Aktuelle Bedrohungen 2022
Zusammenfassung
Im Berichtszeitraum hat sich die bereits vorher angespannte Lage im Cyber-Raum weiter verschärft. Die Bedrohung durch Cyberkriminalität erreichte einen bisher unerreichten Höhepunkt. Ransomware blieb die Hauptbedrohung, insbesondere für Unternehmen. Zusätzlich traten Bedrohungen aufgrund des russischen Angriffskriegs gegen die Ukraine auf, einschließlich Hacktivismus und Kollateralschäden bei Cyber-Sabotage-Angriffen. Störungen von IT-Lieferketten wurden sowohl durch Cyberkriminalität als auch durch Cyberaktivitäten im Rahmen des Ukraine-Konflikts verursacht.
Resilienz gegenüber Cyberangriffen und technischen Störungen wurde als zentrale Aufgabe für staatliche, wirtschaftliche und gesellschaftliche Akteure identifiziert.
Russischer Angriffskrieg gegen die Ukraine
In Deutschland wurden im Zusammenhang mit dem russischen Angriffskrieg gegen die Ukraine kleinere Vorfälle und Hacktivismus-Kampagnen beobachtet. Es gab keine übergreifende Angriffskampagne gegen deutsche Ziele, jedoch war die Lage im Cyber-Raum von NATO-Partnern teilweise angespannter.
Erpressungsmethoden im Cyber-Raum
Erpressungsmethoden im Cyber-Raum haben zugenommen. Das "Big Game Hunting", bei dem umsatzstarke Unternehmen erpresst werden, hat stark zugenommen. Lösegeld- und Schweigegeldzahlungen sowie die Anzahl der Opfer, deren Daten auf Leak-Seiten veröffentlicht wurden, stiegen. Erpressungen mit erbeuteten Identitätsdaten sowie Sextortion-Kampagnen wurden beobachtet.
Schwachstellen
Die Anzahl bekannter Schwachstellen stieg im Vergleich zum Vorjahr um 10 Prozent. Besonders kritisch war die Schwachstelle in Log4j, die weit verbreitet war und die Einschätzung der Bedrohung erschwerte.
Advanced Persistent Threats (APT)
Angriffe auf Perimeter-Systeme wie Firewalls oder Router nahmen zu. APT-Gruppen scannen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, um gezielte Angriffe durchzuführen.
Distributed Denial of Service (DDoS)
Die Zahl der DDoS-Angriffe hat zugenommen. Besonders in der Cyber Week und vor Weihnachten wurden mehr Angriffe beobachtet.
Schadprogramme
Schadprogramme werden über E-Mail-Anhänge, Links und Schwachstellen verbreitet. Ransomware ist eine Hauptbedrohung, die den Zugriff auf Daten oder Systeme einschränkt. Trojaner, Bots und andere Schadprogramme wurden beobachtet.
Neue Schadprogramm-Varianten
Die Anzahl neuer Schadprogramm-Varianten hat im Berichtszeitraum stark zugenommen. Die Detektion neuer Varianten gestaltet sich anfangs schwierig.
Ransomware
Ransomware-Angriffe stellen eine große Bedrohung dar. Ransomware verschlüsselt Daten und Systeme und erpresst Lösegeld. Double Extortion, bei dem Daten vor der Verschlüsselung gestohlen werden, wurde häufiger. Ransomware-Angriffe erfolgen hauptsächlich durch Cyberkriminelle.
Beispielhafter Angriffsablauf
Ein Ransomware-Angriff beginnt mit einer maliziösen E-Mail oder dem Ausnutzen von Schwachstellen. Der Angreifer breitet sich im Netzwerk aus und stiehlt Daten. Anschließend wird Ransomware verteilt, und Opfer erhalten eine Erpressernachricht. Lösegeld wird in digitalen Währungen gefordert.
Entwicklung der Bedrohungslage
Die Anzahl der Opfer von Ransomware-Angriffen mit Schweigegeld-Erpressung nimmt zu. Ransomware-as-a-Service (RaaS)-Angebote wurden abgeschaltet, aber neue RaaS-Angebote entstanden. Die Höhe der Lösegeldzahlungen steigt.
