Incident-Response-Bericht 2025

Globaler
Incident-
Response-
Bericht 2025

Kurzfassung

Wir haben fünf neue Trends beobachtet, die die Bedrohungslandschaft verändern.

Erstens: Angreifer setzen bei Erpressungsversuchen nicht mehr nur auf herkömmliche Ransomware, sondern verursachen zudem vorsätzlich Betriebsstörungen. 2024 kam es bei 86 % der von Unit 42 untersuchten Vorfälle zu solchen Störungen – also zu Ausfallzeiten, Rufschädigung oder beidem.
Zweitens: Angriffe auf Softwarelieferketten und Cloud-Umgebungen werden immer häufiger und komplexer. In der Cloud nutzen Angreifer oft Lücken in falsch konfigurierten Umgebungen aus, um sich in großen Netzwerken festzusetzen und nach wertvollen Daten zu suchen. In einer Kampagne scannten die Hacker dazu mehr als 230 Millionen separate Ziele.
Drittens: Da die Angriffe – durch Automatisierung und optimierte Hacker-Toolkits – immer schneller durchgeführt werden, bleibt Verteidigern kaum Zeit, die Aktivitäten zu erkennen und abzuwehren. In fast jedem fünften Fall wurden Daten bereits innerhalb der ersten Stunde nach dem Eindringen in die Umgebung ausgeschleust.
Viertens: Das Risiko von Insiderbedrohungen steigt, da Mitglieder staatlich gesponserter Hackergruppen, zum Beispiel aus Nordkorea, Stellen in Unternehmen annehmen, um Informationen zu stehlen und an Finanzmittel für nationale Initiativen zu gelangen. Durch Insider verursachte Vorfälle, die Nordkorea zugeschrieben werden, haben sich 2024 verdreifacht.
Fünftens: Die ersten Untersuchungsergebnisse zu AI-gestützten Angriffen zeigen, wie sehr Angreifer das Ausmaß und die Geschwindigkeit ihrer Aktivitäten mithilfe von AI vergrößern können.

Außerdem haben wir auch eine Zunahme an Angriffen beobachtet, bei denen die Angreifer einen mehrgleisigen Ansatz verfolgen und die Angriffsfläche an mehreren Stellen attackieren. 70 % der Vorfälle, zu denen Unit 42 gerufen wurde, mussten an mindestens drei Fronten gleichzeitig bekämpft werden. Das zeigt, wie wichtig es ist, eine kohärente Sicherheitslösung für Endpunkte, Netzwerke, Cloud-Umgebungen und Benutzer zu implementieren. Zum Faktor Mensch sei noch anzumerken, dass bei fast der Hälfte der von uns untersuchten Sicherheitsvorfälle (44 %) Webbrowser als Angriffsvektor genutzt wurden, unter anderem für Phishingangriffe, schädliche Weiterleitungen und Malwaredownloads.

Unsere langjährige Erfahrung aus Tausenden Incident-Response-Einsätzen zeigt, dass Angriffe hauptsächlich durch drei Faktoren begünstigt werden:Komplexität, unzureichende Transparenz und zu großes implizites Vertrauen. Fragmentierte Sicherheitsarchitekturen, nicht verwaltete Assets und Konten mit zu weit gefassten Zugriffsrechten bieten den Angreifern die benötigten Schlupflöcher.

Zur Bewältigung dieser Herausforderungen müssen Führungskräfte im Sicherheitsbereich die Einführung von Zero-Trust-Strategien beschleunigen und implizites Vertrauen infrastrukturweit reduzieren. Ebenso wichtig ist der Schutz der Anwendungs- und Cloud-Umgebungen von der Entwicklung bis zur Laufzeit, damit Fehlkonfigurationen und Sicherheitslücken schnellstmöglich behoben werden. Ein weiterer relevanter Faktor ist die Unterstützung der SecOps-Teams für eine bessere Erkennung und schnellere Abwehr von Bedrohungen. Sie benötigen eine konsolidierte Übersicht über On-Premises-, Cloud- und Endpunktprotokolle und eine automatisierte Bedrohungserkennung und -abwehr.

1. Einleitung

In meinen 20 Jahren als Incident-Response-Experte habe ich etliche Veränderungen der Bedrohungslandschaft und Angriffstaktiken beobachtet.

Als Ransomware aufkam, setzten Cyberkriminelle auf Dateiverschlüsselung. Sie sperrten den Zugriff auf Dateien, ließen sich für die Herausgabe des Verschlüsselungsschlüssels bezahlen und suchten sich dann das nächste Opfer. Als im Laufe der Zeit die Back-ups immer besser wurden, verlagerten sich die Angreifer auf die doppelte Erpressung. Damals (wie heute) drohten sie Unternehmen: „Zahlt das Lösegeld oder wir veröffentlichen eure sensiblen Daten.“ Doch selbst dieser Ansatz verliert langsam an Attraktivität.

Ich erhalte fast jeden Monat Benachrichtigungen zu Datenschutzverletzungen. Gelegentlich lese ich diese Nachrichten auch, aber meistens landen sie sofort im Papierkorb. Wie viele andere setze ich auf Software zum Schutz vor Identitätsdiebstahl und berücksichtige die Best Practices für Cyberhygiene. Bei der Flut an Benachrichtigungen ist es kaum verwunderlich, wenn Benutzer irgendwann denken: „Meine Daten wurden schon wieder veröffentlicht. Na und?“ Doch diese Desensibilisierung ist kein gutes Zeichen, denn Datenpannen können in Unternehmen immer noch einen beträchtlichen Schaden verursachen.

Im letzten Jahr haben wir eine weitere Veränderung beobachtet. Angreifer versuchen zunehmend, gezielt den Geschäftsbetrieb zu stören. In dieser neuen Phase wird die finanziell motivierte Erpressung durch Sabotage forciert: Angreifer zerstören gezielt Systeme, blockieren den Zugriff für Kunden und verursachen lange Ausfallzeiten, um den größtmöglichen Schaden anzurichten und Unternehmen zur Zahlung des Lösegelds zu zwingen.

2024 war Unit 42 bei mehr als 500 schwerwiegenden Cyberangriffen im Einsatz. Dazu zählten unter anderem die Erpressung großer Unternehmen, Netzwerkangriffe, Datendiebstahl und Advanced Persistent Threats. Von diesen Angriffen waren Unternehmen in allen großen Branchen und 38 Ländern

Wir waren bei Angriffen mit bislang ungeahnter Geschwindigkeit im Einsatz, die den Geschäftsbetrieb gestört und Dominoeffekte ausgelöst haben – darunter System- und Serviceausfälle sowie Schäden im Milliardenbereich. In jedem dieser Fälle war die Situation derart eskaliert, dass das SOC Unterstützung benötigte.

Wird Unit 42 zu einem Einsatz gerufen, beginnt unser Incident-Response-Team umgehend damit, die Bedrohungen einzudämmen, die Vorfälle zu untersuchen und den Betrieb wiederherzustellen. Wenn die Krise überwunden ist, arbeiten wir mit unseren Kunden zusammen daran, ihr Sicherheitsniveau zu verbessern, damit sie zukünftigen Angriffen besser standhalten können.

Unit 42 hat ein erklärtes Ziel: den Schutz der digitalen Welt vor Cyberbedrohungen. Unser Team ist weltweit und rund um die Uhr im Einsatz, um Angriffe abzuwehren, neue Bedrohungen aufzudecken und Unternehmen zu helfen, auch äußerst komplexe Angriffe zu vereiteln oder den Betrieb wiederherzustellen.

In diesem Bericht haben wir unsere wichtigsten Erkenntnisse und praxisrelevante Informationen zusammengestellt:

Neue Bedrohungen und Trends: ein Überblick über neue Gefahren, wie die Zunahme an Betriebsstörungen in Kombination mit Erpressung, AI-gestützte Angriffe, Angriffe auf Cloud-Umgebungen und Softwarelieferketten, staatlich gesponserte Insiderbedrohungen und die höhere Geschwindigkeit von Angriffen
Strategien erfolgreicher Angreifer: eine Analyse der gängigsten, effektiven Taktiken, Techniken und Prozesse, vom Eindringen in die Umgebung bis zu den Auswirkungen des Angriffs
Empfehlungen für Verteidiger: praktische Tipps für Führungskräfte, CISOs und Sicherheitsteams zur Stärkung der Abwehrmaßnahmen, Verbesserung der Resilienz und Bedrohungsprävention

Wir empfehlen, beim Lesen nicht nur die aktuelle Situation zu bedenken, sondern auch zu überlegen, wie Sie sich mithilfe dieser Informationen auf zukünftige Herausforderungen in einer immer komplexeren Bedrohungslandschaft vorbereiten können.

Mehr anzeigen Weniger anzeigen

Sie möchten Cyberbedrohungen effektiv abwehren?

Mit den Updates zu unserem IR-Bericht sind Sie immer auf dem neuesten Stand.

Abonnieren Sie unsere exklusiven Updates zum globalen Incident-Response-Bericht von Unit 42. Dazu gehören Informationen zu neuen Taktiken, Techniken und Prozessen (TTP) von Angreifern, Einschätzungen unserer Sicherheitsexperten zur Bedrohungslage und vieles mehr.

So sind sie stets informiert und besser geschützt.

2. Neue Bedrohungen und Trends

2025 müssen sich Unternehmen auf zahlreiche unterschiedliche Bedrohungen einstellen – von finanziell motivierten Cyberkriminellen über technisch versierte staatlich gesponserte Hackergruppen bis hin zu Insiderbedrohungen und ideologisch motivierten Hacktivisten. Die meisten Cyberkriminellen setzen immer noch vorrangig auf Erpressung, aber versierte staatlich gesponserte Hackergruppen nehmen verstärkt kritische Infrastrukturen und andere wichtige Branchen sowie deren Lieferketten ins Visier. Die Gefahr durch Insiderbedrohungen hat zugenommen, da Zeitarbeiter und Beschäftigte mit umfangreichen Zugriffsrechten externe Abwehrmaßnahmen umgehen können und Hacktivisten Social-Media-Netzwerke ausnutzen, um groß angelegte Störaktionen zu koordinieren.

Unit 42 hat daher fünf wichtige Trends identifiziert, die den größten Schaden in Unternehmen anrichten: gezielte Betriebsstörungen mit Erpressung, Angriffe auf Softwarelieferketten und Cloud-Umgebungen, die zunehmende Geschwindigkeit von Angriffen, nordkoreanische Insiderbedrohungen und AI-gestützte Angriffe.

Trend 1: Störung des Geschäftsbetriebs: die dritte Welle von Erpressungsangriffen

Da Unternehmen stärker auf bessere Abwehrmaßnahmen und Cyberhygiene achten, können Ransomwareangriffe häufig durch Back-ups ausgehebelt werden. Infolgedessen haben Angreifer ihre Methoden überarbeitet, um weiterhin Lösegelder erpressen – oder sogar noch höhere Forderungen stellen – zu können.

Ihr Vorgehen bei Erpressungsangriffen hat sich in den letzten zehn Jahren mehrfach verändert: Sie begannen mit Verschlüsselung, gingen dann zu Datenausschleusung und Techniken zur Mehrfacherpressung über und setzen nun meist auf eine gezielte Störung des Geschäftsbetriebs. Ransomwareangriffe machen zwar immer noch Schlagzeilen, aber die Angreifer verschlüsseln die Daten nicht mehr nur, sondern bedrohen Stakeholder und stören wichtige Prozesse, was lange Ausfallzeiten zur Folge hat.

2024 verursachten 86 % der Vorfälle, bei denen Unit 42 im Einsatz war, angriffsbedingte Verluste. Dazu gehören unter anderem:

Direkte Störungen des Geschäftsbetriebs
Asset- und betrugsbedingte Verluste
Marken- und Rufschädigung nach Bekanntmachung der Angriffe
Steigende Betriebskosten, Rechtskosten, Strafgebühren und mehr

Diese Weiterentwicklung der Erpressungsangriffe fand in drei Wellen statt:

Welle 1: Verschlüsselung

Seit es Kryptowährungen gibt, können Cyberkriminelle groß angelegte Angriffe mit geringerem Risiko durchführen. Angreifer erkannten in Ransomware schnell eine rentable Angriffsmethode: Sie verschlüsselten wichtige Dateien und forderten ein Lösegeld in einer Kryptowährung für die Entschlüsselung. Seitdem sind Kryptowährungen eine wichtige Voraussetzung für erfolgreiche Ransomwareangriffe:

Sie erschweren die Verfolgung der Lösegeldzahlungen zu den Angreifern.
Sie erleichtern Cyberkriminellen den Einstieg.
Sie erleichtern es Angreifern, der Strafverfolgung und internationalen Sanktionen zu entgehen.

