Executive Briefing „Cyber Threats 2022”-Report: Cyber-Bedrohungen im Rückblick

13 April, 2023

Für das Jahr 2022 stand sowohl im geopolitischen als auch im cyberkriminellen Mittelpunkt primär der Angriffskrieg Russlands auf die Ukraine. Für Angriffe im digitalen Raum setzen russische Akteure vor allem auf Sabotage mit Hilfe von Wiperware – einer speziellen Schadsoftware, die gezielt Dateien auf einem infizierten Computer korrumpiert und damit das System unbrauchbar macht. Dabei konzentrierten sie sich aber weitgehend auf die unmittelbare Konfliktzone, also auf die Ukraine und die von Russland annektierten Gebiete.

Neben dem Krieg in der Ukraine stellte vor allem die Zunahme finanziell motivierter Angriffe im wirtschaftlichen Sektor ein großes Problem im vergangenen Jahr dar. Zum 6. Jahr in Folge blicken wir im „Cyber Threats 2022: A Year in Retrospect“-Bericht auf die wichtigsten Cybercrime-Entwicklungen und evaluieren, wie es derzeit um die globale Cyber Security steht. Dieser detaillierte Rückblick auf Akteure, Techniken und Tools weist auch auf das laufende Jahr hin und gibt Hinweise, worauf Unternehmen 2023 achten sollten.

Das Wichtigste in 30 Sekunden

  • Im Kampf um politische, territoriale und wirtschaftliche Vormachtstellungen setzen einige Staaten gezielt auf Taktiken und Technologien der Cyberkriminalität. Wirtschaftliche Cybersicherheit wird so zunehmend gleichbedeutend mit nationaler Sicherheit. 
  • Angreifende nutzten wie schon im letzten Jahr Zero-Day-Schwachstellen für eine große Zahl von Angriffen. Allen voran die Log4Shell-Schwachstelle – diese hat ca. 93 % der Cloud-Umgebungen von Unternehmen und damit Hunderte Millionen von Computern getroffen.
  • Immer mehr finanziell motivierte Angriffe haben die Internetkriminalität im Jahr 2022 weiter befeuert. Ransomware-Angriffe dominieren dabei weiterhin das Geschehen. 

Ihr Experte für Fragen

Lorenz Kuhlee ist Director, Incident Response bei PwC Germany

Lorenz Kuhlee
Director bei PwC Deutschland
Tel.: +49 1515 0049-769
E-Mail

Investitionen in die Cybersicherheit gewinnen an Priorität

Sowohl private Unternehmen als auch öffentliche Organisationen sind zunehmend von geopolitischen Gefahren, Cyberattacken und Lieferkettenrisiken betroffen. CEOs, die nach eigenen Angaben geopolitischen Risiken ausgesetzt sind, ergreifen aktiv Maßnahmen um ihre Unternehmen umfassend zu schützen. Fast die Hälfte der Befragten gibt an, dass sie deutlich mehr in die Cybersicherheit oder den Datenschutz investieren, Anpassungen in ihren Lieferketten vornehmen, um die Sicherheit zu erhöhen, oder gar den Standort ihres Unternehmens überdenken, um angesichts rapider Veränderungen von politischen Allianzen schnell agieren zu können. Aufsichtsräte wollen genau wissen, wie hoch das Risiko für potenzielle Angriffe ist und mit welchen strategischen und geschäftlichen Initiativen sie dieses Risiko minimieren können.

Länderspezifisches Targeting durch Malware wird oft von staatlich unterstützten Gruppen oder kriminellen Banden durchgeführt, die in bestimmten Ländern oder Regionen operieren. Der Report identifiziert China, Russland und den Iran als zentrale Bedrohungsakteure. Cyberkriminalität wird also zum Teil politisch gelenkt. Das Bundesamt für Verfassungsschutz warnte etwa vor der Malware Red Phoenix, die im Jahr 2022 für eine anhaltende Cyberspionagekampagne gegen deutsche Unternehmen und Organisationen genutzt wurde.

Angreifer sind zunehmend opportunistisch und setzen verstärkt auf Ransomware

Im Jahr 2022 konnten wir bedenkliche Entwicklungen im gesamten Cybercrime-Umfeld beobachten – etwa die Zunahme von „Hack-and-Leak“-Operationen, also opportunistische Angriffe auf ungeschützte Systeme. Dies geschieht häufig in Kombination mit der Auswahl hochkarätiger oder vermeintlich wertvoller Ziele auf der Jagd nach Aufmerksamkeit und Prominenz. Besonders lukrativ für Cyberkriminelle sind dabei Angriffe, wie Diebstahl, Erpressung und Betrug, wobei Ransomware-Angriffe den größten Teil dieser Angriffe ausmachen.

