Verglichen mit den Befürchtungen, dass in der Folge des Ukrainekrieges eine Welle von Cyberangriffen auch gegen westeuropäische Staaten anrollen würde, ist das vergangene Jahr überraschend glimpflich verlaufen. Keine Frage, erpresserische Hackerangriffe mit Ransomware – Schadprogramme, die die IT-Systeme der Hacking-Opfer verschlüsseln – haben einen neuen Höchstwert erreicht. DDoS-Angriffe, die das Ziel haben, die attackierten Rechnersysteme unter der Last der Zugriffe zusammenbrechen zu lassen, sind längst Alltagsgeschäft in der Cyberabwehr. Aber das ist inzwischen Grundrauschen im cyberkriminellen Alltag.
Wirklich schwerwiegende Onlineattacken mit weltweiten Auswirkungen, die auf militärische oder geheimdienstliche Akteure hindeuteten, blieben 2022 aus. Gerade Russlands bisher so gefürchtete Cyberkrieger erwiesen sich bei Attacken auf die Ukraine als unerwartet wirkungs- und gegenüber dem Westen als überraschend harmlos. Können Politik und Wirtschaft aufatmen? Ist das ein Indiz für grundsätzlich sinkende IT-Bedrohungen?
Leider nicht, wie eine Umfrage unter Cyberexperten belegt. Zum Jahreswechsel beschreiben sie für die WirtschaftsWoche, welches aus ihrer Sicht die gefährlichsten Hackertrends 2023 sein werden.
Hacker setzten künstliche Intelligenz ein
Für Mikko Hypponen wird der Einsatz künstlicher Intelligenz (KI) im neuen Jahr eine der wichtigsten Innovationen im Arsenal der Cyberkriminellen sein. „Die großen Hackergruppen haben mit Erpressungen inzwischen so viel Geld verdient, dass sie nun auch extrem hochbezahlte KI-Experten aus der zivilen Wirtschaft mit noch besseren Löhnen in der Schattenwirtschaft des Netzes ködern können“, ist der Forschungschef des finnischen IT-Sicherheitsdienstleisters Withsecure überzeugt.
Mit diesem Know-how könnten die Kriminellen speziell Ransomware-Attacken automatisieren und Erpressungssoftware so sehr viel schneller und effektiver anpassen, um die Abwehrsysteme der angegriffenen Unternehmen zu umgehen, erklärt der Experte. Eine Folge werde sein, dass Modifikationen von Angriffsprogrammen in viel kürzerer Folge als bisher auftauchten. „Die Abstände werden von einigen Tagen auf wenige Minuten sinken, in denen wir es mit neuen Varianten von Schadcode zu tun bekommen.“ Aussichtslos sei der Kampf aber nicht, denn zumindest bei IT-Sicherheitsdienstleistern sei KI schon heute im Einsatz. Künftig gehe nun darum, „wer die intelligenteren Systeme besitzt.“
Angriffe über Teams, Slack und Zoom
So schnell und nachhaltig wie kaum eine andere Technologie haben Videokonferenzen während der Pandemie den Arbeitsalltag in Unternehmen erobert. Und sie werden auch in Post-Covid-Zeiten kaum mehr an Relevanz verlieren.
Damit würden sie zugleich auch als zusätzliches Einfallstor für Cyberkriminelle attraktiv, betont Thorsten Urbanski, IT-Sicherheitsexperte beim Cybersecurity-Dienstleister ESET. „Neben den klassischen Hackerwerkzeugen wie Zero-Day-Angriffen oder Phishing-E-Mails gehören Attacken über Teams, Slack oder Zoom künftig fest zum Arsenal der Netzkriminellen.“
Wie leicht Hacker derartige Kommunikationsplattformen ausnutzen können, zeigen zahlreiche Beispiele während der Pandemie, als sich Angreifer unbemerkt in schlecht geschützte Onlinekonferenzen einwählen konnten. Zudem erlaubten es per Phishing gestohlene Zugangsdaten Kriminellen, sich sogar Zugang zu korrekt gesicherten Meetings im Firmennetz zu verschaffen und so etwa sensible Interna und Firmeninformationen zu stehlen. „Gerade im zwar oft hoch innovativen, im Digitalen aber tendenziell schlechter geschützten Mittelstand, der sich meist keine großen IT-Abteilungen leisten kann, dürften Attacken über Teams und Co. ein erhebliches Problem werden“, warnt Urbanski.
Behörden geraten immer stärker in den Fokus
Fälle wie die Städte Berlin, Wesel und Witten oder der Landkreis Anhalt-Bitterfeld, die allesamt Ziel von Cyberattacken mit Verschlüsselungsprogrammen wurden, waren im vergangenen Jahr noch Ausnahmen. Das aber wird sich künftig ändern, ist Tommy Grosche überzeugt, der Deutschlandchef des auf Cybersicherheit spezialisierten IT-Anbieters Fortinet. Bisher seien Städte und Behörden meist eher ‚Beifang‘ breit gestreuter, aber ungezielter Attacken gewesen, berichtet der IT-Experte, „künftig aber geraten sie zunehmend in den Fokus digitaler Angreifer“. Sei es, weil kriminelle Hacker das Erlöspotenzial bei der Erpressung öffentlicher Verwaltungen als Geschäftsmodell entdeckten. Sei es, weil politisch motivierte Akteure gesellschaftsrelevante IT-Systeme von Behörden gezielt lahmzulegen versuchten.
