Trace Id is missing

Cyberbedrohungen zielen zunehmend auf die größten Veranstaltungen der Welt ab

Herunterladen
Teilen
Illustration eines Footballstadions mit mehreren verschiedenen Symbolen

Cyber Signals Issue 5: Der Stand der Dinge

Bedrohungsakteure gehen dorthin, wo ihre Angriffsziele sind, und nutzen jede Gelegenheit, um gezielte oder breit angelegte, opportunistische Angriffe zu starten. Dies gilt auch für hochkarätige Sportereignisse, insbesondere für jene in zunehmend vernetzten Umgebungen, wodurch Cyberrisiken für Organisatoren, regionale Einrichtungen und Teilnehmer entstehen. Das britische National Cyber Security Centre (NCSC) hat festgestellt, dass Cyber-Angriffe auf Sportorganisationen immer häufiger werden. 70 Prozent der befragten Organisationen sind von mindestens einem Angriff pro Jahr betroffen, was deutlich über dem Durchschnitt aller Unternehmen im Vereinigten Königreich liegt.

Der Druck, einen reibungslosen und sicheren Ablauf auf der Weltbühne zu gewährleisten, stellt lokale Gastgeber und Einrichtungen vor neue Herausforderungen. Ein einziges falsch konfiguriertes Gerät, ein ungeschütztes Passwort oder eine übersehene Verbindung eines Drittanbieters kann zu einem Datenleck oder einem erfolgreichen Eindringen führen.

Microsoft leistete Unterstützung im Bereich Cybersicherheit für kritische Infrastruktureinrichtungen während der Ausrichtung der FIFA Fußball-Weltmeisterschaft 2022TM in Katar. In dieser Ausgabe informieren wir über Erkenntnisse aus erster Hand darüber, wie Bedrohungsakteure diese Umgebungen über Austragungsorte, Mannschaften und die kritische Infrastruktur rund um die Veranstaltung hinweg identifizieren und infiltrieren.

Wir alle sind der Cybersicherheit verpflichtet.

Microsoft hat zwischen dem 10. November und dem 20. Dezember 2022 mehr als 634,6 Millionen  Authentifizierungen durchgeführt und Cybersicherheitslösungen für Einrichtungen und Organisationen in Katar bereitgestellt.

Opportunistische Bedrohungsakteure missbrauchen aussichtsreiche Umgebung

Gegen Sportveranstaltungen gerichtete Cyber-Sicherheitsbedrohungen sind vielfältig und komplex. Sie erfordern ständige Wachsamkeit und die Zusammenarbeit zwischen allen Beteiligten, um eine Eskalation zu verhindern oder einzudämmen. Der weltweite Sportmarkt hat einen geschätzten Wert von mehr als 600 Mrd. USD und ist somit ein attraktives Angriffsziel. Sportmannschaften, Sportverbände der großen Ligen und aus aller Welt sowie Veranstaltungsorte der Unterhaltungsindustrie sind eine wahre Fundgrube für wertvolle Informationen, die für Cyberkriminelle äußerst interessant sind.

Informationen über sportliche Leistungen, Wettbewerbsvorteile und persönliche Daten sind ein lukratives Ziel. Leider können diese Informationen aufgrund der großen Anzahl von vernetzten Geräten und miteinander verbundenen Netzwerken in diesen Umgebungen in großem Umfang gefährdet sein. Diese Anfälligkeit betrifft häufig verschiedene Eigentümer, darunter Mannschaften, Unternehmenssponsoren, Stadtverwaltungen und Auftragnehmer. Trainer, Athleten und Fans sind ebenfalls Datenverlust und Erpressung ausgesetzt.

Darüber hinaus weisen Austragungsorte und Arenen viele bekannte und unbekannte Schwachstellen auf, die es Bedrohungsakteuren ermöglichen, unternehmenskritische Dienste wie Kassengeräte, IT-Infrastrukturen und Besuchergeräte anzugreifen. Keine zwei großen Sportveranstaltungen haben das gleiche Cyber-Risikoprofil. Dieses hängt von Faktoren wie Ort, Teilnehmer, Größe und Zusammensetzung ab.

