Was tut sich in Sachen Cyber-Security 2025, womit müssen Unternehmen jetzt rechnen? Wir stellen drei aktuelle Entwicklungen vor – und wie sich Unternehmen schützen können.
Wenn der Cyber-Kriminelle den Zugang zum Rechner erst nach Zahlung eines Lösegelds freigibt… Doch 2025 könnte nicht einmal das reichen – alle Daten werden einfach gelöscht. Foto: picture alliance / PantherMedia
Das Katz-und-Maus-Spiel der Cyber-Kriminellen geht in die nächste Runde: Kaum haben Cyber-Security-Spezialisten ein Einfallstor geschlossen, finden die Angreifer – inzwischen überwiegend professionelle Kriminelle oder staatlich geförderte Angreifer – neue Möglichkeiten. Allein in Deutschland entstehen der Wirtschaft so jährlich mehr als 200 Milliarden Euro Schaden. Dabei geht es nicht mehr nur allein um finanziellen Profit. Auch Spionage und Hacktivismus sind wichtige Motive für die Angreifer.
Auf welche Angriffstaktiken müssen sich deutsche Unternehmen heute und in nächster Zukunft einstellen? Diese Entwicklungen sollten Sie kennen, um sich und Ihr Unternehmen zu schützen.
Die Täuschung, bei der sich Angreifer als Vorgesetzter („Fake President“), Lieferant oder Kunde ausgeben, ist seit Jahren bekannt. „Die Entwicklung im Cyber Crime ähnelt mehr einer Evolution als einer Revolution. Im Kern geht es immer noch um die Ausnutzung des Schwachpunkts Mensch und nicht allein um das Austricksen der Cyber-Sicherheitstechnik selbst. Die Täuschungstechniken dazu werden immer effizienter und können auf hohem Niveau einfacher skaliert werden“, sagt Heiko Ruppel, Cyber-Crime-Spezialist bei der Deutschen Bank. Daher sollten Mitarbeiter immer wieder sensibilisiert werden. Denn die Tricks der Angreifer im Bereich „Social Engineering“ – also der Manipulation von Menschen, damit sie vertrauliche Informationen preisgeben – werden immer raffinierter.
Beim „Multi-Channel Pretexting“ nutzen die Angreifer mehrere Kommunikationskanäle gleichzeitig oder nacheinander. Wer von seinem Chef oder Lieferanten nicht nur eine unerwartete E-Mail, sondern anschließend auch noch einen Anruf erhält, wird seltener mit einem Betrugsversuch rechnen. Die Angreifer sammeln dafür im ersten Schritt detaillierte Informationen aus allen öffentlichen Quellen, unter anderem aus Social Media, über ihr Ziel.
„Die Täuschungstechniken werden immer effizienter und können auf hohem Niveau einfacher skaliert werden.“
Heiko Ruppel, Deutsche Bank
Auf Basis dieser Informationen entwickeln die Angreifer eine überzeugende Geschichte. Ist ein Unternehmen beispielsweise wegen Zahlungsschwierigkeiten in der Öffentlichkeit, werden mögliche Gegenmaßnahmen vorgetäuscht. Auch bevorstehende Events wie eine Fabrikeröffnung oder ein Firmenjubiläum können Aufhänger einer überzeugenden „Story“ sein. Dabei werden mögliche Nachfragen und Einwände bereits antizipiert. Zugleich erschaffen sie vertrauenswürdig erscheinende Charaktere wie Führungs- oder Autoritätspersonen mit vollständigen Lebensläufen. Das kann bis hin zu gefälschten LinkedIn-Profilen und Webseiten gehen. Manchmal erfolgen Testläufe mit weniger wichtigen Personen, um das Vorgehen für den Angriff auf die entscheidende Zielperson zu optimieren.
In einem zweiten Schritt kommen technische Tools zum Einsatz. Per „Spoofing“ werden IP-Adressen maskiert, glaubwürdige Websites und E-Mail-Adressen eingerichtet oder auch die Rufnummernanzeige gefälscht. Dank KI-Tools ist es inzwischen möglich, realistische Stimm-Clones zu erstellen oder bewegte Video-Avatare. „2025 werden KI-Fälschungen sehr viel häufiger eingesetzt werden als bislang“, warnt Ruppel. Eine weitere wichtige Komponente sind perfekte Fälschungen originaler Informationen.
In den Einzelelementen ist das nicht neu. Neu ist jedoch, wie leicht sich sehr realistische Fälschungen von Identitäten etc. erstellen lassen. So ist es auch deutlich einfacher geworden, über mehrere Kanäle gleichzeitig anzugreifen. Dabei werden die Anfragen mit der Zeit eskaliert: Mit jedem Kontakt wird ein Informations-Puzzleteil hinzugefügt. Für den eigentlichen Angriff wird häufig ein Stress-Szenario mit akutem Handlungsdruck aufgebaut. Dank Automatisierung und KI ist der Aufwand für das Multi-Channel Pretexting deutlich gesunken.
Gegenmaßnahmen sind nicht einfach. Selbst der internationale Konzern Uber wurde Opfer eines Multi-Channel-Angriffs. Die Kriminellen lösten dafür wiederholt Push-Nachrichten einer Authentifizierungs-App aus und gaben sich per WhatsApp als Mitglieder der Uber-IT-Abteilung aus. Auf diesem Weg erhielten die Unbefugten letztlich Zugang zum Intranet mit sensiblen Inhalten und richteten beträchtlichen Schaden an. Manchmal reicht es bereits, wenn nur ein Mitarbeiter darauf reinfällt und einen „Anmeldeversuch“ bestätigt, damit die Angreifer Zugang zum VPN erhalten.