Bei den ersten Ransomwareangriffen war der Plan recht simpel: Eindringen, Dateien verschlüsseln und die Umgebung wieder verlassen. Damals fand Unit 42 bei Untersuchungen nur selten Hinweise auf Datenausschleusung.

Obwohl die Angriffe heute raffinierter sind und oft auch Datendiebstahl und doppelte Erpressung einschließen, ist die Verschlüsselung nach wie vor eine beliebte Taktik. Laut den aktuellen Incident-Response-Daten von Unit 42 gehört die Verschlüsselung weiterhin zu den am häufigsten genutzten Taktiken bei Erpressungsversuchen. Die Zahlen sind in den letzten vier Jahren relativ konstant geblieben.

Doch da viele Unternehmen ihre Prozesse für Daten-Back-ups verbessert haben, reicht die Verschlüsselung allein zur Erpressung meist nicht mehr aus. Dank Back-ups konnten mehr Unternehmen ihren Betrieb schneller wieder aufnehmen – fast die Hälfte (49,5 %) der betroffenen Organisationen konnten 2024 so ihre Daten wiederherstellen. Das sind etwa fünfmal so viele wie noch 2022, als nur 11 % der Opfer Daten mithilfe von Back-ups wiederherstellen konnten (siehe Abbildung 1).

Abbildung 1: Der Prozentsatz der Opfer, die verschlüsselte Dateien mithilfe von Back-ups wiederherstellen konnten, stieg zwischen 2022 und 2024 um 360 %.

Diese Abwehrmaßnahme hilft allerdings nicht, wenn Angreifer mit der Veröffentlichung oder dem Verkauf der gestohlenen Daten drohen.

Mehr anzeigen Weniger anzeigen

Welle 2: Datenausschleusung als zusätzliches Druckmittel

Als die reine Verschlüsselung weniger effektiv wurde, nutzten Angreifer eine neue Taktik für Erpressungen: die Datenausschleusung, gefolgt von Drohungen. Finanziell motivierte Hacker fanden zusätzlich zur Datenausschleusung und Erpressung weitere Methoden, die gestohlenen Daten zu Geld zu machen: Sie boten sie beispielsweise auf Marketplaces im Dark Web zum Verkauf an.

Cyberkriminelle drohten damit, sensible Informationen zu veröffentlichen, und zeigten oft Listen angeblicher Opfer auf eigenen Leakwebsites an. Einige sendeten auch eine wahre Flut von bösartigen Nachrichten an Mitarbeiter und Kunden der betroffenen Unternehmen.

Datendiebstahl ist zwar immer noch eine beliebte Taktik, aber inzwischen aus verschiedenen Gründen nicht mehr so effektiv. Es hat sich eine gewisse Gleichgültigkeit breitgemacht, sodass Leaks im Dark Web als Drohung nicht mehr denselben Effekt wie früher haben.

Laut dem Data Breach Report 2023 des Identity Theft Resource Center wurden allein 2023 die Daten von 353 Millionen Opfern veröffentlicht. Außerdem fürchten Unternehmen zunehmend, dass Angreifer sich nicht an ihre Versprechen halten, obwohl das momentan eher die Ausnahme ist.

Bei weniger als zwei Drittel der Datendiebstähle im Jahr 2024 (nur 58 %) lieferten die Angreifer Nachweise dafür, dass sie die gestohlenen Daten tatsächlich gelöscht hatten. Zudem fand Unit 42 heraus, dass die Täter auch in einigen dieser Fälle – trotz der angeblichen „Nachweise“ – zumindest einen Teil der Daten behalten hatten. Knapp zwei Drittel sind zwar ein nicht unbeträchtlicher Anteil, aber dennoch weit von dem Niveau an Gewissheit entfernt, die die meisten von uns gemeinhin erwarten, wenn wir einen (oft unverschämt hohen) Preis für etwas zahlen.

Statistiken zu öffentlichen Leakwebsites lassen diesen Trend ebenfalls erkennen. Zwischen 2022 und 2023 schnellte die Anzahl der Opfer auf Leakwebsites um 50 % in die Höhe, stieg dann aber bis 2024 nur noch um 2 %. Das könnte darauf hindeuten, dass die Androhung der Veröffentlichung der Daten nicht mehr so effektiv ist.

Erpressung funktioniert nur, wenn die Opfer die angedrohten Folgen so sehr fürchten, dass sie auf die Forderungen der Angreifer eingehen. Um das zu erreichen, werden Angreifer ihre Methoden auch in Zukunft weiterentwickeln und immer mehr Schaden anrichten.

Das bedeutet jedoch nicht, dass Angreifer keine Daten mehr ausschleusen. Sie stehlen immer noch in mehr als der Hälfte der Fälle Daten und setzen zunehmend auf Drohungen (siehe Tabelle 1). Aber sie nehmen auch weitere Taktiken in ihr Arsenal auf, um sicherzugehen, dass sie ihr Ziel erreichen und das Lösegeld erhalten.

Erpressungstaktik	2021	2022	2023	2024
Verschlüsselung	96%	90%	89%	92%
Datendiebstahl	53%	59%	53%	60%
Bedrohung	5%	9%	8%	13%

Tabelle 1 : Anteil der Erpressungstaktiken bei Angriffen mit Erpressungsversuchen

Die gezielte Störung des Geschäftsbetriebs ist die nächste Phase in der Weiterentwicklung der Taktiken, mit denen Erpresser den Druck auf ihre Opfer erhöhen, damit diese sie nicht einfach ignorieren können.

Mehr anzeigen Weniger anzeigen

Welle 3: Gezielte Störung des Geschäftsbetriebs

Angreifer erhöhen den Druck auf Unternehmen mithilfe einer dritten Taktik: der gezielten Störung des Geschäftsbetriebs. 2024 gab es bei 86 % der Vorfälle, bei denen Unit 42 im Einsatz war, eine Störung des Geschäftsbetriebs, das heißt, eine Behinderung der Abläufe, Rufschädigung oder eine andere Beeinträchtigung des Geschäfts.

Unit 42 stellte fest, dass Angreifer Verschlüsselungstechniken mit Datendiebstahl kombinieren und dann noch einen Schritt weiter gehen, um den Betrieb des Unternehmens gezielt und unübersehbar zu stören. Sie schädigten beispielsweise das Markenimage des betroffenen Unternehmens oder belästigten Kunden und Partner. Angreifer löschten auch virtuelle Maschinen und Daten. (In Abschnitt 5.1. finden Sie die Aufschlüsselung aller MITRE ATT&CK-Techniken, die Angreifer in diesen Fällen eingesetzt haben.)

Wir haben Angriffe auf Unternehmen mit umfangreichen Partnernetzwerken beobachtet, die für den Geschäftsbetrieb auf diese Verbindungen angewiesen sind. Wenn ein Unternehmen Teile seines Netzwerks außer Betrieb nehmen muss, um einen Angriff einzudämmen und die Umgebung wiederherzustellen, sind auch die Partner gezwungen, ihre Verbindungen zu trennen. Anschließend müssen sie dann die Verbindungen wiederherstellen und Zertifizierungsprozesse durchlaufen, was zusätzlichen Aufwand und Verzögerungen bedeutet.

Versierte Hackergruppen haben diverse Organisationen – darunter Gesundheitseinrichtungen, Hotels und Gaststätten, Fertigungsunternehmen und kritische Infrastrukturen – gezielt mit diesen Taktiken angegriffen, um eine möglichst umfassende Störung des Geschäftsbetriebs zu erreichen, und zwar nicht nur in dem betroffenen Unternehmen, sondern auch für dessen Partner und Kunden.

Während die angegriffenen Unternehmen noch mit langen Ausfallzeiten, beschädigten Partner- und Kundenbeziehungen und Einbußen bei den Geschäftsergebnissen kämpften, nutzten die Angreifer die Situation aus und forderten ein höheres Lösegeld. Unternehmen versuchen, ihre Systeme möglichst schnell wiederherzustellen und die finanziellen Verluste (die sich auf mehrere Millionen und manchmal sogar Milliarden belaufen können) zu minimieren, und die Angreifer erhöhen den Druck durch Erpressung. Die durchschnittliche erste Lösegeldforderung stieg zwischen 2023 und 2024 um fast 80 % – von $695.000 auf $1,25 Millionen.

Wir haben auch untersucht, wie Angreifer sich eine Meinung darüber bilden, wie viel ein Unternehmen zahlen kann. (Als Grundlage für diese Analysen dienten Informationen zum Unternehmen, die Angreifer in öffentlichen Quellen finden können.) Der Medianwert für die erste Lösegeldforderung lag 2024 bei 2 % des mutmaßlichen Jahresumsatzes des betroffenen Unternehmens. Die Hälfte dieser Forderungen lag zwischen 0,5 % und 5 % des mutmaßlichen Jahresumsatzes. Am oberen Ende dieses Spektrums versuchten Angreifer Summen einzufordern, die deutlich über dem mutmaßlichen Jahresumsatz des betroffenen Unternehmens lagen.

Obwohl die Forderungen gestiegen sind, ist Unit 42 bei Verhandlungen zur tatsächlich zu zahlenden Summe (für Kunden, die sich entscheiden, ein Lösegeld zu zahlen) auch weiterhin erfolgreich. Infolgedessen ist der Medianwert der tatsächlichen Lösegeldzahlungen 2024 nur um $30.000 auf $267.500 gestiegen. Wenn Unternehmen das Lösegeld zahlen, beläuft sich der Medianwert auf weniger als 1 % des mutmaßlichen Jahresumsatzes (0,6 %). Unit 42 erreichte also bei Verhandlungen eine Reduzierung der ursprünglichen Lösegeldforderung um durchschnittlich 50 %.

Mehr anzeigen Weniger anzeigen

Gegenmaßnahmen: Größere Resilienz bei zunehmenden Betriebsstörungen

Ein wichtiger Faktor bei Betriebsstörungen ist die Resilienz: Können Sie den Geschäftsbetrieb aufrechterhalten, wenn kritische Systeme lahmgelegt oder sensible Daten verschlüsselt wurden? Welche Geschäftsprozesse sind unverzichtbar? Wie sehen Ihre Disaster-Recovery- und Back-up-Strategien aus? Wären wichtige Partner im Notfall bereit, zu neuen Systemen zu wechseln?

Die Antworten auf diese Fragen lassen sich am besten bei regelmäßigen Tests und Vorfallssimulationen finden. Dabei werden die technischen Kontrollmaßnahmen überprüft, die Incident-Response-Teams geschult und die Fähigkeit getestet, kritische Dienste aufrechtzuerhalten. Wenn Sie der Resilienz eine höhere Priorität einräumen, reduzieren Sie nicht nur die unmittelbaren finanziellen Folgen eines Angriffs, sondern schützen langfristig auch Ihren Ruf und das Vertrauen der Stakeholder – die in einer immer dynamischeren Cyberbedrohungslandschaft von unschätzbarem Wert sind.

Erpressungen und die damit verbundenen Techniken – Verschlüsselung, Datendiebstahl, Drohungen und gezielte Störung des Betriebs – sind kein vorübergehender Trend. Cybersicherheitsstrategien müssen kontinuierlich weiterentwickelt werden, um auch neue Angriffstaktiken abwehren zu können. Gleichzeitig müssen wir darauf vorbereitet sein, dass Angreifer immer wieder neue Methoden entwickeln werden, um die effektiveren Abwehrmaßnahmen zu umgehen.

Trend 2: Gravierende Folgen von Angriffen auf Softwarelieferketten und Cloud-Umgebungen

Da Unternehmen immer mehr Cloud-Ressourcen für Geschäftsprozesse und die Speicherung wertvoller Daten nutzen, haben sich auch die Angriffe auf Cloud- oder SaaS-Anwendungen verschärft.

Bei fast einem Drittel der Vorfälle (29 %) des Jahres 2024 waren Cloud-Umgebungen involviert. Damit ist gemeint, dass wir bei unseren Untersuchungen auch Protokolldateien und Images von Cloud-Umgebungen erfassen oder extern gehostete Assets wie SaaS-Anwendungen analysieren mussten.

