Jedes Unter­neh­men soll­te auf­grund der rasant stei­gen­den Gefah­ren für einen IT-Betrieb die rele­van­ten IT-Gefähr­dun­gen in Bezug auf die Infor­ma­ti­ons­si­cher­heit erhe­ben und bewer­ten. Jedoch ist die Aus­wahl der Gefähr­dun­gen (Thre­ats) für die pri­mä­ren Info­Sec Schutz­zie­le Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit sehr auf­wen­dig, weil es spe­zi­ell für klei­ne und mit­tel­stän­di­sche Unter­neh­men kei­ne ein­fa­chen Gefähr­dungs­lis­ten gibt.

Die­ser Auf­ga­be hat sich SEC4YOU ange­nom­men und die SEC4YOU Infor­ma­ti­ons­si­cher­heits-Gefähr­dungs­lis­te 2024 erstellt. In die­sem Arti­kel wer­den die wich­tigs­ten Bedro­hun­gen vor­ge­stellt und erläu­tert. Leser bekom­men einen fun­dier­ten Über­blick, gegen wel­che Gefah­ren Sie ihr Unter­neh­men abge­si­chert haben soll­ten, da die­se mitt­ler­wei­le fast täg­lich für Unter­neh­men zur Rea­li­tät werden.

Was erreicht man durch eine Informationssicherheitsrisikobeurteilung?

Neben der Ver­mei­dung erheb­li­cher bis exis­tenz­be­dro­hen­der wirt­schaft­li­cher sowie imma­te­ri­el­ler Schä­den, unter­stützt eine Infor­ma­ti­ons­si­cher­heits­ri­si­ko­be­ur­tei­lung die Aus­wahl geeig­ne­ter Info­Sec Maß­nah­men, die erfor­der­lich sind, um das Unter­neh­men vor den jewei­li­gen Gefah­ren zu schüt­zen. Sofern Sie ein ISMS nach ISO 27001, TISAX® oder NIS2 betrei­ben, muss das Unter­neh­men das kom­plet­te Risi­ko-Assess­ment von der Risi­ko-Metho­de, den Beur­tei­lungs­kri­te­ri­en und der Beur­tei­lung doku­men­tiert nachweisen.

Quel­len für Informationssicherheits-Bedrohungen

Als Grund­la­ge für die SEC4YOU Infor­ma­ti­ons­si­cher­heits-Gefähr­dungs­lis­te 2024 wur­den fol­gen­de Quel­len genutzt:

BSI Elementare Gefährdungen_Preview

Die 47 Ele­men­ta­re Gefähr­dun­gen des Deut­schen Bun­des­amt für Infor­ma­ti­ons­si­cher­heit (BSI)

Eine sehr klas­si­sche Lis­te, die eine Viel­zahl an Ele­men­tar­ge­fah­ren auf­lis­tet und sich inten­siv mit den Aspek­ten Sabotage/Terror und Spio­na­ge beschäf­tigt. Lei­der wer­den in die­ser Ver­öf­fent­li­chung die moder­nen Cyber­an­griffs­vek­to­ren nicht  aus­rei­chend bewertet.

ENISA Threat Landscape 2024

ENISA Thre­at Land­scape 2024

Eine wert­vol­le Bewer­tung der Infor­ma­ti­ons­si­cher­heit der Euro­päi­schen Agen­tur für Cyber­se­cu­ri­ty die auf 130 Sei­ten die Cyber­se­cu­ri­ty Trends ana­ly­siert und hier­bei die wesent­lichs­ten sie­ben Gefähr­dun­gen beschrei­ben und detail­lier­te Emp­feh­lun­gen zur Ver­mei­dung geben.

ENISA 2023 Cyberthreat Defense Report

2023 Cyber­th­re­at Defen­se Report der CyberEdge Group

Die­ser Report beleuch­tet Tech­no­lo­gien und deren Resi­li­enz gegen Cyber­ge­fah­ren, zusätz­lich bie­tet der Report eine aus­ge­zeich­ne­te Bewer­tung von 13 Cyber­ge­fah­ren die in kei­ner Risi­ko­be­ur­tei­lung feh­len dürfen.

