Die Demokratisierung der Cyberkriminalität
Der Schweizer Security-Spezialist Nevis nennt fünf Sicherheitstrends, auf die sich Unternehmen vorbereiten sollten. Jeder dieser Trends erlangt gerade dadurch Brisanz, dass der Zugang zu wirksamen Angriffsmethoden inzwischen immer leichter wird.
1. Kritische Infrastrukturen bleiben im Visier von Cyberkriminellen
Gerade hochsensible Infrastrukturen wie das Gesundheitswesen oder die Energieversorgung werden 2023 von Cyberkriminellen noch stärker attackiert werden. Auffallend ist, dass die Angriffe häufiger, schneller und fokussierter werden. Der Grund dafür ist nicht nur die zunehmende Professionalisierung der Hacker, sondern auch der Trend zu Cybercrime-as-a-Service (CaaS). Damit wird es auch für Hobbykriminelle einfacher, ihre eigenen Angriffe zu entwickeln und dadurch Profit zu machen.
2. Neue Regulierungen auf dem Weg
Ende dieses Jahres hat sich das Europäische Parlament mit den Mitgliedsstaaten der EU auf einen Rahmen (NIS 2) geeinigt, der das Netz und Informationssysteme besser vor Cyberattacken schützen soll. Die Staaten haben dann 21 Monate Zeit, NIS 2 in nationales Recht umzusetzen. Mit NIS 2 werden Mindestanforderungen zur Zusammenarbeit zwischen den Ländern geschaffen und diese so harmonisiert. Auch hier steht die kritische Infrastruktur im Fokus. Andere Unternehmen müssen ebenfalls auf Grundlage des neuen Rahmens ihre Sicherheitsmaßnahmen nachbessern und Behörden innerhalb von 24 Stunden nach einem Vorfall einen Bericht zur Verfügung stellen.
3. IT-Fachkräftemangel macht den Unternehmen nach wie vor zu schaffen
Laut der Cybersecurity Workforce Studie 2022 fehlten im Bereich IT-Sicherheit im Vergleich zu 2021 mehr als 26 Prozent der Sicherheitsexperten. In Zahlen ausgedrückt, brauchen Unternehmen 3,4 Millionen zusätzliche Arbeitskräfte. Gleichzeitig nehmen Cyberattacken zu. So verschärft sich im nächsten Jahr die Lage weiter, da Sicherheitslücken zu spät oder gar nicht geschlossen werden können, da diese schlichtweg übersehen werden. Um diesen Herausforderungen zu begegnen, sollten Unternehmen junge Nachwuchstalente einstellen, auch wenn diese noch über geringe Berufserfahrung verfügen. Zudem eignen sich Schulungen und Weiterbildungen, wenn Firmen neue Sicherheitsstandards und Regularien rechtzeitig implementieren wollen.
4. Social-Engineering wird verstärkt Banken treffen
Social-Engineering-Attacken sind oft nur der Anfang eines größer angelegten Cyberangriffs. Eine hohe Gefahr geht von sogenannten Social-Engineering-Attacken in Echtzeit aus. Hier ruft zum Beispiel ein vermeintlicher Bankmitarbeiter oder eine angeblich staatliche Organisation einen Kunden an und drängt diesen, sein Geld auf ein „sicheres“ Konto zu überweisen. Da der Kunde das Geld selbst überweist, ist es für die echte Bank nur schwer zu erkennen, dass in diesem Fall ein Betrugsdelikt vorliegt. Aber auch die Anzahl von Identitätsdiebstählen und Kontoübernahmen für kriminelle Zwecke wird 2023 ansteigen, da sich auch hier die Cyberkriminellen professionalisieren.
5. Deepfakes als neue Gefahr
Laut Europol und FBI geht eine ernsthafte Gefahr von Deepfakes aus. Auch wenn diese noch nicht so ausgereift sind, dass sie als massentauglich eingeschätzt werden, wird die Technologie zukünftig von Cyberkriminellen missbraucht werden, um ihre Betrugsszenarien noch authentischer zu gestalten. Es gibt bereits Fälle, in dem gefälschte Videos oder auch Voice-overs durch Deepfake zum Einsatz kamen und so Know-Your-Customer-Prozesse (KYC) ausgehebelt wurden. Da die Technologie sich auch hier immer weiter entwickelt, ist es nur eine Frage der Zeit, bis diese von Cyberkriminellen genutzt wird. Denn die technischen Grundlagen sind vorhanden und der Quellcode, um ein Deepfake zu erzeugen, ist öffentlich zugänglich.