Es bedeutet jedoch nicht zwangsläufig, dass bei diesen Angriffen Cloud-Assets durch die Angreifer beschädigt wurden. Nur bei etwa einem Fünftel (21 %) der Vorfälle des Jahres 2024 wurden Cloud-Umgebungen oder -Assets von Angreifern beeinträchtigt.

Mehr anzeigen Weniger anzeigen

Für alle mehr anzeigen

Mangelhaftes Identitäts- und Zugriffsmanagement als begünstigender Faktor

Probleme mit dem Identitäts- und Zugriffsmanagement (IAM) sind auch weiterhin in vielen Fällen ein begünstigender Faktor. Hackergruppen wieBling Libra (die Anbieter der Ransomware ShinyHunters) und Muddled Libra nutzen Fehlkonfigurationen und öffentlich zugängliche Anmeldedaten aus, um sich Zugriff auf Cloud-Umgebungen zu verschaffen.

Der größte Risikofaktor ist noch immer fehlende Multi-Faktor-Authentifizierung (MFA), aber wir sehen dieses Problem inzwischen seltener – 2024 nur noch bei einem Viertel der Fälle (im Gegensatz zu einem Drittel im Jahr 2023).

Bei anderen Problemen mit dem Identitäts- und Zugriffsmanagement geht der Trend hingegen in die falsche Richtung. Der Anteil der Umgebungen mit zu weit gefassten Rechten für den Richtlinienzugriff, zu umfangreichen Berechtigungen und wiederverwendeten Passwörter ist 2024 gestiegen (siehe Abbildung 2 unten).

Abbildung 2: Trends bei Problemen mit dem Identitäts- und Zugriffsmanagement zwischen 2023 und 2024

IIn etwa 4 % der Fälle wurden IAM-Fehlkonfigurationen als erster Angriffsvektor ausgenutzt, doch in diesem Zusammenhang sollten auch der Umfang und die Auswirkungen von Cloud-Angriffen berücksichtigt werden. Mit solchen Angriffen können Cyberkriminelle nicht nur im direkt angegriffenen Unternehmen einen erheblichen Schaden anrichten, sondern auch andere Organisationen beeinträchtigen, wenn sie Cloud-Ressourcen unter ihre Kontrolle bringen.

Bei einer cloudbasierten Erpressungskampagne nutzten die Angreifer öffentlich zugängliche Umgebungsvariablen, Anmeldedaten mit langer Gültigkeitsdauer und das Fehlen einer Least-Privilege-Architektur aus. Nachdem sie ihre Angriffsinfrastruktur in die Cloud-Umgebungen mehrerer Unternehmen eingebettet hatten, nutzten sie diese als Sprungbrett für eine groß angelegte Kampagne zum Angriff auf weitere Organisationen. Sie konnten unter anderem mehr als 230 Millionen separate Ziele nach weiteren anfälligen API-Endpunkten durchsuchen. Auf diese Weise gelang es den Angreifern, Dateien von mindestens 110.000 Domains abzurufen und mehr als 90.000 individuelle Variablen zu erfassen. Von diesen Variablen waren 7.000 mit Cloud-Diensten und 1.500 mit Social-Media-Konten verknüpft und viele enthielten Kontonamen und Authentifizierungsdaten.

Unit 42 hat schon häufig beobachtet, dass Angreifer mithilfe von gestohlenen API-/Zugriffsschlüsseln in Netzwerke eingedrungen sind. Dort können sie dann oft weitere Aktivitäten ausführen. Die Nutzung gültiger Cloud-Konten (T1078.004) taucht in unseren Falldaten regelmäßig in Zusammenhang mit den folgenden Taktiken auf:

Eindringen in eine Umgebung (13 % der Fälle, bei denen wir diese Taktik beobachtet haben)
Ausweitung der Zugriffsrechte (8 %)
Persistenz (7 %)
Umgehung der Abwehrmaßnahmen (7 %)

Datenausschleusung und Cloud-Speicher

Mangelnde Transparenz und Kontrolle in SaaS- und cloudbasierten Systemen

Web Scraping und API-Missbrauch

Cloudgestützte Angriffe

Angriffe auf Softwarelieferketten und Drittanbietersoftware

2024 waren wir bei mehreren Vorfällen in Zusammenhang mit Softwarelieferketten im Einsatz.

Eine kritische Sicherheitslücke in der Bibliothek des Datenkomprimierungstools XZ Utils wurde aufgedeckt, bevor die Angreifer großen Schaden anrichten konnten. Sie hat jedoch deutlich gemacht, welche potenziellen Auswirkungen Angriffe auf Lieferketten haben können. Laut Red Hat enthielten die XZ-Tools und -Bibliotheken zu diesem Zeitpunkt „Schadcode, der offenbar nicht autorisierten Zugriff ermöglichen sollte“. Da XZ Utils in verschiedene wichtige Linux-Distributionen eingebettet ist – die wiederum in zahlreichen Unternehmen auf der ganzen Welt genutzt werden –, wären von der erfolgreichen Implementierung dieses Schadcodes Tausende Organisationen weltweit betroffen gewesen. Dieser „über mehrere Jahre vorbereitete Angriff“ auf XZ Utils zeigt, dass alle Unternehmen Best Practices zu Open-Source-Software berücksichtigen und entsprechende Sicherheitskontrollen in ihre Systeme integrieren sollten.

Mehrere Sicherheitslücken in VPN-Appliances führten zu Diskussionen über die Integrität von Drittanbietersoftware. Wir haben festgestellt, dass diese Sicherheitslücken sowohl von staatlich gesponserten Hackergruppen als auch von Cyberkriminellen als Einfallstor ausgenutzt wurden.

Angreifer sind aber nicht unbedingt auf Sicherheitslücken angewiesen, um Unternehmen über Drittanbietersoftware anzugreifen. Im Juni 2024 warnte die cloudbasierte Datenplattform Snowflake, dass Hacker einige Kundenkonten angegriffen hatten. Das Unternehmen gab nach Untersuchungen an, dass die Angreifer gestohlene Anmeldedaten verwendeten (T1078 – Gültige Konten), und verwies auf „branchenweite fortlaufende, identitätsbasierte Angriffe mit dem Ziel, Kundendaten zu stehlen“.

In einem anderen Fall, den Unit 42 untersuchte, führten Angreifer mehrere Monate lang Brute-Force-Angriffe auf ein VPN durch (T1110 – Brute-Force-Angriffe). Auf diese Weise konnten sie sich Zugriff auf die Umgebung des Unternehmens verschaffen und sich langfristig festsetzen.

Sind Infrastrukturen zu komplex, fehlt oft ein umfassender Überblick und dann wird es schwierig, Angriffe vollständig abzuwehren, insbesondere, wenn davon auch Drittanbietersoftware betroffen ist.

Gegenmaßnahmen: Schutz vor Angriffen auf Softwarelieferketten und Cloud-Umgebungen

Priorisieren Sie die folgenden Taktiken, um die Risiken von Angriffen auf Softwarelieferketten und Cloud-Umgebungen zu minimieren:

Prävention des Missbrauchs von Anmeldedaten: Setzen Sie strikte IAM-Kontrollen durch und weisen Sie jeder Rolle nur die unbedingt erforderlichen Berechtigungen zu. Nutzen Sie Anmeldedaten mit kurzer Gültigkeitsdauer und Multi-Faktor-Authentifizierung, sofern möglich.
Zentrale Protokollierung und Überprüfung der Cloud-Ressourcen von Produktionsumgebungen: Leiten Sie Protokolldateien vom eigentlichen Host weiter, um Manipulationen zu verhindern, und aggregieren Sie sie für die dienstübergreifende Korrelation. Verfolgen Sie Anomalien wie ungewöhnliche API-Aufrufe und die Übertragung großer Datenmengen.
Überwachung von Nutzungsmustern: Analysieren Sie Protokolldateien, um Werte für die normale Ressourcennutzung zu ermitteln und Alarme für Abweichungen festlegen zu können. Angreifer verursachen häufig einen starken Anstieg der CPU- und Bandbreitennutzung durch Datenausschleusung oder Cryptomining.
Umgehendes Patching: Verwalten Sie Drittanbieterbibliotheken, Container-Images und Open-Source-Komponenten wie den Rest Ihrer Infrastruktur. Richten Sie einen Prozess für die regelmäßige Prüfung und die schnelle Implementierung von Sicherheitsupdates ein.
Sichere APIs und Lieferkettenintegrationen: Legen Sie eine Ratenbeschränkung fest, um Scraping- oder Brute-Force-Versuche zu vereiteln, und nutzen Sie zuverlässige Scantools, um neue Abhängigkeiten zu überprüfen, bevor Lösungen in die Produktionsumgebung integriert werden.

Wenn Sicherheitsteams diese Maßnahmen konsistent durchsetzen, können sie Angriffe frühzeitig erkennen, den Schaden begrenzen und sicher sein, dass sie die Kontrolle über Cloud-Ressourcen und Softwarepipelines behalten.

Trend 3: Hohe Geschwindigkeit: Immer schnellere Angriffe lassen Verteidigern kaum Zeit für Abwehrmaßnahmen

Unit 42 hat eine deutliche Beschleunigung bei Cyberangriffen beobachtet, da Angreifer zunehmend Automatisierung, Ransomware-as-a-Service(RaaS)-Modelle und generative AI (GenAI) nutzen, um ihre Kampagnen zu optimieren. Mithilfe dieser Tools können Angreifer viel schneller Sicherheitslücken aufdecken, Social-Engineering-Kampagnen erstellen und groß angelegte Angriffe durchführen.

Aufgrund des hohen Tempos der Angriffe müssen globale Unternehmen ihre Abwehrmaßnahmen sorgfältig überprüfen und die frühzeitige Erkennung priorisieren. In vielen Fällen entscheidet sich in wenigen Stunden, ob Angreifer ihre Kampagne erfolgreich abschließen und beispielsweise Daten stehlen, verschlüsseln oder den Geschäftsbetrieb stören können. Da die Angreifer ihre Methoden kontinuierlich optimieren und die Prozesse beschleunigen, werden proaktive Sicherheitsmaßnahmen und schnelle Incident-Response-Prozesse immer wichtiger.

Eine der Methoden, die Unit 42 zur Bewertung der Angriffsgeschwindigkeit nutzt, ist die Messung der zwischen dem ersten Eindringen in eine Umgebung und dem Ausschleusen gestohlener Daten verstrichenen Zeit.

2024 lag der Medianwert für die Zeit bis zur Datenausschleusung bei den Angriffen, bei denen Unit 42 im Einsatz war, bei etwa zwei Tagen. Dies ist bemerkenswert, da Unternehmen oft mehrere Tage benötigen, um einen Angriff zu erkennen und einzudämmen.

Betrachtet man die Untergruppe der Vorfälle, bei denen die Datenausschleusung am schnellsten vonstattenging, wird das Problem noch deutlicher.

In einem Viertel der Fälle betrug die Zeit von der Infiltration bis zur Datenausschleusung weniger als fünf Stunden.
Das ist dreimal schneller als noch 2021, als die Datenausschleusung im obersten Quartil in weniger als 15 Stunden stattfand.

Bei einem Großteil der Vorfälle waren die Angreifer sogar noch schneller.

In jedem fünften Fall (19 %) verging zwischen der Infiltration und der Datenausschleusung weniger als eine Stunde.

Erst vor Kurzem konnten wir dieses hohe Angriffstempo bei drei Einsätzen von Unit 42 selbst beobachten:

RansomHub (von Unit 42 unter der Bezeichnung Spoiled Scorpius verfolgt) verschaffte sich über ein VPN ohne Multi-Faktor-Authentifizierung Zugriff auf das Netzwerk einer Stadtverwaltung. Innerhalb von sieben Stunden nach der Infiltration hatten die Angreifer 500 GB Daten ausgeschleust.

Muddled Libra (auch Scattered Spider genannt) führte einen erfolgreichen Social-Engineering-Angriff auf das Helpdesk eines Serviceanbieters durch, um sich Zugriff auf ein Privileged-Access-Manager(PAM)-Konto zu verschaffen. Darüber riefen die Hacker die gespeicherten Anmeldedaten ab und übernahmen die Kontrolle über ein Konto mit umfassenden Domainzugriffsrechten. Die gesamte Aktion dauerte nur 40 Minuten. Anschließend knackten die Angreifer ein System für das Kennwortmanagement und fügten ein eigenes Konto zur Cloud-Umgebung hinzu. Nach der Ausweitung der Zugriffsrechte wurde dann die Datenausschleusung möglich.