Spannende Informationen und relevante Themen aus der Wirtschaft und Finanzwelt in kompakter Form für Ihren unternehmerischen Alltag und für Ihre strategischen Entscheidungen.
Wir machen Wirtschaftsthemen zu einem Erlebnis.
Cyber-Kriminelle erstellen unter dem Deckmantel zwielichtiger PR-Agenturen oder auch Einzelpersonen eine Vielzahl von Social-Media- und sonstigen Konten, die sie dann Dritten für Desinformationskampagnen anbieten. Koordiniert werden gezielte Falschinformationen über Parteien, internationale Institutionen etc. verbreitet. Die Auftraggeber haben dafür häufig politische Motive. Doch es gibt auch wirtschaftlich motivierte Angriffe gegen die Reputation einzelner Unternehmen: Durch „Corporate Disinformation“ sollen sich Stakeholder von einem Unternehmen abwenden, der Aktienkurs einbrechen oder eine Ausschreibung zugunsten eines anderen Bewerbers entschieden werden. Politische Kampagnen können bereits für 400.000 US-Dollar gebucht werden, einen gefälschten „Influencer“-Account gibt es teils schon für etwa 2.600 US-Dollar.
Der Ablauf ist oft wie folgt: Die DaaS-Anbieter pflegen über eine längere Zeit mehrere „Sockenpuppen“, gefälschte Social-Media-Konten. Diese veröffentlichen nicht allein Falschmeldungen, sondern vermengen diese oft mit wahren Nachrichten. So erscheinen sie als realistische, unabhängige Accounts. Um diese Konten herum wird ein Netzwerk weiterer Fake Accounts oder automatisierter Bots aufgebaut, die dann den Sockenpuppen-Meldungen mit Likes, Teilen und Kommentaren zu Sichtbarkeit verhelfen sollen. Idealerweise steigen daraufhin echte Nutzer ein und sorgen mit ihren Interaktionen für weitere Sichtbarkeit – manchmal auch auf medialen Kanälen außerhalb der Social-Media-Plattform.
Selbst sehr unrealistische, leicht zu „enttarnende“ Fake News können dauerhaft Schaden anrichten, da die Leser mit der Zeit das grundsätzliche Vertrauen auch in seriöse Nachrichten und „Fakten“ verlieren. Der Reputationsverlust eines Unternehmens kann so lange über die konkrete Kampagne hinweg wirken. Darum sollten Unternehmen schon reagieren, bevor die Desinformation weite Kreise gezogen hat. Mit einem regelmäßigen Monitoring der unterschiedlichen Plattformen können sie frühzeitig schädliche Postings identifizieren und darauf juristisch reagieren.
„Wir sehen schon seit einiger Zeit eine Veränderung in der Struktur der Cyber-Angreifer. Einzelne Akteure benötigen nicht mehr das technische Know-how früherer Hacker, sondern kaufen sich die Daten und Schadsoftware im Dark Web ein oder erstellen sie zukünftig über spezialisierte KI-Modelle“, sagt Heiko Ruppel. Schon seit den 1980er-Jahren wird Schadsoftware eingesetzt. Doch zuletzt ist der Einsatz massiv gestiegen, von 2022 auf 2023 allein um 70 Prozent. Bislang wurde die Schadsoftware zur Erpressung eingesetzt, daher auch der Begriff Ransomware. Dabei wird Betroffenen der Zugang zu ihren Daten oder Systemen blockiert. Erst gegen Zahlung eines Lösegelds werden die Daten wieder dechiffriert und sind zugänglich.
Doch das Maß der Erpressung hat zugenommen. Bei der „doppelten Erpressung“ wird nicht nur alles verschlüsselt, sondern auch mit der Veröffentlichung oder dem Weiterverkauf der Daten gedroht. Bei der dreifachen Erpressung wird außerdem noch gedroht, dass die gekaperten Daten gezielt gegen wichtige Kunden des Unternehmens eingesetzt werden. Damit ist beispielsweise eine direkte Erpressung oder ein Lahmlegen der Kunden-IT gemeint.
Eine weitere Eskalationsstufe ist das gezielte Löschen von Daten. Statt Erpressung soll maximales Chaos verursacht, das Unternehmen in Existenznot gebracht werden. Manchmal dient der Löschangriff auch der Ablenkung von anderen, parallelen Angriffen. Anbieter von IT-Sicherheitslösungen rechnen mit einem Anstieg dieser „Wiper“-Schadsoftware. Für die betroffenen Unternehmen gibt es keine Möglichkeit (obwohl dies manchmal vorgetäuscht wird), mit einem Lösegeld wieder Zugriff auf die eigenen Daten zu erhalten. Ohne regelmäßige Daten-Back-ups droht wirtschaftlicher Totalschaden.
Heiko Ruppel von der Deutschen Bank erwartet für die Zukunft eine Intensivierung unterschiedlichster Cyber-Angriffe. Er rät daher eindringlich, die Sensibilität für das Thema im gesamten Unternehmen beizubehalten. Sein Rat: alle relevanten Mitarbeiter regelmäßig an konkreten Beispielen zu schulen und die eingesetzten Sicherheitsmaßnahmen einem ständigen Verbesserungsprozess zu unterziehen.
12/2024
Chefredaktion: Bastian Frien und Boris Karkowski (verantwortlich im Sinne des Presserechts). Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers (Deutsche Bank AG) wieder.
