Akteure, von denen eine Sicherheitsbedrohung ausgeht, auch als bösartige Akteure bezeichnet, sind Einzelpersonen oder Gruppen, die digitalen Geräte oder Systemen absichtlich Schaden zufügen. Sie nutzen Sicherheitslücken in Computersystemen, Netzwerken und Software aus, um eine Vielfalt von Cyberangriffen durchzuführen, darunter Phishing-, Ransomware- und Malware- Angriffe.
Heutzutage gibt es viele Arten von böswilligen Akteuren – alle mit unterschiedlichen Eigenschaften, Motivationen, Kenntnissen und Taktiken. Zu den häufigsten Arten von Akteuren, von denen eine Sicherheitsbedrohung ausgeht, gehören Hacktivisten, nationalstaatliche Akteure, Cyberkriminelle, Thrill-Seeker, Insider-Threat-Akteure und Cyberterroristen.
Da die Häufigkeit und Schwere von Cyberkriminalität weiter zunimmt, wird das Verständnis dieser verschiedenen Arten von böswilligen Akteuren für die Verbesserung der individuellen und organisatorischen Cybersicherheit immer wichtiger.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Einblicke, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Der Begriff „Akteur, von dem eine Sicherheitsbedrohung ausgeht“ ist weit gefasst und relativ allumfassend und bezieht sich auf jede Person oder Gruppe, die eine Bedrohung für die Cybersicherheit darstellt. Akteure, von denen eine Sicherheitsbedrohung ausgeht, werden häufig nach ihrer Motivation und – in geringerem Maße – nach ihrer Raffinesse in verschiedene Kategorien eingeteilt.
Diese Einzelpersonen oder Gruppen begehen Cyberkriminalität, meist aus finanziellen Gründen. Zu den häufigen Straftaten von Cyberkriminellen gehören Ransomware-Angriffe und Phishing-Scams, bei denen Menschen dazu verleitet werden, Geld zu überweisen oder Kreditkarteninformationen, Anmeldedaten, geistiges Eigentum oder andere private oder vertrauliche Informationen preiszugeben.
Nationalstaaten und Regierungen finanzieren häufig Akteure, von denen eine Sicherheitsbedrohung ausgeht, mit dem Ziel, vertrauliche Daten zu stehlen, vertrauliche Informationen zu sammeln oder die kritische Infrastruktur einer anderen Regierung zu stören. Diese böswilligen Aktivitäten umfassen oft Spionage oder Cyberkriegsführung und sind in der Regel hoch finanziert, so dass die Bedrohungen komplex und schwer zu erkennen sind.
Diese böswilligen Akteure setzen Hacking-Techniken ein, um politische oder soziale Ziele zu fördern, z. B. die Verbreitung der freien Meinungsäußerung oder die Aufdeckung von Menschenrechtsverletzungen. Hacktivisten glauben, dass sie einen positiven sozialen Wandel bewirken und fühlen sich berechtigt, Einzelpersonen, Organisationen oder Regierungsbehörden ins Visier zu nehmen, um Geheimnisse oder andere vertrauliche Informationen zu enthüllen. Ein bekanntes Beispiel für eine Hacktivistengruppe ist Anonymous, ein internationales Hacking-Kollektiv, das behauptet, sich für die Meinungsfreiheit im Internet einzusetzen.
Thrill-Seekers sind tun genau das, was der Name vermuten lässt – sie starten Angriffe auf Computer- und Informationssysteme in erster Linie zum Spaß. Einige wollen herausfinden, wie viele vertrauliche Informationen oder Daten sie stehlen können; andere wollen durch Hacking besser verstehen, wie Netzwerke und Computersysteme funktionieren. Einer Gruppe von Angreifern, die so genannten Scriptkiddies, mangelt es an entsprechenden technischen Kenntnissen, aber sie nutzen bereits vorhandene Tools und Techniken, um anfällige Systeme anzugreifen, hauptsächlich zum Vergnügen oder zur persönlichen Befriedigung. Obwohl sie nicht immer Schaden anrichten wollen, können Thrill-Seeker dennoch unbeabsichtigten Schaden anrichten, indem sie die Cybersicherheit eines Netzwerks beeinträchtigen und die Pforten für zukünftige Cyberangriffe öffnen.