Verteidigern bleibt immer weniger Zeit, Angriffe zu erkennen, abzuwehren und einzudämmen – in einigen Fällen sogar weniger als eine Stunde.

Positiv hingegen ist der Rückgang der Verweildauer, d. h. der Anzahl der Tage, die ein Angreifer in der Umgebung des Opfers verbringt, bevor er bemerkt wird. Die Verweildauer sank 2024 um 46 % auf 7 Tage. 2023 waren es noch 13 Tage. Das setzt den Abwärtstrend seit 2021 fort, als die Verweildauer noch 26,5 Tage betrug.

Mehr anzeigen Weniger anzeigen

Gegenmaßnahmen: Schutz vor schnelleren Angriffen

Die folgenden Taktiken können Ihnen helfen, sich besser vor immer schnelleren Angriffen zu schützen:

Messung der Zeitspanne bis zur Erkennung und Abwehr von Bedrohungen: Verfolgen und verbessern Sie fortlaufend die Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR), um sicherzugehen, dass Ihr SOC immer schneller wird.
AI-basierte Analysen: Verwalten Sie Datenquellen zentral und identifizieren Sie Anomalien in Echtzeit, damit Sie kritische Alarme schneller als bei manuellen Untersuchungen erhalten.
Automatisierte Playbooks: Konfigurieren Sie bereits im Voraus Abwehrmaßnahmen, um infizierte Endpunkte zu isolieren oder Benutzerkonten innerhalb weniger Minuten zu sperren.
Regelmäßige Tests: Führen Sie regelmäßig Planübungen und Red-Team-Tests durch, um sicherzustellen, dass Ihr SecOps-Teams nahtlos von der Bedrohungserkennung zur Bedrohungsabwehr übergehen kann.
Priorisierung der am stärksten gefährdeten Assets: Konzentrieren Sie sich auf schnelle Abwehrmaßnahmen für diejenigen Systeme, bei denen Ausfallzeiten oder Datendiebstahl den größten Schaden anrichten würden.

Mit einem Überblick in Echtzeit, AI-gestützten Analysen und automatisierten Arbeitsabläufen bleiben Sie auch den schnellsten Angreifern einen Schritt voraus.

Trend 4: Zunahme von Insiderbedrohungen:
verstärktes Engagement von Hackergruppen aus Nordkorea

Insiderbedrohungen gehören zu den größten Risiken, da sie die Zugriffsberechtigungen und Vertrauensbeziehungen ausnutzen, auf die Unternehmen angewiesen sind. Da Insider viele externe Abwehrmaßnahmen umgehen können, lassen sich diese Bedrohungen nur äußerst schwer erkennen.

Staatlich gesponserte Hackergruppen aus Nordkorea haben vor Kurzem ihre Insiderangriffe verschärft, indem sie ihre Mitglieder als technische Mitarbeiter in internationale Unternehmen eingeschleust haben. Durch diese Kampagne, die wir unter der Bezeichnung Wagemole (auch „IT Workers“ genannt) beobachtet haben, wurden Positionen in technischen Bereichen zu einer neuen Angriffsfläche. Außerdem generierte sie Hunderte Millionen in US-Dollar und anderen harten Währungen für das nordkoreanische Regime.

Die nordkoreanischen Hacker nutzten herkömmliche Einstellungsverfahren mit gestohlenen oder synthetischen Identitäten und detaillierten Angaben zu technischen Fertigkeiten aus. Ihre Bewerbungen können legitime Referenzen enthalten, die durch Identitätsdiebstahl erworben wurden, sowie reale bisherige Arbeitsplätze, die einer einfachen Überprüfung standhalten.

Bei etwa 5 % unserer Einsätze im Jahr 2024 spielten Insiderbedrohungen eine Rolle. Die Anzahl der Angriffe, an denen Nordkorea beteiligt war, hat sich im Vergleich zum Vorjahr verdreifacht. Obwohl viele Kunden inzwischen besser über die Bedrohung informiert sind und daher auch verstärkt darauf achten, sind diese Hacker weiterhin aktiv.

Von dieser Bedrohung bleibt keine Branche verschont. 2024 weiteten die Angreifer ihren Wirkungsbereich weiter aus und nahmen auch Finanzdienstleister, Medien, Einzelhändler, Logistik-, Unterhaltungs- und Telekommunikationsunternehmen, IT-Services und Militärdienstleister ins Visier. Das Hauptangriffsziel sind allerdings nach wie vor große Technologieunternehmen.

Mehr anzeigen Weniger anzeigen

Für alle mehr anzeigen Für alle weniger anzeigen

Zeitarbeiter

Diese Kampagnen zielen meist auf Unternehmen ab, die technische Rollen an Zeitarbeiter vergeben. Personalvermittlungsagenturen spielen den nordkoreanischen IT-Kampagnen oft unabsichtlich in die Hand, unter anderem durch folgende Faktoren:

Verkürzte Verifizierungsprozesse aufgrund der hohen Nachfrage nach Fachkräften
Begrenzte Möglichkeiten der Identitätsprüfung
Kaum Überblick über die Zeitarbeitsfirmen
Hoher Druck auf einem stark umkämpften Markt, die freien Stellen schnell zu besetzen

Nordkoreanische Agenten haben zwar auch erfolgreich zeitlich unbegrenzte Vollzeitstellen besetzt, bevorzugen aber nach wie vor Zeitarbeitsverhältnisse für die Infiltration von Unternehmen.

Neue Taktiken

Diese Hacker werden technisch immer versierter. In der Vergangenheit nutzten sie überwiegend kommerzielle Remotemanagementtools, doch seit einiger Zeit gehen sie etwas subtiler vor.

Besorgniserregend ist dabei vor allem der Einsatz hardwarebasierter KVM-over-IP-Lösungen – kleine Geräte, die an die Video- und USB-Ports der Zielgeräte angeschlossen werden und dann Funktionen für die Remotesteuerung bieten, die die meisten Tools für die Endpunktüberwachung umgehen können. Die Angreifer schließen diese Geräte an vom Zielunternehmen bereitgestellte Computer an.

Daraufhin dienen Tunneling-Funktionen in Visual Studio Code, die ursprünglich für die legitime Remoteentwicklung bereitgestellt wurden, als verborgene Kanäle, über die die Angreifer sich Zugriff verschaffen.

Solche Kampagnen lassen sich nur schwer aufdecken, da viele dieser Angreifer technisch äußerst versiert sind. Der Zugriff wirkt nicht nur legitim, sondern ist es auch. Sie erledigen ihre Arbeit und wirken im Hintergrund auf ihre eigentlichen Ziele hin.

Bedrohungen durch IT-Mitarbeiter mit gefälschten Identitäten

Nachdem sie eingestellt wurden, füllen die Insider mit ihrem illegal erworbenen Gehalt nicht nur die Kassen des Regimes, sondern führen auch weitere schädliche Aktivitäten durch:

Datenausschleusung: Sie schleusen systematisch sensible Unternehmensdaten und interne Dokumentation aus. Sicherheitsrichtlinien, Berichte zu Sicherheitslücken und Leitfäden für Einstellungsgespräche helfen ihnen, die Erkennungsfunktionen zu umgehen und auf Kundendaten, Quellcode und geistiges Eigentum zuzugreifen.
Nicht autorisierte Bereitstellung von Tools: Sie implementieren Remotemanagementtools und andere nicht autorisierte Anwendungen, um für einen kontinuierlichen Zugriff zu sorgen oder weitere Kampagnen vorzubereiten.
Änderung von Quellcode: Wenn ein Angreifer Zugriff auf ein Quellcode-Repository hat, kann er Code für eine Backdoor einfügen, damit nicht autorisierte Systeme Zugriff auf das gesamte Unternehmen erhalten oder Finanztransaktionen beeinflussen können.
Erpressung: Gelegentlich nutzen die Hacker gestohlene Daten, um Lösegeld zu erpressen, und drohen mit der Veröffentlichung unternehmenseigener Informationen. In einigen Fällen führten sie die angedrohten Aktivitäten bereits durch.
Gefälschte Empfehlungen: Angreifer können Unternehmen ihre Kollegen empfehlen, sodass noch mehr Hacker als IT-Mitarbeiter eingestellt werden. In einigen Fällen handelte es sich bei den Empfehlungen nur um Klone des ursprünglichen Mitarbeiters, der sich mithilfe von gefälschten Identitäten als mehrere verschiedene Personen ausgab.

Gegenmaßnahmen: Schutz vor Insiderbedrohungen

Das Ziel der nordkoreanischen IT-Kampagnen hat sich im Laufe der Zeit verändert: Es geht nicht mehr ausschließlich um die Beschaffung finanzieller Mittel, sondern zunehmend um die Einschleusung von Insidern in zahlreiche Unternehmen weltweit. Die strategischen Investitionen des Regimes in diese Kampagnen deuten auf eine langfristige Strategie hin.

Um sich vor diesen Bedrohungen zu schützen, müssen Unternehmen ihre Personalmanagement- und Sicherheitsstrategien überarbeiten.

Technische Kontrollen allein reichen dazu nicht mehr aus. Das Sicherheitsbewusstsein muss in der Unternehmenskultur verankert und Benutzeraktivitäten müssen aktiv überwacht werden, insbesondere von Personen mit umfangreichen Berechtigungen.

Maßnahmen wie die Implementierung von Least-Privilege-Richtlinien und sorgfältige Background-Checks können ebenfalls dazu beitragen, das Risiko zu minimieren. Außerdem sollten Unternehmen Verhaltensindikatoren wie ungewöhnlichen Datenübertragungen oder Systemzugriffen von Mitarbeitern kurz vor Ende ihres Beschäftigungsverhältnisses besondere Aufmerksamkeit widmen. Dazu ist es wichtig, Indikatoren aus verschiedenen Datenquellen zu konsolidieren. Bestimmte Verhaltensweisen können für sich genommen harmlos erscheinen, sollten aber in Zusammenhang mit anderen Signalen genauer untersucht werden.

Letztendlich muss das richtige Gleichgewicht zwischen Vertrauen und Verifizierung gefunden werden. Ein einziger Insiderangriff kann den Fortschritt mehrerer Jahre zunichtemachen, geistiges Eigentum gefährden und den Ruf nachhaltig schädigen. Wenn Unternehmen ihre internen Prozesse besser schützen, privilegierte Zugriffe überwachen und die Sicherheit stets priorisieren, können sie das Risiko eines gravierenden Insiderangriffs deutlich reduzieren.

Trend 5: Neue AI-gestützte Angriffe

Obwohl die Technologie noch in den Kinderschuhen steckt, verändert GenAI schon jetzt die Cyberbedrohungslandschaft. Angreifer nutzen AI-gestützte Methoden, um überzeugendere Phishingkampagnen zu erstellen, die Malwareentwicklung zu automatisieren und den Angriffsverlauf zu beschleunigen. Das hat zur Folge, dass Cyberangriffe schneller ausgeführt, aber nicht so einfach erkannt werden können. Derzeit nutzen Angreifer GenAI noch deutlich häufiger zur Verbesserung und Verstärkung alter als zur Entwicklung revolutionärer neuer Angriffsmethoden, aber wir sollten uns nicht in Sicherheit wiegen, denn GenAI hat bereits erhebliche Auswirkungen auf die Kapazitäten der Angreifer.

Für alle mehr anzeigen Für alle weniger anzeigen

Unterstützung von Angriffen mit GenAI

GenAI-Tools, insbesondere LLMs, werden sowohl von staatlich gesponserten APTs als auch finanziell motivierten Cyberkriminellen genutzt, um ihre Angriffe zu optimieren und den Effekt zu verstärken. Mit diesen Technologien lassen sich komplexe Aufgaben automatisieren, die bisher aufwendig manuell durchgeführt werden mussten. Dadurch beschleunigt sich der gesamte Angriffsverlauf.

LLMs können unter anderem äußerst überzeugende Phishing-E-Mails erstellen, in denen legitime Unternehmenskommunikation mit beispielloser Genauigkeit imitiert wird. Das erhöht die Erfolgsrate von Phishingkampagnen und erschwert die Erkennung mithilfe von signaturbasierten Abwehrfunktionen. Hackergruppen verkaufen bereits Tools, die überzeugende Deepfakes erstellen können. (Diese Angebote reichen von kostenlosen Versionen bis hin zu „Enterprise-Tarifen“, mit denen Deepfakes schon ab $249/Monat erhältlich sind.)

