Was sind Cyberangriffe?

Diese bösartigen Angriffe richten sich gegen Applications, Websites und Webdienste und zielen darauf ab, Schwachstellen auszunutzen und deren Sicherheit zu gefährden. Die Bemühungen zur App-Modernisierung und die daraus resultierende Weiterentwicklung vieler herkömmlicher Web-Apps zu API-basierten Systemen in Hybrid- und Multi-Cloud-Umgebungen haben die Bedrohungsfläche dramatisch vergrößert. 

Sicherheitsteams müssen viele Risiken für Webanwendungen und APIs berücksichtigen, darunter:

• Vulnerability Exploits sind Schwachstellen oder Mängel in einer Software, die von Kriminellen ausgenutzt werden können, um die Sicherheit zu gefährden, einschließlich der Ausführung von Schadcode. Die Ursachen hierfür sind häufig nicht unterstützte oder nicht gepatchte Software, Softwarefehler oder Fehlkonfigurationen. 
• Automatisierte Bedrohungen : Bösartige Angriffe, die nicht von Menschen, sondern von Bots, Skripten oder Hacker-Toolkits ausgeführt werden. Diese Bedrohungen können inhärente Schwachstellen in Applications und APIs ausnutzen und so zu Sicherheitsverletzungen, Datendiebstahl, Kontoübernahme, Betrug und anderen schädlichen Folgen führen. 
• Missbrauch der Geschäftslogik : Dieser tritt auf, wenn Angreifer das erwartete Verhalten einer Application manipulieren, um böswillige Ziele zu erreichen. Dabei wird häufig Automatisierung eingesetzt. Dies kann die Manipulation der Arbeitsabläufe einer Anwendung beinhalten, um Zugriff auf eingeschränkte Bereiche zu erhalten, nicht autorisierte Transaktionen durchzuführen oder auf vertrauliche Daten zuzugreifen.
• Umgehung von Authentifizierungs- und Autorisierungskontrollen : Dies kann auftreten, wenn Angreifer durch unzureichende Durchsetzung von Zugriffskontrollen und Autorisierung Zugriff auf nicht autorisierte Funktionen oder Daten erhalten.
• Clientseitige Angriffe : Bedrohungen, die auf Software oder Komponenten auf den Geräten des Benutzers abzielen, beispielsweise einen Webbrowser oder installierte Anwendungen. Eine häufige Form von clientseitigen Angriffen ist Cross-Site Scripting (XSS) , bei dem Angreifer schädliche clientseitige Skripte, beispielsweise JavaScript, in Webseiten einschleusen, die von anderen Benutzern angezeigt werden. Dies kann zum Diebstahl vertraulicher Informationen wie Anmeldeinformationen, personenbezogener Daten oder Sitzungscookies führen. Moderne Apps weisen typischerweise zahlreiche gegenseitige Abhängigkeiten auf, beispielsweise Integrationen, Bibliotheken und Frameworks von Drittanbietern. Sicherheitsteams haben möglicherweise keinen Einblick in alle Komponenten, die auf der Clientseite ausgeführt werden. Dadurch wird ein Angriffsvektor für Angreifer geöffnet, die schädliche Skripte ausführen und Daten direkt aus einem Webbrowser exfiltrieren möchten. 
• Sicherheitsfehlkonfiguration : Angreifer versuchen, ungepatchte Schwachstellen, gemeinsame Endpunkte, mit unsicheren Standardkonfigurationen laufende Dienste oder ungeschützte Dateien und Verzeichnisse zu finden, um unbefugten Zugriff auf ein System zu erhalten. Mit der zunehmenden Dezentralisierung und Verteilung der Architektur auf mehrere Cloud-Umgebungen wird das Risiko einer Fehlkonfiguration der Sicherheit immer größer.

Cyberangriffe können unterschiedliche Ziele verfolgen, je nach den Motiven und Zielen der Bedrohungsakteure, die die Angriffe starten.

