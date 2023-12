Der Security Navigator 2024 zeigt die höchste jemals verzeichnete Zahl von Cyber-Erpressungsopfern mit einem Anstieg von 46% weltweit im Jahr 2023

– 129.395 erkannte Vorfälle stellen einen Anstieg um 30 % gegenüber dem Vorjahr dar, wobei 25.076 bestätigte Sicherheitsvorfälle (19 %) zu verzeichnen sind.

– 37 % der verzeichneten Vorfälle gehen auf interne Akteure zurück, sei es vorsätzlich oder versehentlich.

– Die VERIS-Kategorie „Hacking“ steht weiterhin an erster Stelle und macht fast ein Drittel der bestätigten Vorfälle aus (30 %).

– Große Unternehmen (40 %) sind am stärksten von Cyber-Erpressung betroffen, gefolgt von kleinen Organisationen (25 %) und mittleren Unternehmen (23 %).

– Neueste Forschungsergebnisse zeigen eine zunehmende Angleichung von physischen und virtuellen Kriegsschauplätzen.

– Die Analyse von 2,5 Millionen Schwachstellen zeigt, dass die meisten (79 %) bezüglich ihrer Gefährlichkeit als mittel oder hoch eingestuft werden, wobei fast jede zehnte (9 %) kritisch ist.

Security Navigator 2024 – Sicherheitsvorfälle nehmen zu, obwohl die Securityteams härter arbeiten als je zuvor

Orange Cyberdefense, der auf Cybersecurity spezialisierte Geschäftsbereich von Orange, stellt seinen jährlichen Security Research Report, den Security Navigator 2024, vor. Der Report, der Daten aus einer Vielzahl von Quellen* sammelt, vergleicht und analysiert, zeichnet ein komplexes Bild der Welt der Cybersicherheit. Da das Umfeld immer instabiler und weniger vorhersehbar wird, ist es umso wichtiger, dass Unternehmen ihr Risiko reduzieren, indem sie die Bedrohungslandschaft verstehen und wissen, wie sie dieser entgegentreten können.

Der Security Navigator 2024 zeigt, dass unsere Threat Detection Teams 2023 30 % mehr Ereignisse verarbeitet haben, insgesamt 129.395. Davon waren 25.076 (19 %) bestätigte Sicherheitsvorfälle. Innerhalb dieser wiederum war die Bedrohungskategorie „Hacking“ mit fast einem Drittel der bestätigten Vorfälle (30 %) nach wie vor am stärksten vertreten, gefolgt von „Misuse“ (17 %) und „Malware“ 13 %) auf den Plätzen zwei und drei.

Während die Anzahl der Vorfälle zugenommen hat, ist die Zahl der bestätigten Vorfälle im Vergleich zum Vorjahr um 14 % zurückgegangen. Die Fertigungsbranche (32 %) hat den weitaus größten Anteil an bestätigten Vorfällen und folgt damit dem Muster der vergangenen Jahre. Der Einzelhandel (22 %) und die freiberuflichen, wissenschaftlichen und technologischen Dienstleistungen (10 %) vervollständigen die ersten drei Plätze. So sind sie für mehr als zwei Drittel der bestätigten Vorfälle verantwortlich, die wir unseren Kunden gemeldet haben.

Neben kriminellen Beweggründen sind immer mehr Bedrohungsakteure politisch oder ideologisch motiviert, wobei die Ziele von Spionage, Sabotage, Desinformation und Erpressung zunehmend miteinander verwoben werden. Thema des Berichts ist auch die weltweite Zunahme von Opfern von Cyber-Erpressung (Ransomware) sowie der immense Anstieg von Hacktivismus im Zusammenhang mit dem Krieg gegen die Ukraine. Die aktuellen geopolitischen Ereignisse haben auch einige Cyber-Erpressungsakteure weiter politisiert.

Zahl an Cyber-Erpressungsopfern erzielt 2023 Höchstwert

Die Bedrohungslandschaft im Bereich der Cyber-Erpressung entwickelt sich weiterhin schnell: In den letzten 12 Monaten stieg die Zahl der Cyber-Erpressungsopfer weltweit auf einen Höchstwert von 46 %. Die meisten Angriffe zielten auf große Unternehmen (40 %) mit mehr als 10.000 Mitarbeitern ab. Bei diesen nimmt die Zahl der Angriffe stetig zu. Verschärft wurde der Trend durch einen einzigen Bedrohungsakteur: Cl0p. Im Jahr 2023 nutzte die Gruppe zwei große Sicherheitslücken aus. Kleine Organisationen machen ein Viertel (25 %) aller Opfer aus, dicht gefolgt von mittleren Unternehmen mit einem Anteil von 23 %.

