Skip to content Skip to footer
Suche

Menu

Store

Ergebnisse werden geladen

PwC Global Threat Intelligence Report 2021: Cyber-Bedrohungen im Rückblick

09 Juni, 2022

Die Angriffsszenarien im digitalen Raum werden komplexer, organisierter und immer schwerer zu identifizieren: Zu diesem Schluss kommt das Global Threat Intelligence Team von PwC in seinem Rückblick auf das vergangene Jahr. Unsere Fachleute haben anhand umfangreicher Datensätze aus globalen Projekten eine Reihe besorgniserregender Trends identifiziert. Diese Datensätze stammen aus Incident-Response-Fällen, Managed-Threat-Hunting-Services oder internen Auswertungen von Cyberangriffen sowie anderen Quellen.

Unternehmen müssen sich darauf einstellen, in Zukunft mit einem deutlich strukturierteren Vorgehen der Cyberkriminellen umzugehen. Besonders alarmierend ist die immer effizientere Arbeitsteilung, bei der viele verschiedene Angreifergruppen ihre Werkzeuge und Fähigkeiten in einem zunehmend professionellen Maße untereinander koordinieren.

Das Wichtigste in 30 Sekunden

  • Die wachsende Vernetzung und Professionalisierung von cyberkriminellen Strukturen hat das Risiko eines Angriffs beziehungsweise dedizierter Ursachen erhöht.
  • Zero-Day-Schwachstellen standen 2021 im Fokus vieler Angreifergruppen. Auch Angreifergruppen mit geringer technischer Expertise können Schadsoftware zum Beispiel auf entsprechenden Plattformen online beziehen. Angreifergruppen mit höherer technischer Expertise entwickeln dabei Schadsoftware in regelmäßigen Abständen und bieten diese zum Verkauf an.
  • Die Verfügbarkeit leistungsstarker Spionagesoftware wird zu einem gesamtgesellschaftlichen Problem, weil sie in vielen Ländern zunehmend staatliche Überwachungsmaßnahmen gegen Minderheiten oder Oppositionelle begünstigen kann.

Ihr Experte für Fragen

Lorenz Kuhlee ist Director, Incident Response bei PwC Germany

Lorenz Kuhlee
Director bei PwC Deutschland
Tel.: +49 1515 0049-769
E-Mail

Vielfältige Einfallstore für Cyberkriminelle

Im vergangenen Jahr konnten Cyberkriminelle immer wieder Schwachstellen in Software-Lösungen ausnutzen, um die Systeme ihrer Opfer zu infiltrieren. Im Jahr 2021 wurde die größte Anzahl von sogenannten Zero-Days in einem einzigen Jahr gemeldet. Das sind Angriffe auf Schwachstellen, die Hacker ausnutzen können, bevor Entwickler sie schließen konnten. Eine Problematik, die zuletzt vor allem durch die Sicherheitslücke „Log4Shell“ bekannt wurde. Der Einschätzung unseres Global-Threat-Intelligence-Teams zufolge begünstigen aktuell verschiedene Faktoren diese Entwicklung. So sind Zero-Day-Schwachstellen etwa vermehrt in das Interesse von Regierungen gerückt, die sich durch den unbemerkten Zugriff auf spezielle Apps und Dienste eine bessere Informationslage für die Wahrung ihrer nationalen Sicherheit erhoffen. Auf der anderen Seite hat sich ein florierender Markt für den Informationshandel über unbekannte Sicherheitslücken entwickelt. Es gibt jetzt immer mehr Möglichkeiten, an legalen wie illegalen Wettbewerben teilzunehmen und finanzielle Belohnungen für die Arbeit zur Entwicklung von Exploits zu erhalten.

Im Jahr 2021 wurde die Cyber-Bedrohungslandschaft weiterhin durch eine Zunahme von Bedrohungsakteuren aller Motivations- und Kompetenzstufen geprägt. Wir gehen davon aus, dass Cyber-Bedrohungen wie Ransomware, die Bedeutung von Schwachstellen- und „Tool-Brokern“ und die Auswirkungen neu entdeckter Schwachstellen auf unvorbereitete Opfer auch im Jahr 2022 und darüber hinaus anhalten werden.

Gezielter und einfacher Zugang zu Schadsoftware

Neben dem wachsenden Interesse an Zero-Day-Sicherheitslücken konnte unser Global Threat Intelligence Team im vergangenen Jahr vermehrt Hinweise auf die Existenz sogenannter „Quartermasters“ entdecken. Dabei handelt es sich um Organisationen, die ausgewählte Angreifergruppen gezielt mit den erforderlichen Cyber-Waffen ausstatten, um komplexe Angriffe durchführen zu können. Das befähigt, diese verschiedenste Systeme zu kompromittieren, die sie allein nicht ohne Weiteres umsetzen könnten. Anhaltspunkte für solche Organisationsformen sind zum Beispiel wiederkehrende Techniken oder Exploits (Schadprogramme, um Sicherheitslücken auszunutzen) sowie mehrfach verwendete Domänen/IPs über verschiedene Gruppen hinweg.

Darüber hinaus gelangen die Angreifergruppen inzwischen vermehrt über legale Wege an leistungsstarke Schadsoftware für Cyberattacken – insbesondere, wenn es um Spionageaktivitäten geht. Hier treten beispielsweise Technologieunternehmen wie die NSO Group oder Candiru als sogenannte Commercial Quartermaster auf. Das hat unter anderem zur Folge, dass auch staatlich organisierte Hacker:innen problemlos an das erforderliche Rüstzeug gelangen, um Oppositionelle und andere Gruppen digital anzugreifen.

