Trending Topics Cybersicherheit – November 2023

Die Cybersicherheitslage in Deutschland ist nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin angespannt. BSI-Präsidentin Claudia Plattner sprach bei der Vorstellung des jüngsten BSI-Berichts zur Lage der IT-Sicherheit in Deutschland von einer „besorgniserregenden Bedrohungslage“. Im Berichtszeitraum hat das BSI täglich rund 250.000 neue Varianten von Schadprogrammen und 21.000 mit Schadsoftware infizierte Systeme registriert. Hinzu kommen durchschnittlich 70 neue Sicherheitslücken pro Tag, von denen jede zweite als hoch oder kritisch eingestuft wird. Das entspricht einer Steigerung von 24 Prozent gegenüber dem Vorjahr.

Grundsätzlich gingen Angreifer zunehmend professioneller vor, was sich in vermehrt arbeitsteiligen Prozessen und dem gezielten Einsatz von KI-Werkzeugen zeige, so das BSI. Ransomware stelle weiterhin die gefährlichste Angriffsart mit dem größten Schadpotenzial dar. Ransomware-Attacken richten sich sowohl gegen Unternehmen als auch gegen Verwaltungen, Kommunen und kommunale Betriebe. Zusätzlich werden insbesondere öffentliche Einrichtungen immer wieder von DDoS-Angriffen beeinträchtigt.

Im November traf es beispielsweise zwölf Gemeinden in Schwaben, die nach einer Attacke auf ihren gemeinsamen IT-Dienstleister mit erheblichen Serviceeinschränkungen zu kämpfen hatten. Weitere Cyberangriffe führten zu Störungen bei der Deutschen Energie-Agentur, bei ChatGPT, beim Warenhaus KaDeWe und bei Toyota Financial Services.

Die Top-Themen der IT-Sicherheit im November:

BSI-Lagebericht: Bedrohung durch Cyberkriminelle so groß wie nie

Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, bezeichnete die aktuelle Cybersicherheitslage bei der Vorstellung des Berichts als „besorgniserregend“. Angreifer gehen immer professioneller vor. Im Berichtszeitraum hat das BSI durchschnittlich an jedem Tag rund 250.000 neue Schadsoftware-Varianten registriert.

Kommunen und Verwaltungen zunehmend im Visier von Cyberkriminellen

Laut eines Berichts des Fachmagazins Protector äußert sich die allgemein verschärfte Cyberbedrohungslage vor allem auch in der steigenden Zahl von Angriffen auf kommunale Einrichtungen und Verwaltungen. Gerade kleinere Gemeinden sind beliebte Ziele, weil sie aufgrund mangelnder personeller und finanzieller Ressourcen oft nicht über eine ausreichende IT-Sicherheit und Cyberabwehr verfügen.

Vier von fünf Mittelständler sind nicht ausreichend gegen Cyberangriffe geschützt

Nur 78 Prozent der kleinen und mittleren Unternehmen (KMUs) erfüllen alle grundlegenden technischen IT-Sicherheitsmaßnahmen. Das ist das Ergebnis einer Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Die Risikowahrnehmung ist aber offenbar eine andere: Denn 80 Prozent der befragten Entscheider halten ihr Unternehmen für ausreichend geschützt.

Neue Masche: Cybererpresser setzen versäumte Meldepflichten als Druckmittel ein

Gesetzliche Regularien wie die DSGVO schreiben bei Cyberangriffen eine Meldepflicht gegenüber Aufsichtsbehörden vor. Kommen angegriffene Unternehmen dieser Pflicht nicht nach, drohen Bußgelder. Diesen Umstand machen sich neuerdings Cybererpresser zunutze: Kommt ein angegriffenes Ziel seiner Meldepflicht nicht fristgemäß nach, informieren die Kriminellen die zuständige Aufsichtsbehörde selbst über die erfolgte Attacke und die unterbliebene Meldung.

Angriff auf IT-Dienstleister in Schwaben: Zwölf Gemeinden betroffen

Aufgrund einer Cyberattacke auf den Zweckverband gemeindliche Datenverarbeitung des Landkreises Neu-Ulm sind die kommunalen Dienstleistungen von zwölf angeschlossenen Gemeinden stark eingeschränkt. Die Angreifer forderten Lösegeld. Erst Ende Oktober hatte eine ähnliche Attacke über 70 Kommunen in Südwestfalen lahmgelegt.

OpenAI: DDoS-Angriffe sorgen wiederholt für Ausfälle von ChatGPT

Im November kam es wiederholt zu Ausfällen des KI-Chatbots ChatGPT. Der Betreiber OpenAI führte die wiederkehrenden Störungen auf DDoS-Attacken zurück, die sowohl ChatGPT selbst als auch die zugehörige API betrafen. Kurz darauf behauptete die Gruppe Anonymous Sudan via Telegram, für die angriffsbedingten Ausfälle verantwortlich zu sein.

Deutsche Energie-Agentur nach Cyberangriff arbeitsunfähig

Kriminelle haben die Serverinfrastruktur der Deutschen Energie-Agentur (Dena) attackiert. Als Folge war das Unternehmen nach eigenen Angaben „technisch weitgehend arbeitsunfähig“ und weder per Telefon noch per Mail erreichbar. Bei dem Angriff sind offenbar auch Daten abgeflossen, eventuell sogar sensible Informationen wie Kontoverbindungen.

