Cyber-Bedrohungen erklärt: So schützen Sie Ihr Unternehmen

Eine effektive Cybersicherheitspraxis gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Netzwerke eines Unternehmens, indem sie der Minderung von Cybersicherheitsrisiken Vorrang einräumt. Durch das Erkennen verschiedener Bedrohungstypen und die Implementierung von Strategien, um zu verhindern, dass sie zu Sicherheitsverletzungen werden, kann ein Unternehmen seine sensiblen Informationen, seinen Ruf und seine Gewinne schützen. Es steht viel auf dem Spiel – es wird geschätzt, dass die Kosten der Cyberkriminalität jährlich weiter steigen und bis 2029 bis zu 15,63 Billionen US-Dollar erreichen könnten.¹

Unternehmen müssen darauf vorbereitet sein, sich immer raffinierteren Cybersicherheitsbedrohungen zu stellen, die Schwächen und Schwachstellen auf einer wachsenden Angriffsfläche ausnutzen. Hier sind einige gängige Arten von Cybersicherheitbedrohungen:

Malware oder „bösartige Software“ ist eine weit gefasste Bedrohungskategorie, die darauf abzielt, Systeme zu beschädigen oder zu stören, vertrauliche Informationen zu stehlen oder unbefugten Zugriff auf Netzwerke zu ermöglichen.

• Viren gehören zu den ältesten Arten von Malware. Sie führen bösartigen Code aus, der sich von Computer zu Computer verbreitet. Viren können den Betrieb von Systemen stören und Datenverluste verursachen.

• Würmer replizieren sich selbst und verbreiten sich über Netzwerkprotokolle ohne menschliches Eingreifen auf andere Geräte. Malware-Würmer entziehen sich der Erkennung, indem sie Techniken wie Polymorphismus, Verhaltensnachahmung und Verschlüsselung verwenden. Einige Würmer nutzen auch Machine Learning, um Intrusion-Detection-Systeme vorherzusagen und ihnen entgegenzuwirken. 

• Trojanische Pferde verstecken sich in legitimer Software oder sind als nützliche Dateien, Anhänge oder Anwendungen getarnt. Insbesondere nutzen Angreifer zunehmend kompromittierte Websites und gefälschte Links, eine Art von Social Engineering, um Trojaner-Nutzdaten zu übermitteln. Sobald ein Trojaner heruntergeladen ist, übernimmt er die Kontrolle über das Gerät, System oder Netzwerk des Opfers. Laut dem Elastic Global Threat Report 2024 machen Trojaner 82 % aller beobachteten Malware-Typen aus. Um noch tiefer zu gehen: Banking- und „Stealer“-Trojaner dominieren derzeit diese Bedrohungskategorie. Sie sind darauf ausgelegt, sensible Daten wie Logins oder Finanzinformationen abzugreifen, und sie entwickeln sich ständig weiter, um der Erkennung zu entgehen.

• Cryptomining ist auch als Cryptojacking bekannt. Cryptomining-Malware kapert die Computerressourcen eines Opfers, um Kryptowährungen abzubauen. Diese Malware ermöglicht es Bedrohungsakteuren, über einen langen Zeitraum heimlich Geld zu generieren. 

• Ransomware ist eine fortschrittliche Malware, die darauf abzielt, die Daten eines Opfers als Geisel zu halten oder die Nutzung eines Systems zu verhindern, bis ein Lösegeld gezahlt wird, um es zu entsperren. In der Regel verschlüsseln die Bedrohungsakteure bestimmte Dateitypen und zwingen die Opfer dann, für einen Entschlüsselungsschlüssel zu zahlen. Laut Chainalysis zahlten die Opfer im Jahr 2024 etwa 813,55 Millionen Dollar an Ransomware-Angreifer.² Die neuesten Ransomware-Operationen sind schnell und anpassungsfähig, zielen auf Lieferketten ab, nutzen ungepatchte Systeme aus und setzen KI ein, um Angriffe zu automatisieren und die Umgehung zu verbessern. 

• Dateilose Malware ist aufgrund ihrer Natur sehr schwer zu erkennen – sie erstellt keine Dateien auf der Festplatte. Stattdessen befindet sich dateilose Malware im Arbeitsspeicher. Bei dieser Art von Angriff werden vorhandene, legitime Programme ausgenutzt, um bösartige Aktivitäten auszuführen, wobei häufig die Abwehr von Nutzern und Endpoints umgangen wird. Durch die Manipulation nativer, legitimer Tools richtet dateilose Malware den gleichen Schaden an wie herkömmliche Malware – sie kann Daten stehlen, Lösegeld erpressen und Kryptowährungen schürfen.

