Die verbreitetsten Angriffsszenarien 2024
Aktuelle Bedrohungen, Cyberattacken und Trends – im jährlichen Microsoft Digital Defense Report 2024 schildert der Softwaregigant seine Sicht auf Themen, die die Welt der Cyber Security umhertreiben. Die zugrundeliegenden Daten entstammen dem letzten Fiskaljahr.
Der anschauliche Bericht behandelt nicht nur den Bereich Microsoft 365 und Azure, sondern auch private Microsoft Dienste wie Office, Xbox und natürlich PCs mit Windows. Aus den gewonnenen Erkenntnissen skizziert Microsoft eine Bedrohungslandkarte, die sich stetig weiterentwickelt: Wo eben noch Lücken geschlossen wurden, nutzen Angreifer schon neue Exploits.
Der Report hilft mittelständischen Unternehmen bei der Bewertung und Entwicklung eigener Initiativen und Mechanismen – manchmal sogar bei der Entdeckung blinder Flecken.
Die aus meiner Sicht wichtigsten Erkenntnisse und Empfehlungen im technischen Bereich habe ich nachfolgend für Sie zusammengefasst.
Identity and Social Engineering
Identitäten sind und bleiben das Lieblingsziel von Cyberkriminellen. Angreifer dringen nicht ein, sie loggen sich ein: 99% aller Identity Attacken sind Passwort-Attacken – viel zu häufig sind Kriminelle erfolgreich, weil z.B. keine Multifaktorauthentifizierung (MFA) aktiviert wurde.
Perfide: Selbst Organisationen, die die MFA aktiviert haben, sind verwundbar. Attacken, die auf Lücken in der MFA-Abfrage zielen, steigen rasant – seien es MFA-Bypass, Adversary in the Middle (AitM) oder Tokendiebstahl.
Häufig ist das Vehikel hierfür Phishing. Auch dieses entwickelt sich weiter. Neu ist Phishing per QR-Code, Voice Phising (Danke an AI) oder Phishing per Teams. Phishing wiederum führt zu Business Email Compromise Attacken (BEC), in denen im Namen der Opfer Betrugsemails mit Phishing-Links versandt werden. Ein Schneeballsystem, das Vertrauen ausnutzen soll. Übrigens: Betrug umfasst im Digital Defense Report ein eigenes Kapitel (Seite 31 ff), das sogar einen eigenen Blogbeitrag wert wäre – unbedingt mal reinlesen.
Was können Sie also tun, um sich zu schützen?
- Schließen Sie aus, dass man sich nur mit einem Usernamen und Passwort an Cloudressourcen oder Fernzugriff anmelden kann: Aktivieren Sie MFA.
- Nutzen Sie Anmeldemethoden, die immun gegen Phishing sind – z.B. Passkeys, Windows Hello for Business oder FIDO2 Security Sticks: Beginnen Sie mit privilegierten Accounts.
- Trennen Sie User- und Administrator-Accounts auf Clients, im Active Directory, in der Cloud – überall.
- Erlauben Sie den Zugriff nur von bekannten, verwalteten Geräten.
Ransomware
Auch Ransomware ist ein alter Bekannter. Zuerst die schlechte Nachricht: Auch die Zahl der Ransomware-Attacken nimmt stark zu. Ransomware heißt heute eigentlich immer Human Operated Ransomware, also kriminelle Banden. Die gute Nachricht: Angreifer werden immer weniger erfolgreich. 3x weniger Attacken schaffen es laut Microsoft bis zur Verschlüsselungsphase, wenn die Organisation gut geschützt ist und eine gute Erkennung auf allen Geräten hat. Bei 90% der erfolgreichen Verschlüsselungsattacken waren nicht verwaltete Geräte das Problem.
Angreifer nutzen alle denkbaren Möglichkeiten, um Ransomware zu platzieren: Phishing, Identity Compromise, ungepatchte Systeme, die im Internet zu erreichen sind, oder neue Schwachstellen mit einem CVSS Score über 8. Wachsender Beliebtheit erfreuen sich schädliche Browser Extensions (auch befeuert durch den Wunsch, ChatGPT zu nutzen) oder pure Dreistigkeit, die vor allem Benutzer überlistet schädliche Dinge zu tun. Sind Angreifer einmal im Netzwerk, versuchen Sie als erstes die Erkennung abzuschalten.
Wie schützen Sie Ihre Unternehmensdaten?
Die Empfehlungen lauten (ich möchte fast sagen nach wie vor):
- Benutzer auf Clients dürfen keine Administratoren sein.
- Verwalten Sie Ihre Geräte: Ein privates Notebook ist ein schlechtes Notebook. Automatisiertes Patching für Betriebssysteme, Applikationen und eine zeitgemäße Endpoint Protection Lösung sind ein Muss.
- Aktivieren Sie Tamper Protection für Ihre Sicherheitslösung: Verwalten Sie Ihre Policies zentral. Schützen Sie darüber hinaus die Kommunikation zwischen Clients und der Security Cloud. Sogenannte EDR Silencer legen Regeln in der Windows Firewall an, die diese Kommunikation unterbinden.
- Überwachen und härten Sie Ihr Active Directory: Es ist der schnellste Weg zu Ihren kritischen Assets.
Das Gute ist: Wenn Sie Microsoft 365 Business Premium oder Microsoft 365 E3 Kunde sind, haben Sie bereits viele der nötigen Werkzeuge in der Hand. Gerne prüfen wir Ihre Security-Umgebung mit unserem Security Assessment oder helfen bei der Anwendung.
Mein abschließender Appell: Kümmern Sie sich um das Offensichtliche. Beginnen Sie. Lassen Sie nicht das Perfekte zum Feind des Guten werden.