Kla­re Unter­schei­dung zwi­schen Gefähr­dung, Maß­nah­me, Wir­kung und Wirksamkeitsprüfung

In einer Infor­ma­ti­ons­si­cher­heits­ri­si­ko­be­ur­tei­lung ist der CISO gefor­dert tat­säch­lich die Gefahren/Gefährdungen zu bewer­ten und erst spä­ter die Maß­nah­me und deren mög­li­che Wir­kung fest­zu­le­gen, hier an einem ver­ein­fach­ten Pra­xis­bei­spiel „Mal­wa­re“ die Abgren­zung der Begriffe:

  • Gefähr­dung: Die Gefahr, dass das Unter­neh­men von Mal­wa­re infi­ziert wird.
  • Maß­nah­me:
    • Flä­chen­de­cken­de Mal­wa­re-Schutz­soft­ware auf allen End­ge­rä­ten mit Her­stel­ler A
    • Peri­me­ter Gate­way-Schutz und Upload-Fil­ter mit Her­stel­ler B
    • Regel­mä­ßi­ge Prü­fung inter­ner und exter­ner Diens­te auf Schwach­stel­len (Vul­nerabi­li­ties)
  • Wir­kung der Maß­nah­me (die Defi­ni­ti­on der Wirksamkeitsziele): 
    • Mal­wa­re aus der Quel­le Inter­net und E‑Mail wird zuver­läs­sig am Gate­way erkannt.
    • Mal­wa­re aus der Quel­le USB-Sticks und Ende-zu-Ende ver­schlüs­sel­ten E‑Mails wird zuver­läs­sig am End­ge­rät erkannt.
  • Wirk­sam­keits­prü­fung:
    • Gibt es Indi­zi­en, dass Mal­wa­re am Gate­way, Upload-Fil­ter oder End­ge­rä­ten nicht zuver­läs­sig erkannt werden?
    • Wird Mal­wa­re auch in ver­schlüs­sel­ten Ver­bin­dun­gen erkannt?
    • Sofern in der Wirk­sam­keits­prü­fung fest­ge­stellt wird, dass die Maß­nah­me die Wirk­sam­keit nicht erfül­len, müs­sen die Maß­nah­men opti­miert oder erwei­tert werden.
Gefährdung-Risikoanalyse-Massnahme-Wirkung_der Massnahme-Wirksamkeitsprüfung

Die­ser Arti­kel wid­met sich nur der Aus­wahl der Gefähr­dun­gen für Ihr IT-Risi­ko­ma­nage­ment. Die Bewer­tung der Risi­ken und Aus­wahl von Maß­nah­men fin­det nach der Erstel­lung der Gefähr­dungs­lis­te statt. Eine pas­sen­de Metho­de fin­den Sie in unse­rem Online Shop unter: Vor­la­ge Info­Sec Risi­ko­ma­nage­ment Metho­de gemäß ISO 27001

Die SEC4YOU Methodik

Wir haben die Gefähr­dun­gen der drei Quel­len (1) die Ele­men­ta­ren Gefähr­dun­gen des BSI, (2) den ENISA Thre­at Land­scape 2024 Report und (3) den CyberEdge 2023 Cyber­th­re­at Defen­se Report erfasst und prio­ri­siert. Die Prio­ri­tät einer Gefähr­dung erken­nen Sie in der Gra­fik unten an der gel­ben Markierung.

Dann haben wir die Gefähr­dun­gen in die fol­gen­den Kate­go­rien klas­si­fi­ziert: Ele­men­tar, Daten­ver­lust, Lie­fe­ran­ten­ur­sa­che, Terror/Insider/Sabotage/Spionage, Orga­ni­sa­ti­ons­feh­ler, Cyberattacke

In einem Fil­ter haben wir anschlie­ßend die prio­ri­sier­ten Gefähr­dun­gen aller 3 Quel­len zusam­men­ge­fasst, hier­bei jedoch die Kate­go­rie Terror/Insider/Sabotage/Spionage ent­fernt, weil für einen Groß­teil der Unter­neh­men die­se Kate­go­rie wenig rele­vant ist.

