Der Security Navigator 2023 zeigt: Cyber-Erpressung dominiert die Bedrohungslandschaft. Besonders gefährdet sind KMU, die Fertigungsindustrie und der öffentliche Sektor.
Orange Cyberdefense, der auf Cybersicherheit spezialisierte Bereich der Orange Gruppe, hat seinen jährlichen Forschungsbericht zur Cybersicherheit, den Security Navigator 2023, veröffentlicht. Für den Forschungsbericht unterzogen die CyberSOC-Teams von Orange Cyber Defense unter anderem 99’506 potenzielle Vorfälle einer detaillierten Analyse. Dies entspricht einer Steigerung von fünf Prozent gegenüber dem Report von 2022.
Der diesjährige Report zeigt zwar Anzeichen dafür, dass sich das Tempo der Vorfälle verlangsamt hat. Dennoch geben mehrere Faktoren weiterhin Anlass zu globaler Besorgnis. So zeigt sich, dass Cyberkriege zwischen Unternehmen und Angreifern in einigen Bereichen von Angreifern gewonnen werden, und es noch eine Vielzahl von Herausforderungen gibt: Unternehmen brauchen immer noch 215 Tage, um eine gemeldete Schwachstelle zu beheben. Selbst bei kritischen Schwachstellen dauert es in der Regel mehr als sechs Monate, bis sie behoben sind. In der Tat melden Ethical-Hacking-Teams von Orange Cyberdefense in fast 50 Prozent aller von ihnen durchgeführten Tests ein „ernstes“, das heisst. kritisches oder grosses Problem.
Zudem betrifft Cyber-Erpressung weltweit Unternehmen aller Grössenordnungen. So waren 82 Prozent der beobachteten Opfer von Cyber-Erpressung kleine Unternehmen. Im Vorjahr waren es 78 Prozent.
Während zu Beginn des Krieges in der Ukraine eine deutliche Verlangsamung der Cyberkriminalität beobachtet werden konnte, nahm die Intensität kurz darauf wieder zu. Auch bei der Cyber-Erpressung war ein deutlicher Anstieg festzustellen: So stieg in den letzten sechs Monaten beispielsweise die Zahl der Opfer von Cyber-Erpressung in Ostasien und Südostasien um 30 Prozent bzw. 33 Prozent.
Cyber-Erpressung verlagert sich eindeutig von Nordamerika nach Europa, Asien und in Schwellenländer
Nachdem Ransomware und Cyber-Erpressungsangriffe nach wie vor eine grosse Bedrohung für Unternehmen weltweit darstellen, wurden sie im Laufe des Jahres regelmässig in die World-Watch-Meldungen von Orange Cyberdefense aufgenommen. Im März und April häuften sich die Nachrichten über Ransomware aufgrund der Lapsus$-Aktivitäten und der Conti-Leaks sowie der Besorgnis über den Krieg in der Ukraine.
Insgesamt handelte es sich bei 40 Prozent der von den CyberSOCs verarbeiteten Vorfälle um Malware.
Zudem gibt es eine klare und sichtbare geografische Verschiebung. In Nordamerika ging die Anzahl der Opfer von Cyber-Erpressung um acht Prozent zurück, in Kanada um 32 Prozent, während sie in Europa, Asien und den Schwellenländern von 2021 bis 2022 anstiegen: In der Europäischen Union um 18 Prozent, im Vereinigten Königreich um 21 Prozent und in den nordischen Ländern um 138 Prozent. Ostasien verzeichnete einen Anstieg von 44 Prozent und Lateinamerika von 21 Prozent.
Ebenso ist eine dramatische Veränderung in der Zusammensetzung der aktiven Hackergruppen zu beobachten. Von den 20 grössten Akteuren, die 2021 beobachtet wurden, sind 14 im Jahr 2022 nicht mehr unter den Top 20. Nachdem sich Conti im zweiten Quartal 2022 aufgelöst hatte, wurden Lockbit2 und Lockbit3 mit insgesamt über 900 Opfern zu den grössten Cyber-Erpressern im Jahr 2022.
