Moderne Cyberangriffe sind selten isolierte Vorfälle. Viel häufiger sind sie Teil von anhaltenden Kampagnen, die von hartnäckigen Bedrohungsakteuren durchgeführt werden. Sobald Angreifer eine Umgebung erfolgreich kompromittiert haben, kehren sie häufig zurück, entweder weil sie immer noch Zugang haben oder weil die Schwachstellen, die den Einbruch ermöglicht haben, weiterhin ausgenutzt werden können. Wie alle Kriminellen neigen sie dazu, den Weg des geringsten Widerstands zu wählen. Wenn die Verteidigungsmaßnahmen einer Organisation schwach oder schlecht überwacht erscheinen, wird sie zu einem attraktiveren Ziel als eine Organisation mit stärkeren Sicherheitskontrollen und sichtbaren Erkennungsfunktionen.

Wenn ein Unternehmen bereits einmal angegriffen wurde, ist die Wahrscheinlichkeit groß, dass es erneut zum Ziel wird. Für die Entwicklung einer wirksamen Cybersicherheitsstrategie ist es wichtig zu verstehen, warum Cyberangriffe immer wieder vorkommen.

Das Ausmaß und die Hartnäckigkeit von Cyberangriffen

Cyberangriffe finden weltweit in enormem Ausmaß statt. Branchenuntersuchungen zufolge ereignen sich täglich mehr als 2.200 Cyberangriffe, was ungefähr einem Angriff alle 39 Sekunden entspricht. Dies spiegelt die zunehmende Automatisierung und Industrialisierung der Internetkriminalität wider.

Noch besorgniserregender ist, wie häufig Unternehmen mehr als einmal angegriffen werden.

Eine Untersuchung mehrerer Bedrohungsdatenberichte zeigt ein klares Muster:

    • 56 % der Unternehmen waren innerhalb von zwei Jahren von mehr als einem Ransomware-Angriff betroffen.
    • 38 % der Ransomware-Opfer geben an, mehrfach angegriffen worden zu sein.
    • Bis zu 80 % der Unternehmen, die ein Lösegeld gezahlt haben, wurden erneut angegriffen, manchmal von demselben Bedrohungsakteur.
    • Bei einem von drei Ransomware-Opfern kommt es nach dem ersten Angriffzu einem erneuten Angriff.

Diese Zahlen verdeutlichen eine wichtige Realität der modernen Cyberkriminalität: Sobald Angreifer wissen, dass ein Unternehmen angegriffen werden kann, wird es zu einem bekannten und attraktiven Ziel.

Aus der Sicht des Angreifers ist die Rückkehr zu einer bereits kompromittierten Organisation mit weitaus weniger Aufwand verbunden als die Suche nach einem neuen Opfer.

Angreifer verschwinden selten, wenn sie einmal Zugang erhalten haben

Ein weiterer Grund dafür, dass Cyberangriffe selten einmalige Ereignisse sind, besteht darin, dass Angreifer oft einen versteckten Zugang zu kompromittierten Netzwerken haben.

Wenn Bedrohungsakteure zum ersten Mal Zugang erhalten, führen sie ihr Ziel selten sofort aus. Stattdessen richten sie in der Regel Persistenzmechanismen ein, die es ihnen ermöglichen, später zurückzukehren. Dazu können gehören:

    • kompromittierte oder gestohlene Anmeldedaten
    • versteckte Administratorkonten
    • geplante Aufgaben oder Fernzugriffstools
    • Malware-Backdoors oder Command-and-Control-Kanäle

Sicherheitsteams bezeichnen die Zeit zwischen der ersten Kompromittierung und der Entdeckung als Verweilzeit des Angreifers. In dieser Zeit kartieren Angreifer in aller Ruhe die Umgebung, erweitern ihre Berechtigungen und identifizieren kritische Systeme.

Wenn die sichtbare Phase eines Angriffs eintritt, z. B. die Verbreitung von Ransomware oder Datendiebstahl, kontrollieren die Angreifer möglicherweise bereits mehrere Systeme im Netzwerk.

Wenn sich die Reaktion auf einen Vorfall nur auf die unmittelbaren Symptome des Angriffs konzentriert, können diese versteckten Stützpfeiler bestehen bleiben. Infolgedessen können die Angreifer Wochen oder Monate später zurückkehren.

Cyberkriminalität funktioniert als Ökosystem

Die Computerkriminalität hat sich zu einem komplexen und hochspezialisierten Ökosystem entwickelt. Verschiedene Bedrohungsakteure konzentrieren sich jetzt auf bestimmte Phasen des Angriffslebenszyklus.

