CYBER THREAT INTELLIGENCE

Überblick über Cybergefahren 2024

10 min

Mit Beginn des Jahres 2024 rechnen wir mit einem Jahr, das einige bedeutende Präzedenzfälle schaffen wird. In diesem Blogbeitrag stellen wir unseren Threatscape-Bericht vor, der unsere Prognosen für die globalen Bedrohungen präsentiert, die im kommenden Jahr vor uns liegen. Diese basieren auf den von uns beobachteten Trends mit dem Ziel, Entscheidungsträgern auf allen Ebenen Erkenntnisse für proaktive Schutzmaßnahmen zu liefern.

In Kürze:

  • Wir rechnen mit einer Zunahme von Cyberangriffen, die Informationskampagnen stärken. Solche Angriffe zielen wahrscheinlich darauf ab, Botschaften zu verstärken, Daten zu beschaffen und zu nutzen, Gegenmaßnahmen zu behindern oder Angst zu schüren.
  • Bis ins Jahr 2024 gehen wir davon aus, dass die Grenzen zwischen Hacktivistengruppen und staatlich geförderten Akteuren immer undeutlicher werden.
  • Wir gehen davon aus, dass anhaltende Konflikte dazu führen werden, dass Cyber-Angriffe direkter und offizieller den Akteuren zugeschrieben werden.
  • Wir erwarten verschiedene Vergeltungs- und Abschreckungsmaßnahmen gegen Cybersicherheitsexperten in Form von Cyberangriffen, rechtlichen Schritten oder IO-Kampagnen (Information Operations).
  • Wir gehen davon aus, dass die tiefe, unkontrollierte Integration großer Technologie-KI eine neue Angriffsfläche bieten wird, während schnelllebige Open-Source-Initiativen leistungsfähiger werden.
  • Zerstörerische Malware spielt eine entscheidende Rolle und wir gehen davon aus, dass traditionelle Techniken der elektronischen Kriegsführung (EW) wie Jamming immer weiterverbreitet werden.
  • Angesichts der umfangreichen und ausgereiften Sammlung mobiler Malware und Exploit-Tools wäre das Auftauchen eines weit verbreiteten zerstörerischen mobilen Wurms im Jahr 2024 für uns keine Überraschung.

Mehr Cyber-Informationsoperationen, die die öffentliche Meinung beeinflussen (und mehr Cyber-Angriffe zur Unterstützung solcher Operationen)

Wie zahlreiche öffentlich dokumentierte Fälle wie Ghostwriter, die Verbreitung von COVID-19-Fehlinformationen und Doppelgänger belegen, ist der Einsatz von Informationsoperationen (IO), die soziale Netzwerke nutzen, um die öffentliche Meinung zu beeinflussen, zu einer gängigen Taktik zur Unterstützung politischer und/oder internationaler Organisationen geworden. Bemerkenswert ist, dass einigen dieser Operationen, darunter GRIZZLY STEPPE und MacronLeaks, Cyberangriffe vorausgingen oder unterstützt wurden. 

Für das Jahr 2024 erwarten wir einen deutlichen Anstieg der Informationsmaßnahmen, die darauf abzielen, die öffentliche Meinung zu wichtigen globalen Ereignissen zu beeinflussen. Dazu gehören anhaltende Konflikte in Israel und der Ukraine, kritische Wahlen wie die US-Präsidentschaftswahl 2024, die russischen Nationalwahlen und die Wahlen zum Europäischen Parlament sowie die Olympischen Spiele 2024 in Paris, insbesondere angesichts des Ausschlusses Russlands, der voraussichtlich ähnliche Reaktionen hervorrufen wird zum „Olympic Destroyer“-Vorfall.