Zudem gehen die Akteure opportunistisch vor. Fast 90 Prozent aller Täter, die von Orange Cyberdefense verfolgt wurden, forderten beispielsweise Opfer in den USA. Mehr als 50 Prozent schlugen im Vereinigten Königreich zu, mehr als 20 Prozent sogar in Japan – das Land, das eine der niedrigsten beobachteten Opferzahlen im Datensatz von Orange Cyberdefense hat.
Auswirkungen des Krieges in der Ukraine
Hervorzuheben ist, dass in den ersten Wochen des Krieges gegen die Ukraine ein Rückgang der cyberkriminellen Aktivitäten gegen polnische Kunden um bis zu 50 Prozent beobachtet wurde. Dies ist offenbar darauf zurückzuführen, dass die Kriminellen durch den Krieg abgelenkt wurden und sich neu formieren mussten. Nach einigen Wochen kehrten die Aktivitäten jedoch zur Normalität zurück.
KMU, die Fertigungsindustrie und der öffentliche Sektor sind besonders gefährdet
- Kleine bis mittlere Unternehmen: Der Report verzeichnet etwa 4,5-mal mehr kleine Unternehmen, die Opfer von Cyber-Erpressung werden, als mittlere und grosse Unternehmen zusammen. Im Verhältnis dazu sind grosse Unternehmen jedoch immer noch viel stärker betroffen. Kleine und mittlere Unternehmen sind besonders stark mit Malware-Vorfällen konfrontiert. In diesem Jahr waren es 49 Prozent der bestätigten Vorfälle (gegenüber zehn Prozent im Jahr 2019, 24 Prozent im Jahr 2020 und 35 Prozent im Jahr 2021). Da die durchschnittlichen Kosten für Datenschutzverletzungen bei Unternehmen mit weniger als 500 Mitarbeitenden auf 1,9 Millionen US-Dollar geschätzt werden, besteht für viele KMU die Gefahr, dass sie aufgrund dieser Verstösse Konkurs gehen.
- Unternehmen des öffentlichen Sektors: Der öffentliche Sektor verzeichnete den fünfthöchsten Anteil an Vorfällen und auch den grössten Anteil an Social-Engineering-Vorfällen innerhalb des Datensatzes. In den meisten Branchen wird die Mehrheit der von Orange Cyberdefense entdeckten Vorfälle intern ausgelöst. Bei den Kunden im Gesundheitswesen liessen sich jedoch erstaunlicherweise 76 Prozent der Vorfälle auf externe Akteure wie kriminelle Hacker und APTs (staatlich unterstützte Bedrohungsgruppen) zurückführen.
- Die Fertigungsindustrie nimmt unter allen Branchen die erste Stelle ein, wenn es um die Zahl der Opfer von Cyber-Erpressungen geht. In punkto Bereitwilligkeit Lösegeld zu bezahlen, steht sie den Untersuchungen zufolge nur an fünfter Stelle. Zudem zeigt sich, dass die Kriminellen eher „konventionelle» IT-Systeme als die spezialisiertere Betriebstechnologie angreifen. Die hohe Zahl von Opfern lässt sich in erster Linie auf ein schlechtes IT-Schwachstellenmanagement zurückführen. Die Daten zeigen, dass Unternehmen in diesem Sektor durchschnittlich 232 Tage brauchen, um gemeldete Schwachstellen zu beheben. Bei dieser Kennzahl schneiden nur vier andere Branchen schlechter ab als die Fertigungsindustrie.
Kritische Schwachstellen bleiben bestehen und Verzögerungen bei Patches bedrohen die Sicherheit
Der neue Datenbestand zu den Schwachstellen zeigt, dass es in den IT-Systemen von Unternehmen nach wie vor schwerwiegende Schwachstellen gibt, wobei 47 Prozent der bestätigten Schwachstellen als „kritisch» oder „hoch» eingestuft wurden. Für die Behebung kritischer Schwachstellen benötigten Unternehmen immer noch mehr als ein halbes Jahr (184 Tage). Andere Schwachstellen können viel länger bestehen bleiben, wobei die Daten darauf hindeuten, dass viele Schwachstellen, selbst kritische, nie behoben werden.