Empfehlungen
Es wird empfohlen, klare Backup-Strategien zu etablieren und Backups offline zu sichern. Monitoring des Datentransfers und regelmäßige Updates sind essentiell. Die Anzahl von zugänglichen Systemen sollte minimiert und die interne Segmentierung verbessert werden. Schulung der Mitarbeiter, Notfallmanagement und Vorbereitung auf Angriffe sind wichtig.
Bericht über Cyber-Sicherheit in Deutschland Konkrete Fälle
Katastrophenfall nach Ransomware-Angriff auf Kreisverwaltung
Sachverhalt
Am 5. Juli 2021 wurde eine Landkreisverwaltung in Sachsen-Anhalt Opfer eines Ransomware-Angriffs. Die IT-Systeme aller Standorte der Kreisverwaltung waren betroffen. Dadurch konnten keine Dienste für Bürger erbracht werden. Am 9. Juli 2021 wurde der örtliche Katastrophenfall ausgerufen, der am 2. Februar 2022 aufgehoben wurde, als eine gewisse Funktionsfähigkeit wiederhergestellt war. Die verwendete Ransomware wurde als "Grief" identifiziert. Die Landkreisverwaltung zahlte kein Lösegeld, dennoch veröffentlichten die Angreifer gestohlene Daten auf der Leak-Seite der Ransomware.
Bewertung
Der Ausfall der kommunalen Verwaltungsprozesse hatte erhebliche Auswirkungen auf die Bevölkerung, insbesondere auf Gruppen, die von ausbleibenden Zahlungen betroffen waren. Die Identifizierung der Ransomware und die Entscheidung, kein Lösegeld zu zahlen, zeigen eine proaktive Haltung zur Bewältigung solcher Angriffe.
Reaktion
Das Landeskriminalamt Sachsen-Anhalt und die Staatsanwaltschaft nahmen Ermittlungen auf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützte mit einem mobilen Einsatzteam vor Ort. Sie analysierten die Schadsoftware, koordinierten das Krisenmanagement und berieten beim Wiederaufbau der IT-Infrastruktur.
Ransomware-Angriff auf ein Handelsunternehmen
Sachverhalt
Im November 2021 wurde ein Handelsunternehmen im Bereich Unterhaltungselektronik Opfer eines Ransomware-Angriffs. Die Warenwirtschaftssysteme und teilweise die Kassen in den Geschäften waren betroffen. Der Angriff ereignete sich kurz vor dem umsatzträchtigen "Black Friday" und dem Vorweihnachtsgeschäft. Die Angreifer nutzten die Ransomware "Hive" und forderten anfangs 240 Millionen US-Dollar Lösegeld.
Bewertung
Der Angriff traf das Unternehmen zu einem kritischen Zeitpunkt und verdeutlicht das Phänomen des "Big Game Hunting", bei dem größere Organisationen angegriffen werden, um höhere Lösegeldsummen zu erpressen.
Reaktion
Strafverfolgungs- und Datenschutzbehörden wurden informiert. Das BSI unterstützte mit einem MIRT-Team, forensischen Untersuchungen und dem Austausch von Indicators of Compromise (IoCs).
Ransomware-Angriff auf Medizintechnologie-Unternehmen
Sachverhalt
Im September 2021 wurde ein japanisches Medizintechnologie-Unternehmen Opfer eines Ransomware-Angriffs. Die Standorte in Deutschland und anderen Regionen waren betroffen. Die Ransomware "BlackMatter" wurde genutzt, aber es gibt keine Hinweise auf Datenabfluss.
Bewertung
"BlackMatter" wird als Ransomware-as-a-Service (RaaS) angeboten und kann von verschiedenen Angreifern genutzt werden. Der Vorfall passt in das Muster von Angriffen mit "Double Extortion"-Methode.
Reaktion
Das BSI bewertete "BlackMatter" als ernsthafte Bedrohung. Die RaaS stellte im November 2021 aus unbekannten Gründen den Dienst ein.
Botnetze
Botnetze sind Zusammenschlüsse infizierter Systeme, die von einem Bot-Master über einen zentralen Server gesteuert werden. Diese können vielfältige Schäden verursachen, von persönlichen Datenabgriffen bis hin zu DDoS-Angriffen.
Die Anzahl der beobachteten infizierten Systeme in deutschen Botnetzen stieg im Berichtszeitraum deutlich. Besonders mobile Betriebssysteme und IoT-Geräte waren betroffen.