Um unsere Aktivitäten während der Fußballweltmeisterschaft in Katar zu bündeln, wurde eine proaktive Bedrohungssuche durchgeführt. Dabei wurde eine Risikobewertung mit Defender Experts for Hunting durchgeführt, einem verwalteten Dienst zur Bedrohungssuche, der proaktiv nach Bedrohungen für Endpunkte, E-Mail-Systeme, digitale Identitäten und Cloud-Anwendungen sucht. In diesem Fall gehörten zu den Faktoren die Motivation der Bedrohungsakteure, die Entwicklung eines Profils und eine Reaktionsstrategie. Es wurde auch globale Threat Intelligence über geopolitisch motivierte Bedrohungsakteure und Cyberkriminelle berücksichtigt.

Zu den Hauptsorgen gehörte das Risiko, dass Veranstaltungsdienste oder lokale Einrichtungen durch Cyberangriffe beeinträchtig werden könnten. Störungen durch Ransomware-Angriffe und Versuche, Daten zu stehlen, könnten sich negativ auf die Veranstaltung und den Routinebetrieb auswirken.

Chronologie der öffentlich gemeldeten Vorfälle von 2018 bis 2023

  • Im Januar 2023 warnte die National Basketball Association ihre Fans vor einer Datenpanne, bei der ihre persönlichen Daten von einem Newsletter-Dienst eines Drittanbieters abgefangen wurden.1
  • Im November 2022 bestätigte der Fußballverein Manchester United, dass seine Systeme von einem Cyberangriff betroffen waren.2
  • Im Februar 2022 wurden die San Francisco 49ers am Super-Bowl-Sonntag von einem massiven Ransomware-Angriff heimgesucht.3
  • Im April 2021 behauptete eine Ransomware-Gruppe, 500 Gigabyte an Daten der Rockets gestohlen zu haben, darunter Verträge, Geheimhaltungsvereinbarungen und Finanzdaten. Interne Sicherheitstools verhinderten bis auf wenige Systeme die Installation von Ransomware.4
  • Im Oktober 2021 wurde ein Mann aus Minnesota angeklagt, in die Computersysteme der Major League Baseball eingedrungen zu sein und versucht zu haben, die Liga um 150 000 US-Dollar zu erpressen.5
  • 2018 kam es während der Olympischen Winterspiele in Pyeongchang zu zahlreichen Angriffen. Russische Hacker griffen die Netzwerke der Winterspiele vor der Eröffnungszeremonie an.6

Das Threat Hunting Team arbeitete nach einem Defense-in-Depth-Konzept, um die Geräte und Netzwerke der Kunden zu überprüfen und zu schützen. Ein weiterer Schwerpunkt lag auf der Überwachung des Verhaltens von Identitäten, Anmeldungen und Dateizugriffen. Es wurden viele verschiedene Bereiche abgedeckt, darunter Kunden die in Zusammenhang standen mit Transport, Telekommunikation, Gesundheitswesen und anderen wichtigen Funktionen.

Insgesamt wurden rund um die Uhr mehr als 100 000 Endpunkte, 144 000 Identitäten, über 14,6 Millionen E-Mail-Ströme, über 634,6 Millionen Authentifizierungen und Milliarden von Netzwerkverbindungen mit menschlicher Unterstützung auf Bedrohungen überwacht und auf diese reagiert.

So wurden zum Beispiel einige Gesundheits­einrichtungen als Notfallstationen für die Veranstaltung ausgewiesen, darunter auch Krankenhäuser, die wichtige Unterstützungs- und Gesundheitsdienste für Fans und Spieler anboten. Da Gesundheits­einrichtungen über medizinische Daten verfügen, stellten sie wertvolle Ziel dar. Bei der automatisierten und manuellen Bedrohungsjagd von Microsoft wurden Bedrohungsdaten verwendet, um Signale zu scannen, infizierte Objekte zu isolieren und Angriffe auf diese Netzwerke zu verhindern. Mithilfe einer Kombination aus Technologien von Microsoft Security erkannte und isolierte das Team die im Vorfeld der Ransomware auf das Gesundheitsnetzwerk gerichteten Aktivitäten. Mehrfache erfolglose Anmeldeversuche wurden protokolliert und weitere Aktivitäten blockiert.

