Was ist ein Akteur, von dem eine Sicherheitsbedrohung ausgeht?

Heutzutage gibt es viele Arten von böswilligen Akteuren – alle mit unterschiedlichen Eigenschaften, Motivationen, Kenntnissen und Taktiken. Zu den häufigsten Arten von Akteuren, von denen eine Sicherheitsbedrohung ausgeht, gehören Hacktivisten, nationalstaatliche Akteure, Cyberkriminelle, Thrill-Seeker, Insider-Threat-Akteure und Cyberterroristen.

Da die Häufigkeit und Schwere von Cyberkriminalität weiter zunimmt, wird das Verständnis dieser verschiedenen Arten von böswilligen Akteuren für die Verbesserung der individuellen und organisatorischen Cybersicherheit immer wichtiger.

Der Begriff „Bedrohungsakteur“ ist weit gefasst und relativ allumfassend und bezieht sich auf jede Person oder Gruppe, die eine Bedrohung für die Cybersicherheit darstellt. Akteure, von denen eine Sicherheitsbedrohung ausgeht, werden häufig nach ihrer Motivation und – in geringerem Maße – nach ihrer Raffinesse in verschiedene Kategorien eingeteilt.

Diese Einzelpersonen oder Gruppen begehen Cyberkriminalität, meist aus finanziellen Gründen. Zu den häufigen Straftaten von Cyberkriminellen gehören Ransomware-Angriffe und Phishing-Scams, bei denen Menschen dazu verleitet werden, Geld zu überweisen oder Kreditkarteninformationen, Anmeldedaten, geistiges Eigentum oder andere private oder vertrauliche Informationen preiszugeben.

Nationalstaaten und Regierungen finanzieren häufig Akteure, von denen eine Sicherheitsbedrohung ausgeht, mit dem Ziel, vertrauliche Daten zu stehlen, vertrauliche Informationen zu sammeln oder die kritische Infrastruktur einer anderen Regierung zu stören. Diese böswilligen Aktivitäten umfassen oft Spionage oder Cyberkriegsführung und sind in der Regel hoch finanziert, so dass die Bedrohungen komplex und schwer zu erkennen sind.

Diese böswilligen Akteure setzen Hacking-Techniken ein, um politische oder soziale Ziele zu fördern, z. B. die Verbreitung der freien Meinungsäußerung oder die Aufdeckung von Menschenrechtsverletzungen. Hacktivisten glauben, dass sie einen positiven sozialen Wandel bewirken und fühlen sich berechtigt, Einzelpersonen, Organisationen oder Regierungsbehörden ins Visier zu nehmen, um Geheimnisse oder andere vertrauliche Informationen zu enthüllen. Ein bekanntes Beispiel für eine Hacktivistengruppe ist Anonymous, ein internationales Hacking-Kollektiv, das behauptet, sich für die Meinungsfreiheit im Internet einzusetzen.

Thrill-Seekers sind tun genau das, was der Name vermuten lässt – sie starten Angriffe auf Computer- und Informationssysteme in erster Linie zum Spaß. Einige wollen herausfinden, wie viele vertrauliche Informationen oder Daten sie stehlen können. Andere wollen durch Hacking besser verstehen, wie Netzwerke und Computersysteme funktionieren. Einer Gruppe von Angreifern, die so genannten Scriptkiddies, mangelt es an entsprechenden technischen Kenntnissen, aber sie nutzen bereits vorhandene Tools und Techniken, um anfällige Systeme anzugreifen, hauptsächlich zum Vergnügen oder zur persönlichen Befriedigung. Obwohl sie nicht immer Schaden anrichten wollen, können Thrill-Seeker dennoch unbeabsichtigten Schaden anrichten, indem sie die Cybersicherheit eines Netzwerks beeinträchtigen und die Pforten für zukünftige Cyberangriffe öffnen.

Im Gegensatz zu den meisten anderen Akteuren haben Akteur, von denen eine Bedrohung von innen ausgeht, nicht immer böswillige Absichten. Manche schaden ihrem Unternehmen durch Bedienungsfehler, indem sie z. B. unwissentlich Malware installieren oder ein vom Unternehmen ausgegebenes Gerät verlieren, das ein Cyberkrimineller findet und für den Zugriff auf das Netzwerk nutzt. Es gibt jedoch auch böswillige Insider. Dabei handelt es sich beispielsweise um verärgerte Mitarbeiter, die ihre Zugriffsberechtigungen missbrauchen, um Daten zu stehlen und damit Geld zu verdienen, oder Daten oder Anwendungen beschädigen, weil sie bei einer Beförderung übergangen wurden.

