Fünf Cybersecurity-Prognosen für 2023 mit lateralen Angriffen, APIs, Data-Leak-Marktplätzen, Zero Days und Organisationszwängen wagt Mike Sentonas von CrowdStrike in einem Gastbeitrag.

I – Identitätsbasierte Angriffe

Im Jahr 2023 werden Cyberakteure auf identitätsbasierte Angriffe setzen, um Erstzugriff zu erlangen und sich anschließend lateral zu bewegen. Dadurch wird die Breakout Time weiter verkürzt: Im Laufe des Jahres 2022 korrelierte die steigende Anzahl identitätsbasierter Angriffe, mit der Entwicklung raffinierter dateiloser Techniken zur Umgehung herkömmlicher Multi-Faktor-Authentifizierungsmechanismen. Aber nicht nur gestohlene Anmeldedaten, sondern auch Pass-the-Cookie, Golden Security Assertion Markup Language (SAML) sowie Social Engineering gepaart mit Multifaktorauthentifizierung (MFA)-Müdigkeit bieten immer mehr Möglichkeiten, eine Identität zu kompromittieren. Wir erwarten, dass die Angreifer im Jahr 2023 noch schneller werden, wenn sie sich mittels kompromittierter Identitäten lateral zwischen den Endpoints bewegen, um beispielsweise Ransomware zu implementieren, durch Business E-Mail Compromise (BEC) auf die E-Mail-Infrastruktur zugreifen, oder aber um wichtige Daten aus der öffentlichen Cloud-Infrastruktur von Azure, Google Cloud (GCP) oder AWS zu exfiltrieren.

II – APIs

APIs sind der nächste Angriffsvektor: Angesichts der zunehmenden Verbreitung und Nutzung von SaaS-Anwendungen hat die Verwendung von APIs von Jahr zu Jahr exponentiell zugenommen. Wie bei jedem anderen Wachstumsbereich steigt auch hier das damit verbundene Risiko. APIs verbinden wichtige Daten und Dienste, die die digitale Innovation vorantreiben. Infolgedessen haben sich APIs als äußerst wertvolles Ziel für Cyberkriminelle erwiesen. Für Sicherheitsteams ist es unabdingbar, ein gründliches Verständnis und einen klaren Einblick in ihre gesamte Angriffsfläche zu haben. Dazu gehören alle APIs in Ihrer Umgebung, einschließlich undokumentierter (Schatten-)APIs sowie nicht verwendeter/veralteter APIs, die nicht deaktiviert wurden. Angesichts mehrerer aufsehenerregender Vorfälle im Zusammenhang mit APIs in jüngster Zeit wird erwartet, dass sich dieser Trend im Jahr 2023 noch verstärken wird.

III – Data Leak-Marktplätze

Dedizierte Data Leak-Marktplätze werden im Jahr 2023 einen massiven Aufschwung erleben, da die Datenerpressung zum wichtigsten eCrime-TTP wird: Datenerpressung wird sich im Jahr 2023 zur häufigsten Tactik, Technik und Prozedur (TTP) von Kriminellen entwickeln und wird die herkömmliche Datenverschlüsselung übertreffen. Dies ermöglicht es Cyberakteuren, Unternehmen mit Taktiken wie der doppelten oder dreifachen Erpressung wiederholt zu schikanieren. Ein Beispiel dafür sind die so genannten „Lock-and-Leak“-Operationen, bei denen eCrime-Akteure gezielt Unternehmen mit wertvollen Daten angreifen – etwa aus dem Technologie-, Fertigungs- und Finanzsektor – und die Zielnetzwerke sperren, um anschließend damit zu drohen, die erbeuteten Daten der Opfer zu veröffentlichen. In Branchen wie dem Gesundheitswesen, die verschiedene gesetzliche Vorschriften einhalten müssen, kann ein solcher Angriff verheerend sein. In Folge der zunehmenden Datendiebstähle und Erpressungen werden neue kriminelle Marktplätze aus dem Boden sprießen, die sich der Vermarktung und dem Verkauf der erbeuteten Daten widmen.

IV – Zero-Day-Schwachstellen

Der Teufelskreislauf aus Zero Day Tuesday und Hack Wednesday geht weiter: Die Patch-Panik, die Sicherheitsteams jeden zweiten Dienstag im Monat ergreift, wird auch 2023 anhalten und sich sogar noch verstärken, da die TTPs der Angreifer immer raffinierter werden und weiterhin auf Zero-Day-Schwachstellen abzielen. Die Anzahl von Zero-Day-Sicherheitslücken und kritischen Schwachstellen hat weiter zugenommen, während gleichzeitig die Zeitspanne zwischen dem Bekanntwerden dieser Schwachstellen und den aktiven Versuchen von Bedrohungsakteuren, diese auszunutzen, kürzer geworden ist. Tatsächlich haben wir im Jahr 2022 viele Fälle erlebt, in denen Bedrohungsakteure angekündigte Schwachstellen sofort ausgenutzt haben. Die zunehmende Zahl von Zero-Day-Bedrohungen unterstreicht die Bedeutung proaktiver Threat-Hunting-Lösungen, die in der Lage sind, Bedrohungen in großem Umfang zu bekämpfen. Ohne eine derartige Lösung werden Unternehmen viel Zeit damit verbringen, kritische Patches umgehend nach deren Veröffentlichung aufzuspielen oder sich auf Workarounds zu konzentrieren, falls keine Patches verfügbar sind.

V – Ideales Umfeld für Bedrohungsakteure

Organisatorische Zwänge in Zeiten der Unsicherheit werden 2023 zu aufsehenerregenden Cyber-Vorfällen führen: Die weltweit vorherrschende Unsicherheit bietet Bedrohungsakteuren ein ideales Umfeld für ihre Machenschaften. Im aktuellen, sich schnell verändernden wirtschaftlichen und geopolitischen Klima stehen Unternehmen unter erhöhtem Druck, mit weniger Mitteln immer mehr zu erreichen und sich zugleich mit ähnlichen oder potenziell weniger Ressourcen gegen die immer zahlreicheren und heftigeren Cyberangriffe zu schützen. Die Folgen eines hochkarätigen Cyberangriffs können für das betroffene Unternehmen sogar noch drastischer ausfallen, wenn es sich keine Ausfallzeiten leisten kann und eine größere Datenpanne das gesamte Unternehmen lahmzulegen droht. Die Kosten für die Aufräumarbeiten nach einem Sicherheitsverstoß sind enorm und können sich über Jahre hinziehen. So fallen zum Beispiel Kosten für die Behebung des Sicherheitsverstoßes und forensische Untersuchungen, Rechtskosten, den Wechsel des Sicherheitsanbieters und die Benachrichtigung von Kunden und Aufsichtsbehörden an. Wir werden 2023 weitere öffentlichkeitswirksame Sicherheitsvorfälle erleben, da der Druck organisatorischer Zwänge in Zeiten der Unsicherheit zunimmt.