Die Notwendigkeit von Gesundheitsdiensten macht es erforderlich, dass Geräte und Systeme stets ein Höchstmaß an Leistung erbringen. Krankenhäuser und Gesundheits­einrichtungen stehen vor der schwierigen Aufgabe, die Verfügbarkeit ihrer Dienste zu gewährleisten und gleichzeitig eine solide Cybersicherheit aufrechtzuerhalten. Kurzfristig hätte ein erfolgreicher Angriff medizinische Einrichtungen im Hinblick auf Daten und IT lahmlegen können, so dass medizinische Leistungserbringer bei der Aktualisierung von Patientendaten auf Stift und Papier angewiesen gewesen wären und ihre Fähigkeit, im Notfall oder bei einer Massentriage lebensrettende medizinische Versorgung zu leisten, geschwächt worden wäre. Längerfristig hätte Schadcode, der eingeschleust wurde, um ein Netzwerk transparent zu machen, für ein größeres Ransomware-Ereignis genutzt werden können, das auf eine weitergehende Schädigung abgezielt hätte. Dies hätte Datendiebstahl und Erpressung Tür und Tor geöffnet.

Globale Großereignisse sind nach wie vor begehrte Ziele von Bedrohungsakteuren, aber es gibt auch eine Vielzahl von Gründen auf Seiten von Nationalstaaten, die bereit zu sein scheinen, Kollateralschäden durch Angriffe in Kauf zu nehmen, wenn dies umfassenderen geopolitischen Interessen dient. Darüber hinaus werden Cyberkriminelle, die von den enormen finanziellen Potenzialen in den IT-Umgebungen von Sport- und Austragungsstätten profitieren wollen, diese weiterhin als begehrte Ziele betrachten.

Empfehlungen

  • Das SOC-Team erweitern: Stellen Sie sicher, dass zusätzliche Personen das Ereignis rund um die Uhr überwachen, um Bedrohungen proaktiv zu erkennen und Benachrichtigungen zu versenden. Auf diese Weise können mehr Daten aus der Bedrohungssuche korreliert und Anzeichen eines Eindringversuches früher erkannt werden. Dabei sollten auch Bedrohungen berücksichtigt werden, die über Endpunkte hinausgehen, wie die Kompromittierung von Identitäten oder die Umstellung von Geräten auf die Cloud.
  • Eine schwerpunktmäßige Cyber-Risikobeurteilung durchführen: Identifizieren Sie spezifische potenzielle Bedrohungen, die das Ereignis, den Austragungsort oder das ausrichtende Land betreffen könnten. Dabei sollten auch Anbieter, IT-Mitarbeiter von Mannschaften und Austragungsorten, Sponsoren und die wichtigsten Interessenträger der Veranstaltung berücksichtigt werden.
  • Geringstprivilegierter Zugriff als bewährte Methode: Beschränken Sie den Zugriff auf Systeme und Dienste auf jene Personen, die ihn wirklich benötigen, und schulen Sie Ihre Mitarbeiter über die verschiedenen Zugriffsebenen.

Große Angriffsflächen erfordern zusätzliche Planung und Kontrolle

Bei Veranstaltungen wie der Fußballweltmeisterschaft, den Olympischen Spielen und Sportereignissen im Allgemeinen zeigen sich bekannte Cyberrisiken auf besondere Weise, oft weniger wahrnehmbar als in anderen Unternehmensumgebungen. Diese Ereignisse können schnell zustande kommen, neue Partner und Lieferanten erhalten dabei für einen bestimmten Zeitraum Zugang zu Unternehmensnetzwerken und gemeinsamen Netzwerken. Der "Pop-up"-Charakter der Konnektivität bei einigen Ereignissen kann die Übersicht und Kontrolle über Geräte und Datenströme erschweren. Er kann auch zu einem trügerischen Gefühl der Sicherheit hinsichtlich des angeblich geringeren Risikos "vorübergehender“ Verbindungen führen.

Zu den Veranstaltungssystemen können die Web- und Social-Media-Präsenz der Mannschaften oder des Austragungsortes gehören sowie Registrierungs- oder Ticketverkaufsplattformen, Systeme zur Spielzeitmessung und -auswertung, Logistik, medizinisches Management und Patientenverwaltung, Vorfallsverfolgung, Massenbenachrichtigungssysteme und elektronische Beschilderung.