SEC4YOU Gefährdungsliste 2024

Das Ergeb­nis: Die SEC4YOU Infor­ma­ti­ons­si­cher­heits-Gefähr­dungs­lis­te 2024

Die fol­gen­den 18 Bedro­hun­gen wur­den als die wesent­lichs­ten Gefah­ren für den IT-Betrieb erarbeitet:

Ele­men­tar

  1. Feu­er, Was­ser und ande­re physische/technische Desaster

Daten­ver­lust

  1. Ver­lust von Infor­ma­tio­nen an Unbe­rech­tig­te (phy­sisch und elektronisch)
  2. Daten­ver­lust durch feh­len­de Redundanzen/Backup

Lie­fe­ran­ten­ur­sa­che

  1. Angrif­fe über die Lieferantenkette

Orga­ni­sa­ti­ons­feh­ler

  1. Gefähr­dung durch Feh­ler oder Misskonfiguration
  2. Feh­len­de oder schlech­te Planung

Cyber­an­grif­fe

  1. Ran­som­wa­re inkl. Multivektorangriffe
  2. Mal­wa­re
  3. Miss­brauch bzw. Über­nah­me von Benutzerkennungen
  4. Social-Engi­nee­ring (Phis­hing, Spear-Phis­hing, wei­te­re E‑Mail Angriffe)
  5. Angrif­fe auf Daten
  6. Angriff auf die Daten­ver­füg­bar­keit inkl. DoS/DDoS/RDoS
  7. Ziel­ge­rich­te­te Angrif­fe (APTs)
  8. Angrif­fe auf SSL/TLS Verschlüsselungen
  9. Angrif­fe auf mobi­le End­ge­rä­te (Smart­phone, Tablets)
  10. Betrug mit Hil­fe von KI (Deepf­ake, Anru­fe und E‑Mail)
  11. Miss­brauch von IoT Anwen­dun­gen und Geräten
  12. Zero-Day Angrif­fe

Erklä­rung zu der Gefährdungssliste

S01 Feu­er, Was­ser und ande­re physische/technische Desaster

Hier­bei geht es um Natur­ka­ta­stro­phen und loka­le Ele­men­tar­ge­fah­ren, wie Feu­er oder Was­ser die IT-Infra­struk­tu­ren zer­stö­ren kön­nen. Jedoch auch tech­ni­sche Defek­te in Ser­ver­räu­men oder an kri­ti­schen IT-Diens­ten die einen IT-Betrieb voll­stän­dig unter­bre­chen. Egal ob Hoch­was­ser, ein Brand oder der Lösch­schaum das Ser­ver-Rack zer­stört, sor­gen sie recht­zei­tig für Red­un­dan­zen und mehr­fa­che Datenhaltung.

S02 Ver­lust von Infor­ma­tio­nen an Unbe­rech­tig­te (phy­sisch und elektronisch)

Bei die­ser Gefahr geht es um die Infor­ma­tio­nen selbst. Jedoch ist es uner­heb­lich, ob eine unbe­rech­tig­te Per­son die­se als Papier­do­ku­men­te ent­wen­det, oder die­se über einen Fern­zu­griff elek­tro­nisch kopiert wer­den.  Gelan­gen unter­neh­mens­kri­ti­schen Infor­ma­tio­nen in die Hän­de eines Mit­be­wer­bers, kann der Infor­ma­ti­ons­ver­lust oder der Repu­ta­ti­ons­ver­lust dem Unter­neh­men nach­hal­tig schaden.

S03 Daten­ver­lust durch feh­len­de Redundanzen/Backup

Sofern kri­ti­sche IT-Diens­te nicht red­un­dant aus­ge­legt sind (u.a. Sto­rage, Vir­tua­li­sie­rungs­platt­for­men, Domain Con­trol­ler, Ver­zeich­nis­diens­te, DNS-Ser­ver, Web-Diens­te) kann es zu Daten­ver­lus­ten kom­men. Hier­bei kön­nen sowohl Hard­ware­de­fek­te als auch Kon­fi­gu­ra­ti­ons­feh­ler oder ein­fach mensch­li­che Feh­ler die Ursa­che für einen Daten­ver­lust sein. Schluss­end­lich hilft eine fach­män­nisch geplan­te und regel­mä­ßig getes­te­te Back­up-Lösung vor Datenverlust.