Im Gegensatz zu den meisten anderen Akteuren haben Akteur, von denen eine Bedrohung von innen ausgeht, nicht immer böswillige Absichten. Manche schaden ihrem Unternehmen durch Bedienungsfehler, indem sie z. B. unwissentlich Malware installieren oder ein vom Unternehmen ausgegebenes Gerät verlieren, das ein Cyberkrimineller findet und für den Zugriff auf das Netzwerk nutzt. Es gibt jedoch auch böswillige Insider. Dabei handelt es sich beispielsweise um verärgerte Mitarbeiter, die ihre Zugriffsberechtigungen missbrauchen, um Daten zu stehlen und damit Geld zu verdienen, oder Daten oder Anwendungen beschädigen, weil sie bei einer Beförderung übergangen wurden.
Cyberterroristen starten politisch oder ideologisch motivierte Cyberangriffe, die mit Gewalt drohen oder zu Gewalt führen. Einige Cyberterroristen sind nationalstaatliche Akteure; andere handeln auf eigene Faust oder im Namen einer Nichtregierungsorganisation.
Akteure, von denen eine Sicherheitsbedrohung ausgeht, haben es oft auf große Unternehmen abgesehen, da diese über mehr Geld und eine größere Menge an vertraulichen Daten verfügen und somit den größten potenziellen Gewinn bieten.
In den letzten Jahren sind jedoch auch kleine und mittlere Unternehmen (KMU) aufgrund ihrer relativ schwachen Sicherheitssysteme zu häufigen Zielen solcher Akteure geworden. Das FBI äußerte sich kürzlich besorgt über die steigende Zahl von Cyberangriffen auf kleine Unternehmen und teilte mit, dass kleine Unternehmen allein im Jahr 2021 6,9 Milliarden US-Dollar durch Cyberangriffe verloren haben, was einem Anstieg von 64 Prozent im Vergleich zum Vorjahr entspricht (Link befindet sich außerhalb von ibm.com).
Ebenso zielen Akteur, von denen eine Sicherheitsbedrohung ausgeht, zunehmend auf Einzelpersonen und Haushalte ab, um kleinere Beträge zu erhalten. Beispielsweise könnten sie in Heimnetzwerke und Computersysteme einbrechen, um persönliche Identitätsinformationen, Passwörter und andere potenziell wertvolle und vertrauliche Daten zu stehlen. Tatsächlich deuten aktuelle Schätzungen darauf hin, dass jeder dritte amerikanische Haushalt mit Computern mit Malware infiziert ist (Link befindet sich außerhalb von ibm.com).
Akteure, von denen eine Sicherheitsbedrohung ausgeht, machen keine Unterschiede. Obwohl sie sich eher für die sinnvollsten Ziele mit dem größten Ertrag entscheiden, nutzen sie trotzdem jegliche Schwachstelle in der Cybersicherheit aus, unabhängig davon, wo sie diese entdecken. Dadurch wird die Bedrohungslandschaft immer kostspieliger und komplexer.
Akteure, von denen eine Sicherheitsbedrohung ausgeht, setzen bei der Durchführung eines Cyberangriffs eine Vielzahl verschiedener Vorgehensweisen ein. Hierbei konzentrieren sie sich je nach ihrer Hauptmotivation, ihren Ressourcen und dem beabsichtigten Ziel mehr auf einige Taktiken als auf andere.
Unter Malware versteht man eine bösartige Software, die Computer beschädigt oder deaktiviert. Malware wird häufig über E-Mail-Anhänge, infizierte Websites oder manipulierte Software verbreitet und kann Akteure, von denen eine Sicherheitsbedrohung ausgeht, helfen, Daten zu stehlen, Computersysteme zu übernehmen und andere Computer anzugreifen. Zu den verschiedenen Arten von Malware gehören Viren, Computerwürmer und Trojaner, die sich als legitime Programme getarnt auf Computer herunterladen.