Sportvereine, Sponsoren, Gastgeber und Austragungsstätten müssen diese Systeme gemeinsam gestalten und cyber-intelligente Fanerlebnisse schaffen. Darüber hinaus wird die Angriffsfläche durch die große Anzahl von Teilnehmern und Mitarbeitern vergrößert, die Daten und Informationen auf ihren eigenen Geräten mitbringen.

Vier Cyberrisiken bei Großveranstaltungen

  • Deaktivieren Sie alle nicht benötigten Ports und stellen Sie sicher, dass das Netzwerk gründlich auf nicht autorisierte oder drahtlose Ad-hoc-Zugangspunkte überprüft wird, aktualisieren und patchen Sie die Software und nutzen Sie Anwendungen, die Daten verschlüsseln.
  • Empfehlen Sie den Teilnehmern, (1) ihre Apps und Geräte mit den neuesten Updates und Patches zu sichern, (2) nicht über öffentliche WLANs auf sensible Informationen zuzugreifen und (3) Links, Anhänge und QR-Codes aus inoffiziellen Quellen zu meiden.
  • Stellen Sie sicher, dass POS-Geräte gepatcht, auf dem neuesten Stand und mit einem separaten Netzwerk verbunden sind. Die Teilnehmer sollten außerdem vor unbekannten Kiosken und Geldautomaten auf der Hut sein und ihre Transaktionen auf die vom Veranstalter offiziell anerkannten Bereiche beschränken.
  • Entwickeln Sie eine logische Netzwerksegmentierung, um IT- und OT-Systeme voneinander zu trennen und den gegenseitigen Zugriff auf Geräte und Daten einzuschränken. Auf diese Weise können Sie die Auswirkungen eines Cyber-Angriffs mindern.

Wenn die Sicherheitsteams im Vorfeld mit den notwendigen Informationen versorgt werden – einschließlich der kritischen Dienste, die während der Veranstaltung funktionsfähig bleiben müssen –, können bessere Reaktionspläne erstellt werden. Dies ist für IT- und OT-Umgebungen, die für die Infrastruktur des Austragungsortes erforderlich sind, sowie für die Gewährleistung der physischen Sicherheit der Besucher unerlässlich. Im Idealfall könnten Unternehmen und Sicherheitsteams ihre Systeme vor der Veranstaltung konfigurieren, um Tests durchzuführen, eine Momentaufnahme des Systems und der Geräte erstellen und diese den IT-Teams zur Verfügung stellen, damit sie bei Bedarf schnell wiederhergestellt werden können. Diese Maßnahmen tragen wesentlich dazu bei, Angreifer davon abzuhalten, schlecht konfigurierte Ad-hoc-Netzwerke in den begehrten und lukrativen Umgebungen großer Sportveranstaltungen auszunutzen.

Darüber hinaus sollte sich jemand Gedanken über die Risiken für den Datenschutz machen und darüber, ob bestimmte Konfigurationen neue Risiken oder Schwachstellen für die persönlichen Daten der Teilnehmer oder die Daten der Mannschaften mit sich bringen. Diese Person kann einfache Cyber-Smart-Practices für Fans einführen, z. B. dass sie nur QR-Codes mit einem offiziellen Logo scannen, SMS oder Textnachrichten, für die sie sich nicht registriert haben, kritisch betrachten und die Nutzung von kostenlosem öffentlichem WLAN vermeiden.

Diese und andere Maßnahmen können dem Publikum helfen, die Cyberrisiken bei Großveranstaltungen besser zu verstehen und die Gefahren von Datendiebstahl und -abgriff zu erkennen. Das Wissen um sichere Verhaltensweisen kann Fans und Besucher davor schützen, Opfer von Social-Engineering-Angriffen zu werden, die Cyberkriminelle durchführen können, nachdem sie Zugang zu den angegriffenen Netzwerken von Austragungsorten und Veranstaltungen erlangt haben.

Zusätzlich zu den unten aufgeführten Empfehlungen gibt das National Center for Spectator Sports Safety and Security diese Tipps für vernetzte Geräte und integrierte Sicherheit für große Veranstaltungsorte.