S04 Angrif­fe über die Lieferantenkette

Bei der „Sup­p­ly-Chain-Attack“ wird das Ver­trau­en zwi­schen einem (gro­ßen) Lie­fe­ran­ten und sei­nen Kun­den miss­braucht. Hier kön­nen Angrei­fer über ein­ge­rich­te­te Fern­zu­grif­fe oder beim Lie­fe­ran­ten hin­ter­leg­te Cre­den­ti­als bzw. Schlüs­sel die Daten und Sys­te­me eines (oder vie­ler) Unter­neh­men kom­pro­mit­tie­ren. In der Ver­gan­gen­heit wur­den jedoch ein Groß­teil der Angrif­fe über kom­pro­mit­tier­te Soft­ware ein­zel­ner Lie­fe­ran­ten durch­ge­führt, wo Hacker gezielt Angriffs­me­tho­den in ver­meint­lich ver­trau­ens­wür­di­ge Soft­ware-Updates plat­zie­ren konnten.

S05 Gefähr­dung durch Feh­ler oder Misskonfiguration

Spe­zi­ell durch feh­len­de Kon­fi­gu­ra­ti­ons­vor­ga­ben (Har­dening-Gui­de­lines, Con­fi­gu­ra­ti­on-Base­lines) und auch durch feh­len­de Auto­ma­ti­sie­run­gen wer­den Ser­ver und IT-Diens­te unter­schied­lich und z.T. unsi­cher kon­fi­gu­riert. Auch wer­den nach­träg­li­che sicher­heits­re­le­van­te Kon­fi­gu­ra­ti­ons­an­pas­sun­gen durch die IT-Teams von Unter­neh­men oft nicht umge­setzt. Lei­der all­zu oft wer­den Soft­ware oder Diens­te mit den Stan­dard-Kon­fi­gu­ra­tio­nen und Default-Zugangs­da­ten in Betrieb genom­men, was von Angrei­fern ein­fach aus­ge­nutzt wer­den kann.

S06 Feh­len­de oder schlech­te Planung

Man­gel­haft geplan­te IT-Infra­struk­tu­ren, unsach­ge­mä­ße War­tungs- und Repa­ra­tur­pro­zes­se, unter­schätz­te IT-Migra­tio­nen, Beschaf­fung von IT-Sys­te­men mit unzu­rei­chen­den Sicher­heits­ei­gen­schaf­ten, schlech­te Res­sour­cen­pla­nung, feh­len­de Ersatz­tei­le und auch ver­al­te­te Über­tra­gungs­pro­to­kol­le sind auf feh­len­de Pla­nung und man­gel­haf­tes Pro­jekt­ma­nage­ment zurück­zu­füh­ren. Nur durch früh­zei­ti­ge Berück­sich­ti­gung der Infor­ma­ti­ons­si­cher­heit und strin­gen­tes Pla­nungs­ma­nage­ment wer­den infor­ma­ti­ons­si­cher­heits­re­le­van­te Pro­jek­te auf­ge­deckt und kön­nen der Kri­ti­k­ali­tät ent­spre­chend geplant und umge­setzt werden.

S07 Ran­som­wa­re inkl. Mul­tivek­tor­an­grif­fe — UPDATE

Ist eine spe­zi­el­le Art eines hin­ter­häl­ti­gen Angrif­fes bei dem Angrei­fer die Unter­neh­mens­da­ten ver­schlüs­seln und Löse­geld ver­lan­gen, um die Daten wie­der zugäng­lich zu machen. Manch­mal steh­len die Angrei­fer auch die Daten und ver­lan­gen Zah­lun­gen damit die Daten nicht an Behör­den, Wett­be­wer­ber oder die Öffent­lich­keit geschickt wer­den. Bei den Ein­tritt­s­to­ren für Ran­som­wa­re ste­hen Phis­hing Emails und Remo­te Desk­top Pro­to­koll (RDP) Ver­bin­dun­gen an obers­ter Stel­le. Neu hin­zu­ge­kom­men sind Mul­tivek­tor­an­grif­fe, hier wird wäh­rend der Erpres­sungs­zeit auch ein (D)DoS Angriff gestar­tet oder es erfolgt eine Anzei­ge bei der Daten­schutz­be­hör­de durch die Erpres­ser­grup­pe, um den Druck auf das Unter­neh­men zu erhö­hen das Erpres­sungs­geld zu zahlen.