Zum Beispiel:

    • Erstzugangsvermittler sind darauf spezialisiert, sich Zugang zu Unternehmensnetzwerken zu verschaffen.
    • Ransomware-Betreiber setzen Malware ein und führen Erpressungen durch.
    • Datenmakler verkaufen gestohlene Informationen auf Untergrundmarktplätzen.

Diese Arbeitsteilung bedeutet, dass eine einzige Kompromittierung im Laufe der Zeit zu mehreren Angriffen führen kann.

Ein anfänglicher Zugangsvermittler könnte den Netzwerkzugang an eine Ransomware-Gruppe verkaufen. Diese Ransomware-Gruppe stiehlt dann möglicherweise Daten und verkauft sie wiederum an andere Kriminelle. In einigen Fällen kann ein und dasselbe Unternehmen mit mehreren separaten Angriffen konfrontiert sein, die alle auf dieselbe ursprüngliche Sicherheitsverletzung zurückgehen.

Untersuchungen haben gezeigt, dass wiederholte Ransomware-Angriffe häufig von demselben Bedrohungsakteur ausgeführt werden, der den ursprünglichen Angriff durchgeführt hat. Dies zeigt, wie Angreifer bekannte Zugangswege wiederverwenden.

Dieselben Sicherheitslücken können weiterhin ausgenutzt werden

Wiederholte Cyberangriffe sind oft ein Zeichen dafür, dass die zugrunde liegenden Sicherheitslücken nicht vollständig geschlossen wurden.

Viele erfolgreiche Einbrüche erfolgen aufgrund allgemeiner Schwachstellen, wie z. B:

    • nicht gepatchte Software-Schwachstellen
    • Schwaches Identitäts- und Zugangsmanagement
    • Fehlen einer mehrstufigen Authentifizierung
    • übermäßige Privilegien
    • falsch konfigurierte Cloud-Dienste
    • begrenzte Sichtbarkeit in hybriden Umgebungen

Wenn diese Probleme nicht erkannt und vorrangig behoben werden, können Angreifer denselben Angriffspfad einfach wiederholen.

Wenn sich Angreifer beispielsweise über kompromittierte Anmeldedaten Zugang verschaffen, reicht das Zurücksetzen des Passworts allein möglicherweise nicht aus. Ohne stärkere Identitätskontrollen, wie z. B. die Multi-Faktor-Authentifizierung, können Angreifer einen anderen Benutzer mit der gleichen Technik angreifen.

Auch das Patchen eines einzelnen anfälligen Systems beseitigt das Risiko nicht, wenn an anderer Stelle in der Umgebung ähnliche Schwachstellen bestehen.

Aus diesem Grund gehen viele Sicherheitsverantwortliche zu einem kontinuierlichen Management der Bedrohungslage über, das sich darauf konzentriert, ausnutzbare Schwachstellen zu identifizieren und zu reduzieren, bevor Angreifer sie nutzen können.

Angreifer bewegen sich schneller als je zuvor

Auch die Geschwindigkeit moderner Cyberangriffe nimmt zu.

Untersuchungen von Bedrohungsdaten zeigen, dass sich Angreifer innerhalb kompromittierter Netzwerke extrem schnell bewegen können. Nach Daten von Crowdstrike ist die Zeit zwischen der ersten Kompromittierung und der internen Bewegung auf weniger als 30 Minuten gesunken.

Automatisierung, KI-gestützte Phishing-Kampagnen und Tools zum Diebstahl von Zugangsdaten ermöglichen es Angreifern, in großem Maßstab zu operieren. Dadurch wird es für Angreifer einfacher, Organisationen wiederholt anzugreifen und ihre Techniken anzupassen.

Daher müssen Unternehmen davon ausgehen, dass sich Angriffe nicht nur wiederholen, sondern auch immer raffinierter werden.

Wie Integrity360 Organisationen hilft

Die Verhinderung wiederholter Cyberangriffe erfordert mehr als reaktive Sicherheitskontrollen. Unternehmen brauchen kontinuierliche Transparenz, proaktives Risikomanagement und schnelle Reaktionsmöglichkeiten.

Integrity360 bietet eine Reihe von Cybersicherheitsdiensten an, die auf diese Herausforderungen ausgerichtet sind.

Verwaltete Erkennung und Reaktion (MDR)

Der Managed Detection and Response (MDR) Service von Integrity360 bietet eine kontinuierliche Überwachung von Endpunkten, Netzwerken, Cloud-Umgebungen und Identitäten.