Maßnahmen
Das BSI beobachtete Botnetze durch Sinkholing und unterstützte bei der Abwehr von Botnetz-Angriffen.
Emotet-Botnetz wieder aktiv
Sachverhalt
Nach einem erfolgreichen koordinierten Takedown im Januar 2021, an dem verschiedene internationale Strafverfolgungsbehörden, darunter das Bundeskriminalamt (BKA), beteiligt waren, wurde das gefürchtete Emotet-Botnetz offline genommen. Emotet zeichnete sich durch seine beispiellose Fähigkeit aus, sich massenhaft zu verbreiten und war berüchtigt für seine Verwendung hochentwickelter Angriffstechniken, die zuvor eher gezielten APT-Angriffen vorbehalten waren. Die Abschaltung führte zu einem signifikanten Rückgang der Aktivitäten.
Entwicklung nach dem Takedown
Seit Mitte November 2021 wurden jedoch besorgniserregende Anzeichen für eine Wiederbelebung des Emotet-Botnetzes beobachtet. Trotz der erfolgreichen Entfernung aus dem Netz durch den Takedown begannen die Angreifer erneut, Spam-Mails zu versenden, um die Schadsoftware zu verbreiten. Die dabei genutzte Infrastruktur ist neu und unterscheidet sich von der vorherigen.
Aktuelle Verbreitung und Fokus
Bisher hat die erneute Verbreitung von Emotet in Deutschland und Europa noch nicht das Niveau vor dem Takedown erreicht. Die Angreifer scheinen ihr Hauptaugenmerk derzeit auf den asiatischen Raum gerichtet zu haben. Es wird spekuliert, dass andere Malware-Varianten wie Qakbot möglicherweise als Alternative genutzt wurden, um IT-Netze zu infiltrieren.
Dennoch ist die Bedrohung weiterhin präsent, und es besteht die Möglichkeit, dass das Emotet-Botnetz wieder verstärkt in Europa aktiv wird. Einige Spam-Wellen mit Bezug zu Emotet wurden bereits beobachtet, was auf eine mögliche erneute Zunahme von Infektionen und Schäden hindeutet.
Reaktion des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte auf die erneuten Aktivitäten des Emotet-Botnetzes, indem es im November 2021 eine spezifische Cyber-Sicherheitswarnung herausgab. Diese Warnung informierte die IT-Sicherheitsverantwortlichen über die Möglichkeit einer Wiederbelebung des Spam-Versands durch das Emotet-Botnetz. Unternehmen und Organisationen wurden aufgefordert, ihre bestehenden Schutzmaßnahmen zu überprüfen und zu stärken, um sich gegen mögliche Angriffe zu wappnen.
Spam und Phishing
Bedeutung von Spam und Phishing
Spam bezeichnet unerwünschte, oft massenhaft versendete E-Mails, die eine Vielzahl von Inhalten abdecken können, von Werbung bis hin zu bösartigen Angriffen. Im Berichtszeitraum nahmen verschiedene Arten von Spam-Mails einen beträchtlichen Anteil ein. Werbe-Spam machte rund 16 Prozent der Spam-Mails aus, während 36 Prozent auf E-Mail-Erpressung und 33 Prozent auf E-Mail-Betrug entfielen. Unter "sonstigem" Spam befand sich auch gefährlicher Malware-Spam, der darauf abzielte, Schadprogramme auf die Systeme der Empfänger zu bringen.
Bekämpfung von Spam und Phishing
Das BSI informierte die Öffentlichkeit und Unternehmen kontinuierlich über die Gefahren von Spam und Phishing. Es betonte die Wichtigkeit der Sensibilisierung von Mitarbeitern und Anwendern für potenziell schädliche E-Mails. IT-Verantwortliche wurden aufgefordert, regelmäßige Überprüfungen ihrer Schutzmaßnahmen vorzunehmen und bei Bedarf zu verstärken, um sich vor den vielfältigen Gefahren von Spam und Phishing zu schützen.
Social Bots
Bei Social Bots handelt es sich um Computerprogramme, die die Kommunikation in sozialen Netzwerken simulieren und automatisieren können. Diese Bots werden verwendet, um Inhalte zu verbreiten, darunter auch schädliche wie Falschmeldungen und Phishing-Links. Im Jahr 2021 hat das BSI in Zusammenarbeit mit der Westfälischen Wilhelms-Universität Münster eine Analyse zur Erkennung von Social Bots durchgeführt, insbesondere im Kontext der Bundestagswahl. Die Technologie zur zuverlässigen Identifizierung von Social Bots ist jedoch nach wie vor in der Entwicklung und umfasst automatische Erkennungsmechanismen in Kombination mit menschlicher Analyse.