S08 Malware

Mal­wa­re ist der Über­be­griff für Soft­ware, Firm­ware oder Code der in bös­wil­li­ger Absicht die Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von Sys­te­men beein­flusst. Zu den Unter­for­men zäh­len Viren, Wür­mer, Tro­ja­ni­sche-Pfer­de, RATs (Remo­te-Access-Tools) und Code-infek­tio­nen von Sys­te­men. Auch zäh­len man­che Spy­wa­re und Adware zu Mal­wa­re. Eine guter Mal­wa­re-Schutz mit Ver­hal­tens­ana­ly­se zur Lauf­zeit auf allen Sys­te­men (Cli­ents, Ser­ver, Gate­ways) hilft die Infek­ti­on und Ver­brei­tung von Mal­wa­re ein­zu­däm­men. Instal­la­ti­on von Soft­ware und Trei­ber durch Benut­ze­rIn­nen auf End­ge­rä­ten soll­te mas­siv ein­ge­schränkt sein.

S09 Miss­brauch bzw. Über­nah­me von Benutzerkennungen

Beim Miss­brauch von Benut­zer­ken­nun­gen bzw. Iden­ti­täts­dieb­stahl täuscht der Angrei­fer die Iden­ti­tät einer Per­son vor, um in deren Namen auf­zu­tre­ten. Dies gelingt beson­ders ein­fach, indem man E‑Mail Kon­ten hackt und dann über email­ba­sier­te Pass­wort-Reset Ver­fah­ren wei­te­re Diens­te über­nimmt. Für die­se Gefähr­dung sind star­ke Pass­wör­ter mit zusätz­li­cher Zwei-Fak­tor-Authen­ti­fi­zie­rung der bes­te Schutz. Gleich­zei­tig müs­sen Unter­neh­men die Benut­ze­rIn­nen über Secu­ri­ty-Awa­re­ness Kam­pa­gnen bezüg­lich der Nut­zung von ein­zig­ar­ti­gen Pass­wör­tern und der Gefahr durch Phis­hing-Angrif­fe schulen.

S10 Social-Engi­nee­ring u.a. Phis­hing, Spear-Phis­hing, wei­te­re E‑Mail Angriffe

Die Vari­anz bei Gefähr­dun­gen durch Social-Engi­nee­ring ist groß und inklu­diert Pis­hing, Spear-Phis­hing, Whai­ling, Smis­hing, Vis­hing und in Zukunft sicher auch Video-Phis­hing mit Deep-Fake Tech­no­lo­gie. Hier­bei  nimmt das Infek­ti­ons­me­di­um E‑Mail immer noch die größ­te Rol­le ein.  Unter­neh­men sind ange­hal­ten die per­fi­den Metho­den von Social-Engi­nee­ring Angrif­fen über aktu­el­le Bei­spie­le und deren mög­li­chen Aus­wir­kun­gen in regel­mä­ßi­gen Secu­ri­ty-Awa­re­ness Kam­pa­gnen und ver­pflich­ten­den Schu­lun­gen mit allen Mit­ar­bei­te­rIn­nen zu trainieren.

S11 Angrif­fe auf Daten

Zu den Gefah­ren durch Angrif­fe auf Daten zäh­len unter ande­rem der unbe­rech­tig­te Zugriff, uner­wünsch­te Ver­öf­fent­li­chung, fal­sche Berichts­er­stat­tung, Falsch­in­for­ma­ti­on und Des­in­for­ma­ti­on, beim Letz­te­ren han­delt es sich um die Ver­brei­tung bewusst fal­scher Infor­ma­tio­nen zum Zwe­cke der Täu­schung. Oft wer­den die­se Vor­fäl­le als Daten­pan­ne / Data-Breach / Data-Leak bezeich­net und bezie­hen sich immer auf die Ver­öf­fent­li­chung sen­si­bler, ver­trau­li­cher oder geschütz­ter Daten in einer nicht ver­trau­ens­wür­di­gen Umge­bung. Beson­de­re Kri­ti­k­ali­tät ent­steht, wenn der Data-Breach per­so­nen­be­zo­ge­ne Daten gemäß der DSGVO betrifft. Dann muss das Unter­neh­men die­se Daten­pan­ne gegen­über der Behör­de anzeigen.