Durch die Analyse von Sicherheitstelemetrie in Echtzeit ermöglicht MDR Unternehmen, verdächtige Aktivitäten frühzeitig im Lebenszyklus eines Angriffs zu erkennen. Dadurch wird die Verweildauer der Angreifer erheblich reduziert und verhindert, dass sich die Bedrohungen zu größeren Sicherheitsverletzungen ausweiten.

Die kontinuierliche Überwachung hilft auch, wiederholte Angriffsversuche zu erkennen, bevor sie erfolgreich sind.

cyberfiremdr

Kontinuierliches Management der Bedrohungsexposition (CTEM)

Continuous Threat Exposure Management (CTEM) konzentriert sich auf die Identifizierung und Priorisierung der Sicherheitslücken, die von Angreifern am ehesten ausgenutzt werden können.

Anstatt sich nur auf regelmäßige Schwachstellen-Scans zu verlassen, bietet CTEM einen kontinuierlichen Einblick in die Angriffsfläche eines Unternehmens. Auf diese Weise können sich die Sicherheitsteams bei der Behebung auf die wichtigsten Risiken konzentrieren.

Indem sie diese Schwachstellen proaktiv angehen, können Unternehmen verhindern, dass Angreifer dieselben Angriffspfade erneut nutzen.

ctem-1

Reaktion auf Vorfälle (IR)

Wenn es zu einer Sicherheitsverletzung kommt, ist eine schnelle Eindämmung unerlässlich.

Das Incident-Response-Team von Integrity360 unterstützt Unternehmen bei der Untersuchung und Eindämmung von Angriffen, bei der Ermittlung der Ursachen und bei der Beseitigung von Persistenzmechanismen, die Angreifer möglicherweise eingerichtet haben.

Die Reaktion auf einen Vorfall geht über die einfache Wiederherstellung der Systeme hinaus. Sie konzentriert sich darauf sicherzustellen, dass Angreifer nicht über dieselben Zugangswege zurückkehren können.

IR Brochure new

Cyber-Resilienz erfordert kontinuierliche Verteidigung

Cyber-Angriffe sind selten isolierte Ereignisse. Sie sind Teil anhaltender Kampagnen, die von Angreifern durchgeführt werden, die sich anpassen, zurückkehren und dieselben Schwachstellen wiederholt ausnutzen.

Statistiken zeigen, dass Unternehmen häufig mit wiederholten Angriffen konfrontiert werden, insbesondere wenn die zugrunde liegenden Schwachstellen nicht behoben wurden.

Die Lektion für Unternehmen ist klar. Cybersicherheit kann sich nicht auf punktuelle Verteidigungsmaßnahmen oder einmalige Abhilfemaßnahmen stützen. Sie muss kontinuierlich und proaktiv sein und sich darauf konzentrieren, Schwachstellen zu erkennen, bevor Angreifer sie ausnutzen.

Durch eine Kombination aus kontinuierlicher Überwachung, Schwachstellenmanagement und effektiver Reaktion auf Vorfälle können Unternehmen die Wahrscheinlichkeit wiederholter Angriffe erheblich verringern und eine stärkere langfristige Widerstandsfähigkeit im Cyberspace aufbauen.

Contact Us

FAQ: Warum Cyberangriffe selten ein Einzelfall sind

Warum kehren die Angreifer nach einem Cyberangriff zurück?

Angreifer kehren oft zurück, weil sie die Umgebung des Unternehmens bereits kennen. Wenn Schwachstellen, Anmeldeinformationen oder Zugangspunkte weiterhin ausgenutzt werden können, ist eine Wiederholung des Angriffs mit weitaus weniger Aufwand verbunden als ein Angriff auf eine neue Organisation.

Wie häufig kommt es zu wiederholten Cyberangriffen auf Unternehmen?

Untersuchungen zeigen, dass 38 % der Ransomware-Opfer mehr als einmal angegriffen werden, und mehr als die Hälfte der Unternehmen werden innerhalb von zwei Jahren mehrfach angegriffen.

Was sind die Ursachen für wiederholte Cyberangriffe?

Zu den häufigsten Ursachen gehören ungepatchte Schwachstellen, schwache Identitätskontrollen, unzureichende Übersicht über die Umgebungen und eine unvollständige Reaktion auf Vorfälle, die es nicht schafft, die Persistenz der Angreifer zu beseitigen.

Wie können Unternehmen wiederholte Cyberangriffe verhindern?

Um wiederholte Angriffe zu verhindern, bedarf es einer kontinuierlichen Überwachung, eines proaktiven Expositionsmanagements, einer starken Identitätssicherheit und wirksamer Reaktionsmöglichkeiten auf Vorfälle.