Cyberkriminalität hat leider aktuell Hochkonjunktur, vielleicht hast du es in den Medien schon mitbekommen oder wurdest sogar selbst bereits Opfer? Deshalb haben wir den Cybersecurity Awareness Month zum Anlass genommen: Wir zeigen dir in diesem Beitrag die fünf häufigsten Angriffstypen und erklären, wie du dich dagegen schützen kannst.  

Inhalts­ver­zeichnis

Cyber­kri­mi­na­lität wird immer profes­si­o­neller 

Weltweite Krisen, geopolitische Herausforderungen, die COVID-19-Pandemie – das letzte Jahr ließ uns keine Zeit durchzuatmen. Und leider mussten wir auch im Bereich Informationssicherheit dramatische Entwicklungen beobachten. Denn Cyberkriminelle ließen nicht lange mit Angriffen auf sich warten, als es darum ging, den dynamischen gesellschaftlichen Kontext für ihre skrupellosen Absichten auszunutzen.

Hinzu kommt eine zunehmende Professionalisierung im Bereich Cyberkriminalität. Organisationen sehen sich nun einer innovativen Dark Economy gegenübergestellt, in der Cybercrime-as-a-Service das gängige Geschäftsmodell ist. Taktiken werden beinahe im Minutentakt weiterentwickelt. Auch die IT-Landschaft wird immer diverser. Die Schnittstelle zwischen Mensch und Maschine bleibt dabei weiterhin Einstiegstor Nummer 1 – mehr als 85 Prozent aller Angriffe starten beim Faktor Mensch. Im folgenden Artikel bekommst du einen Einblick in die Top 5 Cybercrime-Trends 2022 und wir zeigen dir, wie du dich vor ihnen schützen kannst. 

Was geht mich das an? – Bedrohungslage: Cyber­kri­mi­na­lität

Das Thema geht jeden etwas an. Ja, auch dich! Tag täglich gehen Millionen von Phishing-Mails raus und dann braucht es nur einen Klick, um verheerenden Schaden anzurichten.

Wusstest du, dass jedes dritte Unternehmen 2021 selbst einen Cyberangriff erlebt hat? Das zieht meist schwere Folgen mit sich. Die Mitarbeitenden erfahren diese organisierte Kriminalität am eigenen Leib. Die Umfrage „Human Risk Review“ von SoSafe spiegelt die Situation gut wider: Es stellte sich heraus, dass über 80 Prozent der befragten Unternehmen und Mitarbeitenden die Cyberbedrohungslage im Jahr 2021 als verschärft und bedrohlich angesehen haben.

Human Risk Review 2022 (SoSafe)

Fakt ist: Die Lage hat sich verschärft, denn Cyberangriffe haben zugenommen.

Das zeigt auch die mittlerweile hohe Präsenz in den Medien. Berichte über große Cyberangriffe und deren kostspielige Folgen fluten weltweit die Nachrichtenspalten. Von manchen Angriffen hast du vielleicht auch schon gehört. Die Hochschule in Wuppertal zum Beispiel wurde durch einen Hackerangriff lahmgelegt, denn – du ahnst es – die zusammenhängende Infrastruktur aus Telefon, E-Mail und Online-Plattformen war massiv gestört. Aber auch das Rote Kreuz oder die Produktion von Toyota wurden schon zu Opfern von Cybercrime. Vor allem KRITIS Unternehmen sind gefährdet, da sie besonders viele (personenbezogene) Daten verwalten. Somit sind beispielsweise Krankenhäuser oder Finanzinstitute aufgrund der schützenswerten Daten wie Gesundheitsdaten, Mitarbeiterdaten, Adressen etc. besonders bedroht.

Sidefakt: KRITIS Unternehmen: Das sind Unternehmen, die laut IT-Sicherheitsgesetz „kritische Infrastrukturen“ besitzen, also Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Diese Unternehmen sind für die Versorgung der Bevölkerung – also auch für dich und mich – besonders wichtig. Dazu gehören verschiedene Wirtschaftssektoren, zum Beispiel: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr. Bei einer Störung solcher Betriebe wären folglich viele Menschen beeinträchtigt.

Cyberkriminelle nutzen aktuelle Gegebenheiten in der Welt und am Arbeitsplatz, um ihre Taktiken immer weiter zu optimieren.

Die Top 5 Angriffstypen

  1. Hybride Arbeitsmodelle
  2. Multiple Extortion
  3. Supply-Chain-Attacken
  4. Phishing-Attacken
  5. KI und Deepfakes

1. Hybride Arbeitsmodelle

Hacker nutzen hybride Arbeitsmodelle für ihre Angriffe aus, denn dezentral aufgestellte Organisationen können attraktive Ziele für Angreifer sein. Ein Grund dafür kann eine fehlende oder unzureichende technische Absicherung sein. Nachweislich sichern leider nur 38 Prozent der Unternehmen geschäftliche Geräte per VPN ab.

Gerade zu Beginn der Pandemie stellte der schnelle Umstieg auf Remotework ein großes Problem dar. So kann eine neue Infrastruktur aus mobilen Geräten wie Laptops und Handys Sicherheitslücken aufweisen. Ebenso bieten neue Kommunikationstools wie Microsoft Teams oder ähnliche Programme Angriffsflächen. Videokonferenz – Klar praktisch, aber auch sicher?

Hinzu kommt Unsicherheit und fehlende Security Awareness, welche durch Remotework hervorgerufen werden kann. Mitarbeitende sind auf sich allein gestellt und haben nicht den direkten Rückhalt von Kolleg:innen oder der IT-Abteilung.