S12 Angriff auf die Daten­ver­füg­bar­keit inkl. DoS, DDoS, RDoS — UPDATE

Bei den Angrif­fen gegen die Daten­ver­füg­bar­keit ste­hen zwei Angriffs­me­tho­den im Vor­der­grund: Dis­tri­bu­ted Deni­al of Ser­vice (DDoS) und Angrif­fe auf Web-Diens­te. Ein DoS/DDoS Angriff blo­ckiert kri­ti­sche IT-Diens­te des Unter­neh­mens voll­stän­dig, dies kön­nen der Inter­net-Uplink, die E‑Mail-Ser­ver­diens­te, Außen­stel­len­an­bin­dun­gen oder belie­bi­ge ande­re Diens­te wie der Online-Ver­kauf sein. Wird dar­über hin­aus von den betrof­fe­nen Unter­neh­men Löse­geld gefor­dert, spricht man von einem Ran­som Deni­al of Ser­vice (RDoS) Angriff.  Bei den Web-basier­ten Angrif­fen wird in der Regel die Daten­in­te­gri­tät und Ver­füg­bar­keit adres­siert. Hier­bei kön­nen auch durch mani­pu­lier­te Web-Links unschein­ba­re Web-Diens­te für die Ver­tei­lung von Mal­wa­re oder für den Dieb­stahl von Web-Form Daten miss­braucht werden.

S13 Ziel­ge­rich­te­te Angrif­fe (APTs)

Der gro­ße Unter­schied zwi­schen einem „nor­ma­len“ Hacker-Angriff auf eine Infra­struk­tur und einem Advan­ced Per­sis­tent Thre­at (APT) ist, dass APT-Angrif­fe sehr ziel­ge­rich­tet sind und mit einem hohen Auf­wand durch­ge­führt wer­den. Hier­zu recher­chie­ren die Angrei­fer teil­wei­se wochen­lang die Mit­ar­bei­ter­ver­ant­wort­lich­kei­ten und bestehen­de Kun­den- und Lie­fe­ran­ten­be­zie­hun­gen bevor der Angriff gestar­tet wird. Auch wird für einen APT-Angriff oft indi­vi­du­el­le Mal­wa­re ent­wi­ckelt, die von han­dels­üb­li­chen Mal­wa­re-Schutz­pro­gram­men nicht erkannt wird. Oft sind APT-Angrif­fe pri­mär auf das lang­fris­ti­ge Aus­spä­hen der Opfer aus­ge­legt (Link: Indus­trie-Spio­na­ge).

S14 Angrif­fe auf SSL/TLS Verschlüsselungen

Bei den Angrif­fen auf SSL/TLS Ver­schlüs­se­lung geht es zum einen um die Gefahr durch selbst­si­gnier­te Zer­ti­fi­ka­te, die ein­fach per Man-in-the-Midd­le ange­grif­fen wer­den kön­nen und zum ande­ren um ver­al­te­te, unsi­che­re Kryp­to­gra­phie-Algo­rith­men und Schlüs­sel­län­gen, die kei­nen aus­rei­chen­den Schutz für Über­tra­gungs­pro­to­kol­le bie­ten. Spe­zi­ell der Ein­satz von Open­S­SL in Anwen­dun­gen und Web-Diens­ten birgt grö­ße­re Gefah­ren, da Open­S­SL Ver­wund­bar­kei­ten (sie­he Heart­bleed, Pood­le) umfas­send doku­men­tiert wer­den und Angrei­fer die­se unver­züg­lich aus­zu­nut­zen versuchen.