Empfehlungen

  • Die Implementierung eines umfassenden und mehrschichtigen Sicherheitsrahmens priorisieren: Dazu gehört der Einsatz von Firewalls, Systemen zur Erkennung und Verhinderung von Eindringlingen sowie starken Verschlüsselungsprotokollen, um das Netzwerk vor unbefugtem Zugriff und Datenschutzverletzungen zu schützen.
  • Sensibilisierung und Schulungsprogramme für Nutzer: Informieren Sie Mitarbeiter und andere Beteiligte über bewährte Methoden zur Gewährleistung der Cybersicherheit, wie z. B. das Erkennen von Phishing-E-Mails, die Verwendung von Multi-Faktor-Authentifizierung oder passwortlosem Schutz. Auch sollten verdächtige Links oder Downloads nicht angeklickt bzw. heruntergeladen werden.
  • Mit vertrauenswürdigen Cybersicherheitsfirmen zusammenarbeiten: Überwachen Sie kontinuierlich den Netzwerkverkehr, identifizieren Sie potenzielle Bedrohungen in Echtzeit und reagieren Sie schnell auf Sicherheitsvorfälle. Führen Sie regelmäßig Sicherheitsaudits und Schwachstellenanalysen durch, um Schwachstellen in der Netzwerkinfrastruktur zu identifizieren und zu beheben.

Erfahren Sie mehr über weitere bekannte Herausforderungen im Bereich Sicherheit von Principal Group Manager Justin Turner, Microsoft Security Research.

Die Momentaufnahmedaten stellen die Gesamtzahl der Entitäten und Ereignisse dar, die zwischen dem 10. November und dem 20. Dezember 2022 rund um die Uhr überwacht wurden. Dazu gehören Organisationen, die entweder direkt an der Turnier-Infrastruktur beteiligt sind oder mit ihr in Verbindung stehen. Die Aktivitäten umfassen von Menschen durchgeführte proaktive Bedrohungssuchen, um neue Bedrohungen zu identifizieren und auffällige Kampagnen zu verfolgen.

Die wichtigsten Erkenntnisse:
 

45 geschützte Organisationen                                 100 000 geschützte Endpunkte

 

144 000 geschützte Identitäten                               14,6 Millionen E-Mail-Datenströme

 

634,6 Millionen Authentifizierungsversuche                4,35 Milliarden Netzwerkverbindungen

Methodik: Für die Momentaufnahmedaten lieferten Microsoft-Plattformen und -Dienste, darunter Microsoft Extended Detections and Response, Microsoft Defender, Defender Experten für Bedrohungssuche und Azure Active Directory, anonymisierte Daten zu Bedrohungsaktivitäten wie bösartige E-Mail-Konten, Phishing-E-Mails und Angreiferbewegungen in Netzwerken. Weitere Erkenntnisse stammen aus den 65 Milliarden Sicherheitssignalen, die Microsoft täglich erfasst. Diese stammen unter anderem aus der Cloud, von Endpunkten und vom Intelligent Edge sowie von unseren Compromise Security Recovery Practice- und Detection and Response-Teams. Das Titelbild stellt kein tatsächliches Fußballspiel, Turnier oder eine einzelne Sportart dar. Bei allen genannten Sportorganisationen handelt es sich um eigenständige Marken.

Verwandte Artikel

Expertentipps zu den drei hartnäckigsten Herausforderungen im Bereich Cybersicherheit

Justin Turner, Principal Group Manager bei Microsoft Security Research, beschreibt die drei permanenten Herausforderungen, die er im Laufe seiner Karriere im Bereich der Cybersicherheit beobachtet hat: Konfigurationsmanagement, Patching und Gerätesichtbarkeit.
Mehr erfahren

Anstieg der Phishing-Angriffe um 61 % – Einblicke in die moderne Angriffsfläche

Um eine immer komplexere Angriffsfläche zu bewältigen, müssen Unternehmen ihren Sicherheitsstatus umfassend ausbauen. Anhand von sechs wichtigen Angriffsflächen zeigt dieser Bericht, wie die richtige Threat Intelligence dazu beitragen kann, die eigene Verteidigungsposition zu stärken.
Mehr erfahren

Die Konvergenz von IT und OT

Die zunehmende Nutzung des Internets der Dinge (Internet of Things, IoT) stellt ein Risiko für die OT dar, da es mehrere potenzielle Sicherheitsrisiken aufweist und Bedrohungsakteuren Angriffsflächen bietet. Erfahren Sie, wie Sie Ihre Organisation schützen können.
Mehr erfahren

Microsoft folgen