Ransomware ist eine Art von Malware, die die Daten oder das Gerät des Opfers sperrt und mit einer anhaltenden Sperre –oder Schlimmerem – droht, wenn das Opfer kein Lösegeld an den Angreifer zahlt. Bei den meisten Ransomware-Attacken handelt es sich heute um doppelte Erpressungsversuche, bei denen auch damit gedroht wird, die Daten des Opfers zu stehlen und sie zu verkaufen oder online zu veröffentlichen. Laut dem IBM® Security X-Force Threat Intelligence Index 2023 machten Ransomware-Angriffe im Jahr 2022 17 Prozent aller Cyberangriffe aus.
Big Game Hunting (BGH)-Angriffe sind massive und koordinierte Ransomware-Kampagnen, die auf große Organisationen abzielen – Regierungen, Großunternehmen, Anbieter kritischer Infrastrukturen –, die bei einem Ausfall viel zu verlieren haben und eher bereit sind, ein hohes Lösegeld zu zahlen.
Bei Phishing-Angriffen werden E-Mails, SMS, Sprachnachrichten oder gefälschte Websites verwendet, um Benutzer dazu zu verleiten, vertrauliche Daten weiterzugeben, Malware herunterzuladen oder sich der Internetkriminalität auszusetzen. Zu den verschiedenen Arten von Phishing gehören:
- Spear-Phishing, ein Phishing-Angriff, der auf eine bestimmte Einzelperson oder Gruppe von Personen abzielt, mit Nachrichten, die scheinbar von legitimen Absendern stammen, die in einer Beziehung zur Zielperson stehen.
- Die Manipulation von Geschäfts-E-Mails, ein Spear-Phishing-Angriff, bei dem das Opfer eine gefälschte E-Mail von einem als Mitarbeiter oder Kollege ausgegebenen oder gekaperten E-Mail-Konto erhält.
- Whale-Phishing, ein Spear-Phishing-Angriff, der sich speziell gegen hochrangige Führungskräfte oder die Unternehmensleitung richtet.
Phishing ist eine Form des Social Engineering, einer Klasse von Angriffen und Taktiken, die Gefühle von Angst oder Dringlichkeit ausnutzen, um Menschen dazu zu bringen, andere Fehler zu begehen, die ihre persönlichen oder organisatorischen Werte oder ihre Sicherheit gefährden. Social Engineering kann in einer so simplen Form auftreten wie einem mit Malware infizierten USB-Laufwerk, das dort zurückgelassen wurde, wo es jemand findet („Cool, ein kostenloser USB-Stick!“), oder so komplex, wie monatelang eine romantische Fernbeziehung mit dem Opfer zu pflegen, um die Person um Flugtickets zu erleichtern, damit sie sich „endlich treffen“ können.
Da Social Engineering eher menschliche Schwächen als technische Sicherheitslücken ausnutzt, wird es manchmal auch als „Human Hacking“ bezeichnet.
Diese Art von Cyberangriff funktioniert so: Ein Netzwerk oder Server wird mit Datenverkehr überflutet, sodass er für Benutzer nicht verfügbar ist. Ein verteilter DDoS-Angriff (Distributed Denial of Service) nutzt ein verteiltes Computernetzwerk, um den schädlichen Datenverkehr zu senden, und erzeugt so einen Angriff, der das Ziel schneller überwältigen kann und schwieriger zu erkennen, zu verhindern oder zu mindern ist.
Persistente komplexe Bedrohungen (Advanced Persistent Threats, APTs) sind hochentwickelte Cyberangriffe, die sich über Monate oder Jahre statt Stunden oder Tage erstrecken. APTs ermöglichen es Akteuren, von denen eine Sicherheitsbedrohung ausgeht, unbemerkt im Netzwerk des Opfers zu operieren, Computersysteme zu infiltrieren, Spionage und Ausspähung zu betreiben, Berechtigungen zu erweitern (sogenannte Lateralbewegung) und vertrauliche Daten zu stehlen. Da sie unglaublich schwer zu entdecken und relativ teuer in der Ausführung sind, werden APTs in der Regel von nationalstaatlichen Akteuren oder anderen finanzstarken böswilligen Akteuren initiiert.
