Beschaffenheit einer modernen Angriffsfläche

Für die meisten Unternehmen sind E-Mails ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs. Leider stellen sie nach wie vor einen der größten Risikofaktoren dar. 35 % der Ransomware-Vorfälle im Jahr 2022 betrafen E-Mails.⁴ Angreifer führen mehr E-Mail-Angriffe als je zuvor durch – im Jahr 2022 stieg die Zahl der Phishing-Angriffe um 61 % im Vergleich zum Vorjahr.⁵

Angreifer nutzen inzwischen auch häufig seriöse Ressourcen, um Phishing-Angriffe auszuführen. Dadurch wird es für Benutzer noch schwieriger, zwischen echten und bösartigen E-Mails zu unterscheiden, was die Wahrscheinlichkeit erhöht, dass ein Angriff unbemerkt durchkommt. Ein Beispiel für diesen Trend sind Consent-Phishing-Angriffe, bei denen Bedrohungsakteure legitime Cloud-Service-Anbieter missbrauchen, um Benutzer dazu zu bringen, den Zugriff auf vertrauliche Daten zu genehmigen.

Ohne die Möglichkeit, E-Mail-Signale mit umfassenderen Vorfällen in Verbindung zu bringen, um Angriffe zu visualisieren, kann es sehr lange dauern, bis ein Bedrohungsakteur entdeckt wird, der sich per E-Mail Zugriff verschafft hat. Und dann kann es bereits zu spät sein, um den Schaden zu verhindern. Die durchschnittliche Zeit, die ein Angreifer benötigt, um auf die privaten Daten eines Unternehmens zuzugreifen, beträgt nur 72 Minuten.⁶ Dies kann zu erheblichen Verlusten auf Unternehmensebene führen. Die Kompromittierung von Geschäfts-E-Mails (BEC) verursachte im Jahr 2021 einen Schaden von schätzungsweise 2,4 Mrd. US-Dollar.⁷

In der heutigen Cloud-gestützten Welt ist die Zugriffssicherung wichtiger denn je. Daher ist ein tiefgreifendes Verständnis der Identitäten in Ihrem Unternehmen – inklusive Benutzerkontoberechtigungen, Workloadidentitäten und deren potenzielle Schwachstellen – von entscheidend, zumal Angriffe immer häufiger und kreativer werden.

Die Zahl der Kennwortangriffe stieg auf geschätzte 921 Angriffe pro Sekunde im Jahr 2022, ein Anstieg um 74 % verglichen mit 2021.⁸ Bei Microsoft haben wir außerdem beobachtet, dass Bedrohungsakteure immer kreativer werden, wenn es darum geht, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, indem sie Techniken wie Adversary-in-the-Middle-Phishing und Tokenmissbrauch einsetzen, um Zugriff auf die Daten von Unternehmen zu erhalten. Phishing-Kits machen es Bedrohungsakteuren noch einfacher, Anmeldeinformationen zu stehlen. Die Digital Crimes Unit von Microsoft hat beobachtet, dass die Raffinesse von Phishing-Kits im letzten Jahr zugenommen hat und diese gleichzeitig sehr leicht zugänglich sind. Ein Anbieter bietet Phishing-Kits z. B. für nur 6 US-Dollar pro Tag an.⁹

Bei der Bewältigung der Angriffsfläche für Identitäten geht es nicht nur um die Sicherung von Benutzerkonten, sondern auch um den Cloud-Zugang und die Workloadidentitäten. Kompromittierte Anmeldeinformationen können ein wirksames Instrument für Bedrohungsakteure sein, um in der Cloudinfrastruktur eines Unternehmens Schaden anzurichten.

Angesichts der schieren Anzahl von Geräten in den heutigen Hybridumgebungen ist die Sicherung von Endpunkten anspruchsvoller geworden. Unverändert ist, dass die Absicherung von Endpunkten – insbesondere von nicht verwalteten Geräten – für eine starke Sicherheitsstruktur wesentlich ist, da schon eine einzige Schwachstelle Bedrohungsakteuren Zugang zu Ihrem Unternehmen verschaffen kann.