Hacktivist dient als Erweiterung staatlich geförderter Cyber-Fähigkeiten

Wir gehen davon aus, dass die Unterscheidung zwischen Hacktivistengruppen und staatlich geförderten Akteuren im Jahr 2024 weiter verschwimmen wird. Fälle wie Anonymous Sudan haben keine Verbindungen zur ursprünglichen Gruppe hinter OpSudan aus dem Jahr 2019 und arbeiten mit Killnet zusammen, das selbst angibt, „unabhängige Operationen“ gegen westliche Ziele durchzuführen und die Gegenmaßnahmen der „IT-Armee der Ukraine“ haben das Internationale Komitee vom Roten Kreuz dazu veranlasst, ein Regelwerk für „zivile Hacker“ zu entwerfen. Hacktivismus wird zunehmend als akzeptable – oder sogar unterstützte und durch Crowdsourcing finanzierte – Form des Cyber-Engagements angesehen. Diese Wahrnehmung ist für Staaten insbesondere in Konflikten von Vorteil, da sie dadurch auf eine vielseitige Reserve an Cyber-Fähigkeiten zurückgreifen oder sogar ihre eigenen Operationen verschleiern können. Gleichzeitig erschwert es Vergeltungsmaßnahmen gegen solche Aktionen, da sie möglicherweise als unabhängige Initiativen von Zivilisten eingestuft werden.

Direktere Zuordnung von Cyberangriffen

In jüngster Zeit gab es einen bemerkenswerten Wandel, als der ukrainische Militärgeheimdienst offen zugab, einen Cyberangriff auf das russische Steuersystem begangen zu haben, was eine Abkehr von der Norm darstellt, dass Angreifer ihre Identität verbergen. Diese transparente Selbstzuschreibung und der anhaltende Trend des „Naming and Shaming“ deuten auf eine Zukunft mit weniger Zögern hin, die Täter von Cyberangriffen öffentlich zu identifizieren. Darüber hinaus kann die Zuordnung von Cyberangriffen während Konflikten einfacher erscheinen, da die Interessen und Positionen der Konfliktparteien oft eindeutig sind. Die Tatsache, dass die Ukraine offen die Verantwortung für Angriffe auf Russland übernimmt, unabhängig davon, ob diese Aktionen unabhängig waren oder nicht, löst eine Debatte über das Konzept der „verhältnismäßigen Reaktion“ der angegriffenen Einheiten aus.

Staatlich geförderte Akteure üben Vergeltungsmaßnahmen gegen Cybersicherheitsorganisationen und -praktizierende

Die Fähigkeiten des privaten Sektors im Bereich Cybersicherheit entwickeln sich kontinuierlich weiter und ermöglichen die Erkennung ausgefeilter Cyberoperationen, die militärische Ziele in Kriegszeiten unterstützen könnten. Dies kann dazu dienen, militärische Aktionen zu behindern. Darüber hinaus werden diese Bemühungen des Privatsektors häufig als Beitrag zu militärischen Kriegsstrategien durch den Schutz einsatzkritischer Vermögenswerte angesehen, bis hin zu dem Punkt, dass ihnen gelegentlich vorgeworfen wird, von Geheimdiensten bereitgestellte Informationen gewaschen zu haben. Darüber hinaus können Verteidiger, wenn sie Cyberangriffe aufdecken, die monatelangen Anstrengungen und Gelder (z. B. Steuergelder), die Angreifer in die Entwicklung dieser böswilligen Operationen investiert haben, effektiv zunichtemachen.

Folglich können Staaten oder staatlich geförderte Akteure, insbesondere in Konfliktzeiten, zunehmend Cybersicherheitsorganisationen und -praktiker ins Visier nehmen. Bemerkenswerte Vorfälle wie die Triangulationsaffäre, der NOBELIUM-Verstoß gegen FireEye und neuerdings Microsoft sowie die Aufnahme von Cybersicherheitsexperten in die „Persona non grata“-Liste der ukrainischen Regierung im Jahr 2023 verdeutlichen bereits diesen Trend, Cybersicherheitsunternehmen ins Visier zu nehmen und Forscher als solche zu betrachten legitime Ziele der Spionageabwehr. Mit Blick auf die Zukunft rechnen wir im kommenden Jahr mit einem breiteren Spektrum an Vergeltungsmaßnahmen gegen Cybersicherheitsexperten. Dazu können Cyberangriffe, rechtliche Schritte, Abschreckungsstrategien und psychologische Operationen gehören.