Die Behebung von IT-Schwachstellen in der Fertigungsindustrie dauerte durchschnittlich 235 Tage, während es in allen anderen Sektoren durchschnittlich 215 Tage waren. In Krankenhäusern (innerhalb des Sektors Gesundheits- und Sozialwesen) dauerte die Behebung von IT-Schwachstellen im Durchschnitt 491 Tage. Im Transportsektor dauerten die Korrekturen im Durchschnitt 473 Tage.
Die durchschnittliche Zeit, die die Hacking-Experten von Orange Cyberdefense benötigten, um einen bestätigten schwerwiegenden (hohen oder kritischen) Befund zu entdecken, betrug 7,7 Tage.
Das menschliche Dilemma: In den meisten Branchen überwiegen Insider-Bedrohungen gegenüber externen Angriffen, während offene Stellen im Bereich Cybersicherheit nicht besetzt werden können
Die Mitarbeitenden stehen an der vordersten Front der Unternehmensverteidigung, können aber auch das schwächste Glied im Unternehmen sein. Der Report hat beispielsweise Folgendes gezeigt:
- In der öffentlichen Verwaltung wurden die meisten Vorfälle, mit denen sich das CyberSOC-Team befasst hat, internen Quellen zugeschrieben, unabhängig davon, ob es sich um vorsätzliche oder versehentliche Vorfälle handelte.
- Bei den Kunden aus der Fertigungsindustrie wurden 58 Prozent der bearbeiteten Vorfälle als intern verursacht eingestuft. Im Bereich „Transport und Logistik» ist der Anteil sogar noch höher – 64 Prozent der Vorfälle haben ihren Ursprung intern.
Der Security Navigator zeigt auch, dass ein höheres Mass an Monitoring die Wirksamkeit der Kontrollen verbessert, aber auch mehr Fehlalarme auslöst und zu einer höheren Belastung der Sicherheitsexperten führen kann. Und das in einer Branche, die allein in der EMEA-Region mit der Besetzung von über 300’000 offenen Stellen im Bereich Cybersicherheit kämpft[i].
Mobile Security: iOS vs. Android
Der Security Navigator 2023 enthält zum ersten Mal proprietäre Daten zu den Patch-Levels von fast fünf Millionen Mobilgeräten, mit denen Orange Cyberdefense zwischen September 2021 und September 2022 gearbeitet hat. Untersuchungen von Drittanbietern zeigen, dass im Jahr 2021 beide Betriebssysteme, iOS und Android, mit gemeldeten Schwachstellen zu kämpfen hatten. Für Android waren es 547 und für iOS 357 Schwachstellen. 79 Prozent der Android-Schwachstellen wurden als wenig komplex eingestuft (d.h. sie sind für Angreifer leicht auszunutzen), während es bei iOS nur 24 Prozent waren. 45 iOS-Schwachstellen erhielten einen kritischen CVSS-Wert, während es bei Android nur 18 waren.
Im Security Navigator werden schwerwiegende Sicherheitslücken in Apple und Android untersucht, um festzustellen, wie lange das System braucht, um den erforderlichen Patch zu installieren. In einem iOS-Fall hat das Orange-Cyberdefense-Team festgestellt, dass es 224 Tage dauerte, bis 90 Prozent des Apple-Systems auf die gepatchte Version aktualisiert war. Sowohl für Android als auch für iOS scheint es, dass etwa zehn Prozent der Nutzerbasis nie richtig gepatcht werden.
Die Ergebnisse zeigen, dass ein höherer Anteil der iPhone-Nutzer gefährdet ist, wenn eine Sicherheitslücke zum ersten Mal bekannt wird. Dies ist auf den homogenen Charakter des Betriebssystems zurückzuführen. Die Nutzer wechseln jedoch schnell zu einer neuen Version, wobei 70 Prozent innerhalb von 51 Tagen nach Veröffentlichung des Patches ein Update durchführen. Die stärkere Fragmentierung des Android-Systems bedeutet, dass die Geräte oft für mehr alte Sicherheitslücken anfällig sind, während weniger Geräte für neue Sicherheitslücken angreifbar sind.