 2. Multiple Extortion – Die „goldene Ära für Ransomware“

Auch die Anzahl der Angriffe mit Ransomware (Schadprogramme/Erpressungssoftware) hat sich im Jahr 2021 im Vergleich zum Vorjahr mehr als verdoppelt und auch die Beträge der Lösegeldforderungen sind dabei gestiegen. (Quelle: ENISA 2021)

Solche Attacken können, neben dem finanziellen Aspekt, schwere Folgen für Unternehmen haben: Aufwand, Reputation, technische Schäden, ökonomische Schäden. Das kann ein Unternehmen in den Ruin führen.

3. Supply-Chain-Attacken

Auch die Anzahl an Supply-Chain-Angriffen steigt. Dabei sind immer gleich mehrere Unternehmen und Kunden von der Attacke betroffen. Das bedeutet große Firmen werden gehackt, wodurch auch Kunden, Partner(-firmen) und wiederum deren Kunden betroffen sein können und Daten abgegriffen werden. Partnerauswahl für Unternehmen wird somit erschwert.

Eine Supply-Chain-Attacke passiert zum Beispiel durch einen Ransomware-Angriff (Erpressungssoftware) auf einen IT-Dienstleister mittels Softwareupdates. Diese Software wird dann durch den Dienstleister unwissentlich verbreitet und kann so letztlich mehrere tausend Kunden betreffenund bis zum  Stillstand ganzer Lieferketten führen.

 4. Phishing-Attacken

Gerade beim Phishing lassen sich neue Trends erkennen und das bringt Phishing auf ein Allzeithoch. Allein in Q1 2022 schätzt man, dass 1,03 Millionen erfolgreiche Phishing-Angriffe stattgefunden haben (Umfrage SoSafe).

Aber wie kommt das? Ein Grund dafür ist Trendy Phishing. Das sind anlassbezogene skrupellose Täuschungen, bei denen aktuelle Themen und Sorgen aufgegriffen werden. Dadurch werden die Angriffe besonders emotional manipulativ und zielgenau. Diese Tricks bringen Menschen dazu, ihre Daten preiszugeben, ähnlich wie beim „Enkeltrick“. Gerade jetzt passiert so viel in der Welt, was uns einerseits beängstigt und Cyberkriminelle andererseits auch ausnutzen können, um uns noch mehr zu verängstigen und manipulieren. Deshalb werden in Phishing-Mails derzeit vor allem die Themen Pandemie, Krieg und Energie-/Wirtschaftskrise genutzt.

Top Phishing-Betreffzeilen, die aktuellen Bezug haben sowie Druck, Neugier und Angst auslösen:

  1. Folgende Aufgaben müssen erledigt werden
  2. Sie haben 2 Erwähnungen
  3. Wichtig: Corona-Update

5. KI und Deepfakes

Neueste Technik eröffnet Hackern ganz neue Angriffsmethoden. So ist es mit Hilfe von KI und Deep Fakes möglich das Aussehen und die Stimme von Personen zu imitieren oder zu klonen. Diese technischen Mittel sind mittlerweile für fast jeden zugänglich. Schau dir nur mal die Virtual Reality Filter auf Instagram oder tiktok an: Dort ist es normal und völlig alltäglich sich mit einem veränderten Gesicht, verzerrten Stimmen oder in einer ganz anderen Kulisse zu zeigen.

Diese Techniken werden auch bei Angriffen namens Vishing verwendet: Der Angreifende imitiert dabei künstlich die Stimme einer bekannten Person und bringt jemanden über einen Anruf dazu, sensible Daten preiszugeben.

Was kann ich tun?

Fakt ist, es gibt ein Security Awareness Gap! Viele Menschen können sich gar nicht vorstellen, was derweil mit der fortgeschrittenen Technik alles möglich ist. Da Cyberangriffe eben, wie anfangs beschrieben, am Faktor Mensch beginnen, sind Unternehmen oft nicht ausreichend vorbereitet. Den meisten Organisationen ist das zwar bewusst, doch trotzdem wird bei ca. 40 Prozent davon das Awareness-Level der Mitarbeitenden immer noch als niedrig oder sehr niedrig eingestuft. (Quelle: Human Risk Review 2022 (SoSafe)). Das ist fatal!

Du selbst kannst ewas dagegen tun. Fordere in deinem Unternehmen eine Sicherheitskultur. Denn Security Awareness muss holistischer werden und nachhaltig sicheres Verhalten fördern.

Wichtig: Gibt es Reporting-Möglichkeiten für Phishing-Mails? Frag danach in deinem Unternehmen/deiner IT-Abteilung. Denn wenn es die Funktion gibt, meldet jeder Nutzende jede 2. Phishing-Mail.

Informiere dich! Halte dich auf dem Laufenden (zum Beispiel durch Webinare, Trainings, Artikel), denn die Techniken von Cyberkriminellen entwickeln sich ständig weiter.

Einen ersten Schritt kannst du mit Hilfe unserer Webinar-Aufzeichnungen machen. Stärke deine Sicherheitskultur und sensibilisiere dich für Phishing-Mails!

video placeholder
Mit dem Abspielen akzeptierst du die Datenschutzhinweise von Youtube
Sieh dir die Aufzeichnungen von unseren letzten Webinaren an.
video placeholder
Mit dem Abspielen akzeptierst du die Datenschutzhinweise von Youtube

Bewertung des Beitrages: Ø5,0

Danke für deine Bewertung

Der Beitrag hat dir gefallen? Teile ihn doch mit deinen Freunden & Arbeits­kol­legen

Facebook Twitter LinkedIn WhatsApp