Als Reaktion auf Cyberattacke: Targobank sperrt Zugang zu tausenden Kundenkonten

Nachdem die Targobank unberechtigte Zugriffsversuche auf Kundenkonten festgestellt hatte, blockierte sie den Online-Banking-Zugang tausender Kund:innen. Die rund 6.000 Betroffenen mussten sich neue Zugangsdaten besorgen, um wieder via App oder Website auf ihre Konten zugreifen zu können. Weiterer Schaden soll nicht entstanden sein.

Berliner Luxuskaufhaus stellt nach Cyberangriff auf Offline-Notbetrieb um

Das Kaufhaus des Westens (KaDeWe) in Berlin wurde Anfang November zum Ziel einer Cyberattacke, die jedoch in einem frühen Stadium abgewehrt werden konnte. Dennoch wurden als Vorsichtsmaßnahme alle IT-Systeme vorübergehend in einen Offline-Notbetrieb versetzt. In der Folge war für Kunden zeitweise nur Barzahlung möglich. Hinter dem Angriff steckte nach Angaben der KaDeWe Group die Ransomware-Gruppe Play.

Ransomware-Angriff auf US-Tochter von chinesischer Großbank

Nach einer Ransomware-Attacke musste eine US-Tochtergesellschaft der größten chinesischen Bank ICBC betroffene Systeme vorübergehend herunterfahren und isolieren. Laut Financial Times konnten einige Transaktionen in der Folge nicht ausgeführt werden. Dies hatte zwischenzeitlich auch bis zu einem gewissen Grad Auswirkungen auf die Liquidität des Marktes für US-Staatsanleihen.

Cybererpresser fordern Millionenbetrag von Toyota

Bei einem Angriff auf die deutsche Niederlassung der Toyota Financial Services (TFS) haben Cyberkriminelle offenbar Daten entwendet, für die sie im Anschluss ein Lösegeld von 8 Millionen US-Dollar verlangten. Bei den gestohlenen Informationen handelt es sich unter anderem um Finanzdokumente, Einkaufsrechnungen, Verträge, Benutzer-IDs und Passwörter.

Angreifer infizieren MySQL-Server und Docker Hosts mit DDoS-Malware

Sicherheitsforscher haben davor gewarnt, dass Angreifer derzeit versuchen, MySQL-Server und Docker Hosts mit der Malware „Ddostf“ zu infizieren, um sie anschließend als Bots für DDoS-Angriffe zu missbrauchen. Die Kriminellen scannen das Internet zunächst nach öffentlich verfügbaren MySQL-Servern, die den TCP-Port 3306 nutzen. Dann kompromittieren sie die Server, indem sie schwache Passwörter knacken oder bekannte Sicherheitslücken ausnutzen.

„Elex 23“: EU führt Cybersicherheitsübung zur kommenden Europawahl durch

EU-Institutionen und Mitgliedsstaaten haben in der gemeinsamen Sicherheitsübung „EU Elex 23“ Krisen- und Reaktionspläne für mögliche Cybervorfälle bei den Europawahlen im kommenden Jahr getestet. "Die europäische Demokratie und insbesondere die Europawahlen sind ernsthaften hybriden Bedrohungen ausgesetzt", kommentierte Dita Charanzová, Vizepräsidentin des EU-Parlaments. Dazu zählen Cyberangriffe und Desinformation.

Strafverfolgern gelingt Schlag gegen Ransomware-Gruppe

Ermittlungsbehörden aus sieben Ländern haben in Kooperation mit Europol und Eurojust in der Ukraine mehrere mutmaßliche Mitglieder der Ransomware-Gruppe Hive festgenommen. Einem der Tatverdächtigen wird eine führende Rolle in der Cybercrime-Organisation zugeschrieben. Die Gruppe soll in 71 Ländern über 250 Server von großen Unternehmen verschlüsselt und dadurch Schäden von hunderten Millionen Euro verursacht haben.

EZB plant Cyber-Stresstest für europäische Banken

Die Europäische Zentralbank (EZB) will Anfang nächsten Jahres einen Stresstest durchführen, um zu prüfen, wie gut europäische Banken auf Cyberattacken vorbereitet sind. Mehr als 100 von der EZB regulierte Institute werden sich mit einem konkreten Krisenszenario beschäftigen und darauf gemäß der geltenden Regulatorik reagieren müssen. Entsprechend sollten sich die Banken schon jetzt fachlich sowie technisch auf den Cyber-Stresstest vorbereiten.

FBI schaltet Botnet-Proxy-Netzwerk IPStorm ab

Dem FBI ist es gelungen, die Infrastruktur des Botnetzes IPStorm auszuschalten, das in den vergangenen Jahren tausende Systeme in Asien, Europa, Nord- und Südamerika infiziert haben soll. Die gekaperten Geräte wurden zu Proxy-Servern umfunktioniert und über zwei Websites an Personen vermietet, die ihre Internetaktivitäten verschleiern wollten. Der Betreiber, der sich inzwischen schuldig bekannt hat, soll damit mindestens 550.000 US-Dollar verdient haben.

CVSS 4.0: Bewertungssystem für Sicherheitslücken aktualisiert

Das Common Vulnerability Scoring System (CVSS) zur Bewertung von IT-Sicherheitslücken liegt jetzt in Version 4.0 vor. Das CVSS dient IT-Verantwortlichen als Einschätzungshilfe für die Bedrohungslage. Der höchstmögliche Score von 10 gilt etwa für kritische Sicherheitslücken, die aus der Ferne ohne Authentifizierung zum Einschleusen von Schadcode ausgenutzt werden können. In Version 4.0 wurden unter anderem die Metriken zur Berechnung des Scores verändert, um das tatsächliche Risiko besser abzubilden.