Bei einem Backdoor-Angriff wird eine Lücke in einem Betriebssystem, einer Anwendung oder einem Computersystem ausgenutzt, die nicht durch die Cybersicherheitsmaßnahmen einer Organisation geschützt ist. Manchmal wird diese Backdoor vom Softwareentwickler oder Hardwarehersteller erstellt, um Upgrades, Fehlerbehebungen oder (ironischerweise) Sicherheitspatches zu ermöglichen. In anderen Fällen erstellen Akteure, von denen eine Sicherheitsbedrohung ausgeht, mithilfe von Malware oder durch Hacken des Systems eigene Backdoors. Backdoors ermöglichen es böswilligen Akteuren, unbemerkt in Computersysteme einzudringen und diese wieder zu verlassen.
Die Begriffe Akteur, von dem eine Sicherheitsbedrohung ausgeht, Hacker und Cyberkrimineller werden oft synonym verwendet, insbesondere in Hollywood und in der Populärkultur. Aber es gibt feine Unterschiede in den Bedeutungen der einzelnen Begriffe und ihrer Beziehung zueinander.
Nicht alle böswilligen Akteure oder Internetkriminelle sind Hacker. Gemäß der Definition ist ein Hacker jemand, der über die technischen Fähigkeiten verfügt, ein Netzwerk oder Computersystem zu manipulieren. Einige Akteure, von denen eine Sicherheitsbedrohung ausgeht, oder Cyberkriminelle tun jedoch nichts weiter, als ein infiziertes USB-Laufwerk zu hinterlassen, damit jemand es findet und benutzt, oder eine E-Mail mit einem Malware-Anhang zu versenden.
Nicht alle Hacker sind böswillige Akteure oder Cyberkriminelle. Einige Hacker, sogenannte ethische Hacker, geben sich im Wesentlichen als Cyberkriminelle aus und helfen Organisationen und Behörden, ihre Computersysteme auf Anfälligkeit für Cyberbedrohungen zu testen.
Bestimmte Arten von böswilligen Akteuren sind gemäß der Definition oder Absicht keine Cyberkriminellen, sind es aber in der Praxis. So kann beispielsweise auch ein Thrill-Seeker, der „nur zum Spaß“ das Stromnetz einer Stadt für ein paar Minuten lahmlegt, oder ein Hacktivist, der im Namen einer noblen Sache vertrauliche Regierungsdaten ausspäht und veröffentlicht, ein Cyberverbrechen begehen, unabhängig davon, ob die Person dies beabsichtigt oder glaubt.
Je ausgefeilter die Technologie wird, desto ausgefeilter wird auch die Cyber-Bedrohungslandschaft. Um Akteuren, von denen eine Sicherheitsbedrohung ausgeht, immer einen Schritt voraus zu bleiben, entwickeln Unternehmen ihre Cybersicherheitsmaßnahmen kontinuierlich weiter und stellen sich beim Thema Threat-Intelligence immer raffinierter an. Zu den Maßnahmen, die Unternehmen ergreifen, um die Auswirkungen von solchen Akteuren abzuschwächen – oder ihnen sogar Einhalt zu gebieten – gehören:
Training zur Stärkung des Sicherheitsbewusstseins. Da Akteure, von denen eine Sicherheitsbedrohung ausgeht, sich häufig menschliche Fehler zunutze machen, stellt die Mitarbeiterschulung eine wichtige Verteidigungslinie dar. Schulungen zur Stärkung des Sicherheitsbewusstseins können alles mögliche umfassen – von der Nichtverwendung firmeneigener Geräte über die korrekte Speicherung von Passwörtern bis hin zu Techniken zur Erkennung von und zum Umgang mit Phishing-E-Mails.
