Was ist ein Bedrohungsakteur?

Arten von Bedrohungsakteuren

Es gibt viele Arten von Bedrohungsakteuren mit je eigenen Motivationen, Taktiken und Zielen. Um sich wirksam gegen sie verteidigen zu können, ist es wichtig, diese Unterschiede zu verstehen.

Staatliche Akteure

Bei staatlichen Akteuren handelt es sich in der Regel um staatlich geförderte Gruppen oder Einzelpersonen, die böswillige Aktivitäten wie Cyberspionage, Datendiebstahl und Advanced Persistent Threats (APTs) durchführen, um politische, militärische oder wirtschaftliche Ziele zu erreichen. Diese Akteure sind in der Regel äußerst erfahren und verfügen über umfangreiche Ressourcen. Sie haben es oft auf kritische Infrastrukturen, Regierungsbehörden und Schlüsselindustrien abgesehen.

Beispiel: Im Jahr 2021 verschaffte die mit Russland verbundene Hackergruppe NOBELIUM (auch bekannt als Midnight Blizzard) sich Zugriff auf das System von Microsoft. Im Rahmen einer umfassenderen Cyberspionagekampagne hatten die Hacker es auf Kundendaten abgesehen, die über das Konto eines kompromittierten Wiederverkäufers abgegriffen wurden.

Cyberkriminelle

Cyberkriminelle sind Einzelpersonen oder Gruppen, die Cyberangriffe in erster Linie zum finanziellen Vorteil nutzen. Sie wenden häufig Taktiken wie Ransomware, Phishingund Identitätsdiebstahl an, um Opfern Geld abzupressen oder wertvolle Daten zu stehlen.

Beispiel: Die Ransomware-Gruppe Dark Angels verschlüsselt die Daten ihrer Opfer und verlangt Lösegeld für die Entschlüsselung. Sie zielen auf Unternehmensnetzwerke ab und drohen, gestohlene Daten preiszugeben, wenn die Forderungen nicht erfüllt werden. Dabei kommt häufig eine Doppelerpressungstaktik zum Einsatz.

Insider

Insider-Bedrohungen haben ihren Ursprung innerhalb eines Unternehmens und können böswillig oder unbeabsichtigt sein. In der Regel handelt es sich dabei um Mitarbeiter oder Auftragnehmer, die Zugriff auf vertrauliche Informationen haben und diese zum persönlichen Vorteil, aus Rache oder aufgrund von Fahrlässigkeit missbrauchen, beispielsweise indem sie Opfer von Phishing-Angriffen werden.

Beispiel: Im Jahr 2023 legten KI-Forscher von Microsoft versehentlich 38 TB vertrauliche Daten offen, darunter private Schlüssel und Passwörter, indem sie eine gemeinsam genutzte Azure-Speicher-URL, die für die Open-Source-KI-Entwicklung verwendet wurde, falsch konfigurierten.

Hacktivisten

Hacktivisten sind Personen, die Hacking-Techniken verwenden, um ihre Ziele zu fördern oder voranzutreiben, die sozialer oder politischer Natur sein können. Ihre Angriffe zielen oft darauf ab, Services zu stören, Websites umzugestalten oder Informationen offenzulegen, um auf ihre Anliegen aufmerksam zu machen.

Beispiel: Anonymous, eine dezentrale Hacktivistengruppe, startete 2022 als Reaktion auf die Invasion der Ukraine Angriffe auf russische Regierungswebsites. Ein weiteres Beispiel ist die Gruppe LulzSec, die 2011 Unternehmen und Regierungsbehörden ins Visier nahm.

Script-Kiddies

Script-Kiddies sind unerfahrene Hacker, die für ihre Angriffe vorgefertigte Skripte oder von anderen entwickelte Tools verwenden. Obwohl ihnen im Allgemeinen fortgeschrittene Kenntnisse fehlen, können sie dennoch erheblichen Schaden anrichten, insbesondere durch die Ausnutzung bekannter Schwachstellen und schlecht gesicherter Systeme. Diese weniger erfahrenen Bedrohungsakteure waren durch Cybercrime-Services wie Ransomware-as-a-Service (RaaS) und Fortschritte in der generativen KI erfolgreicher.

Beispiel: Im Jahr 2016 nutzte eine Gruppe von Script-Kiddies das Mirai-Botnetz, um einen massiven DDoS-Angriff (Distributed-Denial-of-Service) zu starten, der große Teile des Internets lahmlegte. Ein weiteres Beispiel ist der Twitter-Hack im Jahr 2019, bei dem sich Teenager durch den Einsatz von Social-Engineering-Techniken Zugriff auf prominente Konten verschafften.