Bei der Malwareentwicklung können LLMs genutzt werden, um Schadcode zu generieren und zu verschleiern. Auf diese Weise erstellen Angreifer polymorphe Malware, die von konventionellen Erkennungsfunktionen nicht erkannt wird. Da sich mithilfe von AI die Erstellung von Exploitskripten und die Verbesserung von Malware automatisieren lassen, können auch weniger versierte Angreifer diese Techniken nutzen. Dadurch wächst die Anzahl der potenziellen Cyberkriminellen erheblich. Außerdem lassen sich mithilfe von AI-gestützten Tools Sicherheitslücken einfacher identifizieren und ausnutzen.

Höhere Geschwindigkeit dank AI

Zu den gravierendsten Auswirkungen der AI-gestützten Cyberkriminalität gehört die Steigerung der Geschwindigkeit und Effizienz von Angriffen. Aufgaben, die bisher mehrere Tage oder Wochen dauerten, können jetzt innerhalb weniger Minuten erledigt werden.

Um dies genauer zu untersuchen, haben Forscher von Unit 42 einen Ransomwareangriff simuliert und dabei in jeder Angriffsphase GenAI genutzt. In Abbildung 3 unten ist ein Vergleich der Geschwindigkeit eines Angriffs ohne Nutzung von GenAI – basierend auf der von uns bei IR-Einsätzen beobachteten mittleren Zeit – und mit Nutzung von GenAI dargestellt.

Mit AI

Ohne AI

Abbildung 3: Unterschiedliche Geschwindigkeiten eines simulierten Angriffs mit und ohne AI-gestützte Techniken

Bei unserem Test konnte der Zeitraum bis zur Datenausschleusung von den durchschnittlichen zwei Tagen auf 25 Minuten verkürzt werden. – Der Angriff verlief also etwa 100-mal schneller. Diese Ergebnisse wurden zwar unter Laborbedingungen erzielt, aber sie zeigen dennoch, dass sich durch die Verkürzung der Zeitspanne zwischen Ausspähen und Ausnutzen der Angriff insgesamt beschleunigt. Daher bleibt Unternehmen immer weniger Zeit, zu reagieren und den Schaden zu minimieren.

Gegenmaßnahmen: Schutz vor AI-gestützten Angriffen

Diese Taktiken können Ihnen helfen, AI-gestützte Angriffe abzuwehren:

Einsatz AI-gestützter Erkennungsfunktionen zur schnellen Aufdeckung schädlicher Muster unter Berücksichtigung von Daten aus diversen Quellen
Schulungen für Mitarbeiter zur Erkennung von AI-generierten Phishingkampagnen, Deepfakes und gezielten Social-Engineering-Angriffen
Nutzung von Angriffssimulationen mit AI-basierten Taktiken in Planübungen als Vorbereitung auf rasante, groß angelegte Angriffe
Entwicklung automatisierter Arbeitsabläufe, damit das SOC die Angriffe eindämmen kann, bevor die Angreifer tiefer in die Umgebung eindringen und Daten ausschleusen

3. Strategien erfolgreicher Angreifer: gängige, effektive Taktiken, Techniken und Prozesse

Angreifer steigern die Geschwindigkeit, das Ausmaß und die Komplexität ihrer Angriffe unaufhörlich. So können sie in relativ kurzer Zeit großen Schaden anrichten und Unternehmen haben Schwierigkeiten, die Aktivitäten rechtzeitig zu erkennen und effektiv einzudämmen.

In unseren Falldaten haben wir zwei wichtige Trends ausgemacht:

Cyberkriminelle greifen Unternehmen häufig an mehreren Stellen an

Bei unseren Untersuchungen haben wir festgestellt, dass sie inzwischen weniger auf Social-Engineering-Kampagnen und stattdessen stärker auf Angriffe auf Endpunkte, Cloud-Ressourcen und andere Systeme setzen (siehe Tabelle 2).

Angriffspunkte	Prozentsatz der Fälle
Endpunkte	72 %
Benutzer	65 %
Identitäten	63 %
Netzwerk	58 %
E-Mail	28 %
Cloud	27 %
Anwendung	21 %
SecOps	14 %
Datenbank	1 %

Tabelle 2 : Von uns beobachtete Angriffspunkte von Cyberkriminellen

Bei 84 % der Fälle nutzten die Cyberkriminellen mehrere Angriffspunkte in der Umgebung ihrer Opfer aus. (In 70 % der Fälle waren es drei oder mehr.) Bei einigen Vorfällen, bei denen wir im Einsatz waren, fanden wir sogar acht Angriffspunkte.

Da die Angriffe immer komplexer werden, benötigen Unternehmen einen umfassenden Überblick über alle Datenquellen. In 85 % der Fälle mussten die Incident-Response-Experten von Unit 42 bei ihren Untersuchungen auf mehrere Datenquellen zugreifen. Verteidiger sollten sicherstellen, dass sie schnell auf die unterschiedlichen Datenquellen im Unternehmen zugreifen und Informationen effizient verarbeiten können.

Browser sind ein wichtiger Angriffsvektor

Bei fast der Hälfte der von uns untersuchten Sicherheitsvorfälle (44 %) wurden schädliche Aktivitäten über die Browser von Mitarbeitern gestartet oder ermöglicht. Dazu gehörten Phishingkampagnen, der Missbrauch von URL-Weiterleitungen und Malwaredownloads, bei denen Browsersessions ohne angemessene Erkennungs- oder Blockierungsfunktionen ausgenutzt wurden.

Die Angriffe wurden möglich, da Benutzer mit schädlichen Links, Domains oder Dateien interagierten und die vorhandenen Sicherheitskontrollen nicht effektiv genug waren. Unternehmen müssen sich einen besseren Überblick verschaffen und zuverlässige Kontrollen auf Browserebene implementieren, um diese Bedrohungen zu erkennen und abzuwehren, bevor sie sich in der Umgebung ausbreiten können.

In den folgenden Abschnitten haben wir die Ergebnisse der Analysen unserer Unit 42-Falldaten zu Infiltrationsmethoden und gängigen Angriffstechniken zusammengestellt.

Mehr anzeigen Weniger anzeigen

3.1. Infiltration: mehr Social-Engineering-Kampagnen, sowohl für breitgefächerte als auch für gezielte Angriffe

2024 waren Phishingkampagnen wieder der häufigste erste Angriffsvektor bei den von Unit 42 untersuchten Vorfällen. Sie wurden bei fast einem Viertel der Fälle (23 %) genutzt (siehe Abbildung 4).

Alle anzeigen

Abbildung 4: Erste Angriffsvektoren bei den von Unit 42 untersuchten Vorfällen, nach Jahr. Zu den weiteren Social-Engineering-Techniken gehören SEO-Poisoning, Malvertising, Smishing, MFA-Bombing und Täuschung des Helpdesks. Als erste Angriffsvektoren werden auch Vertrauensbeziehungen oder vertrauenswürdige Tools und Insiderbedrohungen ausgenutzt.

Aus den ersten Angriffsvektoren allein lässt sich jedoch kein vollständiges Bild ableiten. Die verschiedenen ersten Angriffsvektoren deuten oft auf unterschiedliche Hackerprofile und -ziele hin. Wenn sich Angreifer durch Phishingkampagnen Zugriff verschafften, handelte es sich beispielsweise in den allermeisten Fällen (76 %) um Angriffe über geschäftliche E-Mail-Adressen oder (mit knapp 9 % deutlich seltener) um Erpressung, insbesondere mit Ransomware.

Staatlich gesponserte Hackergruppen, die zwar nur für einen kleinen Teil der Angriffe verantwortlich sind, dabei aber in der Regel große Schäden verursachen, bevorzugen Software-/API-Sicherheitslücken als ersten Angriffsvektor.

Verteidiger sollten sich außerdem bewusst sein, wie häufig Angreifer zuvor gestohlene Anmeldedaten verwenden, die sie oft von einem Initial Access Broker erwerben. Durch Suchen im Deep Web und Dark Web lassen sich gestohlene Anmeldedaten oft aufdecken.

Doch auch weniger häufig genutzte erste Angriffsvektoren können schwerwiegende Folgen haben. Unit 42 hat festgestellt, dass die Hackergruppe Muddled Libra weiterhin Social-Engineering-Angriffe auf Helpdesks durchführt, um sich Zugriff auf Unternehmensnetzwerke zu verschaffen. Auch andere Angreifer nutzen diese Technik, zum Beispiel finanziell motivierte Hacker in Nigeria.

Damit werden Betrugskampagnen ohne Malware möglich. Die Angreifer verwenden stattdessen gefälschte Identitätsnachweise oder VoIP-Telefonnummern für die Städte, in denen sich die Opfer befinden. Der Prozentsatz der gezielten Angriffe ist unseren Daten zufolge von 6 % der Fälle im Jahr 2022 auf 13 % im Jahr 2024 gestiegen.

Mehr anzeigen Weniger anzeigen

Gegenmaßnahmen: Schutz vor Social-Engineering-Angriffen

Verteidiger sollten auch weiterhin Defense-in-Depth-Strategien nutzen, um gängige erste Angriffsvektoren zu erkennen und die Auswirkungen von Angriffen zu minimieren, bei denen sich Cyberkriminelle Zugriff auf die Systeme verschaffen konnten.

Sicherheitsschulungen sind unverzichtbar, um Mitarbeiter zu informieren und auf die Erkennung von Social-Engineering-Angriffen vorzubereiten. Die Schulungen sollten allerdings nicht nur Phishing und Spear Phishing abdecken, sondern auch Folgendes umfassen:

Strategien zur Verbesserung der physischen Sicherheit (z. B. Verhinderung des Durchschlüpfens Unbefugter an Eingängen)
Best Practices zur Vermeidung von Geräteverlust
Verhaltensregeln für den Fall, dass ein Gerät gestohlen oder unbeaufsichtigt gelassen wurde
Indikatoren für Insiderbedrohungen
Warnsignale in Anrufen beim Helpdesk
Erkennungsmerkmale für Deepfakes

3.2. Aus Falldaten von Unit 42 gewonnene Einblicke in Angriffstechniken

Unsere Threat-Intelligence-Analysten haben die Taktiken und Techniken ausgewertet, die wir 2024 bei den versiertesten Angreifern beobachtet haben, und drei wichtige Erkenntnisse für Verteidiger zusammengefasst:

Angreifer profitieren von jeder Zugriffsmöglichkeit. Selbst wenn sich eine Hackergruppe auf andere Ziele spezialisiert zu haben scheint, ist es dennoch wichtig, das eigene Unternehmen vor ihnen zu schützen.
Versierte Angreifer nutzen nicht nur komplexe Techniken. Wenn eine einfachere Methode funktioniert, nutzen sie auch diese.
Es gibt zwar viele Erpressungsversuche, aber nicht alle Angreifer machen nach der Infiltration auf sich aufmerksam. Viele staatlich gesponserte Hackergruppen haben sich beispielsweise darauf spezialisiert, möglichst lange unbemerkt in einem Netzwerk zu verweilen, und nutzen dazu bereits installierte, legitime Tools aus („Living off the Land“-Strategie).

In den folgenden Abschnitten sehen wir uns die Techniken staatlich gesponserter Hackergruppen und anderer Angreifer genauer an.

Für alle mehr anzeigen Für alle weniger anzeigen

Alle Zugriffe sind wichtig

In vielen Unternehmen wird Angreifern, die mutmaßlich andere Ziele im Visier haben, wenig Aufmerksamkeit gewidmet. Wir sehen aber immer wieder, dass APT-Gruppen verschiedene Unternehmen angreifen und ausnutzen, um darüber ihr eigentliches Ziel zu erreichen.

2024 hat Unit 42 Angriffe von staatlich gesponserten Hackergruppen auf ganz unterschiedliche Unternehmen beobachtet. Diesen Angreifern geht es manchmal gar nicht ausschließlich um Cyberspionage. In einigen Fällen verschaffen sie sich die Kontrolle über Geräte, die für ihre zukünftigen Aktivitäten nützlich sein könnten ( T1584 – Infiltration von Infrastrukturen).

Insidious Taurus, auch Volt Typhoon genannt, hat beispielsweise solche eher beiläufig infiltrierten Geräte (oft Netzwerkrouter mit Internetzugang und IoT-Assets) ausgenutzt, um Botnets zu erstellen, die Command-and-Control-Netzwerkdatenverkehr an oder von weiteren Opfern weiterleiten.