„Die letzten Monate waren in Bezug auf makroökonomische Ereignisse besonders turbulent. Dennoch ist das Cybersecurity-Ökosystem infolgedessen wachsamer und geeinter geworden. Cyberattacken machen Schlagzeilen und der Krieg in der Ukraine erinnert uns eindringlich daran, dass unsere digitalisierte Welt auch das Feld virtueller Schlachten ist», so Hugues Foulon, CEO von Orange Cyberdefense.
„Der erfreuliche Gesamtrückgang der Vorfälle bei unseren Kunden (17,7 %) gibt uns Hoffnung, dass die Verteidiger beginnen, einige Schlachten gegen böswillige Akteure zu gewinnen. Doch auch wenn wir Schlachten gewinnen, geht der Kampf gegen die Internetkriminalität weiter. Die diesjährigen Ergebnisse verdeutlichen die Schwierigkeiten, mit denen Unternehmen bei der Abwehr von Bedrohungen aus allen Richtungen konfrontiert sind. Sie machen deutlich, wie wichtig es ist, dass wir unsere Arbeit fortsetzen, um die Unternehmen für diesen Kampf zu rüsten und zu unterstützen», erläuterte Foulon abschliessend.
Der diesjährige Security Navigator Report 2023 ist ab sofort erhältlich und kann über diesen Link bestellt werden: https://www.orangecyberdefense.com/de/security-navigator
Der Security Navigator 2023 enthält:
- 100 % der Informationen aus erster Hand durch 2’700 Experten auf der ganzen Welt, 17 SOCs, 13 CyberSOCs und dem CERT von Orange Cyberdefense an 8 Standorten
- 28 Seiten mit CyberSOC-Statistiken
- Detaillierte Analyse der Cyber-Kriegsführung und der Auswirkungen des Ukraine-Krieges auf das Cyber-Umfeld
- Neueste Datensätze aus den VOC- und Penetrationstest-Services, die den Umfang und die Art der Schwachstellen analysieren, von denen Unternehmen aller Branchen betroffen sind
- Spotlight-Untersuchung der Bedrohungen und Schwachstellen der Fertigungsindustrie
- Neueste Daten zu Mobile Security: Bedrohungen und Schwachstellen
Der Security Navigator Report 2023 in Kürze:
- Unternehmen aller Grössenordnungen waren Angriffen ausgesetzt, wobei Malware 40 % der CyberSOC-Vorfälle (Detection and Response Operation Center) ausmachte.
- Über 99’000 Untersuchungen zeigen einen Anstieg der Vorfälle um plus 5 % im Vergleich zum Vorjahr; durchschnittlich 34 Vorfälle pro Monat/pro Kunde – mehr als ein Sicherheitsvorfall pro Tag pro Organisation.
- Es gibt eine klare Verschiebung bei der geografischen Lage der Opfer von Cyber-Erpressung. Von 2021 bis 2022 sank die Zahl der Opfer aus Nordamerika, während sie unter anderem in Europa um 18 % anstieg.
- Vor allem kleine Unternehmen hatten mit Malware-Vorfällen zu kämpfen (49 %). Die Fertigungsindustrie ist am stärksten von Cyber-Erpressung betroffen und die öffentliche Verwaltung hat meist mit Vorfällen zu tun, die auf interne Ursachen zurückzuführen sind (66 %).
- Fast die Hälfte (47 %) aller von den CyberSOCs aufgedeckten Sicherheitsvorfällen stammen von internen Akteuren, sei es vorsätzlich oder versehentlich.
- Der Security Navigator 2023 enthält erstmals anonymisierte, proprietäre Daten zu den Patch-Levels von fast 5 Millionen Mobilgeräten, welche die Unterschiede zwischen der Android und iOS-Schwachstellenlandschaft verdeutlichen.