Die meisten Opfer kommen nach wie vor aus großen, englischsprachigen Volkswirtschaften, wobei mehr als die Hälfte (53 %) ihren Hauptsitz in den Vereinigten Staaten hat, gefolgt vom Vereinigten Königreich (6 %) und Kanada (5 %). Es zeichnet sich jedoch eine geografische Verschiebung ab, die sich in einem starken Anstieg der Zahlen in Indien (+97 %), Ozeanien (+73 %) und Afrika (+70 %) im Jahresvergleich zeigt.

Eine interessante Erkenntnis ist, dass 25 Cyber-Erpressergruppen aus dem Jahr 2022 verschwunden waren, aus dem Vorjahr noch 23 aktiv waren und 31 neu Gruppen verzeichnet werden konnten. Von den 23 bestehenden hat über die Hälfte (54 %) eine Bestandsdauer von bis zu sechs Monaten, 21 % von sieben bis zwölf Monaten und nur 10 % aller Gruppen erreichten 13 bis 18 Monate. Dies verdeutlicht die Herausforderungen, vor denen diejenigen stehen, die versuchen, Cyber-Erpressung zu vereiteln.

Zunehmende Angleichung von physischen und virtuellen Kriegsschauplätzen: Hacktivismus als mächtiges, politisches Instrument

In den letzten zwei Jahren haben die Aktivitäten im Bereich Hacktivismus zur Unterstützung politischer oder sozialer Anliegen deutlich zugenommen. Angriffe von Hacktivistengruppen, die in den Ukraine-Krieg verwickelt sind und entweder für Russland oder die Ukraine Partei ergreifen, erreichten ein Rekordniveau. Die Ukraine, Polen und Schweden sind dabei am stärksten von den von uns beobachteten pro-russischen Hacktivisten betroffen. Dieser Trend zur Gründung neuer Gruppen wird durch andere geopolitische Ereignisse noch verstärkt, zuletzt durch den Beginn des Krieges im Nahen Osten.

85 % aller Hacktivisten-Angriffe im Jahr 2023 betrafen Europa, gefolgt von Nordamerika (7 %) und dem Nahen Osten (3 %). Die meisten der übermäßig angegriffenen Länder liegen dabei geografisch relativ nah am Krieg gegen die Ukraine.

Unsere Forschung zeigt eine kontinuierliche Entwicklung hin zu „kognitiven“ Angriffen. Es geht dabei weniger um den Störeffekt des Angriffs oder den Wert der betroffenen Daten oder Systeme (z. B. gestohlene, durchgesickerte oder zerstörte Daten), sondern um die Auswirkungen, die diese Angriffe auf die gesellschaftliche Wahrnehmung haben werden. Wir erleben nicht nur Cyber-Ereignisse, die sich auf die physische Welt auswirken, sondern auch physische Ereignisse, die eine direkte Cyber-Reaktion der Bedrohungsakteure hervorrufen. Dies wiederum führt zu einer Eskalation eben dieser geopolitischen Spannungen.

Bei den meisten Hacktivisten-Angriffen, die wir beobachten, handelt es sich um DDoS-Angriffe (Distributed-Denial-of-Service). Einige Hacktivistengruppen haben starke DDoS-Fähigkeiten entwickelt, während andere ihre Fähigkeiten und Auswirkungen lautstark darstellen und eine Sprache und Darstellung verwenden, die in keinem Verhältnis zu ihren tatsächlichen Aktionen (und Auswirkungen) steht.

Hacking bleibt mit fast einem Drittel an Vorfällen auf Platz 1 der Cyber-Angriffe, die wir innerhalb unserer CyberSOCs entdecken

Auf der Grundlage des VERIS1-Frameworks bleibt die Bedrohungskategorie „Hacking“ die am häufigsten erkannte Art von Sicherheitsvorfällen. Mit 30 % macht sie fast ein Drittel der bestätigten Vorfälle aus, was einen deutlichen Anstieg gegenüber dem letzten Jahr (25 %) zeigt. „Malware“ war in der Vergangenheit eine der beiden am häufigsten erkannten Arten von „True Positive“-Vorfällen. 2023 rutschte es mit 13 % auf Platz 3 ab. „Misuse“ bleibt mit 17 % die zweithäufigste Bedrohungsform. Vorfälle, die als „Error“ (7 %) eingestuft werden und „Social“ (7 %) vervollständigen die Top Five.

