern zu stehlen, vertrauliche Daten auszuspionieren oder Malware zu verbreiten. Phishing-Nachrichten sehen oft so aus, als würden sie von einer legitimen Quelle stammen. In der Regel werden die Opfer aufgefordert, auf einen Hyperlink zu klicken, der sie auf eine schädliche Website führt, oder einen E-Mail-Anhang zu öffnen, der sich als Malware entpuppt.
Cyberkriminelle haben aber auch komplexere Phishing-Methoden entwickelt. Spear-Phishing ist ein sehr gezielter Angriff, der eine bestimmte Person manipuliert, oft indem Informationen aus den öffentlichen Social-Media-Profilen des Opfers verwendet werden, um die Täuschung überzeugender zu machen. Whale Phishing ist eine Art des Spear-Phishing, die speziell auf hochrangige Unternehmensvertreter abzielt. Bei einem BEC-Betrug (Business Email Compromise) stellen sich Cyberkriminelle als Führungskräfte, Lieferanten oder andere Geschäftspartner heraus, um Opfer dazu zu verleiten, Geld zu überweisen oder sensible Daten preiszugeben.
Denial-of-Service (DoS)- und Distributed Denial-of-Service (DDoS)-Angriffe fluten die Ressourcen eines Systems mit betrügerischem Datenverkehr. Dieser überlastet das System, senkt seine Leistungsfähigkeit und verhindert Antworten auf legitime Anfragen. Ein Denial-of-Service-Angriff kann einzeln durchgeführt werden (sozusagen als Selbstzweck) oder als Mittel, um von einem weiteren Angriff abzulenken.
Der Unterschied zwischen DoS-Attacken und DDoS-Angriffen besteht einfach darin, dass Erstere eine einzige Quelle nutzen, um betrügerischen Datenverkehr zu generieren, während Letztere mehrere Quellen verwenden. DDoS-Angriffe werden häufig mit einem Botnet durchgeführt, einem Netz aus mit dem Internet verbundenen und mit Malware infizierten Geräten, das von einem Hacker kontrolliert wird. Botnets können Laptops, Smartphones und IoT-Geräte (Internet der Dinge) enthalten. Opfer wissen oft nicht, wann ein Botnet ihre Geräte gekapert hat.
Eine Kontokompromittierung ist ein Angriff, bei dem Hacker das Konto eines legitimen Benutzers für böswillige Aktivitäten nutzen. Cyberkriminelle können auf viele verschiedene Arten in das Konto eines Benutzers eindringen. Sie können Berechtigungsnachweise durch Phishing-Angriffe stehlen oder gestohlene Passwortdatenbanken im Dark Web kaufen. Sie können Tools wie Hashcat und John the Ripper verwenden, um Kennwortverschlüsselungen zu knacken, oder Brute-Force-Attacken durchführen, bei denen sie automatisierte Skripte oder Bots ausführen, um potenzielle Kennwörter zu generieren und zu testen, bis eines funktioniert.
Bei einem Man-in-the-Middle-Angriff (MiTM), auch Janusangriff genannt, fängt ein Hacker heimlich die Kommunikation zwischen zwei Personen oder zwischen einem Benutzer und einem Server ab. MitM-Angriffe werden häufig über ungesicherte öffentliche WLAN-Netzwerke durchgeführt, in denen es für Bedrohungsakteure relativ einfach ist, den Datenverkehr auszuspionieren.
Hacker können die E-Mails eines Benutzers lesen oder die E-Mails sogar heimlich ändern, bevor sie den Empfänger erreichen. Bei einem Session-Hijacking-Angriff unterbricht der Hacker die Verbindung zwischen einem Benutzer und einem Server, auf dem wichtige Assets wie eine vertrauliche Unternehmensdatenbank gehostet werden. Der Hacker tauscht seine IP-Adresse mit der des Benutzers aus, sodass der Server glaubt, dass es sich um einen legitimen Benutzer handelt, der bei einer legitimen Sitzung angemeldet ist. Dies gibt dem Hacker freie Hand, um Daten zu stehlen oder andere Schäden zu verursachen.
Angriffe auf die Lieferkette sind Cyberangriffe, bei denen Hacker in ein Unternehmen eindringen, indem sie dessen Softwareanbieter, Materiallieferanten und andere Dienstleister ins Visier nehmen. Da diese oft auf die ein oder andere Weise mit den Netzen ihrer Kunden verbunden sind, können Hacker das Netz dieser Anbieter als Angriffsvektor nutzen, um auf mehrere Ziele gleichzeitig zuzugreifen.
Beispielsweise haben russische staatliche Akteure im Jahr 2020 den Softwareanbieter SolarWinds gehackt und unter dem Deckmantel eines Software-Updates Malware an dessen Kunden gesendet (Link befindet sich außerhalb von ibm.com). Die Malware ermöglichte es russischen Spionen, über die Dienste von SolarWinds auf die vertraulichen Daten verschiedener US-Regierungsbehörden zuzugreifen, darunter das Finanz-, Justiz- und Außenministerium.
