Mehr als zwei Millionen Cyber-Vorfälle im Jahr 2018 verursachten Verluste von mindestens 45 Milliarden Dollar, so die Schlussfolgerung der Internet Society Online Trust Alliance (OTA), die ihre Ergebnisse im 2018 Cyber Incident & Breach Trends Report veröffentlicht hat.

Es ist schwierig, sich ein vollständiges Bild von der Cyber-Incident-Landschaft zu machen, sagt Jeff Wilbur, technischer Direktor der OTA. "Jeder betrachtet es aus seiner eigenen Perspektive", fügt er hinzu.

Als die OTA vor elf Jahren ihre erste Ausgabe dieses Berichts veröffentlichte, konzentrierte sie sich nur auf Datenschutzverletzungen, ergänzt Wilbur. Die sich rapide ändernde Bedrohungslandschaft macht es jedoch erforderlich, den Anwendungsbereich zu erweitern. "Vor einigen Jahren haben wir erkannt, dass dies die Zahl der Cyber-Angriffe unterrepräsentiert ist", erklärt er. "Wir begannen damit, Business Email Compromise (BEC), Ransomware und andere DDoS-Angriffe hinzuzufügen, da diese um Größenordnungen größer sind als Verletzungen, die gemeldet werden".

Interessant sei, dass viele der Techniken, mit denen Cyberkriminelle in Systeme eindringen, weitgehend gleich geblieben seien: Sie verwenden beispielsweise Mitarbeiterdaten oder nutzen eine bekannte Schwachstelle in einem Unternehmen, das seine Software nicht aktualisiert hat. "Die Wege zum Infiltrieren sind seit einiger Zeit relativ konstant", sagt Wilbur, obwohl es einige Veränderungen gibt.

Gefälschte E-Mails bleiben größte Bedrohung

Geräte im Internet der Dinge (IoT) haben neue Wege eröffnet, um in Unternehmen einzudringen, ebenso wie die zunehmende Abhängigkeit von Drittanbietern. "Der clevere Weg, in Systeme einzudringen, ist über Drittanbieter, die möglicherweise weniger sicher sind", fügt Wilbur hinzu. Immer mehr Angreifer brechen in die Zielorganisationen ein, indem sie Malware einschleusen oder sich unbefugten Zugriff auf die Systeme der Anbieter verschaffen.

Supply Chain- und IoT-basierte Angriffe mögen zunehmen, aber gefälschte E-Mails aus der Chefetage (BEC, Business Email Compromise) und Schwachstellen in der Zugangskontrolle sind nach wie vor die häufigsten Wege, um in eine Ziel-Organisation einzudringen. Die Maßnahmen, die Cyberkriminelle nach dem Zugang zu einem Netzwerk ergreifen, entwickeln sich jedoch im Laufe der Zeit weiter.

"Die finanziellen Auswirkungen von Ransomware stiegen um 6o Prozent, die Verluste durch kompromittierte Geschäfts-E-Mails verdoppelten sich. Kryptojacking-Vorfälle (die unbefugte Nutzung von Computerressourcen anderer zur Durchführung von Kryptomining) haben sich sogar mehr als verdreifacht und es gab weiterhin einen stetigen Strom von hochkarätigen Datenschutzverletzungen", so die Autoren des im Juli 2019 veröffentlichten Berichts.

DDoS-Angriffe richten größere Schäden an

Distributed Denial of Service (DDoS)-Angriffe sollen 2018 leicht zurückgegangen sein, obwohl sie in vielen Branchen immer noch verheerende Auswirkungen haben. Die Herausforderung bei DDoS besteht darin, festzustellen, wie viele Angriffe erfolgreich sind und die meisten Unternehmen zögern, Schwachstellen einzuräumen. Zugleich agieren viele Unternehmen in antiquierten Betriebsmodellen mit niedrigem Automatisierungsgrad, die eine Umleitung des IP-Verkehrs im Angriffsfall erfordern.

Im Ernstfall dauert es zu lange, bis reagiert wurde, Systemausfälle sind die Folge. Prominente Beispiele für erfolgreiche Angriffe erstrecken sich über eine Vielzahl von Branchen, von Banken (ABN AMRO) über Bildung (Infinite Campus), E-Mail-Dienste (ProtonMail) bis hin zu Software-Diensten (GitHub, der bisher größte registrierte DDoS-Angriff). Darüber hinaus sind Multi-Vektor-Angriffe - mit dem Ziel, ein Unternehmen gleichzeitig aus mehreren Winkeln anzugreifen - Normalität geworden.

In diesem Zusammenhang werden DDoS-Angriffe, weil sie so einfach zu kaufen sind, oft als Ablenkungsmanöver für IT-Teams eingesetzt. Erst viele Monate später stellt sich mitunter im Nachgang heraus, dass das was zunächst nach einem DDoS-Angriff aussah, Teil einer viel größeren Aktion war, bei der es um einen Datendiebstahl oder eine Datenmanipulation ging.

Dunkelziffer bleibt hoch

Trotz der Gefährdung von fünf Milliarden personenbezogenen Daten im Jahr 2018, waren die Datenschutzverletzungen laut der Studie gegenüber 2017 rückläufig - um 35,9 Prozent. Allerdings stellen die Autoren klar, dass das Bild trügerisch sei und es keinerlei Grund zu einer Relativierung gäbe - zumal viele Fälle nicht publik werden.

"Während es verlockend ist, insgesamt eine abnehmende Anzahl von Verstößen zu feiern, sind die Ergebnisse unseres Berichts düster", resümiert Wilbur. "Obwohl es also weniger Datenschutzverletzungen gibt, ist die Anzahl der Cyber-Angriffe und ihre finanziellen Auswirkungen weitaus größer als in der Vergangenheit."

Die finanziellen Auswirkungen sind oft schwer zu beziffern. Schätzungen zu Folge belaufen sich alleine die Kosten für Ransomware auf acht Milliarden Dollar und die Credential Stuffing auf fünf Milliarden Dollar. Andere Schätzungen sind allgemeiner Natur. Zum Beispiel quantifiziert das Ponemon Institute die durchschnittlichen Kosten einer Datenpanne mit 3,86 Millionen Dollar bzw. rund 9.000 Dollar pro Minute beim Systemausfall eines Rechenzentrums.

Zudem offenbart die Studie, dass 95 Prozent der Datenschutzverletzungen vermeidbar wären, indem "einfache und vernünftige Ansätze zur Verbesserung der Sicherheit" verfolgten wären, wie z.B. die Schulung der Mitarbeiter in Datensicherheit und Datenschutz und den Aufbau von Beziehungen zu Datenschutzbehörden.