Ransomware-Bedrohungsakteure gingen im Jahr 2022 noch dreister vor, um Erpressungsopfer unter Druck zu setzen und Insider zu gewinnen – ein Trend, der sich in den kommenden Jahren noch verstärken wird. Für Unternehmen ist das schnelle Einspielen von Sicherheitsupdates also essenziell, wie beispielsweise auch die Log4Shell-Schwachstelle gezeigt hat.

Angriffsmethoden werden ausgefeilter, Tools komplexer

Angreifende setzten bei ihren Attacken zunehmend verbesserte Tools und Frameworks ein, um Sicherheitsmaßnahmen zu überwinden. Sie kombinieren dabei neue Ansätze mit bewährten Methoden, etwa indem sie ungeschützte Instanzen des Remote-Desktop-Protokolls (RDP) und noch nicht mit Multi-Faktor-Authentifizierung gesicherte Systeme ausnutzen.

Für Verteidiger stellen diese Herangehensweisen und Tools aufgrund ihrer raschen Entwicklung eine große Herausforderung dar. Gelingt es Unternehmen aber, entsprechende Taktiken zu enthüllen, können sie in bestimmten Fällen auch ähnlich aufgebaute Frameworks mit übereinstimmenden oder verwandten Funktionsansätzen aufdecken.

Digitale Lieferketten rücken in das Fadenkreuz der Angreifer

Der Blick auf das Jahr 2022 zeigt deutlich, dass alle Seiten ihre Investitionen für ihre Angriffs- und Verteidigungskapazitäten erhöhen und ihre Teams, Prozesse und Tools kontinuierlich weiterentwickeln. Die gute Nachricht: Verteidiger nehmen nicht mehr nur die Opferrolle ein, sondern können mit Threat Intelligence auch aktiv Verstärkungen vornehmen und so die Oberhand in der Sicherheitslage für ihre digitale Infrastruktur erlangen.

Wir gehen davon aus, dass die Bedrohungen im Jahr 2023 durch das gezielte Aushebeln von Identitätsverifizierungen und des Privileged Access Management (PAM) dominiert wird. Spionageorientierte Angreifende werden zunehmend digitale Lieferketten ins Visier nehmen und 0-Days als Einfallstore ausnutzen, die das Potenzial bergen internationale Spannungen zu verschärfen oder gar eskalieren lassen zu können. Große Organisationen mit sensiblen Daten rücken also zunehmend ins Visier von staatlich gesteuerten Cyberkriminellen.

Mit Threat Intelligence aktiv vor Bedrohungen schützen

Vorfälle wie die Log4Shell-Schwachstelle haben gezeigt, dass opportunistische Angriffe jedes System treffen können. Schnelles Reagieren und Threat Intelligence, also Verteidigungsmaßnahmen auf Basis von Echtzeit-Bedrohungsdaten, gewinnen jetzt weiter an Bedeutung. Verbraucher, Mitarbeitende und Investoren verlassen sich darauf, dass Unternehmen ihre Cyberresilienz weiterentwickeln und das Bewusstsein für die Bedrohungslage in der heutigen digitalen Landschaft konstant schärfen.

Sieben Fragen für die Diskussion im Vorstand

Haben wir unsere Grundlagen abgedeckt?

Haben wir eine “Defense-in-Depth”-Sicherheit implementiert, d.h. verfügen wir über mehrere Verteidigungsebenen, die füreinander einspringen, wenn ein Mechanismus versagt, um den Angriff zu vereiteln? Beinhaltet dies ein starkes Identitäts- und Zugriffsmanagement, kontinuierliche Überwachung und Zero Trust? Ist unser Remote-Desktop-Protokoll mit dem Internet verbunden? Wenn ja, haben wir es richtig abgesichert?

Sind wir resilient?

Kennen wir unsere kritischen Abhängigkeiten genau? Haben wir unsere Systeme kartiert? Sichern wir unsere Systeme und Daten, und können wir schnell darauf zugreifen?

Haben wir unsere Notfallpläne getestet?

Haben wir unsere Pläne für Krisenmanagement, Disaster Recovery, Business Continuity und Katastrophenmanagement getestet? Verfügen wir über eine bestimmte Führungskraft, die befugt ist, diese Bemühungen unternehmensweit zu leiten?