Cross-Site-Scripting- bzw. XSS-Angriffe integrieren schädlichen Programmcode in eine legitime Webseite oder Webanwendung. Wenn ein Benutzer die Webseite oder App besucht, wird der Code automatisch im Webbrowser des Benutzers ausgeführt. In der Regel werden sensible Informationen gestohlen oder der Benutzer wird zu einer gefälschten, schädlichen Website weitergeleitet. Angreifer verwenden häufig JavaScript für XSS-Angriffe.
SQL-Injection-Angriffe verwenden Structured Query Language (SQL), um schädliche Befehle an die Backend-Datenbank einer Website oder App zu senden. Hacker geben diese Befehle über für Benutzer sichtbare Felder wie Suchleisten und Anmeldefenster ein. Die Befehle werden dann an die Datenbank weitergeleitet, die daraufhin vertrauliche Daten wie Kreditkartennummern oder Kundendetails zurückgibt.
Beim DNS-Tunneling wird schädlicher Datenverkehr in DNS-Paketen versteckt, sodass er Firewalls und andere Sicherheitsmaßnahmen umgehen kann. Cyberkriminelle nutzen DNS-Tunneling, um geheime Kommunikationskanäle zu schaffen, über die sie unbemerkt Daten extrahieren oder Verbindungen zwischen Malware und einem Command-and-Control-Server (C&C) herstellen können.
Zero-Day-Exploits nutzen Zero-Day-Schwachstellen aus, d. h. Schwachstellen, die Sicherheitsexperten entweder nicht bekannt sind oder zwar erkannt, aber noch nicht behoben wurden. Diese Schwachstellen können Tage, Monate oder Jahre bestehen, bevor Entwickler von ihnen erfahren, was sie zu einem Hauptziel für Hacker macht.
Dateilose Angriffe nutzen Schwachstellen in legitimen Softwareprogrammen, um schädlichen Programmcode direkt in den Speicher eines Computers zu integrieren. Cyberkriminelle verwenden oft PowerShell, ein in Microsoft Windows-Betriebssysteme integriertes Scripting-Tool, um schädliche Skripte auszuführen, die Konfigurationen ändern oder Kennwörter stehlen.
DNS-Spoofing-Angriffe, auch „DNS-Poisoning“ genannt, bearbeiten heimlich DNS-Einträge, um die echte IP-Adresse einer Website durch eine gefälschte Adresse zu ersetzen. Wenn die Opfer versuchen, die echte Website zu besuchen, werden sie unwissentlich auf eine schädliche Kopie der Website weitergeleitet, die ihre Daten stiehlt oder Malware verbreitet.
Unternehmen können Cyberangriffe durch Cybersicherheitssysteme und -strategien reduzieren. Unter Cybersicherheit versteht man den Schutz kritischer Systeme und vertraulicher Informationen vor digitalen Angriffen durch eine Kombination aus Technologie, Mitarbeitern und Prozessen.
Viele Unternehmen implementieren eine Bedrohungsmanagementstrategie, um ihre wichtigsten Assets und Ressourcen zu identifizieren und zu schützen. Bedrohungsmanagement kann verschiedene Richtlinien und Sicherheitslösungen umfassen, etwa:
Da es unmöglich ist, Cyberangriffe gänzlich zu verhindern, sollten Unternehmen eine kontinuierliche Sicherheitsüberwachung und Verfahren zur frühzeitigen Erkennung von Angriffen einsetzen, um laufende Cyberangriffe zu identifizieren und auf sie aufmerksam zu machen. Einige Beispiele:
Unternehmen können auch Maßnahmen ergreifen, um eine geeignete Reaktion auf laufende Cyberangriffe und andere Cybersicherheitsvorfälle zu gewährleisten. Einige Beispiele:
Um modernen Ransomware-Bedrohungen vorzubeugen und gegen sie vorzugehen, nutzt IBM Erkenntnisse, die aus 800 TB an Bedrohungsdaten, Informationen über mehr als 17 Millionen Spam- und Phishing-Angriffe sowie Reputationsdaten zu fast einer Million schädlichen IP-Adressen aus einem Netzwerk mit 270 Millionen Endpunkten gewonnen wurden.
Der Bericht über die Kosten einer Datenschutzverletzung enthält die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
Der IBM Security X-Force Threat Intelligence Index bietet CISOs, Sicherheitsteams und Führungskräften handlungsrelevante Informationen, um besser zu verstehen, wie Bedrohungsakteure vorgehen und wie man sein Unternehmen proaktiv schützen kann.
Cyberangriffe werden immer raffinierter. Lesen Sie mehr über die Bedenken, die Branchenführer für die Zukunft haben, und über drei Ansätze, die Unternehmen ergreifen können, um ihre Abwehrkräfte aufzubauen.