Cyberkriminelle haben auch Technologieunternehmen angriffen, um bestimmte sensible Kundendaten zu stehlen oder Verbindungen zu anderen Opfern herzustellen (T1199 – Vertrauensbeziehung).

Das heißt, selbst wenn Sie nicht das direkte Ziel einer Hackergruppe sind, besteht dennoch ein Risiko für Ihr Netzwerk.

Erfolgreiche Angriffstaktiken müssen nicht neu oder raffiniert sein

Die Bezeichnung „Advanced Persistent Threat“ hat zu einem Missverständnis geführt, denn nicht alle Aktivitäten dieser Angreifer sind neuartig und komplex. Selbst Angreifer mit umfassenden Kenntnissen und Ressourcen wählen oft den Weg des geringsten Widerstands. Dazu gehören unter anderem die Ausnutzung bekannter (und sogar alter) Sicherheitslücken (T1190 – Missbrauch öffentlich zugänglicher Anwendungen), der Missbrauch legitimer Funktionen für den Remotezugriff (T1133 – Externe Remoteservices) und der Diebstahl von Informationen über gängige Onlineservices (T1567 – Ausschleusung über Webservice).

Wir sehen dieselben Fehler und Sicherheitsprobleme in vielen Netzwerken, darunter Fehlkonfigurationen und über das Internet zugängliche Geräte. Das erleichtert Angreifern den Zugriff.

Manche Angreifer sind nach der Infiltration sehr geduldig und unauffällig

Die meisten Angriffe wurden von finanziell motivierten Cyberkriminellen durchgeführt, die gewöhnlich schnell handeln und sich dann mit einer Lösegeldforderung bemerkbar machen. Wir haben aber auch Vorfälle beobachtet, bei denen Angreifer versuchen, Abwehrmechanismen zu umgehen und unbemerkt zu bleiben, da sie beispielsweise Cyberspionage betreiben.

Einige Angreifer machen sich auch die Komplexität von Netzwerken zunutze und verbergen ihre Aktionen in den allgemeinen Benutzeraktivitäten. Sie nutzen legitime Funktionen in der infiltrierten Umgebung aus. Diese Methode wird als Living off the Land. bezeichnet. Mit dieser Strategie sind sie oft erfolgreich, da bestimmte Aktivitäten sich nur schwer als harmlos oder schädlich kategorisieren lassen.

Könnten Sie beispielsweise bei den folgenden Aktivitäten sofort feststellen, ob sie von einem Administrator oder einer APT-Gruppe ausgeführt wurden?

Ausführung von Befehlen
Änderungen von Systemkonfigurationen
Anmeldungen
Netzwerkverkehr

Technik	Trends im Jahr 2024
T1078 – Gültige Konten	Dies ist eine der am häufigsten für die Infiltration einer Umgebung ausgenutzten Techniken, mit einem Anteil von über 40 % der im Zusammenhang mit dieser Taktik beobachteten gruppierten Techniken. Sie wird vor allem durch Schwachstellen im Identitäts- und Zugriffsmanagement sowie dem Angriffsflächenmanagement begünstigt, unter anderem durch: Fehlende MFA (28 % der Fälle) Schwache/Standardkennwörter (20 % der Fälle) Unzureichende Überprüfung auf Brute-Force-Angriffe/Sperrung von Konten (17 % der Fälle) Zu weit gefasste Zugriffsrechte (17 % der Fälle)
T1059 – Befehlszeilen- und Skript-Interpreter	Das war die am häufigsten genutzte Technik für die Ausführung von Befehlen. (So wird beispielweise in über 61 % der dieser Taktik zugeordneten Fälle die PowerShell missbraucht.) Native Windows- und Unix-Systemdienste, Netzwerkgeräte und anwendungsspezifische Shells werden ebenfalls häufig für diverse Zwecke ausgenutzt.
T1021 – Remoteservices	Diese Services wurden am häufigsten für die Ausbreitung im Netzwerk ausgenutzt. (Mehr als 86 % der im Zusammenhang mit dieser Taktik beobachteten gruppierten Techniken nutzten Remoteservices.) Dies ist ein Grund für den steigenden Trend beim Missbrauch legitimer Anmeldedaten. Die Anmeldedaten werden hier nicht für die typischen Zwecke, sondern für die Authentifizierung über interne Netzwerkprotokolle wie RDP (über 48 % der Fälle), SMB (über 27 % der Fälle) und SSH (über 9 % der Fälle) ausgenutzt.

Technik

Trends im Jahr 2024

T1078 – Gültige Konten

Dies ist eine der am häufigsten für die Infiltration einer Umgebung ausgenutzten Techniken, mit einem Anteil von über 40 % der im Zusammenhang mit dieser Taktik beobachteten gruppierten Techniken. Sie wird vor allem durch Schwachstellen im Identitäts- und Zugriffsmanagement sowie dem Angriffsflächenmanagement begünstigt, unter anderem durch:

Fehlende MFA (28 % der Fälle)
Schwache/Standardkennwörter (20 % der Fälle)
Unzureichende Überprüfung auf Brute-Force-Angriffe/Sperrung von Konten (17 % der Fälle)
Zu weit gefasste Zugriffsrechte (17 % der Fälle)

T1059 – Befehlszeilen- und Skript-Interpreter

Das war die am häufigsten genutzte Technik für die Ausführung von Befehlen. (So wird beispielweise in über 61 % der dieser Taktik zugeordneten Fälle die PowerShell missbraucht.) Native Windows- und Unix-Systemdienste, Netzwerkgeräte und anwendungsspezifische Shells werden ebenfalls häufig für diverse Zwecke ausgenutzt.

T1021 – Remoteservices

Diese Services wurden am häufigsten für die Ausbreitung im Netzwerk ausgenutzt. (Mehr als 86 % der im Zusammenhang mit dieser Taktik beobachteten gruppierten Techniken nutzten Remoteservices.) Dies ist ein Grund für den steigenden Trend beim Missbrauch legitimer Anmeldedaten. Die Anmeldedaten werden hier nicht für die typischen Zwecke, sondern für die Authentifizierung über interne Netzwerkprotokolle wie RDP (über 48 % der Fälle), SMB (über 27 % der Fälle) und SSH (über 9 % der Fälle) ausgenutzt.

Tabelle 3 : „Living off the Land“-Techniken, die bei IR-Einsätzen von Unit 42 am häufigsten beobachtet wurden

Abgesehen von den „Living off the Land“-Techniken haben wir auch beobachtet, dass einige Angreifer – insbesondere Ransomwaregruppen – versuchen, mithilfe von Tools zur Deaktivierung von EDR die Umgebung zu ihrem Vorteil zu verändern. Fast 30 % der in Zusammenhang mit der Umgehung von Sicherheitsmaßnahmen beobachteten gruppierten Techniken nutzten T1562 – Beeinträchtigung von Abwehrmaßnahmen. Dazu zählen auch Untertechniken wie:

Es gibt natürlich zahlreiche Tricks, aber wir haben festgestellt, dass Angreifer zunehmend die Technik Bring Your Own Vulnerable Driver (BYOVD) einsetzen. Auf diese Weise verschaffen sie sich die notwendigen Berechtigungen, um die EDR-Funktionen und andere Abwehrmaßnahmen auf einem kompromittierten Host zu umgehen und sogar anzugreifen. Ähnliche Techniken sind unter anderem:

Gegenmaßnahmen: Schutz vor gängigen, effektiven TTP

Verteidiger müssen die interne und externe Angriffsfläche ihres Unternehmens genau kennen. Überprüfen Sie regelmäßig, welche Daten oder Geräte zugänglich oder über das Internet erreichbar sind, und beheben Sie Fehlkonfigurationen und gefährliche Einstellungen für den Remotezugriff. Deaktivieren Sie Systeme, für deren Betriebssysteme es keine regelmäßigen Sicherheitsupdates mehr gibt, und überprüfen Sie alle Systeme auf Sicherheitslücken – auch ältere und insbesondere alle, für die PoC-Code veröffentlicht wurde.

Ermitteln Sie, welche Prozesse (Konten, Software/Anwendungen und andere genehmigte Aktivitäten) in Ihrer Umgebung regelmäßig genutzt werden. Implementieren Sie zuverlässige Protokollierungsprozesse und nutzen Sie Analysetools, um sich schnell einen Überblick über verschiedene Datenquellen zu verschaffen und ungewöhnliche Verhaltensmuster aufzudecken.

4. Empfehlungen für Verteidiger

In diesem Abschnitt befassen wir uns mit grundlegenden Fehlern, die am häufigsten von Angreifern ausgenutzt werden, und gezielten Abwehrstrategien. Indem Sie diese proaktiv beheben, können Sie das Cyberrisiko deutlich reduzieren, die Resilienz stärken und sich wesentlich besser vor aktuellen und neuen Bedrohungen schützen.

4.1. Typische begünstigende Faktoren

Typische begünstigende Faktoren sind grundlegende Fehler, die Angreifer immer wieder ausnutzen können. Unternehmen, die diese Probleme proaktiv beheben, reduzieren sowohl die Wahrscheinlichkeit als auch die Auswirkungen von Cyberangriffen.

Nach Analyse Tausender Sicherheitsvorfälle haben wir drei grundlegende Faktoren ermittelt, die Angriffe begünstigen: Komplexität, unzureichende Transparenz und zu großes implizites Vertrauen. Sie erleichtern es Angreifern, in eine Umgebung einzudringen, sich ungehindert auszubreiten und einen größeren Schaden anzurichten. Wenn Sie diese Probleme beheben, verbessern Sie Ihre Abwehrmaßnahmen und stärken die Resilienz.

Für alle mehr anzeigen Für alle weniger anzeigen

1. Komplexe Sicherheitsmaßnahmen machen effektive SecOps- und Incident-Response-Prozesse unmöglich

IT- und Sicherheitsumgebungen sind heutzutage oft ein Flickwerk aus alten Anwendungen, nachträglich hinzugefügten Infrastrukturen und unvollendeten Transformationsinitiativen. Das führt dazu, dass viele Unternehmen mindestens 50 separate Sicherheitstools verwenden. Diese Punktlösungen wurden jeweils für einen bestimmten Zweck angeschafft, aber in der Regel nicht integriert. Das Ergebnis sind Datensilos, die Teams darin hindern, sich einen umfassenden Überblick über ihre Umgebungen zu verschaffen.

Bei 75 % der von uns untersuchten Vorfälle fanden sich kritische Hinweise auf die Infiltration der Angreifer in den Protokolldateien. Doch in den komplexen, fragmentierten Systemen ließen sich diese Informationen nicht so einfach abrufen oder effektiv nutzen, sodass Angreifer die Lücken unbemerkt ausnutzen konnten.

Hinzu kommt, dass für eine effektive Bedrohungserkennung und -abwehr mehrere Datenquellen benötigt werden. Bei etwa 85 % der Fälle mussten Daten aus mehreren Quellen zueinander in Beziehung gesetzt werden, um ein vollständiges Bild von den Ausmaßen des Angriffs zu erhalten. Bei fast der Hälfte (46 %) mussten Daten aus vier oder mehr Quellen abgeglichen werden. Wenn diese Systeme nicht miteinander kommunizieren können – oder die Telemetriedaten unvollständig sind –, werden wichtige Hinweise oft erst gefunden, wenn es zu spät ist.

Ein Beispiel:
Bei einem Ransomwareangriff erfasste ein EDR-System die laterale Ausbreitung der Angreifer und Netzwerkprotokolldateien enthielten Hinweise auf die Infiltration der Umgebung. Letztere blieben jedoch unbemerkt, weil niemand diese Dateien überwachte. Infolgedessen konnten die Angreifer Daten ausschleusen und Ransomware installieren, bevor ihre Aktivitäten erkannt wurden.

2. Unzureichende Transparenz: Sie können nur schützen, was Sie kennen

Unternehmensweite Transparenz ist eine Grundvoraussetzung für effektive Security Operations, doch in den meisten Unternehmen gibt es Lücken. Vor allem Cloud-Dienste stellen eine Herausforderung dar. Unit 42 hat festgestellt, dass Unternehmen durchschnittlich 300 neue Cloud-Dienste pro Monat einrichten. Ohne einen umfassenden Überblick über die Laufzeitumgebung können SecOps-Teams weder Lücken noch Angriffe entdecken. Über nicht verwaltete und nicht überwachte Assets – wie Endpunkte, Anwendungen oder Schatten-IT – können sich Angreifer ganz einfach Zugang zu Unternehmensumgebungen verschaffen.

