Cyberattacken wurden auch 2021 nicht weniger. Im Gegenteil – und der Trend lässt nichts Gutes vermuten. Die in den Medien publizierten Cyberattacken auf Unternehmen (auch zunehmend Schweizer) häuften sich. Erschien früher alle paar Monate eine Schlagzeile, sind es nun mehrere wöchentlich. Auch in unserem Cyber Security-Blog berichten wir wöchentlich über die neusten Cybergefahren und geben Tipps, um aktuelle Ransomware-Angriffe zu verhindern. Welche Top-3-Artikel unsere Leser*innen 2021 am meisten interessiert haben und welche drei Themen uns 2022 besonders beschäftigen werden, erfahren Sie in diesem Blogartikel.
Platz 1: CSIRT-Warnung – Der Trick mit dem Paket
Am häufigsten gelesen wurde der Beitrag «[InfoGuard CSIRT-Warnung] Aktuelle Ransomware-Angriffe mit Pakettrick». Der Artikel wurde Mitte April veröffentlicht, hat aber definitiv nicht an Gültigkeit verloren. Unser Computer Security Incident Response Team (kurz CSIRT) stellte bei zahlreichen Ransomware-Angriffen auf Unternehmen dieselbe initiale Infektion fest: ein Phishing-E-Mail mit bekanntem Pakettrick. Stefan Rothenbühler, Senior Cyber Security Analyst bei InfoGuard, beschrieb im Artikel, wie bei diversen Betrugsfällen Phishing-E-Mails an Mitarbeitende mit einer vermeintlichen Paket- oder Briefzustellung und teils sogar per Telefonanruf angekündigt wurde. In dieser E-Mail musste dann auf einen Link geklickt werden, um die Zustellung zu gewährleisten. Im Hintergrund wurde jedoch ein E-Banking-Trojaner heruntergeladen, mit welchem Finanztransaktionen des Unternehmens ausspioniert werden konnten.
Damit dies nicht passiert, empfehlen wir immer wieder, Ihre Mitarbeitenden in Security Awareness-Trainings zu schulen. Hilfreiche Tipps und Tricks, um Phishing-Angriffe zu erkennen, stellen wir Ihnen jedoch bereits heute kostenlos in einem Whitepaper zur Verfügung.
Platz 2: Höchste Alarmstufe – Sicherheitslücken zum Exchange-Server
Platz zwei ist nicht weniger überraschend, denn die Bedrohungslage durch diese Sicherheitslücken war mehr als kritisch; über diese haben wir im Artikel «Microsoft Exchange Sicherheitslücken – das MS Cleaning-Tool beseitigt nicht alle Hintertüren der Angreifer» berichtet. Am 2. März 2021 veröffentlichte Microsoft Updates für Sicherheitslücken zum Exchange-Server. Das InfoGuard CSIRT überprüfte innerhalb von zwei Wochen über 50 potentielle Exchange-Server-Verletzungen bei Kunden und forderte wie folgt zum sofortigen Handeln auf: «Beobachten Sie AV-Warnungen sehr genau! Wenn eine Warnung mit einem Namen wie ‹Cobalt Strike› oder ‹Powersploit› auftaucht, haben Sie ein ernsthaftes Problem und Ihre Daten werden zu diesem Zeitpunkt möglicherweise abgeschöpft, eine Verschlüsselung könnte unmittelbar bevorstehen.» Waren auch Sie davon betroffen?
Platz 3: Dunkle Wolken am Security-Himmel
Eine weitere Warnmeldung unseres CSIRT, worüber wir im Oktober berichteten, landet auf Platz drei: «Dunkle Wolken am Security-Himmel – Kompromittierung von Azure Accounts». Wie Sie merken, sind solche Blogartikel nicht nur beliebt, sondern vor allem wichtig, um die Öffentlichkeit – nicht nur unsere Kunden – zu warnen und Empfehlungen unserer Expert*innen zu kommunizieren.
Es gab über Monate verschiedene Cybervorfälle im Azure-Umfeld; allen voran das sogenannte «Business E-Mail Compromise», wobei sich Angreifer Zugang auf ein E-Mail-Konto eines Unternehmens verschaffen. Dadurch, dass viele Unternehmen Dienste in die Microsoft Cloud ausgelagert haben, unter anderem Exchange Online, haben Angreifer wieder neue Möglichkeiten erhalten, um Firmen-Accounts zu kompromittieren und auf diesem Weg Zugriff auf E-Mails des kompromittierten Benutzers zu erhalten. Wie das Vorgehen der Angreifer anhand eines Real-Life-Case aussah? Das erfahren Sie, wenn Sie die ganze Story lesen.
Haben Sie den Verdacht, dass Ihr Azure-Tenant gehackt wurde? Unser Expert*innen im CSIRT verfügen über das Know-how und umfangreiche Erfahrung in der Untersuchung von Azure-Kompromittierungen. Gerne überprüfen wir mittels eines Compromise Assessments auch Ihren Azure-Tenant auf gehackte Accounts.