Mit der Einführung von BYOD-Richtlinien („Bring Your Own Device“) in Unternehmen haben sich nicht verwaltete Geräte stark vermehrt. Folglich ist die Angriffsfläche für Endpunkte nun größer und anfälliger. Im Durchschnitt gibt es 3.500 verbundene Geräte in einem Unternehmen, die nicht durch einen Agent für Erkennung und Reaktion am Endpunkt geschützt sind.¹¹

Nicht verwaltete Geräte (die Teil der „Schatten-IT“ sind) sind für Bedrohungsakteure besonders attraktiv, da Sicherheitsteams hier der notwendige Einblick fehlt, um sie zu schützen. Bei Microsoft haben wir herausgefunden, dass die Wahrscheinlichkeit, dass Benutzer auf einem nicht verwalteten Gerät infiziert werden, um 71 % höher liegt.¹² Da sie mit Unternehmensnetzwerken verbunden sind, bieten nicht verwaltete Geräte Angreifern auch die Möglichkeit, breitere Angriffe auf Server und andere Infrastrukturen zu starten.

Nicht verwaltete Server sind darüber hinaus potenzielle Vektoren für Endpunktangriffe. Im Jahr 2021 beobachtete Microsoft Security einen Angriff, bei dem ein Krimineller einen ungepatchten Server ausnutzte, durch Verzeichnisse navigierte und einen Kennwortordner entdeckte, der Zugang zu den Anmeldeinformationen eines Kontos bot.

Einer der am meisten übersehenen Angriffsvektoren für Endgeräte ist das Internet der Dinge (IoT), das Milliarden von kleinen und großen Geräten umfasst. Die IoT-Sicherheit umfasst physische Geräte, die eine Verbindung zum Netzwerk herstellen und mit diesem Daten austauschen, z. B. Router, Drucker, Kameras und ähnliche Geräte. Sie kann auch betriebliche Geräte und Sensoren (operative Technologie oder „OT“) umfassen, bspw. intelligente Geräte in Produktionslinien.

Mit der wachsenden Zahl von IoT-Geräten steigt auch die Zahl der Sicherheitsrisiken. IDC prognostiziert, dass bis zum Jahr 2025 41 Milliarden IoT-Geräte in Unternehmen und privaten Haushalten vorhanden sein werden.¹⁵ Da viele Unternehmen Router und Netzwerke absichern, um sie für Bedrohungsakteure schwerer zugänglich zu machen, werden IoT-Geräte zu einem leichteren und interessanteren Ziel. Wir beobachten häufig, dass Bedrohungsakteure Schwachstellen ausnutzen, um IoT-Geräte in Proxys zu verwandeln: Zum Einschleusen in das Netzwerk nutzen sie ein ungeschütztes Gerät. Sobald ein Bedrohungsakteur Zugang zu einem IoT-Gerät erlangt hat, kann er den Datenverkehr anderer ungeschützter Objekte überwachen, sich ausbreiten, um andere Teile der Infrastruktur des Ziels zu infiltrieren, oder Reconnaissance leisten, um groß angelegte Angriffe auf sensible Anlagen und Geräte zu planen. In einer Studie gaben 35 % der Sicherheitsexperten an, dass in den vergangenen zwei Jahren ein IoT-Gerät für einen umfassenden Angriff auf ihr Unternehmen missbraucht wurde.¹⁶

Leider ist das IoT für Unternehmen oft eine Blackbox, was die Transparenz angeht, und bei vielen fehlen geeignete IoT-Sicherheitsmaßnahmen. 60 % der Sicherheitsfachkräfte nannten die IoT- und OT-Sicherheit als einen der am wenigsten gesicherten Teile ihrer IT- und OT-Infrastruktur.¹⁷

Heute erstreckt sich die externe Angriffsfläche von Unternehmen über mehrere Clouds, komplexe digitale Lieferketten und massive Ökosysteme Dritter. Das Internet ist jetzt Teil des Netzwerks, und trotz seiner fast unüberschaubaren Größe müssen Sicherheitsteams die Präsenz ihres Unternehmens im Internet in gleichem Maße schützen wie alles, was sich hinter ihren Firewalls befindet. Und da immer mehr Unternehmen die Prinzipien von Zero Trust übernehmen, wird der Schutz sowohl interner als auch externer Angriffsflächen zu einer Herausforderung auf Internetebene.