Eskalierende zerstörerische Angriffe und die Wiederbelebung von Störtaktiken

Wir beobachten einen Anstieg des Einsatzes zerstörerischer Schadsoftware, die zunehmend als nichtkinetische Waffe in Konflikten eingesetzt wird. Diese politisch motivierten Angriffe, sei es durch staatliche Akteure oder Hacktivisten- und Crimeware-Gruppen, unterstreichen, wie wichtig es ist, die Motive hinter Cyberangriffen zu verstehen, um eine genaue Zuordnung zu ermöglichen.

In ähnlicher Weise hat der anhaltende Krieg in der Ukraine und Russland die Aufmerksamkeit auf den strategischen Einsatz von Drohnen zur Truppenprojektion und -überwachung gelenkt, um die Gefährdung an der Front zu minimieren. In Europa bereiten sich Strafverfolgungs- und Sicherheitsdienste darauf vor, Drohnen zur Überwachung und Festnahme von Menschenmengen einzusetzen, insbesondere bei Großveranstaltungen wie den bevorstehenden Olympischen Spielen in Frankreich. Da Drohnen sowohl im Alltag als auch in militärischen Konflikten immer wichtiger werden, rechnen wir mit verstärkten Bemühungen, Techniken zur Entführung und Blockierung von Drohnen zu entdecken und zu nutzen. Dieses Wiederaufleben der traditionelleren elektronischen Kriegsführung könnte dazu führen, dass diese Methoden zugänglicher und verbreiteter werden.



Weitere Angriffe nutzen Off-Radar-Geräte wie SOHO-Geräte

Da sie weniger überwacht, schwierig zu patchen und aus Sicht der Cybersicherheit schlecht verwaltet werden, sind bestimmte Geräte für Angreifer von besonderem Interesse: Die Kontrolle über sie könnte eine langfristig zu leugnende Infrastruktur oder einen heimlichen Stützpunkt im Zielbereich bieten.  

Zu diesen Geräten gehören SOHO-Geräte (Small Office/Home Office), Firewalls und Router. Einige öffentlich dokumentierte Fälle (wie APT31, APT28, LuoYu oder Volt Typhoon) zeigen, dass solche SOHO-Geräte bereits kompromittiert und von fortgeschrittenen Bedrohungsakteuren als Proxy-Infrastruktur genutzt werden. Wir erwarten weitere Untersuchungen und Erkenntnisse, die eine weitere Nutzung solcher Geräte belegen.

Zerstörerische Angriffe auf Smartphones

Die Ausnutzung von Remote-Schwachstellen wurde bereits in zerstörerische Malware und Ransomware integriert und verleiht ihnen Selbstreplikationsfähigkeiten, was zu weitverbreiteten Ausbrüchen wie WannaCry und NotPetya führt.  

Solche katastrophalen Szenarien wurden teilweise durch die Offenlegung staatlich geförderter Tools zur Ausnutzung von Sicherheitslücken (z. B. ShadowBroker) ermöglicht, die anschließend von anderen Unternehmen zweckentfremdet wurden. Wir befürchten, dass die aktuelle Landschaft über eine ausreichende Anzahl fortschrittlicher Möglichkeiten zur Ausnutzung von Schwachstellen verfügt, wie beispielsweise Veröffentlichungen im Zusammenhang mit der NSO Group zeigen. Dies erhöht das Potenzial für ein ähnliches Szenario im Bereich Smartphones: Das Auftauchen einer fortgeschrittenen, aus der Ferne ausnutzbaren Sicherheitslücke, unabhängig davon, ob sie öffentlich oder privat bekannt gegeben wird, könnte von böswilligen Akteuren ausgenutzt werden, um zerstörerische Payload auf Smartphones weltweit zu verbreiten.

Der Aufstieg von Open-Source-KI-Modellen und die wachsende Angriffsfläche für KI

Das Jahr 2023 stand im Zeichen der KI-Explosion, in der ChatGPT der Ground Zero war.