• Malware-as-a-Service (MaaS) stellt heute eine der größten Bedrohungen für Unternehmen dar. MaaS ist kein Schadsoftwaretyp, sondern ein Geschäftsmodell, das es Bedrohungsakteuren ermöglicht, einfach an einsatzbereite, effektive, flexible und schwer zu erkennende Malware zu gelangen. MaaS (und Ransomware-as-a-Service, oder RaaS) ermöglicht es Cyberkriminellen ohne technisches Fachwissen, fortschrittlichste Malware wie Stealer-Trojanerzu kaufen und einzusetzen und Support und Software-Updates zu erhalten.

Phishing bezeichnet Angriffe, die versuchen, sich Zugang zu sensiblen Informationen wie Bankdaten, Anmeldedaten oder anderen privaten Daten zu verschaffen, die für unlautere Zwecke verwendet werden können. Phishing-Angreifer nutzen E-Mails, Textnachrichten, Telefonanrufe oder soziale Medien, um Benutzer dazu zu verleiten, Informationen über legitim aussehende Korrespondenz preiszugeben. 

Phishing ist eine Form des Social Engineering (auch als Human Hacking bekannt), bei der eine Person manipuliert wird, um Handlungen vorzunehmen, die ihre persönlichen Daten preisgeben oder die Sicherheit der Organisation gefährden. 

Normalerweise beinhaltet Phishing das Senden betrügerischer E-Mails, Nachrichten und anderer Mitteilungen an so viele Nutzer wie möglich, aber es kann auch gezielt werden. Zum Beispiel „Spear-Phishing“ personalisiert Nachrichten, um auf ein bestimmtes Opfer abzuzielen, während „Whaling“ auf hochrangige Personen wie Führungskräfte abzielt. 

Eine weitere Variante des Phishing-Angriffs heißt Business Email Compromise (BEC). Bei einem BEC-Angriff gibt sich ein Bedrohungsakteur als Führungskraft, Verkäufer oder vertrauenswürdiger Kollege aus, um Opfer dazu zu bringen, Geld zu senden oder sensible Daten weiterzugeben. BEC kostete die US-Wirtschaft 2023 laut FBI über 2,9 Milliarden US-Dollar.³ 

Genau wie Malware entwickeln sich auch Phishing-Bedrohungen weiter. Heute können Cyberkriminelle generative KI nutzen, um hochgradig personalisierte und überzeugende Phishing-Kampagnen zu entwickeln. Mit KI erstellte Angriffe können Dokumente erzeugen, die legitime Kommunikation genau nachahmen, was es den Opfern erschwert, betrügerische Inhalte zu erkennen, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht.

Aufgrund ihrer Leichtigkeit beginnen viele Cyberangriffe mit einer Phishing-E-Mail, was sie bei Cyberkriminellen unglaublich beliebt macht. Nach Angaben der Anti-Phishing Working Group gab es zwischen Juli und September 2024 fast 933.000 Phishing-Angriffe – gegenüber 877.536 zwischen April und Juni 2024.⁴ Und jeder kann Opfer werden: In 8 von 10 Unternehmen wurde mindestens eine Person Opfer eines Phishing-Versuchs durch CISA-Assessment-Teams.⁵ 

Ein DoS-Angriff macht eine Website oder Netzwerkressource durch Überlastung mit einer großen Menge an Datenverkehr unzugänglich. Ein verteilten Denial-of-Service-Angriff (DDoS) umfasst eingehenden Datenverkehr von mehreren Quellen auf die Server des Opfers.  

Durch die Überlastung der Server mit Datenverkehr verursachen Bedrohungsakteure Dienstunterbrechungen für legitime Nutzer sowie Systemabstürze. 

Ein DDoS-Angriff wird als schwerwiegender als ein DoS-Angriff angesehen und führt in der Regel zum Absturz des Systems oder Netzwerks des Opfers. Er ist auch schwieriger einzudämmen, da er Tausende von mit Malware infizierten Maschinen umfassen kann, die wiederholt angreifen, manchmal stundenlang.

Bedrohungsakteure führen DDoS-Angriffe aus verschiedenen Gründen durch, einschließlich politischer oder ideologischer Gründe, als Protest oder um einen Konkurrenten zu stören. DDoS-Angriffe beinhalten oft Erpressung, wobei ein Cyberkrimineller die Server zum Absturz bringt, Malware installiert und das Opfer zur Zahlung eines Lösegelds zwingt, um den Schaden rückgängig zu machen. 