Cyberterroristen starten politisch oder ideologisch motivierte Cyberangriffe, die mit Gewalt drohen oder zu Gewalt führen. Einige Cyberterroristen sind nationalstaatliche Akteure; andere handeln auf eigene Faust oder im Namen einer Nichtregierungsorganisation.

Akteure, von denen eine Sicherheitsbedrohung ausgeht, haben es oft auf große Unternehmen abgesehen, da diese über mehr Geld und eine größere Menge an vertraulichen Daten verfügen und somit den größten potenziellen Gewinn bieten.

In den letzten Jahren sind jedoch auch kleine und mittlere Unternehmen (KMU) aufgrund ihrer relativ schwachen Sicherheitssysteme zu häufigen Zielen solcher Akteure geworden. Das FBI äußerte sich kürzlich besorgt über die steigende Zahl von Cyberangriffen auf kleine Unternehmen und teilte mit, dass kleine Unternehmen allein im Jahr 2021 6,9 Milliarden US-Dollar durch Cyberangriffe verloren haben, was einem Anstieg von 64 Prozent im Vergleich zum Vorjahr entspricht.

Ebenso zielen Bedrohungsakteure zunehmend auf Einzelpersonen und Haushalte ab, um kleinere Beträge zu erhalten. Beispielsweise könnten sie in Heimnetzwerke und Computersysteme einbrechen, um persönliche Identitätsinformationen, Passwörter und andere potenziell wertvolle und vertrauliche Daten zu stehlen. Tatsächlich deuten aktuelle Schätzungen darauf hin, dass jeder dritte amerikanische Haushalt mit Computern mit Malware infiziert ist.

Akteure, von denen eine Sicherheitsbedrohung ausgeht, machen keine Unterschiede. Obwohl sie sich eher für die sinnvollsten Ziele mit dem größten Ertrag entscheiden, nutzen sie trotzdem jegliche Schwachstelle in der Cybersicherheit aus, unabhängig davon, wo sie diese entdecken. Dadurch wird die Bedrohungslandschaft immer kostspieliger und komplexer.

Bedrohungsakteure setzen bei der Durchführung eines Cyberangriffs eine Vielzahl verschiedener Vorgehensweisen ein. Hierbei konzentrieren sie sich je nach ihrer Hauptmotivation, ihren Ressourcen und dem beabsichtigten Ziel mehr auf einige Taktiken als auf andere.

Unter Malware versteht man eine bösartige Software, die Computer beschädigt oder deaktiviert. Malware wird häufig über E-Mail-Anhänge, infizierte Websites oder manipulierte Software verbreitet und kann Akteure, von denen eine Sicherheitsbedrohung ausgeht, helfen, Daten zu stehlen, Computersysteme zu übernehmen und andere Computer anzugreifen. Zu den verschiedenen Arten von Malware gehören Viren, Computerwürmer und Trojaner, die sich als legitime Programme getarnt auf Computer herunterladen.

Ransomware ist eine Art von Malware, die die Daten oder das Gerät des Opfers sperrt und mit einer anhaltenden Sperre –oder Schlimmerem – droht, wenn das Opfer kein Lösegeld an den Angreifer zahlt. Bei den meisten Ransomware-Attacken handelt es sich heute um doppelte Erpressungsversuche, bei denen auch damit gedroht wird, die Daten des Opfers zu stehlen und sie zu verkaufen oder online zu veröffentlichen. Laut dem IBM X-Force Threat Intelligence Index machen Ransomware-Angriffe 20 % aller Malware-Angriffe aus.

Significant-Game-Hunting-Angriffe sind massive und koordinierte Ransomware-Kampagnen, die auf große Organisationen abzielen – Regierungen, Großunternehmen, Anbieter kritischer Infrastrukturen –, die bei einem Ausfall viel zu verlieren haben und eher bereit sind, ein hohes Lösegeld zu zahlen.

Bei Phishing-Angriffen werden E-Mails, SMS, Sprachnachrichten oder gefälschte Websites verwendet, um Benutzer dazu zu verleiten, vertrauliche Daten weiterzugeben, Malware herunterzuladen oder sich der Internetkriminalität auszusetzen. Zu den verschiedenen Arten von Phishing gehören:

• Spear-Phishing, ein Phishing-Angriff, der auf eine bestimmte Einzelperson oder Gruppe von Personen abzielt, mit Nachrichten, die scheinbar von legitimen Absendern stammen, die in einer Beziehung zur Zielperson stehen.