Welche Entscheidungen müssen wir im Notfall treffen?

Kennen wir die Entscheidungen, die wir im Falle eines Angriffs schnell treffen müssen? Unter welchen Umständen würden wir ein Lösegeld zahlen, wenn überhaupt? Verfügen wir über die Informationen zu den potenziellen Schäden – betrieblich, finanziell, rechtlich und in Bezug auf den Ruf –, um eine gute Entscheidung treffen zu können? Steht unser Prozess im Einklang mit unseren Unternehmenswerten?

Haben wir unseren Kommunikationsplan getestet?

Wie informieren wir den Vorstand und den CEO? Wie und wann würden wir einen Angriff innerhalb des Unternehmens und gegenüber unseren Aktionären kommunizieren?

Wie steht es um die Cyberversicherung?

Haben wir eine Cyberversicherung, und reicht sie aus, um unsere Verluste zu decken? Wofür zahlt sie? Deckt sie Lösegeldzahlungen ab? Wie funktioniert sie? Wenn wir keine Cyberversicherung haben, wie sieht unser Plan zur Deckung der Kosten aus?

Haben wir mögliche neue geopolitische Konflikte durchdacht?

Betrachten wir Datenschutz-, Privatsphäre- und Cybersicherheitsregeln in einem größeren Zusammenhang – zum Beispiel, dass Nationen sie möglicherweise nutzen, um ihre eigene wirtschaftliche Wettbewerbsfähigkeit zu verbessern? Wenn wir mit einem vorgeschlagenen Datenschutzgesetz oder mit Wirtschaftssanktionen konfrontiert werden, wollen wir dann in diesem Markt weiterhin auf unserem derzeitigen Niveau oder überhaupt Geschäfte machen? Lohnt es sich, dieses Risiko einzugehen? Wollen wir unser Portfolio umstrukturieren und uns ganz oder teilweise auf andere Märkte konzentrieren? Sind wir besorgt, dass unser geistiges Eigentum angreifbar sein könnte? Wenn ja, wie können wir es schützen?

Wie wir Sie unterstützen

Wir generieren für Sie regelmäßige Reports über Bedrohungen im Zusammenhang mit Cyberkriminalität, Spionage, Hacktivismus und Sabotage. Dazu gehören umsetzbare technische Informationen sowie strategische Berichte über geopolitische Ereignisse, die das Verhalten und die Zielsetzung bestimmter Bedrohungsakteure beeinflussen könnten. Diese Informationen halten Ihre Sicherheitsteams auf dem Laufenden, wenn sich die Bedrohungen weiterentwickeln.

Unser Threat Intelligence Service bietet Ihnen Zugriff auf unsere API und Anreicherungsserver. Dies ermöglicht es Analyst:innen, Daten aus Untersuchungen anzureichern und SOC-Teams, unsere Informationen in ihre SIEMs zu integrieren.

Unser zentraler Threat Intelligence-Abonnementdienst umfasst einen virtuellen Raum für die Zusammenarbeit in Echtzeit und für kontinuierliche Diskussionen zwischen Ihren und unseren Analyst:innen.

Bei Bedarf können wir formell Second- und Third-Line-Intelligence-Support anbieten, um Sie bei komplexen Triage- und Incident-Response-Untersuchungen zu unterstützen.

Wir können Ihnen maßgeschneiderte Recherchen und Berichte über Bedrohungsakteure, Kampagnen, Malware oder andere bösartige Indikatoren zuliefern.

Dies kann zur Unterstützung neuer oder laufender Ermittlungen genutzt werden und Ihre bestehenden Möglichkeiten ad hoc erweitern.

Wir können unseren Kunden direkten Zugang zu Erkennungsfunktionen bieten, einschließlich regelmäßig generierter, präziser Netzwerk-IDS- und Malware-Erkennungssignaturen.

Diese können Sie nutzen, um die Verteidigungsfähigkeiten Ihres Unternehmens proaktiv zu verbessern.

„Das Jahr 2022 hat gezeigt, dass Cyberangriffe zunehmend staatlich gelenkt werden. Cyberkriminalität wird also noch organsierter, aber auch komplexer, und immer schwieriger zu durchschauen. Die Fähigkeit schnell auf Cyber Threats reagieren zu können ist also für alle Akteure im digitalen Raum von höchster Signifikanz.“

Lorenz Kuhlee,Director bei PwC Germany
Follow us

Contact us

Lorenz Kuhlee

Lorenz Kuhlee

Director, PwC Germany

Hide