Ähnlich wie Malware und Phishing entwickeln sich DDoS-Angriffe im Laufe der Zeit weiter. Die neuesten Angriffe nutzen beispielsweise eine Schwachstelle im HTTP/2-Protokoll aus, die es Angreifern ermöglicht, hyper-volumetrische DDoS-Angriffe zu erzeugen. Ihre Anzahl wächst ebenfalls ständig.

Fortgeschrittene anhaltende Bedrohungen (Advanced Persistent Threats) sind koordinierte, anhaltende und heimliche Cyberangriffe, die oft von einem Nationalstaat oder von kriminellen Gruppen unter staatlicher Schirmherrschaft durchgeführt werden. Sie zielen darauf ab, sensible Daten von einer bestimmten Organisation oder Einzelperson zu stehlen.

Traditionell spiegeln APTs häufig globale und regionale geopolitische Konflikte wider, und viele stehen in Verbindung mit staatlichen Sponsoren wie Russland, Iran, Nordkorea und China. Die von ihnen gesponserten Cyberkriminellen sind erfahren und gut finanziert und verwenden die neuesten fortschrittlichen Werkzeuge. Sie zielen in der Regel auf Regierungen, kritische Infrastrukturen, Finanzinstitute und die Verteidigungsindustrie ab.

APTs ähneln Malware insofern, als dass die Bedrohungsakteure zunächst Schwachstellen ausnutzen, um Zugriff auf das System des Opfers zu erhalten. Anschließend installieren sie eine Hintertür, um den Zugriff langfristig zu pflegen, und verwenden maßgeschneiderte Malware, um Erkennungsmaßnahmen zu umgehen. Nach und nach bewegen sich Bedrohungsakteure durch das Netzwerk, um weitere Daten zu stehlen oder das gesamte System zu stören. Diese können monate- oder jahrelang unentdeckt bleiben.

Neue Bedrohungen – neue Taktiken, Techniken und Verfahren (TTPs), die Cyberkriminelle einsetzen, um Sicherheitssysteme auszunutzen, zu stören oder zu verletzen – entwickeln sich ständig weiter. Mit ihrer Weiterentwicklung werden sie immer schwieriger zu erkennen und einzudämmen. Bedrohungsakteure nutzen häufig dieselben technologischen Fortschritte wie Cybersicherheitsverteidiger, beispielsweise Machine Learning, generative KI und IoT-Geräte. Hier sind einige der heute neu auftretenden Cyberbedrohungen:

Zu den IoT-Geräten gehören Haushaltsgeräte, Sicherheitskameras, industrielle Sensoren, Drucker und andere Geräte, die mit dem Internet verbunden sind. Diese Geräte verfügen oft nicht über angemessene Sicherheitsvorkehrungen und sind leicht zu missbrauchen. Zu den häufigen Schwachstellen gehören Firmware-Exploits, On-Path- und Hardware-Angriffe sowie schwache Anmeldeinformationen. 

Einer der bekannteren IoT-Angriffe besteht darin, ungesicherte IoT-Geräte zu verwenden, um bei einem DDoS-Angriff Netzwerkverkehr zu generieren. Jedes IoT-Gerät hat seine eigene IP-Adresse, was es schwieriger macht, solche Angriffe zu blockieren.

Ähnlich wie das IoT nutzt Cloud Computing Netzwerke und Dienste, um Daten online zu verwalten und sie von überall mit einer Internetverbindung zugänglich zu machen. Diese Bequemlichkeit für die Nutzer macht es auch zu einem attraktiven Ziel für Cyberkriminelle.

Viele Cloud-Sicherheitsbedrohungen resultieren aus Problemen bei der Identitäts- und Zugangsverwaltung. Insider-Bedrohungen werden beispielsweise durch den Fernzugriff auf die Cloud verschärft. Ob absichtlich oder versehentlich, Insider (Auftragnehmer, Geschäftspartner oder Mitarbeiter) können das Unternehmen Sicherheitsrisiken aussetzen. Durch den Fernzugriff können Insider ihre Zugriffsrechte von überall aus missbrauchen, was die Erkennung und Verhinderung solcher Bedrohungen erheblich erschwert. 

Die Skalierbarkeit und Flexibilität der Cloud ermöglichen es Unternehmen, ihre Geschäftstätigkeit auszubauen und sich an veränderte Marktbedingungen anzupassen, vergrößern aber auch die potenzielle Angriffsfläche.