Finanzieller Gewinn ist ein häufiges Motiv für Cyberangriffe wie Ransomware-Angriffe und Betrug, ebenso wie der Diebstahl von Daten, die im Dark Web leicht zu Geld gemacht werden können. Zu den sensiblen Daten, die zum Verkauf angeboten werden können, zählen geistiges Eigentum, Geschäftsgeheimnisse, Anmeldeinformationen und Finanzinformationen. Ein weiteres Motiv für Cyberangriffe ist Spionage. Dabei sammeln staatliche Akteure und Cyber-Spione Geheimdienstinformationen und vertrauliche Informationen, um nationale oder politische Interessen zu verfolgen. Cyberangriffe können außerdem dazu genutzt werden, den normalen Betriebsablauf zu stören oder kritische Infrastrukturen zu beeinträchtigen, was zu Ausfallzeiten und Umsatzeinbußen führen kann.

Cyberkriminelle sind sehr gut darin, technische Schwächen und Sicherheitslücken zu erkennen und auszunutzen, um Cyberangriffe über alle Angriffsvektoren zu starten. Zu den häufigsten Schwachstellen gehört veraltete oder ungepatchte Software, die Angreifer ausnutzen können, um unberechtigter Zugriff zu erlangen, Daten zu kompromittieren oder schädlichen Code auszuführen. Schwache Authentifizierungsmechanismen können außerdem dazu führen, dass unbefugte Personen oder Angreifer Zugriff auf Systeme und vertrauliche Informationen erhalten oder Konten kompromittieren. Auch ein unsicheres Application kann zu Cyberangriffen beitragen, da es Schwachstellen schafft, die Angreifer ausnutzen können, wie etwa Sicherheitsfehlkonfigurationen, fehlerhaftes Sitzungsmanagement oder unsicher entwickelte APIs. 

Angreifer zielen auch auf Schwachstellen im Netzwerk ab. Hierzu zählen ungesicherte WLAN-Netzwerke, die es Angreifern ermöglichen, die Kommunikation zwischen zwei Parteien abzufangen oder zu manipulieren und so möglicherweise vertrauliche Informationen zu stehlen oder schädliche Inhalte einzuschleusen. Schwache Netzwerkkonfigurationen können auch Sicherheitslücken verursachen, die Angreifer ausnutzen können. Dazu zählen etwa unzureichende Firewall-Regeln, falsch konfigurierte Zugriffskontrolllisten (ACLs) und schwache oder veraltete Verschlüsselungsprotokolle. 

Angreifer können auch Schwachstellen im Zusammenhang mit Lieferkettenproblemen ausnutzen. Angreifer können Schwachstellen bei Drittanbietern oder in den Cybersicherheitspraktiken von Anbietern ausnutzen, um Zugriff auf das Netzwerk oder die Ressourcen einer Organisation zu erhalten. Hierzu können unzureichende Sicherheitsmaßnahmen, ungepatchte Software oder anfällige Hardware gehören. Es ist wichtig, die Cybersicherheitspraktiken von Lieferanten und Partnern zu bewerten und von ihnen im Rahmen der Lieferanten-Due-Diligence die Einhaltung von Sicherheitsstandards und Best Practices zu verlangen. 

Auch menschliche Faktoren können zu Cyber-Schwachstellen beitragen. Neben Social-Engineering-Angriffen, bei denen Kriminelle einzelne Personen manipulieren und sie zur Preisgabe vertraulicher Informationen zwingen, können auch die Verwendung schwacher Passwörter oder mangelndes Sicherheitsbewusstsein der Mitarbeiter eine Angriffsfläche für Cyberangriffe schaffen. Die Fahrlässigkeit von Insidern, etwa das unbeabsichtigte Herunterladen von Malware oder der Missbrauch vertraulicher Daten – auch wenn dies nicht beabsichtigt ist – kann zu Cyberangriffen führen. 