• Die Manipulation von Geschäfts-E-Mails, ein Spear-Phishing-Angriff, bei dem das Opfer eine gefälschte E-Mail von einem als Mitarbeiter oder Kollege ausgegebenen oder gekaperten E-Mail-Konto erhält.
  
  
• Whale-Phishing, ein Spear-Phishing-Angriff, der sich speziell gegen hochrangige Führungskräfte oder die Unternehmensleitung richtet.

Phishing ist eine Form des Social Engineering, einer Klasse von Angriffen und Taktiken, die Gefühle von Angst oder Dringlichkeit ausnutzen, um Menschen dazu zu bringen, andere Fehler zu begehen, die ihre persönlichen oder organisatorischen Werte oder ihre Sicherheit gefährden. Social Engineering kann in einer so simplen Form auftreten wie einem mit Malware infizierten USB-Laufwerk, das dort zurückgelassen wurde, wo es jemand findet („Cool, ein kostenloser USB-Stick!“), oder so komplex, wie monatelang eine romantische Fernbeziehung mit dem Opfer zu pflegen, um die Person um Flugtickets zu erleichtern, damit sie sich „endlich treffen“ können.

Da Social Engineering eher menschliche Schwächen als technische Sicherheitslücken ausnutzt, wird es manchmal auch als „Human Hacking“ bezeichnet.

Diese Art von Cyberangriff funktioniert so: Ein Netzwerk oder Server wird mit Datenverkehr überflutet, sodass er für Benutzer nicht verfügbar ist. Ein verteilter DDoS-Angriff (Distributed Denial of Service) nutzt ein verteiltes Computernetzwerk, um den schädlichen Datenverkehr zu senden, und erzeugt so einen Angriff, der das Ziel schneller überwältigen kann und schwieriger zu erkennen, zu verhindern oder zu mindern ist.

Persistente komplexe Bedrohungen (Advanced Persistent Threats, APTs) sind hochentwickelte Cyberangriffe, die sich über Monate oder Jahre statt Stunden oder Tage erstrecken. APTs ermöglichen es Akteuren, von denen eine Sicherheitsbedrohung ausgeht, unbemerkt im Netzwerk des Opfers zu operieren, Computersysteme zu infiltrieren, Spionage und Ausspähung zu betreiben, Berechtigungen zu erweitern (sogenannte Lateralbewegung) und vertrauliche Daten zu stehlen. Da sie unglaublich schwer zu entdecken und relativ teuer in der Ausführung sind, werden APTs in der Regel von nationalstaatlichen Akteuren oder anderen finanzstarken böswilligen Akteuren initiiert.

Bei einem Backdoor-Angriff wird eine Lücke in einem Betriebssystem, einer Anwendung oder einem Computersystem ausgenutzt, die nicht durch die Cybersicherheitsmaßnahmen einer Organisation geschützt ist. Manchmal wird diese Backdoor vom Softwareentwickler oder Hardwarehersteller erstellt, um Upgrades, Fehlerbehebungen oder (ironischerweise) Sicherheitspatches zu ermöglichen. In anderen Fällen erstellen Akteure, von denen eine Sicherheitsbedrohung ausgeht, mithilfe von Malware oder durch Hacken des Systems eigene Backdoors. Backdoors ermöglichen es böswilligen Akteuren, unbemerkt in Computersysteme einzudringen und diese wieder zu verlassen.

Die Begriffe Bedrohungsakteur, Hacker und Cyberkrimineller werden oft synonym verwendet, insbesondere in Hollywood und in der Populärkultur. Aber es gibt feine Unterschiede in den Bedeutungen der einzelnen Begriffe und ihrer Beziehung zueinander.

• Nicht alle Bedrohungsakteure oder Internetkriminelle sind Hacker. Gemäß der Definition ist ein Hacker jemand, der über die technischen Fähigkeiten verfügt, ein Netzwerk oder Computersystem zu manipulieren. Einige Bedrohungsakteure oder Cyberkriminelle tun jedoch nichts weiter, als ein infiziertes USB-Laufwerk zu hinterlassen, damit jemand es findet und benutzt, oder eine E-Mail mit einem Malware-Anhang zu versenden.

• Nicht alle Hacker sind Bedrohungsakteure oder Cyberkriminelle. Einige Hacker, sogenannte ethische Hacker, geben sich im Wesentlichen als Cyberkriminelle aus und helfen Organisationen und Behörden, ihre Computersysteme auf Anfälligkeit für Cyberbedrohungen zu testen.

