"Hallo, Ihr Paket wurde am 21.02.2024 an dieser Abgabestation zugestellt. Sehen Sie hier, wo Sie Ihr Paket abholen können." Und dann ein Link am Ende der SMS. Vielleicht wartet man gerade auf ein Packerl, ist einen Moment unachtsam und klickt darauf. Dann kann es schnell gehen. Ist die eigene Online-Identität einmal in den falschen Händen, wird aus einer Unachtsamkeit schnell eine teure Angelegenheit.

Kriminelle nutzen gestohlene Online-Identitäten, um Bestellungen zu machen, auf Social Media zu posten, Konten für Geldwäsche zu eröffnen oder um Geld vom eigenen Konto abzubuchen. Und weil das Konzept funktioniert, nehmen Phishing-SMS zu. Die meisten kennen das aus dem Alltag – viele erkennen diese Betrugsversuche auch als solche, aber mithilfe von künstlicher Intelligenz werden die Attacken immer raffinierter.

So wie die Technik selbst entwickeln sich auch Cyberkriminelle laufend weiter. Warum viel hacken, wenn Zugangsdaten viel einfacher zu bekommen sind, lautet der neue Ansatz.
REUTERS/DADO RUVIC

Weg des geringsten Widerstands

Eine gelungene Phishing-Kampagne ist aber durchaus mit Aufwand verbunden, und Angreifer neigen dazu, den Weg des geringsten Widerstands zu wählen. Deswegen gab es im Vorjahr erstmals eine neue Nummer eins bei den Angriffsmethoden: "Einloggen statt reinhacken" lautet die neue Devise, wie aus dem aktuellen "X Force Threat Intelligence Index", einer jährlichen IBM-Erhebung über Cyberrisiken und -angriffe, hervorgeht. Denn Anmeldedaten zu bekommen sei deutlich einfacher, als digitale Schwachstellen auszunutzen.

"Nach unserer Einschätzung werden Milliarden User-ID- und Passwort-Kombinationen im Darkweb gehandelt", sagt IBM-Cybersecurity-Experte Stephan Preining zum STANDARD. Allein für ChatGPT seien zwischen Juni 2022 und Mai 2023 laut "The Hacker News" mehr als 100.000 Anmeldeinformationen gefunden worden. "Sehr beliebt sind vor allem Anmeldeinformationen zu Cloud-Accounts. Haben Angreifer erst einmal Zugriff bekommen, werden danach weitere Anmeldeinformationen gestohlen", erklärt Preining.

Hausaufgaben nicht gemacht

Cyberkriminelle haben erkannt, dass es für Verteidiger schwer ist zu unterscheiden, ob sich die richtige Person einloggt oder jemand mit gestohlenen Zugangsdaten. Das erhöht die Notwendigkeit, dass Unternehmen ihre Belegschaft richtig schulen und auch infrastrukturseitig die entsprechenden Maßnahmen setzen. "Wir sind bisher davon ausgegangen, dass die meisten Unternehmen ihre Hausaufgaben gemacht haben. Es hat sich jedoch gezeigt, dass in 85 Prozent der Fälle der initiale Zugang zum Unternehmen relativ leicht hätte verhindert werden können", sagt Preining.

Bekannte Schwachstellen beheben, durchgängige Multi-Faktor-Authentifizierung und nur unbedingt erforderliche Zugriffsrechte vergeben – mit diesen grundlegenden Security-Maßnahmen wäre vieles geschafft, doch in der Praxis lasse sich das anscheinend nicht so leicht umsetzen.

Spitzenreiter Europa

Das dürfte einer der Gründe sein, warum Europa im Vorjahr eine unrühmliche Spitzenposition eingenommen hat. IBM hat fünf Regionen analysiert (siehe Grafik), und in Europa kam es zu den meisten sicherheitsrelevanten Vorfällen. Ein anderer Grund ist die weitverbreitete Nutzung von Cloud-Plattformen, die eine große Angriffsfläche bieten. Beliebtestes Opfer war wie bereits 2022 die Fertigungsindustrie. Global gesehen nehmen Ransomware-Angriffe zwar ab, in Europa sind sie laut IBM aber immer noch häufig.

In Europa kam es im Vorjahr zu den meisten sicherheitsrelevanten Vorfällen. Fast die Hälfte aller Attacken waren Malware-Angriffe.
IBM Screenshot X-Force Threat Intelligence Index 2024

Ein Blick in eine Nische zeigt, welche milliardenschwere Maschinerie sich aus Ransomware-Angriffen entwickelt hat. Allein die Lösegeldzahlungen ­– allerdings nur jene aus Ransomeware-Attacken und bezahlt in Kryptowährungen – erreichten im Vorjahr den Rekordwert von einer Milliarde Dollar. Verglichen mit 2022 ist das fast eine Verdoppelung, wie eine aktuelle Auswertung des US-Analyseunternehmens Chainalysis zeigt. Und diese Zahlen spiegeln die Realität lange nicht wider. Chainalysis erfasst hier nur Wallet-Adressen, die als illegal identifiziert wurden.

Prominente Opfer

Mit Shimano, dem japanischen Fahrradkomponentenhersteller, und der US-Hotelkette MGM wurden vergangenes Jahr zwei prominente Namen Opfer von Cyberangriffen. Doch es gibt einen Silberstreif am digitalen Horizont. "Wie diese Beispiele zeigen, werden Unternehmen zwar nicht unbedingt besser in der Abwehr von solchen Angriffen, aber vor allem besser darin, den Betrieb aufrechtzuerhalten bzw. wiederherzustellen", sagt Preining. Diese Verbesserungen gebe es vor allem bei den großen Unternehmen, die sich die entsprechenden Maßnahmen leisten können. "Außerdem hat sich gezeigt, dass Bezahlen des Lösegelds keinen finanziellen Vorteil bringt, sondern die Kosten in Summe sogar höher werden."

Die US-Hotelkette MGM musste nach einem Cyberangriff vergangenen Herbst ihre IT-Systeme teilweise herunterfahren, was zu zahlreichen Ausfällen in allen Hotels und Kasinos in den USA führte.
AP/L.E. Baskow

Bei Unternehmen der kritischen Infrastruktur und kleineren Unternehmen sieht es diesbezüglich anders aus, weil Ausfälle nur schwer zu verkraften sind bzw. teilweise die finanziellen Möglichkeiten fehlen, um einen Betrieb wiederherzustellen. Das wissen auch Angreifer. Dementsprechend nimmt die Zahl potenzieller Angriffsziele laufend zu.

In der Vergangenheit bildeten Gesundheitseinrichtungen zumindest in Europa eine rote Linie für Cyberangriffe. Genaue Gründe dafür gab es nie, aber sie fanden kaum statt. Das hat sich mittlerweile geändert. "Fast 74 Prozent der in der EU von uns beobachteten Angriffe richteten sich gegen kritische Infrastrukturen. Und damit ist auch das Gesundheitswesen betroffen. Fast 40 Prozent der weltweiten Angriffe im Gesundheitswesen finden in Europa statt", sagt IBM-Experte Preining. (Andreas Danzer, 21.2.2024)