Multi-Faktor-Authentifizierung und adaptive Authentifizierung. Die Implementierung einer mehrstufigen Authentifizierung (die neben dem Benutzernamen und dem Kennwort weitere Anmeldedaten erfordert) und/oder einer adaptiven Authentifizierung (die zusätzliche Anmeldedaten erfordert, wenn sich Benutzer von verschiedenen Geräten oder Standorten aus anmelden) kann verhindern, dass Hacker Zugriff auf das E-Mail-Konto eines Benutzers erhalten, selbst wenn es ihnen gelingt, dessen E-Mail-Kennwort zu stehlen.
- Lösungen für Endpoint Security. Diese reichen von Antivirensoftware, die bekannte Malware und Viren erkennt und stoppt, bis hin zu Tools wie Endpoint Detection and Response (EDR)-Lösungen, die künstliche Intelligenz (KI) und Analysen nutzen, um Sicherheitsteams dabei zu unterstützen, Bedrohungen zu erkennen und Maßnahmen zu ergreifen, die über herkömmliche Software für Endpoint Security hinausgehen.
- Netzwerksicherheitstechnologien. Die grundlegende Netzwerksicherheitstechnologie ist die Firewall, die verdächtigen Datenverkehr daran hindert, in ein Netzwerk einzudringen oder es zu verlassen, und gleichzeitig legitimen Datenverkehr durchlässt. Weitere Technologien sind Intrusion-Prevention-Systeme (IPSs), die das Netzwerk auf potenzielle Sicherheitsbedrohungen überwachen und Maßnahmen ergreifen, um sie zu stoppen, und Network Detection and Response (NDR), die KI, maschinelles Lernen und Verhaltensanalysen einsetzt, um Sicherheitsspezialisten bei der Erkennung und Automatisierung von Reaktionen auf Cyberbedrohungen zu unterstützen.
Software für Unternehmenssicherheit. Diese Lösungen können Sicherheitsteams und Security Operations Centers (SOCs) dabei helfen, abweichende oder böswillige Aktivitäten in allen IT-Infrastrukturbereichen – Endpunkten, E-Mail, Anwendungen, Netzwerk und Cloud-Workloads – zu erkennen und abzufangen. Dazu gehören unter anderemSicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), Security Incident and Event Management (SIEM) und Extended Detection and Response (XDR).
Unternehmen können auch regelmäßige Sicherheitsbewertungen durchführen, um Sicherheitslücken im System zu identifizieren. Interne IT-Mitarbeiter sind in der Regel in der Lage, diese Prüfungen durchzuführen, aber einige Unternehmen lagern sie an Experten oder externe Service-Provider aus. Regelmäßige Software-Updates helfen Unternehmen und Privatpersonen auch dabei, potenzielle Schwachstellen in ihren Computer- und Informationssystemen zu erkennen und zu beseitigen.
Erkennen Sie komplexe Bedrohungen, die andere übersehen. QRadar SIEM nutzt Analysen und künstliche Intelligenz, um Bedrohungsdaten sowie Netzwerk- und Benutzerverhaltensanomalien zu überwachen und um zu bestimmen, welche Sicherheitsbedrohungen Ihre sofortige Aufmerksamkeit und Abhilfemaßnahmen erfordern.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Um modernen Ransomware-Bedrohungen vorzubeugen und gegen sie vorzugehen, nutzt IBM Erkenntnisse, die aus 800 TB an Bedrohungsdaten, Informationen über mehr als 17 Millionen Spam- und Phishing-Angriffe sowie Reputationsdaten zu fast einer Million schädlichen IP-Adressen aus einem Netzwerk mit 270 Millionen Endpunkten gewonnen wurden.
Cyberangriffe sind Versuche, durch unbefugten Zugriff auf Computersysteme Assets anderer zu stehlen, verfügbar zu machen, zu verändern, zu deaktivieren oder zu zerstören.
Die 17. Ausgabe dieses Berichts präsentiert neueste Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, um Zeit zu sparen und Verluste zu begrenzen.
Ransomware ist Malware, die Geräte und Daten von Opfern sperrt, bis ein Lösegeld bezahlt wird.