Wie viele andere Technologien kann KI sowohl für legitime als auch für böswillige Zwecke eingesetzt werden und wird zunehmend von böswilligen Akteuren missbraucht, um ausgeklügelte und schädliche Cyberangriffe durchzuführen. Mithilfe von KI können Software und Systeme auf Schwachstellen geprüft und Daten über potenzielle Ziele gesammelt und analysiert werden. Bei Erkennung von Schwachstellen kann es dann zum Starten von Angriffen verwendet werden. KI kann das Knacken von Passwörtern auch beschleunigen, indem sie Algorithmen des maschinellen Lernens nutzt, um Passwörter effizienter zu erraten. KI-generierte Deepfake-Videos und -Audios können für Social-Engineering-Angriffe verwendet werden. Dabei werden hochrangige Führungskräfte oder andere vertrauenswürdige Personen innerhalb einer Organisation imitiert, um Mitarbeiter zu Handlungen zu manipulieren, die die Sicherheit gefährden. Darüber hinaus demokratisiert der einfache Zugang zu leistungsstarker KI die Cyberkriminalität, indem er die Eintrittsbarrieren für die Durchführung automatisierter Cyberangriffe senkt und es so einem größeren Kreis von Einzelpersonen oder Gruppen erleichtert, sich an Cyberkriminalität zu beteiligen.

Angreifer entwickeln ihre Cyberangriffstechniken ständig weiter und es tauchen regelmäßig neue Angriffsmethoden auf. Darüber hinaus wird bei anhaltenden und gezielten Angriffen häufig mehr als eine Methode eingesetzt. Nachfolgend finden Sie Beispiele für die häufigsten Angriffsvektoren. 

• Bei Man-in-the-Middle-Angriffen (MitM) fängt ein Angreifer die Kommunikation zwischen zwei Parteien ohne deren Wissen oder Einwilligung ab. Dadurch kann der Angreifer das Gespräch belauschen, Informationen stehlen oder sogar die übertragenen Daten manipulieren. MitM-Angriffe können auf verschiedene Arten erfolgen: Ein Angreifer kann die drahtlose Kommunikation in einem öffentlichen Wi-Fi-Netzwerk abfangen oder ein Sitzungsübernahme durchführen, bei dem Angreifer Sitzungscookies oder Token stehlen, um sich als Benutzer auszugeben und unberechtigter Zugriff auf Applications zu erhalten.
• Injektionsangriffe treten auf, wenn Angreifer nicht vertrauenswürdige oder feindselige Daten in Befehls- oder Abfragesprachen einfügen oder wenn vom Benutzer bereitgestellte Daten von der Application nicht validiert, gefiltert oder bereinigt werden, was zur Ausführung bösartiger Befehle führt. Zu den Injektionsangriffen zählen NoSQL-, OS-Befehls-, LDAP- und SQL-Injection-Angriffe sowie Cross-Site Scripting (XSS) , bei dem Angreifer schädliche clientseitige Skripts, beispielsweise JavaScript, in Webseiten einschleusen, die von anderen Benutzern angezeigt werden. Dies kann zum Diebstahl vertraulicher Informationen wie Anmeldedaten, personenbezogener Daten oder Sitzungscookies führen.
• Beim Diebstahl von Anmeldeinformationen werden Benutzernamen und Passwörter gestohlen, häufig durch Techniken wie Keylogging, Credential Stuffing und Password Spraying (Verwendung gängiger Passwörter für viele Benutzerkonten). Kompromittierte Anmeldeinformationen können zu unbefugtem Kontozugriff, Datenverlust und lateraler Bewegung innerhalb eines Netzwerks führen. Angreifer zielen häufig auf schwache oder wiederverwendete Passwörter ab, weshalb robuste Authentifizierungsverfahren von entscheidender Bedeutung sind. Credential Stuffing hat zu einem drastischen Anstieg der Account-Übernahmen (ATO) und Betrugsfälle in allen Branchen geführt, insbesondere im E-Commerce und bei Finanzdienstleistungen.
• Bösartige Websites werden mit der Absicht entwickelt, schädliche Aktionen auszuführen, die Sicherheit der Geräte der Besucher zu gefährden oder sich an illegalen Aktivitäten zu beteiligen. Bösartige Websites können Schwachstellen in Webbrowsern, Plug-Ins oder Betriebssystemen ausnutzen, um ohne Zustimmung oder Wissen des Benutzers unbemerkt Malware auf Geräte herunterzuladen und zu installieren. Dieser Exploit wird oft als „Drive-By-Downloads“ bezeichnet. Schädliche Websites können auch anklickbare Anzeigen hosten, die schädlichen Code oder Links enthalten.
• Über kompromittierte Software können Angreifer unberechtigter Zugriff auf Systeme erlangen, indem sie bekannte Schwachstellen in ungepatchter Software ausnutzen oder Malware in Softwareupdates oder -downloads einschleusen. 

