- Sicherheitslücken bei der Digitalisierung und Professionalisierung von Hackern als Wachstumstreiber
- Vermehrte Bedrohung der gesellschaftlichen Ordnung
- Starkes Wachstum von Cyberkriminalität, insbesondere von Phishing, im Jahr 2022 zu erwarten
„Im Jahr 2021 standen private wie öffentliche Unternehmen mehr denn je unter Druck, ihre Geschäftsmodelle zu digitalisieren, um sich neuen Wettbewerbern zu erwehren und am Markt bestehen zu können. Jedoch steigt mit der zunehmenden Zahl digitaler Verfahren auch die Summe der Angriffsvektoren für Hacker“, erklärt Ralf Nitzgen, Geschäftsführer Allgeier IT Security und Compliance: „Aus diesem Grund sollte IT-Sicherheit bei der Digitalisierung von Anfang an mitgedacht werden. Das Jahr 2021 hat gezeigt, dass es hier viel Nachholbedarf gibt.“
Cyberkriminelle, so Nitzgen weiter, hätten erkannt, wie sie bestehende Lücken in der IT-Sicherheit für ihren finanziellen Vorteil ausnutzen könnten. Dabei würden sie gezielt auf die „Schwachstelle Mensch“ zielen: So würden Hacker immer stärker Mitarbeitende von Unternehmen oder öffentlichen Einrichtungen ins Visier nehmen und sich mit dem Einsatz von Phishing Zugang zu IT-Systemen verschaffen, um wichtige geschützte Daten einsehen zu können. Ein anderes Ziel sei es, IT-Systeme kontrolliert unbrauchbar zu machen, um mit einer Freigabe Lösegelder zu erpressen.
Neben der zunehmenden Digitalisierung beziehungsweise den bestehenden Sicherheitslücken gibt es einen weiteren zentralen Faktor für die Zunahme an Cyberkriminalität: die zunehmende Professionalisierung von Hackern. Nie zuvor haben Cyberkriminelle so viele neue Formen von Schadsoftware entwickelt wie in den vergangenen zwölf Monaten. Insbesondere der massenhafte Einsatz neuer Ransomware-Varianten stellt eine immer größere Bedrohung dar. „Versierte Ransomware-Angreifer optimieren und ändern ihre Taktiken, Techniken und Verfahren kontinuierlich, um größere Organisationen und Unternehmen mit Lösegeldforderungen in Millionenhöhe zu attackieren“, erläutert Thomas Becker, Sales Director IT Security bei Allgeier IT.
Ebenso in den Fokus gerückt sind in den vergangenen zwölf Monaten Supply-Chain-Angriffe, bei denen Hacker wie bei einem Dominoeffekt gezielt IT-Dienstleister attackieren, um so deren Kunden, Lieferanten oder Partner anzugreifen. Ein prominentes Beispiel im Jahr 2021 war der Kaseya-Hack, in dessen Folge rund 1.500 Unternehmen von verschlüsselten Systemen betroffen waren.
Gesellschaftliche Ordnung durch Hackerangriffe bedroht
Dass Cyberattacken heute über das Potenzial verfügen, die gesellschaftliche Ordnung in Gefahr zu bringen, hat sich in den vergangenen zwölf Monaten wiederholt gezeigt. Hacker greifen immer häufiger systemrelevante Einrichtungen (KRITIS-Betriebe) wie Krankenhäuser, Kraftstoff-Pipelines, Wasserwerke oder Ämter bzw. Behörden an, um mit Ransomware Daten zu verschlüsseln und den Betrieb zum Erliegen zu bringen. Eines der prominentesten Beispiele war der Cyberangriff auf die größte US-Öl-Pipeline im Norden der Vereinigten Staaten im Mai 2021, der zu einem vorübergehenden Treibstoffmangel in den USA führte. Im Februar 2021 wurde ein Angriff auf das Wasserwerk Oldsmar/Florida nur knapp vereitelt. Hacker hatten es geschafft, die Chemikalienzufuhr zu manipulieren, was zu einer großflächigen Verseuchung des Wassers hätte führen können.
Dies zeigt: Die Folgen eines Angriffs auf kritische Infrastrukturen können verheerend sein. So ist festzuhalten, dass KRITIS-Betriebe neben Präventivmaßnahmen wie regelmäßigen Back-Ups, Monitoring der Datenströme oder Netzwerksegmentierung auch über einen Notfallplan in Form eines IT Incident Management verfügen müssen.
Ausblick: IT-Security in den nächsten zwölf Monaten
Wie wird sich das Thema Cyberkriminalität im Jahr 2022 weiterentwickeln? „Fest steht, dass Cybersecurity-Experten auch in den nächsten zwölf Monaten alle Hände voll zu tun haben – wesentlich mehr als ihnen lieb ist“, erklärt Nitzgen, der insbesondere beim Einsatz von Phishing von einer erheblichen Zunahme ausgeht. „Wir werden auch im nächsten Jahr ein starkes Wachstum an Hackerattacken erleben, beim Einsatz von Phishing möglicherweise sogar ein exponentielles. Als Folge muss Cybersecurity in Unternehmen wie öffentlichen Einrichtungen als Chefsache behandelt werden, damit für IT-Sicherheit ausreichend Budget und Personal zur Verfügung steht, Schutzmechanismen etabliert und schnelle Reaktionsfähigkeit garantiert werden kann.“