Zunehmende Spionageaktivitäten

Mit der wachsenden Verbreitung von leistungsstarken digitalen Spionagewerkzeugen und Informationen über Zero-Day-Schwachstellen geraten auch Teile der Zivilbevölkerung verstärkt in das Visier staatlich geförderter Angriffe. Dabei stellt die Überwachung von Minderheiten, Journalist:innen oder Aktivist:innen eine erhebliche Gefahr für die gesamte Gesellschaft dar. Denn obwohl solche Überwachungsaktivitäten häufig auf bestimmte Einzelpersonen abzielen, geraten die mit diesen Menschen assoziierten Unternehmen und Organisationen oft auch in den Fokus der Angreifergruppen – nicht zuletzt, weil sie in manchen Fällen den Zugang zum Opfer ermöglichen. Die für die Überwachung von Einzelpersonen entwickelten Instrumente können auch dazu verwendet werden, Organisationen ins Visier zu nehmen.

Das Global Threat Intelligence Team von PwC konnte im vergangenen Jahr eine ganze Reihe von Cyberkriminellen beobachten, die mit ausgefeilten Spionageaktivitäten gegen die Zivilbevölkerung aufgefallen sind.

Erpressung bleibt hoch im Kurs

Ransomware-Angriffe stellte unseren Fachleuten zufolge auch im Jahr 2021 das größte Risiko für Unternehmen dar. Im Jahr 2020 wurden die Daten von etwa 1.300 Ransomware-Opfern auf sogenannten Leak-Sites veröffentlicht. Diese Zahl hat sich im Jahr 2021 mit 2.435 Opfern fast verdoppelt. Ausschlaggebend für das wachsende Bedrohungspotenzial sind unter anderem:

  • Die steigende Popularität von Ransomware-as-a-Service-Angeboten (RaaS), mit denen Cyberkriminelle auch ohne die erforderlichen technischen Fähigkeiten effektive Angriffe auf Unternehmen durchführen können.
  • Die wahrgenommene Profitabilität, die neue Akteure auf den Markt lockt.
  • Die Portfolioerweiterung um Ransomware oder die Optimierung der Vorgehensweisen von etablierten kriminellen Gruppen.
  • Die Skalierbarkeit: Das Wachstum in Umfang und Geschwindigkeit wurde durch Partnerprogramme innerhalb der kriminellen Organisationen unterstützt.

Bei öffentlich bekannten Ransomware-Angriffen im Jahr 2021 mussten die Opfer Lösegelder in siebenstelliger Höhe zahlen. Die meisten Angriffe wurden auf die Fertigungsindustrie verübt, gefolgt von den Branchen Einzelhandel/Konsumgüter, Technologie, Bauwesen sowie Finanzdienstleistungen.

PwC Global Threat Intelligence Report 2021: Ransomware-Vorfälle nach Branchen

Schlüsselfertige Lösungen für Angreifergruppen

Neben Affiliate-Programmen haben auch spezielle Systeme für die Verbreitung von Schadsoftware im vergangenen Jahr die Einstiegshürden für Angreifergruppen weiter gesenkt. Dazu zählen etwa schlüsselfertige Lösungen, mit denen Cyberkriminelle die Schadsoftware bei ihren Opfern platzieren, um einen initialen Zugang zum Zielsystem zu erhalten. Weil solche Lösungen nicht dauerhaft zuverlässig zur Verfügung stehen, ist im vergangenen Jahr wiederum der Markt für Access-as-a-Service Angebote (AaaS) gewachsen. Dabei erhalten Angreifergruppen einen Zugang zu kompromittierten Systemen aus einer Vielzahl von wählbaren Organisationen und Branchen. Das senkt vor allem für Kriminelle ohne ausgeprägten technischen Hintergrund die Hürden, da die Notwendigkeit komplexe Hacking-Manöver oder Phishing-Kampagnen selbst durchzuführen entfallen und u.a. Anmeldedaten bereits vorliegen.

Kompromittierung der Lieferkette ist das neue Normal

Die Lieferkette wurde 2021 immer wieder zur Zielscheibe hochkarätiger Angriffe. Es gab eine Reihe bekannter Vorfälle, bei denen in einigen Fällen mehrere Bedrohungsakteure unabhängig voneinander denselben „Lieferanten“ kompromittiert haben, was die Eingrenzung, Reaktion und Zuordnung von Vorfällen erschwerte. Obwohl diese Bedrohung in verschiedenen Formen auftreten kann, ist die Kompromittierung von Software besonders auffällig. Normalerweise werden sie mit staatlich geförderten Bedrohungsakteuren in Verbindung gebracht, doch im Jahr 2021 sind sie zum neuen Normalzustand geworden. In diesem Zusammenhang beobachten wir auch weiterhin, dass Bedrohungsakteure auf Managed Service Provider (MSPs) abzielen, um dann deren Kunden ins Visier zu nehmen.

Wie können sich Firmen nun besser schützen? Die Überprüfung der Lieferkette und die Risikominderung ist weiterhin notwendig. Jedoch können eine Verlagerung des Schwerpunkts auf eine verbesserte Erkennung und bewährte Reaktionspläne dazu beitragen, schadhafte Vorgänge unabhängig von ihrem Ursprung zu erkennen.

„Die Professionalisierung der Angreifergruppen ist alarmierend − und der Sturm der Attacken wird immer gewaltiger. Unternehmen sollten in 2022 auf alles vorbereitet sein und jede kleinste Lücke schließen.“

Lorenz Kuhlee,Director bei PwC Germany
Follow us

Contact us

Lorenz Kuhlee

Lorenz Kuhlee

Director, PwC Germany

Tel.: +49 69 9585-6517

Hide