Zum Schutz vor Schwachstellen dieser Art sollten Sie unbedingt strenge Authentifizierungs- und Zugriffskontrollen wie sichere Passwörter oder Passphrasen implementieren und MFA aktivieren, um eine zusätzliche Sicherheitsebene hinzuzufügen. Durch die Anwendung des Prinzips der geringsten Privilegien und die regelmäßige Überprüfung und Aktualisierung der Zugriffskontrollen wird sichergestellt, dass Benutzer nur über die Berechtigungen verfügen, die sie zum Ausführen ihrer Aufgaben benötigen. Sorgen Sie außerdem dafür, dass Software und Systeme stets mit den neuesten Patches ausgestattet sind und führen Sie Schwachstellenanalysen und Penetrationstests durch, um Schwachstellen zu identifizieren und zu beheben. Menschliche Faktoren können einen großen Einfluss auf das Risiko von Cyberangriffen haben. Sorgen Sie daher unbedingt dafür, dass alle Mitarbeiter und Benutzer im Hinblick auf die Cybersicherheit geschult und aufgeklärt werden. Cybersicherheit ist eine gemeinsame Verantwortung, die nicht nur IT-Experten, sondern auch jeden Einzelnen in einer Organisation betrifft. 

Cyberangriffe können sowohl für Einzelpersonen als auch für Organisationen erhebliche und weitreichende Folgen haben. Die unmittelbarsten Auswirkungen können finanzielle Verluste sein, sei es durch Betrug oder Diebstahl durch unberechtigter Zugriff auf die Konten einer Person, oder entgangene Einnahmen, Anwaltskosten und Bußgelder, die einem Unternehmen nach einem Cyberangriff entstehen. Unternehmen können nach einem Angriff auch einen Reputationsschaden erleiden und es kann zu Betriebsunterbrechungen kommen. Zudem kann es zum Diebstahl geistiges Eigentum kommen, der ihre Wettbewerbsfähigkeit und Marktposition beeinträchtigt. Im Falle von Ransomware-Angriffen stehen Organisationen möglicherweise vor der schwierigen Entscheidung, ob sie ein Lösegeld zahlen sollen, um verschlüsselte Daten wiederherzustellen. Dies gilt insbesondere, da die Lösegeldzahlung keine Garantie für die Wiederherstellung der Daten darstellt und weitere Angriffe fördern kann. 

Wie die folgenden Beispiele verdeutlichen, ist die Bedrohung durch Cyberangriffe in zahlreichen Branchen und Unternehmenstypen vorhanden. 