Die Untersuchung zeigte, dass Social Bots zu einem verbreiteten Werkzeug in sozialen Netzwerken geworden sind. Die Identifizierung von konkreten Bot-Accounts gestaltet sich jedoch schwierig. Während des Wahlkampfs wurden verschiedene Interessengruppen identifiziert, die Social Bots einsetzten, um Inhalte zu verbreiten. Ein neuerer Ansatz sind Reply-Multiplier, die subtil auf Beiträge antworten und dadurch schwerer als Bots erkennbar sind. Neue Technologien, wie die Verwendung von Sprachmodellen, ermöglichen es, realistische Tweets zu erzeugen, die von Menschen verfassten Texten ähnlich sind. Dies stellt eine Herausforderung für die zuverlässige Erkennung von Social Bots dar.
Schwachstellen in Software-Produkten
Das Prinzip des Coordinated Vulnerability Disclosure (CVD) beinhaltet die koordinierte Veröffentlichung von Informationen zu Schwachstellen sowie die Bereitstellung von Patches oder Abmilderungsmaßnahmen für betroffene Software-Produkte in einer transparenten und systematischen zeitlichen Abfolge. Das CERT-Bund im BSI unterstützt seit langem Sicherheitsforscher bei der Meldung von Schwachstellen an Hersteller und bei der Koordination des Offenlegungsprozesses.
Um den Prozess der Schwachstellenmeldung zu verbessern, hat das BSI im Berichtszeitraum ein Meldeformular für Schwachstellen online gestellt. Dieses Formular ermöglicht es Sicherheitsforschern, strukturierte Meldungen von Schwachstellen in Software an das BSI zu übermitteln. Die darin enthaltenen Informationen dienen der Nachvollziehbarkeit der Meldungen, der Bewertung der Schwachstellenkritikalität und der Einschätzung der möglichen Auswirkungen auf die IT-Sicherheit der Zielgruppen des BSI.
Im Rahmen des CVD-Prozesses unterstützt das BSI Sicherheitsforscher bei der Kommunikation mit den Herstellern betroffener Produkte sowie bei der koordinierten Offenlegung von Schwachstellen. Das beinhaltet auch die Erstellung von Sicherheitshinweisen (Security Advisories), die Empfehlungen für IT-Sicherheitsverantwortliche in Unternehmen und anderen Organisationen enthalten.
Viele Software-Hersteller haben noch keine etablierten CVD-Prozesse. Das BSI ermutigt sie dazu, IT-Sicherheitskontakte bereitzustellen, an die sich Sicherheitsforscher wenden können. Das BSI fungiert als neutrale koordinierende Stelle, die den CVD-Prozess unterstützt und begleitet.
Im Jahr 2021 hat das BSI insgesamt 139 CVD-Meldungen erhalten. Dieser Anstieg im Vergleich zum Vorjahr könnte hauptsächlich auf die Einführung des neuen Meldeformulars zurückzuführen sein. Das Formular wurde in Zusammenarbeit mit der IT-Sicherheitsforscher-Community entwickelt und erfüllt deren Anforderungen an eine effektive Meldemöglichkeit.
Versorgungsketten-Angriff auf verbreiteten Virtual System Administrator (VSA)
Sachverhalt
Am 2. Juli 2021 wurde ein Versorgungsketten-Angriff über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers bekannt, die auch in Deutschland weitverbreitet ist. VSA wird von Managed Service Providern (MSP) und IT-Systemhäusern eingesetzt, unter anderem für Fernwartung, Monitoring und Management von IT-Systemen ihrer Kunden. Die Angriffe nutzten die Ransomware REvil über die Zero-Day-Schwachstelle CVE-2021-30116 aus, um Schadsoftware auf verwalteten Clients zu verteilen.