Die Daten zeigen, dass 37 % der entdeckten Vorfälle in Unternehmen von internen Akteuren ausgingen, wobei die Mehrheit von externen Akteuren (44 %) ausging. Dabei war das Gerät des Endnutzers das am stärksten betroffene Objekt (28 %), gefolgt vom Server (27 %).

Effizienz erfahrener, etablierter Kunden kann viermal höher sein als die von Neukunden

Die CyberSOC-Teams haben festgestellt, dass es eine starke Korrelation zwischen der Erkennungseffizienz eines Kundenkontos und dem Grad des Feedbacks gibt, das wir vom Kunden erhalten. Wir haben in diesem Jahr festgestellt, dass die Effizienz reifer, etablierter Kunden viermal höher sein kann als die von Neukunden, die gerade erst ihre Zusammenarbeit mit uns starten. Wir sind der Ansicht, dass sich diese Kundenreife stark in der Häufigkeit widerspiegelt, mit der wir Feedback zu Vorfällen erhalten.

Die „Quantität“ der Vorfälle, die wir unseren Kunden melden, hat im Laufe der Jahre proportional abgenommen, während die „Qualität“ gestiegen ist. Dies zeigt sich bei den „unbekannten Ereignissen“: Kunden, die weniger als 10 Monate mit uns arbeiten, haben diese Kategorie bei 15 % der Fälle. Kunden, die zwischen 41 und 50 Monaten mit uns arbeiten, nur noch in 4 % der Fälle. Wir sind überzeugt, dass dies auf eine Optimierung der Erkennung, eine gründlichere Analyse und andere Serviceverbesserungen zurückzuführen ist. Darüber hinaus verbessern unsere Kunden mit zunehmender Erfahrung ihre Fähigkeit, auf die von uns gemeldeten Ereignisse zu reagieren, und verfeinern den Prozess der Rückmeldung an uns. Bei ausreichendem Feedback sind wir in der Lage, in einem sich wiederholenden Zyklus intelligente Optimierungen vorzunehmen und so die Effizienz der Detection zu verbessern.

Vertrauensvolle Partnerschaft zur Definition und Umsetzung von Cybersicherheitsstrategien

„Der diesjährige Report unterstreicht das unvorhersehbare Umfeld, mit dem wir heute konfrontiert sind. Wir sehen, dass unsere Teams härter arbeiten als je zuvor, da die Zahl der erfassten Vorfälle weiter zunimmt (+30 % gegenüber dem Vorjahr). Während die Zahl der großen Unternehmen, die von Cyber-Erpressung betroffen sind, stark zunimmt (40 %), machen kleine und mittlere Unternehmen zusammen fast die Hälfte aller Opfer aus (48 %)“, so Hugues Foulon, CEO von Orange Cyberdefense.

„Gemeinsam mit unseren Kunden verfolgen wir eine konsequente Politik der Sensibilisierung und Unterstützung für unsere zunehmend vernetzte Welt. Wir passen uns an neue Technologien an und bereiten uns auf neue Bedrohungsakteure vor, indem wir Angriffe antizipieren, erkennen und eindämmen, sobald sie auftreten“, so Foulon.

Der vollständige Bericht mit detaillierten Ergebnissen und Einblicken in den Cybersicherheitssektor kann hier heruntergeladen werden: https://www4.orangecyberdefense.com/l/865272/2023-11-24/btl8wr.