• Ende 2022 manipulierten Angreifer eine API bei T-Mobile und drangen in 37 Millionen Benutzerkonten ein, um an Kundennamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern, Kontonummern und Geburtsdaten zu gelangen. Der Angreifer, der über einen Monat lang unberechtigter Zugriff auf die Systeme von T-Mobile hatte, bevor der Verstoß entdeckt wurde, wurde nicht identifiziert. 
• Im März 2023 starteten russische Hacker Social-Engineering-Kampagnen, die sich gegen US-amerikanische und europäische Politiker, Geschäftsleute und Prominente richteten, die Wladimir Putins Invasion in der Ukraine öffentlich verurteilt hatten. Hacker überredeten ihre Opfer, an Telefon- oder Videoanrufen teilzunehmen, indem sie ihnen irreführende Hinweise gaben, um pro-Putin- oder pro-russische Soundbites zu erhalten. Sie veröffentlichten diese, um frühere Anti-Putin-Aussagen der Opfer zu diskreditieren.  
• Im Juni 2023 führte ein DDoS-Angriff zu einer über 8-stündigen Störung der Microsoft 365-Dienste , darunter Outlook, Teams, OneDrive und der Cloud-Computing-Plattform Azure. Laut Microsoft wurde der Angriff von einer Gruppe namens Storm-1359 gesteuert, die Zugriff auf eine Sammlung von Botnetzen und Tools hat, mit denen der Bedrohungsakteur DDoS-Angriffe von mehreren Cloud-Diensten und offenen Proxy-Infrastrukturen aus starten kann. Der Angriff zielte auf die Application (Schicht 7) des Netzwerkstapels und nicht auf die am häufigsten angegriffenen Schichten 3 oder 4.

Da die Bedrohungen für die Cybersicherheit immer ausgefeilter und hartnäckiger werden und die Folgen von Cyberangriffen immer katastrophaler werden, müssen Unternehmen von der Verwendung fragmentierter, punktbasierter Sicherheitstools zu einem umfassenden, integrierten Ansatz für die Vorbereitung auf die Cybersicherheit übergehen, der die gesamte Angriffsfläche abdeckt. Zum Schutz von Identitäten, Geräten, Netzwerken, Infrastrukturen, Daten und Applications in einer dynamischen Multi-Cloud-Umgebung, die moderne Architekturen, auf Mikrodiensten basierende Edge-Workloads und Drittanbieterintegrationen nutzt, ist ein neuer Sicherheitsansatz erforderlich. 

F5 bietet eine Reihe integrierter Cybersicherheitslösungen , die den Schutz sowohl bei älteren als auch bei modernen Apps maximieren und das Risiko reduzieren sowie Sicherheitsrichtlinien in allen Umgebungen automatisieren. Die auf KI und ML basierenden Sicherheitslösungen von F5 ermöglichen adaptivere und reaktionsschnellere Sicherheitsmaßnahmen zur Verbesserung der Bedrohungserkennung, zur Automatisierung der Reaktion auf Vorfälle und zur Analyse riesiger Datensätze , um Muster und Anomalien zu erkennen, die auf Cyber-Verstöße hinweisen, und um sich gegen neu auftretende Bedrohungen zu verteidigen. 

Die Sicherheitslösungen von F5 mindern Schwachstellen und Cyberbedrohungen durch umfassende Sicherheitskontrollen sowie einheitliche Richtlinien und Beobachtungsmöglichkeiten, einschließlich einer vereinfachten Bereitstellung und Verwaltung der App-Sicherheit in verschiedenen Umgebungen. Mit F5 können Unternehmen umfassende Sicherheit einschließlich Web Application Firewall (WAF) , Abwehr von Distributed Denial-of-Service (DDoS)-Angriffen , API-Sicherheit und Bot-Abwehr auf einer einzigen, speziell entwickelten Plattform nutzen, die sich problemlos auf Multi-Cloud- und Edge-Umgebungen skalieren lässt. Eine ganzheitliche Governance-Strategie und ein zentrales Control Panel reduzieren die betriebliche Komplexität, optimieren die Application und erhöhen die Sicherheitswirksamkeit Ihrer Investitionen durch die Überwachung des End-to-End Application und der Ereignisse.