Probleme mit Sicherheitstools und dem Sicherheitsmanagement waren in fast 40 % der Fälle ein begünstigender Faktor. Angreifer nutzten diese Lücken aus, um sich Zugang zu Netzwerken zu verschaffen, sich darin auszubreiten und ihre Rechte auszuweiten – und zwar völlig unbemerkt.

Ein Beispiel:
In einem Fall nutzte Muddled Libra ein privilegiertes Benutzerkonto, um die Rechte in der AWS-Umgebung des Kunden auszuweiten und Berechtigungen für die Datenausschleusung zu gewähren. Da dieser Cloud-Dienst nicht in das SOC oder SIEM des Unternehmens integriert war, wurden diese verdächtigen Aktivitäten nicht sofort bemerkt.

3. Größerer Schaden durch zu großes implizites Vertrauen

Zu umfangreiche Zugriffsrechte sind ein gefährliches Sicherheitsrisiko. In den von uns untersuchten Vorfällen nutzten die Angreifer in der Regel Konten mit zu umfangreichen Zugriffsrechten und unzureichende Zugangskontrollen aus, um ihre Angriffe auszuweiten.

Bei 41 % der Fälle begünstigten Fehler im Identitäts- und Zugriffsmanagement, einschließlich Konten und Rollen mit zu umfangreichen Rechten, die Angriffe. Sie begünstigten die laterale Ausbreitung, den Zugriff auf sensible Informationen und Anwendungen und damit letztendlich den Erfolg des Angriffs.

Auch für diese Bedrohung sind Cloud-Umgebungen besonders anfällig: Die Experten von Unit 42 stellten fest, dass bei fast der Hälfte der cloudbasierten Vorfälle mindestens ein Fehler im Identitäts- und Zugriffsmanagement eine begünstigende Rolle spielte.

In vielen Fällen konnten die Angreifer viel mehr Zugriffsrechte erlangen, als das mit den von ihnen ausgenutzten Rollen möglich sein sollte. Nachdem sich die Cyberkriminellen mithilfe von Phishing, gestohlenen Anmeldedaten oder der Ausnutzung von Sicherheitslücken Zugriff verschafft haben, können sie dank des zu großen impliziten Vertrauens schnell ihre Rechte ausweiten, Daten ausschleusen und den Geschäftsbetrieb stören.

Ein Beispiel:
Bei einem IT-Dienstleister verschafften sich Angreifer durch einen Brute-Force-Angriff auf einen VPN ohne Multi-Faktor-Authentifizierung Zugriff und missbrauchten Konten mit zu umfangreichen Zugriffrechten, um sich in der Umgebung auszubreiten und die Rechte auszuweiten. Sie nutzten das zu große implizite Vertrauen aus, um Ransomware auf 700 ESXi-Servern zu installieren und dadurch über 9.000 Systeme und den Geschäftsbetrieb des Unternehmens zu beeinträchtigen.

4.2. Empfehlungen für Verteidiger

Unternehmen, die diese drei Faktoren – Komplexität, unzureichende Transparenz und zu großes implizites Vertrauen – beheben, können das Risiko und die Auswirkungen von Cyberangriffen deutlich reduzieren. So vermeiden sie nicht nur Ausfallzeiten und kostspielige Wiederherstellungen nach einem Vorfall, sondern sichern auch die Geschäftskontinuität und stärken das Vertrauen der Stakeholder. Die folgenden Empfehlungen betreffen Strategien, mit denen sich diese grundlegenden Probleme beheben lassen.

Für alle mehr anzeigen

1. Unterstützung der SecOps-Teams für eine schnellere und zuverlässigere Bedrohungserkennung und ‑abwehr

Das SOC ist Ihre letzte Verteidigungslinie. Wenn Netzwerk-, Identitäts-, Endpunkt- oder Anwendungskontrollen versagen, benötigt das SOC-Team Tools und Funktionen, mit denen es Bedrohungen schnell erkennen und abwehren kann, bevor die Lage eskaliert. Deshalb sollten Sie dieses Team mit Technologie ausstatten, die einen umfassenden Überblick über das gesamte Unternehmen bietet und wichtige Hinweise auch aus großen Datenmengen herausfiltert.

Verarbeitung aller relevanten Sicherheitsdaten : Aggregieren und normalisieren Sie Telemetriedaten aus Cloud-Infrastrukturen, On-Premises-Systemen, Identitätsservices, Endpunkten und Anwendungen, um eine zentrale Informationsquelle zu schaffen. Auf diese Weise erhalten Sie einen umfassenden Überblick und vermindern nicht nur das Risiko von Lücken, sondern reduzieren auch die Komplexität, da nicht mehrere Tools gleichzeitig verwendet werden müssen. Ermitteln Sie die interne und die externe Angriffsfläche und erstellen Sie ein Verzeichnis aller Assets und Verantwortlichen. Integrieren Sie zusätzlich Threat Intelligence, damit Sie unverzüglich auf Risikoindikatoren reagieren können.
Erkennung und Priorisierung von Bedrohungen mithilfe AI-gestützter Funktionen: Nutzen Sie AI und maschinelles Lernen, um riesige Datensätze zu überprüfen, verborgene Bedrohungen aufzudecken und Verhaltensanomalien zu identifizieren. AI-gestützte Verhaltensanalysen helfen bei der Prognose von Angriffen, bevor sie Schaden anrichten können. Das SOC-Team sollte auch die MTTD messen, damit es Verbesserungen objektiv beurteilen kann. Durch regelmäßige Bedrohungssuchen und die Korrelation von Signalen aus mehreren Quellen verbessern Sie Ihre Erfolgschancen bei der sprichwörtlichen Suche nach der Nadel im Heuhaufen.
Echtzeitreaktion auf Bedrohungen dank Automatisierung: Die Automatisierung der Incident-Response-Prozesse ist ein wichtiger Schritt, um Bedrohungen umgehend eindämmen zu können, bevor Angreifer die Rechte ausweiten oder sensible Daten ausschleusen. Das SOC-Team sollte auch die MTTR messen, um kontinuierliche Verbesserungen voranzutreiben. Durch die nahtlose Integration von SOC-Plattformen, IT-Systemen und Unternehmensanwendungen werden Engpässe vermieden, die die Fehlerbehebung verzögern könnten.
Wechsel von einem reaktiven zu einem proaktiven Sicherheitsansatz: Verbessern Sie mithilfe von Red-Team-Übungen, Vorfallssimulationen und regelmäßigen Sicherheitsüberprüfungen die Erkennungslogik und die Incident-Response-Playbooks. Diese konsistente Feedbackschleife hilft dem SOC-Team, seine Prozesse an neue Bedrohungen anzupassen. Durch Fortbildungen kann das Team seine Fertigkeiten ausbauen und Wissenslücken schließen, damit Ihr Unternehmen für die nächste Angriffswelle gerüstet ist.
Unterstützung des Teams durch IR-Experten: Im Rahmen einer Vereinbarung mit einem Expertenteam wie Unit 42 erhalten Sie im Notfall schnell Unterstützung. Ihr Guthaben gilt aber nicht nur für Notfalleinsätze, sondern kann auch für proaktive Services wie Bedrohungssuchen, Planübungen und Purple-Team-Evaluierungen genutzt werden. Auf diese Weise stärken Sie Ihre Abwehrmaßnahmen vor einem potenziellen Angriff.

Wenn Sie die SOC-Aktivitäten besser auf diese Grundprinzipien ausrichten, bleibt Ihr Unternehmen Angreifern stets einen Schritt voraus, kann Vorfälle schnell eindämmen und Abwehrmaßnahmen an neue Risiken anpassen.

2. Schnellerer Umstieg auf Zero Trust

Zero Trust ist ein strategisches Sicherheitsmodell, bei dem implizites Vertrauen durch die kontinuierliche Validierung aller Benutzer, Geräte und Anwendungen – unabhängig von Standort oder Plattform – ersetzt wird. Eine vollständige Durchsetzung ist unter Umständen recht komplex, aber auch mit einem inkrementellen Prozess lassen sich schon Risiken reduzieren, sensible Daten schützen und die Resilienz verbessern. Die folgenden Empfehlungen decken die drei typischen begünstigenden Faktoren ab (Komplexität, unzureichende Transparenz und zu großes implizites Vertrauen), damit Sie bei Ihrem Umstieg auf eine Zero-Trust-Strategie diese Probleme sofort beheben können.

Identifizierung und Verifizierung aller Benutzer, Geräte und Anwendungen: Sorgen Sie für eine konsistente Authentifizierung aller Entitäten – Benutzer und Maschinen –, bevor der Zugriff vor Ort oder über Remoteverbindungen gewährt wird. Mit einem zentralen Identitätsverzeichnis schließen Sie vorhandene Lücken und reduzieren die Komplexität. Verifizierte Entitäten sollten dann kontinuierlich überwacht werden, um unbefugte Zugriffe zu unterbinden.
Strikte Durchsetzung des Least-Privilege-Prinzips : Gewähren Sie Rollen nur die benötigten Zugriffsrechte. Sie können dazu kontextbezogene Regeln einrichten, die Identität, Gerätesicherheit und Vertraulichkeit der Daten berücksichtigen. Damit vermeiden Sie zu großes implizites Vertrauen und beschränken die Ausmaße des Schadens, der über ein manipuliertes Konto angerichtet werden kann. Durch die Netzwerksegmentierung werden kritische Assets zusätzlich isoliert und es wird verhindert, dass Angreifer sich in der Umgebung ausbreiten können.
Umfassende Sicherheitsprüfungen : Analysieren Sie den Netzwerkdatenverkehr – einschließlich verschlüsselter Datenströme –, um aktive Bedrohungen ohne Leistungseinbußen zu erkennen und abzuwehren. Erstellen Sie maßgeschneiderte Kontrollmechanismen für bestimmte Umgebungen (wie Cloud oder IoT), um die Komplexität zu verringern und die Transparenz zu verbessern. Mit diesem integrierten Untersuchungsansatz verbessern Sie die Genauigkeit der Bedrohungserkennung und beschleunigen die Reaktion auf Vorfälle.
Kontrolle von Datenzugriff und -übertragungen : Klassifizieren Sie Daten und legen Sie strikte Zugriffsrichtlinien fest, um sensible Informationen zu schützen. Data-Loss-Prevention(DLP)-Technologien überwachen die Datenströme und blockieren nicht autorisierte Übertragungen, um den Diebstahl geistigen Eigentums, Complianceverstöße und finanzielle Verluste zu verhindern.

Mit der – falls erforderlich schrittweisen – Umsetzung dieser Zero-Trust-Prinzipien beheben Sie nicht nur die Faktoren, die Angriffe begünstigten, sondern schaffen ein nachhaltiges Sicherheitsmodell, das auch die Führungskräfte befürworten werden.

3. Schutz der Anwendungs- und Cloud-Umgebungen von der Entwicklung bis zur Ausführung

Angreifer nehmen verstärkt Cloud-Umgebungen und Softwarelieferketten ins Visier. Daher müssen Sie Sicherheitsmaßnahmen in die DevOps-Prozesse einbetten, sich in Echtzeit einen Überblick über Fehlkonfigurationen und Sicherheitslücken verschaffen können und Ihrem SecOps-Team die kontinuierliche Überprüfung auf cloudbasierte Angriffe und unmittelbare Abwehr ermöglichen. Nur so bleiben Sie Angreifern stets einen Schritt voraus. In den folgenden Empfehlungen erklären wir im Detail, wie Sie Sicherheitsmaßnahmen in jede Phase integrieren, um Probleme in der Produktionsumgebung zu vermeiden und Bedrohungen in Echtzeit abzuwehren.