Nur Ransomware? Vermutlich nicht
2021 wurden Cyberkriminelle noch dreister: Die Anzahl der Incidents stieg merklich an und auch in 2022 steht die Cyber Security weiter unter dem Einfluss der Corona-Pandemie und ihren Auswirkungen. Umso wichtiger ist es, aus den bisherigen Erfahrungen zu lernen, um den Angreifern immer einen Schritt voraus zu sein. Was erwartet uns also 2022? Folgende drei möglichen Sicherheitsthemen sollten Sie sich als CISO und Security-Verantwortliche vor Augen halten.
Cloud-Angriffe – warum Zero Trust helfen kann
Die Absicherung von hybriden Arbeitsumgebungen wird uns auch 2022 (und darüber hinaus) beschäftigen. Die Krise der vergangenen beiden Jahre hat den Einsatz von Cloud-Diensten stark vorangetrieben und Unternehmen haben teils kräftig in die digitale Transformation investiert. Es gibt es aber noch viele Sicherheitslücken, insbesondere Cloud-Fehlkonfigurationen, die von Cyberkriminellen ausgenutzt werden können.
Da die Notwendigkeit des Schutzes von Cloud-Identitäten zunimmt, werden Unternehmen ein sicheres Identitätsmanagement in der Cloud gewährleisten müssen und Zero Trust-, Authentifizierungs- und Zugriffsmodelle einführen. Denn Zero Trust stellt sicher, dass alle Geräte und Benutzer, die versuchen, eine Verbindung mit den Unternehmensanwendungen und -systemen herzustellen, überprüft werden. Zero Trust gewährleistet zudem, dass Geräte und Benutzer kontinuierlich auf verdächtige Aktivitäten und Verhaltensweisen überprüft werden, um eine sichere Umgebung zu schaffen.
Supply Chain – Angriffe auf Lieferketten mit gravierenden Folgen
Eine weitere Bedrohung, die sich seit 2020 manifestiert hat, sind Angriffe über die Versorgungskette (Supply Chain). Die anhaltenden wirtschaftlichen Engpässe und Unterbrechungen bieten böswilligen Akteuren die Möglichkeit, entsprechende Zielopfer unter Druck zu setzen. Vor allem Access-as-a-Service (AaaS)-Broker werden ein besonderes Interesse daran haben, sich Zugang zu verschaffen und diesen an den oder die Meistbietende*n zu verkaufen. Die Angreifer setzen auf das Kompromittieren des Quellcodes verbreiteter Anwendungen. Dadurch gelingt es ihnen, eine grosse Anzahl von Opfern gleichzeitig anzugreifen, bevor diese überhaupt in der Lage sind, darauf zu reagieren. Somit sind Angriffe auf die gesamte Versorgungskette des Opfers, und auch auf deren Kunden und Partnerlieferanten, möglich.
Eine Überprüfung der IT-Sicherheit mit Zuliefern oder Dienstleistern sollte damit unbedingt thematisiert werden. Dies schliesst die Abschätzung von Risiken bei der Kopplung von IT-Systemen, beim Datenaustausch und bei der Nutzer-Awareness des neuen Partners mit ein.
Cybercrime as a Service – lukrativ auch für ungeübte Angreifer
Im Jahr 2022 hat jede*r Zugang zu Tools, die für Ransomware-Angriffe erforderlich sind, denn längst ist Ransomware ein lukratives Geschäftsmodell geworden: Schadsoftware kann gekauft oder gemietet werden und Hacker bieten dazu ihre Expertise gar als Dienstleistung an. So können auch ungeübte Angreifer dank Ransomware-as-a-Service (RaaS) ihre Arbeit erledigen. Mit diesem neuen Geschäftsmodell haben sich Cyberkriminelle ein weiteres, lukratives Geschäftsmodell geschaffen. Und es zeichnet sich klar ab, dass dieser Markt noch deutlich wachsen wird. Für Unternehmen heisst das: Die technische Infrastruktur absichern, ein gutes Notfallkonzept erarbeiten und in Security Awareness-Trainings der Mitarbeitenden investieren.
InfoGuard Innovation Day 2022 – es ist noch nicht zu spät, sich anzumelden!
Weitere spannende und wertvolle Informationen zu den Top-Cyber-Security-Themen 2022 präsentieren wir Ihnen am 26. Januar 2022 am 10. InfoGuard Innovation Day. Besuchen Sie 17 führende Hersteller und die InfoGuard-Expert*innen an den virtuellen Messeständen und stellen Sie Ihre persönliche Agenda aus 27 interessanten Präsentationen zusammen. Ausserdem erhalten Sie spannende Einblicke zur Cyberattacke auf die Siegfried AG und erfahren von Dr. Hannes P. Lubich, Verwaltungsrat bei der InfoGuard AG, was als Nächstes auf CISOs zukommt. Es ist noch nicht zu spät: Melden Sie sich jetzt an!