Das deutsche Bundeskriminalamt (BKA) hat am 13. Mai 2023 das sogenannte Bundeslagebild Cybercrime für das Jahr 2023 veröffentlicht. In diesem Artikel fassen wir für Sie die wichtigsten Erkenntnisse zusammen.

• Während die sogenannten Inlandstaten (Handlungs- und Schadensort ist jeweils Deutschland) auf hohem Niveau (134.407 Fälle) stagnieren, nahmen die Auslandstaten (Akteure aus dem Ausland verursachen Schäden in Deutschland) um 28 % gegenüber dem Vorjahr zu.
• Für Aussagen zum gesamtwirtschaftlichen Schaden greift das BKA auf die Erhebung vom Branchenverband Bitkom e.V. zurück und beziffert ihn mit 148 Milliarden Euro.
• Vermehrte Angriffe auf Bildungseinrichtungen, das Finanzwesen, das Gesundheitswesen, IT-Dienstleister, öffentliche Verwaltungen und Behörden sowie Produktionsumgebungen
• Die Eintrittsvektoren sind E-Mails, Downloads und kompromittierte Zugangsdaten
• KI spielt auch bei Cyberangriffen eine immer wichtigere Rolle: Texte in Phishing-Mails sind stärker personalisiert und weisen kaum noch sprachliche oder formale Fehler auf
• Die Aufklärungsquote ist bei Cybercrime leicht gestiegen, liegt aber nur bei unter 33 %. Bei Auslandstaten liegt die Aufklärungsquote im niedrigen einstelligen Bereich
• Cybercrime hatte 2023 hauptsächlich finanzielle Interessen. Daneben standen öffentlichkeitswirksame Organisationen und leicht verwundbare Ziele wie KMU im Fokus
• Cybercrime ist ein etabliertes Geschäftsmodell der Undergroud Economy. Cybercrime-as-a-Service und Initial Access Broker sind u. a. Dienstleistungen dieses Wirtschaftszweiges.
• DDoS-Angriffe, Phishing- und Malware-Attacken waren die wichtigsten Werkzeuge, die 2023 für erfolgreiche Cybercrime-Angriffe genutzt wurden.

Immer professionellere Angriffsmethoden

Die Zunahmen von DDoS Kampagnen und Ransomware-Attacken mit Auswirkungen auf Lieferketten und auf kritische Infrastrukturen (KRITIS) waren im letzten Jahr auffällig. Die Methoden werden immer professioneller und die Akteure sind immer häufiger auch aus dem institutionellen Umfeld.

Malware

Gerade Malware-Angriffe wurden auch 2023 immer professioneller und sind dementsprechend komplex in der Aufdeckung und Abwehr. Dropper sind kleine, unauffällige Schadsoftware-Programme zur Erstinfektion. Diese installieren Malware, nisten sie erfolgreich in die IT ein und löschen die Hülle danach häufig wieder. Sie gehören zur Gruppe der Trojaner. Loader dagegen versuchen zunächst, die Cyberabwehr durch minimale, in sich harmlose Fragmente zu überwinden und dann weitere Malware-Fragmente nachzuladen und in der Infrastruktur des potenziellen Opfers zusammenzusetzen. Loader können Daten auch sammeln und exfiltrieren und sind somit im Vorfeld komplexer Ransomware-Attacken im Einsatz. Die eingesetzten Technologien sind komplex und jede für sich unauffällig. Technische Maßnahmen, wie die Schwarmintelligenz durch den kombinierten Einsatz mehrerer Antiviren-Engines, zusammengefasst in einem Anti-Malware-Multiscanner in Kombination mit Datei-Desinfektion, können Organisationen auch vor komplexen Attacken mit Erkennungsraten > 99 % schützen.

Ransomware

Das Bundeslagebild Cybercrime geht von über 800 Ransomware-Angriffen in 2023 aus. Diese Angriffe werden entsprechend professionell vorbereitet und haben sowohl einen finanziellen als auch einen öffentlichkeitswirksamen Hintergrund. Die Angreifer verbünden sich immer mehr international und dementsprechend positiv ist es zu sehen, dass auch die Sicherheitsbehörden wie das BKA grenzüberschreitend zusammenarbeiten. Dadurch konnten in der Vergangenheit Gruppen wie REvil, BlackMatter und DarkSide zumindest vorübergehend außer Gefecht gesetzt werden. Auch Finanzbehörden spielen in diesem Kontext eine immer bedeutendere Rolle. Die Lösegeldzahlungen werden immer häufiger nachverfolgt und wie bei DarkSide in 2021 zurückgefordert.

DDoS-Attacken

In 2023 waren die bevorzugten Ziele öffentliche Einrichtungen wie Verkehrsbetriebe, aber auch Bundes-, Landes- und kommunale Behörden. 22.496 DDoS-Angriffe zählte das BKA in 2023. Das stellt einen Rückgang um ca. 14 % dar. Die Intensität der Angriffe und der dadurch erreichte Schaden haben aber zugenommen.

Phishing und Initial Access Broker

Kompromittierte Zugangsdaten können unbemerkt Schaden verursachen, da es sich um tatsächlich vorkommende Zugangsdaten mit entsprechenden Berechtigungen handelt, die unbemerkt über einen langen Zeitraum zur Vorbereitung verschiedener Angriffsszenarien dienen. Die Daten werden durch Phishing und Social Engineering erbeutet. Sogenannte Initial Access Broker (IAB) vermitteln erbeutete Zugangsdaten meist an mehrere Akteure. Technische Lösungen, wie die Zwei-Faktor Authentifizierung bzw. Mehrfaktor-Authentifizierung sind wirkungsvolle Maßnahmen gegen Indetitätsdiebstahl. Initial Access Broker verbreiten auch Kenntnisse über die Ausnutzung von Zero-Day Schwachstellen. Besonders in der zweiten Jahreshälfte 2023 wurden kritische Vulnerabilitäten als Einfallstor in Unternehmensnetzwerke vermehrt genutzt.

Fazit

Immer noch sind viele Unternehmen und Organisationen zu sorglos, wenn es um die Absicherung ihrer IT geht. Patch-Management, ein, den Risiken angepasster Schutz vor Malware, die Sensibilisierung von Mitarbeitenden in Bezug auf Phishing und den Risiken durch die sorglose Nutzung von teils dubiosen Webseiten sind gegenüber den Anstrengungen der Angreifer noch zu lasch. Weltweite Konflikte führen aber auch vermehrt zu politisch motivierten Angriffen mit dem Ziel, die Gegner zu destabilisieren. Dann stehen kritische Infrastrukturen und Behörden im Fokus. Entsprechende Attacken haben eine hohe Qualität und sind nur schwer erkennbar. Die internationale Zusammenarbeit führt auf Dauer zu einer verbesserten Abwehr und haben als Folge auch Ansätze wie die Zero-Trust-Architektur und Lösungen wie EDR Endpoint Detection & Response und XDR eXtended Detection & Response hervorgebracht, die Anomalien an Endgeräten erkennen und selbstständig neutralisieren.