Bewertung
Supply-Chain-Angriffe wie dieser zeichnen sich dadurch aus, dass Schadcode bereits in die legitime Software während des Herstellungsprozesses eingefügt wird. Angriffe auf verwaltende Software wie VSA können besonders effektiv sein, da sie oft erweiterte Zugriffsrechte haben und in der Administration eingesetzt werden. MSPs bieten Dienstleistungen für viele Unternehmen, wodurch Angriffe dieser Art schnell eskalieren und weitreichende Ausfälle verursachen können.
Reaktion
Das BSI reagierte am 4. Juli 2021 mit einer Cyber-Sicherheitswarnung, die kontinuierlich aktualisiert wurde. Das BSI überwachte die Situation und unterstützte betroffene deutsche Organisationen mit IT-forensischen Maßnahmen und Erste-Hilfe-Dokumenten.
Log4j: Schwachstelle in quelloffener Bibliothek
Sachverhalt
Anfang Dezember 2021 wurde eine Schwachstelle in der quelloffenen Bibliothek "Log4j" bekannt, die rasch in der IT-Sicherheitscommunity sowie in den Medien diskutiert wurde. Die Log4j-Bibliothek wird in zahlreichen Anwendungen verwendet, um Ereignisse zur späteren Analyse zu protokollieren. Diese Bibliothek kommt insbesondere in Java-Anwendungen häufig zum Einsatz. Die Schwachstelle ermöglichte es, beliebige Schadsoftware auf Systemen mit anfälligen Anwendungen auszuführen.
Bewertung
Die Schwachstelle wurde als äußerst kritisch eingestuft, aufgrund ihrer vergleichsweise einfachen Ausnutzbarkeit in bestimmten exponierten Anwendungen. Insbesondere bei kommerzieller Software fehlte oft eine genaue Auflistung der genutzten Komponenten, wodurch viele IT-Verantwortliche nicht sicher wussten, ob ihre Programme von der Log4j-Schwachstelle betroffen waren. Angesichts der Tatsache, dass Angreifer üblicherweise bekannte Schwachstellen in großem Umfang ausnutzen, um weitere schädliche Aktivitäten zu starten, wurde die Schwachstelle als äußerst kritisch eingestuft.
Reaktion
Aufgrund der erheblichen Gefahr von möglichen weitreichenden Cyber-Angriffen wurde im BSI eine "Besondere Aufbauorganisation (BAO)" im Nationalen IT-Krisenreaktionszentrum aktiviert. Die Auswirkungen der Schwachstelle auf die Cyber-Sicherheit in Deutschland wurden analysiert, ebenso wie die Betroffenheit der Zielgruppen des BSI. Eine Cyber-Sicherheitswarnung der höchsten Stufe Rot wurde veröffentlicht, begleitet von einem Leitfaden für reaktive und präventive Maßnahmen, der an die Öffentlichkeit und die Zielgruppen des BSI verteilt wurde. Das BSI führte aktive Medienarbeit durch, um die IT-Verantwortlichen in Deutschland über das Problem zu informieren und eine schnelle Lösung herbeizuführen.
Versorgungsketten-Angriff auf verbreiteten Virtual System Administrator (VSA)
Sachverhalt
Am 2. Juli 2021 wurde ein Versorgungsketten-Angriff über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers bekannt, die auch in Deutschland weitverbreitet ist. VSA wird von Managed Service Providern (MSP) und IT-Systemhäusern eingesetzt, unter anderem für Fernwartung, Monitoring und Management von IT-Systemen ihrer Kunden. Die Angriffe nutzten die Ransomware REvil über die Zero-Day-Schwachstelle CVE-2021-30116 aus, um Schadsoftware auf verwalteten Clients zu verteilen.
Bewertung
Supply-Chain-Angriffe wie dieser zeichnen sich dadurch aus, dass Schadcode bereits in die legitime Software während des Herstellungsprozesses eingefügt wird. Angriffe auf verwaltende Software wie VSA können besonders effektiv sein, da sie oft erweiterte Zugriffsrechte haben und in der Administration eingesetzt werden. MSPs bieten Dienstleistungen für viele Unternehmen, wodurch Angriffe dieser Art schnell eskalieren und weitreichende Ausfälle verursachen können.
Reaktion
Das BSI reagierte am 4. Juli 2021 mit einer Cyber-Sicherheitswarnung, die kontinuierlich aktualisiert wurde. Das BSI überwachte die Situation und unterstützte betroffene deutsche Organisationen mit IT-forensischen Maßnahmen und Erste-Hilfe-Dokumenten.