Behebung von Sicherheitslücken vor der Bereitstellung in der Produktionsumgebung: Integrieren Sie Sicherheitsmaßnahmen bereits früh im Entwicklungszyklus. Härten Sie Entwicklungs- und DevOps-Tools, weiten Sie Governance auch auf Drittanbieter- und Open-Source-Komponenten aus und führen Sie im Rahmen des CI/CD-Prozesses kontinuierlich Scans durch. Mit dieser Shift-Left-Strategie können Sie Sicherheitslücken noch vor der Bereitstellung in der Produktionsumgebung aufdecken.
Behebung neu erfasster Sicherheitslücken: Überwachen Sie die Cloud-Infrastruktur kontinuierlich auf Fehlkonfigurationen, Sicherheitslücken und zu umfangreiche Berechtigungen. Mithilfe von automatisierten Scans und risikobasierten Fehlerbehebungsschritten können Sie sicherstellen, dass neu identifizierte Probleme schnell eingedämmt und behoben werden. Nur so lassen sich Angreifer abwehren, bevor sie sich Zugriff auf eine Umgebung verschaffen können.
Identifizierung und Blockierung von Laufzeitangriffen: Schützen Sie Anwendungen, APIs und Workloads mit Funktionen für die Bedrohungserkennung und -abwehr in Echtzeit. Durch die kontinuierliche Überwachung können Sie schädliche Aktivitäten rechtzeitig erkennen und eindämmen, um eine Störung des Geschäftsbetriebs zu vermeiden und eine Eskalation der Situation zu verhindern.
Automatisierung der Bedrohungserkennung und -abwehr in der Cloud: Richten Sie mit nativen Cloud-Diensten und Sicherheitstools von Drittanbietern automatisierte Incident-Response-Prozesse ein. Durch manuelle Untersuchungen entstehen oft Engpässe. Wenn Sie diese vermeiden, haben Angreifer weniger Zeit, tiefer in die Umgebung einzudringen, Daten auszuschleusen oder die Rechte auszuweiten.

Diese Funktionen können neue Bedrohungen in Cloud-Umgebungen und Softwarelieferketten abwehren und sicherstellen, dass Angriffsversuche auf Ihre Umgebung frühzeitig erkannt und unterbunden werden.

5. Anhang: MITRE ATT&CK^®-Techniken nach Taktik, Untersuchungstyp und anderen Falldaten

5.1. Überblick über beobachtete MITRE ATT&CK-Techniken nach Taktik

In den folgenden Diagrammen (Abbildungen 5–16) sind die MITRE ATT&CK^®-Techniken aufgeführt, die wir in Zusammenhang mit bestimmten Taktiken beobachtet haben. Beachten Sie bitte, dass die angegebenen Prozentsätze für die Häufigkeit der jeweiligen Technik im Vergleich zu den anderen identifizierten Techniken stehen. Der Prozentsatz gibt nicht an, wie oft die Technik in den Fällen erfasst wurde.

Eindringen

Abbildung 5: Relative Häufigkeit der beim Erlangen des ersten Zugriffs beobachteten Techniken

5.2. Daten nach Region und Branche

Unser häufigster Untersuchungstyp im Jahr 2024 waren Netzwerkinfiltrationen (etwa 25 % der Fälle). Das ist eigentlich ein gutes Zeichen, denn wir nutzen diese Klassifizierung nur, wenn es sich bei der Infiltration des Netzwerks um die einzige von uns beobachtete Angreiferaktivität handelt. Wir vermuten auch, dass die Prozentzahl gestiegen ist, weil uns Kunden in einigen Fällen früher angerufen haben und wir daher Angreifer häufiger abwehren konnten, bevor sie weitere Ziele erreicht hatten.

Viele Probleme betreffen alle Verteidiger, aber wir konnten dennoch geringe Unterschiede nach Region und Branche feststellen.

In Nordamerika lagen Angriffe über geschäftliche E-Mail-Adressen nur knapp hinter den Netzwerkinfiltrationen (19 % bzw. 23 % der Fälle). Bei der Berücksichtigung aller Erpressungsarten (mit und ohne Verschlüsselung) lag in EMEA die Erpressung knapp vor den Netzwerkinfiltrationen (31 % bzw. 30 % der Fälle).

Unsere Branchendaten zeigen deutlich, wie gravierend die Erpressungsangriffe sind. In der Hightechbranche waren Erpressungen mit und ohne Verschlüsselung der häufigste Untersuchungstyp (22 %). Das Gleiche gilt für die Fertigungsbranche, die am häufigsten auf den Dark Web-Leakwebsites von Ransomwaregruppen auftaucht (25 %).

Angriffe über geschäftliche E-Mail-Adressen stellen nach wie vor eine große Bedrohung dar, insbesondere für Finanzdienstleister (25 % der Fälle), Professional Services und Rechtsberatung (23 %) sowie den Groß- und Einzelhandel (21 %).

Neben einer großen Anzahl von Fällen, bei denen die Cloud-Dienste von Unternehmen involviert oder betroffen waren, konnten wir auch einen neuen Trend beobachten, bei dem Angreifer vorrangig auf die Cloud-Steuerungsebenen oder -Datenebenen abzielen. Diese belaufen sich auf 4 % aller Fälle. In Branchen wie Hightech und Professional Services/Rechtsberatung sind es etwas mehr (9 % der Fälle für beide Branchen). Angriffe, die speziell auf Cloud-Umgebungen ausgerichtet sind, können einen erheblichen Schaden anrichten. Über die Cloud-Steuerungsebene können sich Angreifer beispielsweise Zugriff auf die gesamte Cloud-Infrastruktur des betroffenen Unternehmens verschaffen. Angesichts der Art und des Umfangs der Daten, die üblicherweise in der Cloud gespeichert werden, droht bei Angriffen auf die Datenebene unter Umständen der Diebstahl großer Mengen an sensiblen Daten.

Mehr anzeigen Weniger anzeigen

Untersuchungstyp nach Region

Nordamerika

Abbildung 17: Untersuchungstyp nach Region – Nordamerika

Untersuchungstyp nach Branche

In den Abbildungen 19 bis 24 sind die häufigsten Untersuchungstypen für die sechs Branchen aufgelistet, die in unseren Incident-Response-Daten am meisten vorkommen.

Hightech

Abbildung 19: Untersuchungstyp nach Branche – Hightech

6. Daten und Methodik

Die Daten für diesen Bericht stammen aus mehr als 500 Fällen, bei denen Unit 42 zwischen Oktober 2023 und Dezember 2024 im Einsatz war, sowie aus anderen Fällen, die bis in das Jahr 2021 zurückreichen.

Unser Kundenstamm reicht von kleinen Unternehmen mit weniger als 50 Mitarbeitern bis zu Fortune 500- und Global 2000-Unternehmen und Behörden mit mehr als 100.000 Beschäftigten.

Die Hauptsitze der betroffenen Unternehmen befinden sich in 38 unterschiedlichen Ländern. Etwa 80 % dieser Unternehmen sind in den USA ansässig. Fälle zu Unternehmen in Europa, dem Nahen Osten und dem asiatisch-pazifischen Raum machen die übrigen 20 % aus. Angriffe beschränken sich meist nicht allein auf den Hauptsitz, sondern haben einen wesentlich größeren Wirkungsradius.

Wir kombinieren diese Falldaten mit Erkenntnissen aus unserer Bedrohungsforschung, die auf Produkttelemetriedaten sowie Beobachtungen von Leakwebsites im Dark Web und anderen Open-Source-Daten basiert.

Unsere Incident-Response-Experten haben zudem ihre Beobachtungen zu wichtigen Trends beigesteuert, die aus ihren Einsätzen bei Kunden stammen.

Verschiedene Faktoren können unsere Daten beeinflussen, zum Beispiel die Tatsache, dass wir häufiger mit großen Unternehmen mit einem höheren Sicherheitsniveau zusammenarbeiten. Außerdem haben wir Fälle hervorgehoben, an denen sich unserer Meinung nach neue Trends erkennen lassen, und uns dazu bei manchen Themen auf kleinere Segmente des Datensatzes konzentriert.

Bei einigen Themen haben wir unsere Daten gefiltert, um Faktoren zu entfernen, die die Ergebnisse verfälschen könnten. Wir haben zum Beispiel Incident-Response-Services angeboten, um unseren Kunden bei der Ermittlung der potenziellen Auswirkungen der Sicherheitslücke CVE-2024-3400 zu helfen. Das hatte allerdings zur Folge, dass diese Sicherheitslücke in unseren Daten überrepräsentiert war. Daher haben wir an einigen Stellen die Daten korrigiert, um diese Überrepräsentation auszugleichen.

Unser Ziel war es, den Lesern relevante Einblicke in die aktuelle und zukünftige Bedrohungslandschaft zu geben, damit sie ihre Abwehrmaßnahmen verbessern können.

Beitragende:

Aditi Adya,, Consultant

Jim Barber, Senior Consultant

Richard Emerson, Manager, Intel Response Unit

Evan Gordenker, Consulting Senior Manager

Michael J. Graven, Director, Global Consulting Operations

Eva Mehlert, Senior Executive und Internal Communications Manager, Unit 42

Lysa Myers, Senior Technical Editor

Erica Naone, Senior Manager, External Engagement, Unit 42

Dan O'Day, Consulting Director

Prashil Pattni, Senior Threat Researcher

Laury Rodriguez, Consultant

Sam Rubin, SVP, Consulting and Threat Intelligence, Unit 42

Doel Santos, Principal Threat Researcher

Mike Savitz, Senior Consulting Director

Michael Sikorski, CTO & VP of Engineering, Unit 42

Samantha Stallings, Senior Production Editor

Jamie Williams, Principal Threat Intelligence Researcher

Incident-Response-Bericht 2025

Kurzfassung

1. Einleitung

SAM RUBIN

Sie möchten Cyberbedrohungen effektiv abwehren?

Mit den Updates zu unserem IR-Bericht sind Sie immer auf dem neuesten Stand.

So sind sie stets informiert und besser geschützt.

2. Neue Bedrohungen und Trends

Welle 1: Verschlüsselung

Welle 2: Datenausschleusung als zusätzliches Druckmittel

Welle 3: Gezielte Störung des Geschäftsbetriebs

Gegenmaßnahmen: Größere Resilienz bei zunehmenden Betriebsstörungen

Trend 2: Gravierende Folgen von Angriffen auf Softwarelieferketten und Cloud-Umgebungen

Trend 3: Hohe Geschwindigkeit: Immer schnellere Angriffe lassen Verteidigern kaum Zeit für Abwehrmaßnahmen

Gegenmaßnahmen: Schutz vor schnelleren Angriffen

Trend 4: Zunahme von Insiderbedrohungen: verstärktes Engagement von Hackergruppen aus Nordkorea

Zeitarbeiter

Neue Taktiken

Bedrohungen durch IT-Mitarbeiter mit gefälschten Identitäten

Gegenmaßnahmen: Schutz vor Insiderbedrohungen

Trend 5: Neue AI-gestützte Angriffe

Unterstützung von Angriffen mit GenAI

Höhere Geschwindigkeit dank AI

Gegenmaßnahmen: Schutz vor AI-gestützten Angriffen

3. Strategien erfolgreicher Angreifer: gängige, effektive Taktiken, Techniken und Prozesse

Cyberkriminelle greifen Unternehmen häufig an mehreren Stellen an

Browser sind ein wichtiger Angriffsvektor

3.1. Infiltration: mehr Social-Engineering-Kampagnen, sowohl für breitgefächerte als auch für gezielte Angriffe

Gegenmaßnahmen: Schutz vor Social-Engineering-Angriffen

3.2. Aus Falldaten von Unit 42 gewonnene Einblicke in Angriffstechniken

Alle Zugriffe sind wichtig

Erfolgreiche Angriffstaktiken müssen nicht neu oder raffiniert sein

Manche Angreifer sind nach der Infiltration sehr geduldig und unauffällig

Gegenmaßnahmen: Schutz vor gängigen, effektiven TTP

4. Empfehlungen für Verteidiger

4.1. Typische begünstigende Faktoren

1. Komplexe Sicherheitsmaßnahmen machen effektive SecOps- und Incident-Response-Prozesse unmöglich

2. Unzureichende Transparenz: Sie können nur schützen, was Sie kennen

3. Größerer Schaden durch zu großes implizites Vertrauen

4.2. Empfehlungen für Verteidiger

5. Anhang: MITRE ATT&CK®-Techniken nach Taktik, Untersuchungstyp und anderen Falldaten

5.1. Überblick über beobachtete MITRE ATT&CK-Techniken nach Taktik

5.2. Daten nach Region und Branche

Untersuchungstyp nach Region

Untersuchungstyp nach Branche

6. Daten und Methodik

Beitragende:

Trend 4: Zunahme von Insiderbedrohungen:
verstärktes Engagement von Hackergruppen aus Nordkorea

5. Anhang: MITRE ATT&CK^®-Techniken nach Taktik, Untersuchungstyp und anderen Falldaten