Dabei führe vor allem die Vielzahl längst überfälliger Digitalisierungsprojekte in der Verwaltung dazu, dass die Angriffsfläche für Cyberattacken konstant wachse. „In der Vergangenheit ging ausgerechnet mit der vergleichsweise schleppenden Digitalisierung vieler Behörden ein gewisser Grundschutz gegen Attacken einher“, erläutert Grosche. „In dem Maße aber, in dem Ämter und Behörden Bürgern und Unternehmen endlich zunehmend digitale Dienstleistungen anbieten, werden sie für Hackerangriffe auch immer verletzbarer.“ Das sei umso brisanter, weil die Gehälter in öffentlichen Verwaltungen verglichen mit der Privatwirtschaft für viele IT-Fachleute nicht attraktiv seien und es vielen Behörden daher an Cyberexperten mangele.
Schneller schlau: Das Darknet
Es gibt einen Teil des Internets, den die wenigsten Menschen kennen: Das Darknet ist ein Netzwerk, in dem der Standort von Websites genauso wenig bekannt ist wie die Identität der Nutzer. Diese fast perfekte Anonymität nutzen Whistleblower und Dissidenten – ebenso wie Drogendealer und Waffenverkäufer.
Zugang zum Darknet bietet Anonymisierungssoftware wie Tor. Sie schleust die Datenpakete über mehrere Stationen und verschleiert damit Absender und Ziel. Gleichzeitig verschlüsselt sie die Informationen. Bei richtigem Einsatz gibt der Nutzer nichts über sich preis.
Die Software ermöglicht zum einen die anonyme Nutzung klassischer Webportale. Das kann beispielsweise sinnvoll sein, wenn ein Patient über eine Krankheit recherchieren will, ohne bei der Suchmaschine Google oder einem Medizinportal Spuren zu hinterlassen. Zum anderen eröffnet sie den Zugang zu „hidden services“, also versteckten Diensten, die Browser wie Firefox und Chrome nicht anzeigen. Diese abgeschottete Welt gilt als Darknet.
Die Installation von Tor ist anders als früher mit wenigen Klicks durchführbar: Nutzer laden einfach einen Browser mit der Software herunter. Bei der Bedienung gibt es nur wenige Unterschiede, bemerkbar macht sich die Software jedoch bei der Geschwindigkeit. Durch die Verschleierung arbeitet der Computer langsamer.
Das Design des Darknet ist im Vergleich zum kommerziellen Web schlicht. Animierte Menüs und Videos filtert der Tor-Browser aus, auf opulente Grafiken verzichten die meisten Website-Betreiber wegen der geringen Bandbreite. Statt griffiger Adressen kommen kryptische Links zum Einsatz, an denen die Endung .onion hängt. Um Nutzern die Orientierung zu erleichtern, gibt es aber Übersichtsseiten und Suchmaschinen. Grams listet beispielsweise Angebote für Drogen, Waffen oder gestohlene Kreditkartendaten.
Noch mehr Angriffe über die Lieferkette
Cyberangriffe auf IT-Dienstleister wie Solarwinds oder Kaseya, bei denen es Hackern im vergangenen Jahr gelang, viele Unternehmen auf dem Umweg über deren IT-Lieferkette zu attackieren, waren so etwas wie die Blaupause für einen weiteren Trend, der 2023 an Bedeutung gewinnt: sogenannte Supply-Chain-Angriffe. Davor warnt Andreas Rohr, Technologiechef bei der Deutschen Cybersicherheitsorganisation DCSO. „Angreifer werden vermehrt auf Angriffe setzen, bei denen sie auf dem Umweg über Kompromittierung eines IT-Dienstleisters oder Hard- beziehungsweise Softwarezulieferers in IT-Systeme von deren Kunden eindringen können.“
Das Problem für die Cybersicherheitsverantwortlichen der Unternehmen: Die Lieferanten – egal ob für Vorprodukte oder für IT-Komponenten – galten vielen Firmen bisher als grundsätzlich vertrauenswürdig. Eine Haltung, die brandgefährlich wird, wenn es Hackern gelingt, in die IT der Lieferanten einzudringen und von dort Schadprogramme auch bei deren Kunden einzuschleusen. Cybersicherheit müsse daher 2023 essenzieller Bestandteil der Sicherung von Wertschöpfungs- und Lieferketten werden, rät der Experte. Gerade für „hoch vernetzte Unternehmen wird es existenziell, sich dieser Veränderung anzupassen“.
Homeoffice bleibt im Visier
Auch wenn mit dem Abflauen der Pandemie viele Unternehmen darauf setzen, dass ihre Beschäftigten wieder vermehrt in die Büros zurückkehren, lassen sich IT-Systeme in Unternehmen nicht mehr allein mit klassischen Schutzkonzepten sichern. Davon sind die Experten des IT-Sicherheitsdienstleisters Trend Micro überzeugt. „Die Arbeit im Homeoffice wird weiter Teil unseres Arbeitslebens bleiben“, kommentiert Richard Werner, Business Consultant bei Trend Micro. Tatsächlich seien hybride Arbeitsumgebungen nicht nur zur Normalität, sondern auch zur bevorzugten Situation vieler Mitarbeiter geworden.
Weil aber auch drei Jahre nach Ausbruch der Pandemie viele private IT-Komponenten nur schlecht oder gar nicht gegen Angriffe abgesichert seien, stelle das Arbeiten in privaten Umgebungen und der externe Zugriff auf interne IT-Systeme der Firmen anhaltend eine erweiterte Angriffsfläche für Hacker dar. In der Folge dürften Hacker, warnt Experte Werner, „2023 erneut Schwachstellen in unzureichend gesicherten Fernzugriffsprogrammen attackieren, aber auch Homeoffice-Geräte und andere vernetzte Technik in den privaten Netzwerken der daheim arbeitenden Beschäftigten“.
Lesen Sie auch: So verletzbar ist Deutschland durch staatliche Hacker