Die globale Angriffsfläche wächst mit dem Internet, und sie wird täglich größer. Bei Microsoft finden wir Beweise für diesen Anstieg bei vielen Arten von Bedrohungen, z. B. bei Phishing-Angriffen. Im Jahr 2021 hat die Digital Crimes Unit von Microsoft die Entfernung von mehr als 96.000 eindeutigen Phishing-URLs und 7.700 Phish-Kits veranlasst, was zur Identifikation und Schließung von mehr als 2.200 schädlichen E-Mail-Konten führte, die zur Sammlung gestohlener Kundenanmeldeinformationen verwendet wurden.²⁴

Die externe Angriffsfläche beschränkt sich nicht nur auf die unternehmenseigenen Ressourcen. Sie umfasst häufig Lieferanten, Partner, nicht verwaltete Mitarbeitergeräte, die mit Unternehmensnetzwerken oder -ressourcen verbunden sind, und neu akquirierte Unternehmen. Daher ist es unbedingt erforderlich, sich der externen Verbindungen und Risiken bewusst zu sein, um potenzielle Bedrohungen zu entschärfen. Ein Ponemon-Bericht aus dem Jahr 2020 ergab, dass 53 % der Unternehmen in den vorangegangenen zwei Jahren mindestens eine durch Dritte verursachte Datenschutzverletzung erlitten haben, deren Behebung durchschnittlich 7,5 Millionen US-Dollar kostete.²⁵

Da die Bedrohungsinfrastruktur hinter Cyberangriffen wächst, ist es dringender denn je, einen Einblick darin zu erhalten und eine Bestandsaufnahme der dem Internet ausgesetzten Ressourcen vorzunehmen. Wir haben festgestellt, dass Unternehmen oft nicht wissen, in welchem Umfang sie externen Angriffen ausgesetzt sind, was zu erheblichen toten Winkeln führt. Diese toten Winkel können schwerwiegende Folgen haben. Im Jahr 2021 erlebten 61 % der Unternehmen einen Ransomware-Angriff, der zumindest zu einer Teilstörung des Geschäftsbetriebs führte.²⁶

Bei Microsoft raten wir unseren Kunden oft, ihr Unternehmen von außen nach innen zu betrachten, wenn es um die Bewertung des Sicherheitsstatus geht. Über VAPT (Vulnerability Assessment and Penetration Testing) hinaus ist es wichtig, einen detaillierten Einblick in Ihre externe Angriffsfläche zu erhalten, damit Sie Schwachstellen in Ihrer gesamten Umgebung und Ihrem erweiterten Ökosystem ermitteln können. Wären Sie ein Angreifer, der in Ihr Unternehmen eindringen will, was könnten Sie sich zunutze machen? Das volle Ausmaß der externen Angriffsfläche Ihres Unternehmens zu verstehen, ist von grundlegender Bedeutung für dessen Absicherung.

Wie Microsoft helfen kann

Die Bedrohungslandschaft von heute verändert sich ständig. Unternehmen brauchen eine Sicherheitsstrategie, die Schritt halten kann. Aufgrund der zunehmenden Komplexität und Gefährdung von Unternehmen, der hohen Anzahl von Bedrohungen und der niedrigen Einstiegshürde in die Cyberkriminalität ist es dringender denn je, jede einzelne Nahtstelle innerhalb und zwischen den einzelnen Angriffsflächen zu schützen.

Sicherheitsteams benötigen eine effektive Threat Intelligence, um sich gegen die unzähligen und stetig fortschreitenden Bedrohungen von heute zu schützen. Die richtige Threat Intelligence verknüpft Signale aus verschiedenen Quellen und liefert zeitnah relevante Informationen zum aktuellen Angriffsverhalten und zu Trends, sodass Sicherheitsteams erfolgreich Schwachstellen identifizieren, Warnungen priorisieren und Angriffe vereiteln können. Und wenn es doch zu einem Sicherheitsbruch kommt, ist Threat Intelligence entscheidend, um weiteren Schaden zu verhindern und die Abwehr zu verbessern, damit ähnliche Angriffe nicht mehr vorkommen. Einfach ausgedrückt: Unternehmen, die mehr Threat Intelligence nutzen, sind sicherer und erfolgreicher.

Microsoft hat mit 65 Billionen täglich analysierten Signalen einen beispiellosen Überblick über die sich entwickelnde Bedrohungslandschaft. Durch die Korrelation dieser Signale in Echtzeit über Angriffsflächen hinweg bietet die in Microsoft Security-Lösungen integrierte Threat Intelligence Erkenntnisse über die wachsende Ransomware- und Bedrohungsumgebung, sodass Sie mehr Angriffe erkennen und stoppen können. Und mit fortschrittlichen KI-Funktionen wie Microsoft Security Copilot sind Sie den neuesten Bedrohungen immer einen Schritt voraus und können Ihr Unternehmen in Echtzeit verteidigen. So kann Ihr Sicherheitsteam das Komplexe vereinfachen, erkennen, was andere übersehen, und alles schützen.