* Anhang: Wichtige Datensätze

Der Security Navigator basiert auf der Sichtbarkeit und Analyse der aktuellen Cybersicherheitslandschaft durch mehr als 3.000 Experten, 18 SOCs und 14 CyberSOCs weltweit durch Orange Cyberdefense. Er berücksichtigt Länder wie Frankreich, Belgien, die Niederlande, Dänemark, Deutschland, Norwegen, Schweden, das Vereinigte Königreich und Südafrika, wobei die Daten zwischen Oktober 2022 und September 2023 untersucht werden. Verwendet werden eigene Datenquellen (CyberSOC, Vulnerability Operations Center, Penetrationstests, World Watch Intelligence Data, Cyber Extortion Data Leak Sites, Telegram Chat Logs) und externe Daten von Drittanbietern. Weitere Details siehe unten:

CyberSOC Analyse

Ein breiter Datensatz wird von allen operativen Teams innerhalb von Orange Cyberdefense gesammelt, darunter 14 CyberSOCs, die für die Unterstützung von Kunden auf der ganzen Welt verantwortlich sind. Dazu gehören die Daten der Managed Threat Detection Services vom 1. Oktober 2022 bis zum 30. September 2023 unter Verwendung des VERIS-Frameworks für die Klassifizierung von Vorfällen.

Cyber-Erpressung

Seit 2020 haben wir 8.948 Opfer von Cyber-Erpressung erfasst, die öffentlich auf einer „Leak-Site“ im Dark Web aufgelistet wurden. Dies ist nur ein Teilaspekt des gesamten Problems der Cyber-Erpressung, da wir die Opfer berücksichtigen, die auf den speziellen Leak-Sites aufgedeckt wurden. Das bedeutet aber auch, dass sie bereits das Ende der Cyber-Erpressungs-Angriffskette erreicht haben und die Bedrohungsakteure festgestellt haben, dass es einen gewissen Wert hat, die vermeintliche Kompromittierung öffentlich zu machen. Wir sind uns bewusst, dass es eine hohe Dunkelziffer von Opfern gibt, von denen wir nichts wissen.

Penetration-Tester

Der diesjährige Penetrationstest-Datensatz enthält Berichte von zwei Teams, die 296 anonymisierte Penetrationstest-Berichte für den Zeitraum von Oktober 2022 bis September 2023 geprüft haben. Bewertungen sind in der Regel auf spezifische Kundenanforderungen und -umfänge innerhalb der Grenzen bestimmter Projekttypen ausgerichtet, wie z. B. interne, externe, Webanwendungen, Sicherheit mobiler Anwendungen, Red Teaming, API-Bewertung, Konfigurationsüberprüfung und mehr. Diese können in ihrer Komplexität und Zeiteinteilung variieren und können mehrere Ethical Hacker zur Durchführung erfordern. In den meisten Fällen bestimmt der Kunde den Umfang und das Ausmaß der erforderlichen Tests.

Vulnerability Scanning

Das Orange Cyberdefense Vulnerability Operations Center bietet Zugang zu Experten, die Kunden zu erreichbaren Ergebnissen verhelfen können. Grundlagen hierfür sind relevante aktuelle Bedrohungen und deren Vergleich mit der Gefährdung und den potenziellen Risiken, denen die Umgebung des Kunden ausgesetzt ist. Der Datensatz ist repräsentativ für eine Teilmenge der Kunden, die unsere Vulnerability-Scanning-Services in Anspruch nehmen. Zu den gescannten Assets gehören sowohl solche, die über das Internet erreichbar sind, als auch solche, die sich in internen Netzwerken befinden. Die Daten enthalten Ergebnisse für Netzwerkgeräte, Desktops, Webserver, Datenbankserver und sogar den einen oder anderen Dokumentendrucker oder Scanner.

World Watch Intelligence Analyse

Unser World Watch Service hat im Zeitraum Oktober 2022 bis September 2023 491 Hinweise veröffentlicht, im Durchschnitt über 40 Hinweise pro Monat – eine Kombination aus neuen und aktualisierten Informationen zu bereits behandelten Themen. World Watch befasst sich auf hohem Niveau mit Schwachstellen und Bedrohungen.

Gemeldete Cyberangriffe auf Betriebstechnik

Wir haben 35 Jahre OT-Cyberangriffe analysiert und einen weiteren Kontext hinzugefügt, indem wir untersucht haben, wie sie im Vergleich zu den vorgeschlagenen Typen und Kategorien abschneiden. Dies führt uns zu einigen Erkenntnissen, die Fragen über die Zukunft von OT-Cyberangriffen aufwerfen und darüber, ob wir mittel- bis langfristig eine Veränderung der Typen oder Kategorie erleben werden. Abschließend zeigen wir anhand eines Beispiels, wie sich OT-Cyberangriffe unserer Meinung nach in Zukunft entwickeln könnten.