S15 Angrif­fe auf mobi­le End­ge­rä­te (Smart­phones, Tablets) — NEU

Wenn mobi­le Gerä­te mit Schad­soft­ware infi­ziert wer­den, kann dies meh­re­re Aus­wir­kun­gen haben. Beim Auto­ma­ted Trans­fer Sys­tems (ATS)  ver­su­chen Angrei­fer mit Mobi­le – Ban­king – Tro­ja­nern nicht auto­ri­sier­te Geld­trans­fers durch­zu­füh­ren bzw. Kon­trol­le über die Hard­ware zu erlan­gen. Tele­pho­ne – based Attack Deli­very (TOAD) nut­zen Social Engi­nee­ring Metho­den, um an per­sön­li­che Daten zu kom­men (Per­so­nal­ly Iden­ti­fia­ble Infor­ma­ti­on), Kon­ten zu über­neh­men (Account Take­Over) oder um mobi­le Schad­soft­ware zu installieren.

S16 Betrug auch mit Hil­fe von KI (Deepf­ake, Anru­fe, E‑Mail) — NEU

Im Vor­feld sam­meln Angrei­fer öffent­lich zugäng­li­che Daten über ihre Opfer, etwa aus sozia­len Medi­en oder beruf­li­chen Netz­wer­ken. Mit Hil­fe die­ser Daten wird anschlie­ßend auch gene­ra­ti­ve KI genutzt, um maß­ge­schnei­der­te Emails zu erstel­len, die die Betrof­fe­nen zur Preis­ga­be sen­si­bler Daten brin­gen soll. Mitt­ler­wei­le ist die Deepf­ake Tech­no­lo­gie so weit fort­ge­schrit­ten, dass es Angrei­fern gelingt, sich in Live-Mee­tings oder Tele­fo­na­ten für bekann­te Per­so­nen aus­zu­ge­ben. Auf die­se Wei­se gelingt es Ihnen, die Opfer zur Über­wei­sung hoher Geld­be­trä­ge zu bewegen.

S17 Miss­brauch von IoT Anwen­dun­gen und Gerä­ten — NEU

Die rasche Ver­brei­tung von IoT-Gerä­ten (Inter­net of Things) in Büros, Fabri­ken, Woh­nun­gen, Fahr­zeu­gen und sogar in Ver­sor­gungs- und Ver­kehrs­net­zen gan­zer Städ­te bringt eine Viel­zahl neu­er Bedro­hun­gen mit sich. Die­se Gerä­te kom­mu­ni­zie­ren über das Inter­net und wer­den häu­fig durch Cloud-Lösun­gen gesteu­ert. Dabei kom­men oft modu­la­re Diens­te zum Ein­satz, die auf Appli­ca­ti­on Pro­gramming Inter­faces (APIs) ange­wie­sen sind. APIs gera­ten zuneh­mend ins Visier von Angrei­fern, da sie auf­grund feh­ler­haf­ter Imple­men­tie­run­gen oder man­geln­der Sicher­heits­maß­nah­men eine ernst­zu­neh­men­de Angriffs­flä­che bieten.

S18 Zero-Day Angriffe

Im Prin­zip ist eine Zero-Day Ver­wund­bar­keit eine von vie­len Schwach­stel­len, die ent­deckt wer­den, jedoch mit dem Unter­schied, dass es für die Schwach­stel­le noch kei­nen Patch oder Hot­fix gibt. In einer frü­hen Pha­se einer Zero-Day Ver­wund­bar­keit lie­gen oft auch noch kei­ne fun­dier­ten Infor­ma­tio­nen über das Aus­maß und Aus­wir­kung der Schwach­stel­le vor. Unter­neh­men sind gefor­dert sol­che Zero-Day Ver­wund­bar­kei­ten früh­zei­tig zu erken­nen, hier­zu wird eine zuver­läs­si­ge Zero-Day Infor­ma­ti­ons­quel­le benö­tigt und eine schnel­le Bewer­tung ob betrof­fe­ne Diens­te im Unter­neh­men ein­ge­setzt werden.

Klas­si­fi­zie­rung: PUBLIC   TLP:CLEAR 
Erstel­ler: Andre­as Schus­ter, SEC4YOU
Ver­si­on: 2.0
Datum: 23.11.2024