• Bestimmte Arten von böswilligen Akteuren sind gemäß der Definition oder Absicht keine Cyberkriminellen, sind es aber in der Praxis. Ein Adrenalinjunkie, der „einfach nur Spaß haben“ will, könnte beispielsweise das Stromnetz einer Stadt für ein paar Minuten lahmlegen. Ebenso kann ein Hacktivist, der im Namen einer guten Sache vertrauliche Informationen der Regierung exfiltriert und veröffentlicht, eine Straftat nach dem Cybercrime-Gesetz begehen, unabhängig von seinen Absichten oder Überzeugungen.

Je ausgefeilter die Technologie wird, desto ausgefeilter wird auch die Cyber-Bedrohungslandschaft. Um Akteuren, von denen eine Sicherheitsbedrohung ausgeht, immer einen Schritt voraus zu bleiben, entwickeln Unternehmen ihre Cybersicherheitsmaßnahmen kontinuierlich weiter und stellen sich beim Thema Threat-Intelligence immer raffinierter an. Zu den Maßnahmen, die Unternehmen ergreifen, um die Auswirkungen von solchen Akteuren abzuschwächen – oder ihnen sogar Einhalt zu gebieten – gehören:

• Training zur Stärkung des Sicherheitsbewusstseins. Da Akteure, von denen eine Sicherheitsbedrohung ausgeht, sich häufig menschliche Fehler zunutze machen, stellt die Mitarbeiterschulung eine wichtige Verteidigungslinie dar. Schulungen zur Stärkung des Sicherheitsbewusstseins können alles mögliche umfassen – von der Nichtverwendung firmeneigener Geräte über die korrekte Speicherung von Passwörtern bis hin zu Techniken zur Erkennung von und zum Umgang mit Phishing-E-Mails.
   

• Multifaktor- und adaptive Authentifizierung. Bei der Implementierung einer Multi-Faktor-Authentifizierung müssen Benutzer zusätzlich zu einem Benutzernamen und einem Passwort einen oder mehrere Zugangsdaten angeben. In ähnlicher Weise fordert die adaptive Authentifizierung Benutzer zur Eingabe zusätzlicher Zugangsdaten auf, wenn sie sich von verschiedenen Geräten oder Standorten aus anmelden, und verhindert, dass Hacker auf ein E-Mail-Konto zugreifen können, selbst wenn es ihnen gelingt, das Passwort des Benutzers zu stehlen.

• Lösungen für Endpoint Security. Diese Lösungen reichen von Antivirensoftware, die bekannte Malware und Viren erkennt und stoppt, bis hin zu Tools wie Endpoint Detection and Response (EDR)-Lösungen, die künstliche Intelligenz (KI) und Analysen nutzen, um Sicherheitsteams dabei zu unterstützen, Bedrohungen zu erkennen und Maßnahmen zu ergreifen, die über herkömmliche Software für Endpoint Security hinausgehen.
  
  
• Netzwerksicherheitstechnologien. Die grundlegende Netzwerksicherheitstechnologie ist die Firewall, die verdächtigen Datenverkehr daran hindert, in ein Netzwerk einzudringen oder es zu verlassen, und gleichzeitig legitimen Datenverkehr durchlässt. Weitere Technologien sind Intrusion-Prevention-Systeme (IPSs), die das Netzwerk auf potenzielle Sicherheitsbedrohungen überwachen und Maßnahmen ergreifen, um sie zu stoppen, und Network Detection and Response (NDR), die KI, maschinelles Lernen und Verhaltensanalysen einsetzt, um Sicherheitsspezialisten bei der Erkennung und Automatisierung von Reaktionen auf Cyberbedrohungen zu unterstützen.

• Software für Unternehmenssicherheit. Diese Lösungen können Sicherheitsteams und Security Operations Centers (SOCs) dabei helfen, abweichende oder böswillige Aktivitäten in allen IT-Infrastrukturbereichen – Endpunkten, E-Mail, Anwendungen, Netzwerk und Cloud-Workloads – zu erkennen und abzufangen. Dazu gehören unter anderem Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), Security Incident and Event Management (SIEM) und Extended Detection and Response (XDR).

Unternehmen können auch regelmäßige Sicherheitsbewertungen durchführen, um Sicherheitslücken im System zu identifizieren. Interne IT-Mitarbeiter sind in der Lage, diese Prüfungen durchzuführen, aber einige Unternehmen lagern sie an Experten oder externe Service-Provider aus. Regelmäßige Software-Updates helfen Unternehmen und Privatpersonen auch dabei, potenzielle Schwachstellen in ihren Computer- und Informationssystemen zu erkennen und zu beseitigen.