Die gleiche fortschrittliche Technologie, die die Workflows von Sicherheitsteams verbessert, verbessert auch die Effizienz von Cyberkriminellen. KI verbessert die bestehenden TTPs und macht Malware, Social Engineering und Phishing-Angriffe effizienter, effektiver und schwieriger zu entdecken. Insgesamt wird erwartet, dass KI in naher Zukunft sowohl das Volumen als auch die Auswirkungen von Angriffen erhöhen wird.

Ein Beispiel für den Missbrauch von KI ist die Erstellung und Verwendung von Deepfakes, die eine nahezu identische Identität vorgeben, um Opfer zu täuschen. Darüber hinaus beginnen Bedrohungsakteure, große Sprachmodelle (LLMs) zu verwenden, um Code für Malware zu generieren und überzeugendere, personalisierte Phishing-E-Mails zu schreiben. Sie können auch ein LLM oder einen KI-Agenten anweisen, sensible Daten zu finden und zu exfiltrieren oder eine andere bösartige Aktion durchzuführen.

Einzelpersonen – ob Endnutzer, Sicherheitsanalysten oder Systemadministratoren – sind die erste Verteidigungslinie gegen Cyberbedrohungen. Auf Unternehmensebene bedeutet die Verringerung der Anfälligkeit für Cybersicherheitsbedrohungen, dass ein robuster Plan für das Management von Cybersicherheitsrisiken vorhanden ist und die Cybersicherheit proaktiv aktualisiert, getestet und verbessert wird.

Hier sind die wichtigsten Strategien zur Minderung von Cyberbedrohungen:

Eine Schlüsselstrategie zur Verhinderung von Cybersicherheitsbedrohungen, bevor sie zu einem Problem werden, besteht darin, proaktiv vorzugehen, anstatt reaktiv auf Vorfälle zu reagieren, die auftreten. Organisationen sollten Bedrohungen proaktiv finden und erkennen, um Risiken zu mindern.

Mithilfe von Threat Hunting untersuchen Sicherheitsteams proaktiv Anomalien, untersuchen diese und stellen sicher, dass keine böswilligen Aktivitäten vorliegen, die zu einem groß angelegten Sicherheitsverstoß führen könnten. Threat Hunting ist besonders hilfreich zur Abwehr von APTs, da sich diese oft über Monate hinweg unbemerkt in einer Netzwerkumgebung einnisten und vertrauliche Informationen sammeln können.

Erfahren Sie mehr über Threat Hunting.

Cybersicherheit Grundlagen wie Firewalls, VPNs, Multifaktor-Authentifizierung, automatische Software-Updates und Netzwerkzugriffskontrolle können Unternehmen sehr hilfreich sein. Zusätzlich zu diesen Best Practices sollten Unternehmen eine Kultur des Sicherheitsbewusstseins fördern, Mitarbeiter darin schulen, wie sie Cyberbedrohungen erkennen und vermeiden können, und Maßnahmen zum Schutz der Vermögenswerte und Daten des Unternehmens ergreifen.

Unternehmen sollten auch einen automatischen Bedrohungsschutz nutzen, um gängige Cybersicherheitsbedrohungen wie Malware oder Ransomware in Echtzeit zu identifizieren und zu blockieren, bevor es zu Schäden kommen kann.

Erfahren Sie mehr über den automatischen Schutz vor Bedrohungen.

Kein Sicherheitssystem ist vollständig ohne ein Incident-Response- und Wiederherstellungsprogramm. 

Wenn ein Cyberangriff stattfindet, ist es wichtig, dass ein Unternehmen diesen untersucht und so schnell wie möglich reagiert. Eine schnelle Reaktion ist unerlässlich, damit die Auswirkungen eines Angriffs minimiert werden. 

Erfahren Sie mehr über Cyber-Ermittlungen und Reaktionen.

Elastic Security bietet uneingeschränkte Transparenz bei Bedrohungen, verkürzt die Untersuchungszeiten und schützt Ihr Unternehmen vor der sich ständig weiterentwickelnden Bedrohungslandschaft. Mit Elastic Security, unterstützt durch die Search AI Platform, erhalten Sicherheitsteams Einblick in ihre Angriffsfläche, decken versteckte Bedrohungen auf und stoppen Angriffe in beispiellosem Ausmaß.

Bleiben Sie Cyberbedrohungen mit Elastic Security einen Schritt voraus.