Diese großen Sprachmodelle werden tief in alltägliche Tools, Produkte und Dienstleistungen integriert, was es immer schwieriger macht, ihre Verwendung rückwirkend zu regulieren. Es wird immer deutlicher, dass diese schlecht organisierten KI-Modelle eine unbekannte Angriffsvektor geschaffen haben, ähnlich wie bei herkömmlicher Software as a Service. Mit dem Aufkommen von Prompt-Injection-Angriffen, die es Dritten ermöglichen, Unternehmens-Chatbots für unerwartete Aktionen oder die Offenlegung von Daten zu kapern, wird erwartet, dass im kommenden Jahr weitere Schwachstellen aufgedeckt und ausgenutzt werden.

Während immer mehr Produkte von Technologiegiganten stammen, ist es die dynamische Open-Source-Community, die wesentliche Beiträge auf diesem Gebiet leistet und an der Entwicklung von Modellen und Tools arbeitet, die dann der breiten Öffentlichkeit frei zugänglich gemacht werden. Diese Community kommt mit der Veröffentlichung hausgemachter, fein abgestimmter Variationen von Open-Source-Modellen schnell voran, und 2024 könnte das Jahr sein, in dem Enthusiasten damit beginnen, benutzerdefinierte ChatGPT-ähnliche Systeme auf persönlichen Servern und Computern und möglicherweise Smartphones bereitzustellen.

Eine sich ständig anpassende und ständig wachsende Ransomware-Bedrohung

Von Bandenumstrukturierungen bis hin zur Wiederbelebung von Botnetzen, innovativen Kooperationsmodellen, neuen Erpressungstechniken, fortschrittlichere Techniken und Umgehungen von Sicherheitstools – das lukrative Ransomware-Ökosystem verursacht weiterhin Schäden wie am Schnürchen.

Von Bandenumstrukturierungen bis hin zur Wiederbelebung von Botnetzen, innovativen Kooperationsmodellen, neuen Erpressungstechniken, fortschrittlichere Techniken und Umgehungen von Sicherheitstools – das lukrative Ransomware-Ökosystem verursacht weiterhin Schäden wie am Schnürchen.

Angesichts der globalen Inflation, der Wirtschaftssanktionen gegen Staaten, Unternehmen und Einzelpersonen sowie der anhaltenden Kriege und politischen Konflikte gibt es noch größere Anreize, das Ransomware-Modell als Abschreckungsinstrument, Einnahmequelle oder zerstörerische Waffe einzusetzen.

Wir gehen davon aus, dass die Ransomware-Bedrohung weiter zunehmen wird und neben den bestehenden Taktiken möglicherweise auch neue Erpressungsmethoden eingeführt werden, etwa die Meldung von Datenschutzverstößen an Behörden und die Androhung von DSGVO-Bußgeldern. Diese Entwicklungen könnten die Bedrohung durch Ransomware weiter auf ein Niveau ansteigen lassen, das mit staatlich geförderten Cyberangriffen vergleichbar ist.

Kritische Infrastrukturen im Fadenkreuz und die Notwendigkeit von Schutzmaßnahmen und -bestimmungen

Der Angriff auf das KA-SAT-System gleich am ersten Tag des Ukraine-Russland-Konflikts hat gezeigt, wie anfällig Satellitenkommunikationsinfrastrukturen für Angriffe während eines Krieges sind und dass die damit verbundenen Auswirkungen weit über das unmittelbare Konfliktgebiet hinausgehen können.

Bestehende nationale Rahmenregelungen zum Schutz kritischer Infrastrukturen könnten sich als unzureichend erweisen, um solchen Risiken zu begegnen. Wir gehen davon aus, dass Staaten und internationale Organisationen den Schutz kritischer Infrastrukturen im Lichte dieser Entwicklungen neu bewerten werden. Dies könnte die Schaffung eines koordinierten internationalen Rahmens oder umgekehrt eine verstärkte Konzentration auf den Schutz nationaler Infrastrukturen bedeuten.

Die bestehenden nationalen Rechtsrahmen für den Schutz kritischer Infrastrukturen könnten sich als unzureichend erweisen, um solchen Risiken zu begegnen. Wir gehen davon aus, dass Staaten und internationale Organisationen den Schutz kritischer Infrastrukturen im Lichte dieser Entwicklungen neu bewerten werden. Dies könnte durch die Einführung länderübergreifender Verträge oder umgekehrt durch eine stärkere Fokussierung auf den Schutz lokaler Infrastrukturen geschehen.