Motivationen von Bedrohungsakteuren

Bedrohungsakteure handeln aus sehr unterschiedlichen Motivationen, die jeweils den Charakter und Schweregrad ihrer Aktionen in unterschiedlichem Ausmaß beeinflussen. Cyberkriminelle, die auf finanziellen Gewinn erpicht sind, versuchen beispielsweise häufig, vertrauliche Informationen wie Kreditkartennummern oder geistiges Eigentum zu stehlen, um diese auf dem Schwarzmarkt zu verkaufen oder durch Ransomware-Angriffe zur Erpressung zu verwenden.

Andere wiederum sind politisch-ideologisch motiviert. In diesen Fällen können die Akteure gezielt Unternehmen oder Regierungsbehörden angreifen, um ihre Überzeugungen zu verbreiten, den Betrieb zu stören oder das aufzudecken, was sie als Ungerechtigkeiten empfinden. Diese Akteure betrachten ihre Cyberangriffe als eine Form des Protests, mit der sie die öffentliche Meinung beeinflussen oder Druck auf die Machthaber ausüben wollen, damit diese ihre Politik ändern.

Dann gibt es jene, die von Rache oder einfach dem Nervenkitzel der Herausforderunggetrieben werden. Verärgerte Mitarbeiter oder ehemalige Partner könnten aus Boshaftigkeit Angriffe gegen ein Unternehmen starten, um persönliche Rechnungen zu begleichen. Andere, insbesondere jüngere oder weniger erfahrene Hacker, werden möglicherweise durch den Adrenalinschub motiviert, der entsteht, wenn es ihnen gelingt, sich Zugriff auf ein sicheres System zu verschaffen, und sie suchen die Anerkennung, die mit der Durchführung eines gewagten Cyberverbrechens einhergeht. Für diese Menschen ist die Tat selbst oft wichtiger als das Ergebnis.

Von Bedrohungsakteuren verwendete Techniken und Taktiken

Nachfolgend sind einige der gängigsten Methoden aufgeführt, die von Bedrohungsakteuren für Angriffe auf Einzelpersonen oder Unternehmen verwendet werden.

• Phishing: Phishing ist eine Form von Cyberangriff, bei der User mithilfe irreführender „Social Engineering“-Techniken dazu gebracht werden, vertrauliche Informationen preiszugeben oder Geldbeträge zu überweisen. Zu den Typen gehören E-Mails oder Textnachrichten, gefälschte Websites zum Diebstahl von Anmeldedaten, Vishing-Angriffe und andere Angriffe, die das Opfer dazu verleiten, dem Angreifer zu vertrauen. Phishing zählt weiterhin zu den dominanten Cyberangriffsmethoden, wobei die Versuche im Jahr 2023 um 58,2 % zunahmen
• Malware: Bei Malware handelt es sich um Software, die in bösartiger Absicht entwickelt wurde, um in ein Computersystem einzudringen und dort Schaden anzurichten – z. B. durch Diebstahl oder Verschlüsselung vertraulicher Daten, Übernahme von Systemfunktionen oder Infektion weiterer Geräte. In den meisten Fällen ist das Motiv hinter Malware-Angriffen der Profit. Es gibt viele Arten von Malware, darunter Ransomware, Spyware, Adware und Trojaner. Informationen zu aktuellen Malware-Trends finden Sie hier.
• Advanced Persistent Threats (APTs): APTs sind ein Kennzeichen staatlicher Bedrohungsakteure und hochentwickelter Cyberkrimineller. Dabei verschafft sich ein Angreifer heimlich Zugriff auf das Netzwerk eines Unternehmens und nistet sich dort ein, sodass er für einen längeren Zeitraum unentdeckt bleibt. Oft haben Cyberkriminelle bei einem APT-Angriff ein bestimmtes Unternehmen im Visier. Dabei kommt eine hoch entwickelte Malware zum Einsatz, die in der Lage ist, gängige Sicherheitsmaßnahmen zu umgehen.
• Insider-Bedrohungstechniken: Insider-Bedrohungen können beabsichtigt oder unbeabsichtigt sein und von Mitarbeitern, Geschäftspartnern, Drittanbietern oder Auftragnehmern mit autorisiertem Zugriff auf die Systeme und Daten eines Unternehmens ausgehen. Dabei werden Zugriffsberechtigungen missbraucht.

Beispiele für Cyberangriffe in der realen Welt

Es gibt viele Methoden für Cyberangriffe, die in letzter Zeit immer wieder für mediales Aufsehen sorgten. Nachfolgend sind einige schlagzeilenträchtige Angriffe aus der Praxis aufgeführt, die ihre potenziellen Auswirkungen verdeutlichen:

SolarWinds-Angriff

Im Dezember 2020 zielte der SolarWinds-Angriff auf die Orion-Softwareplattform, die von Tausenden von Unternehmen weltweit genutzt wird. Bedrohungsakteure fügten Schadcode in Softwareupdates ein, die dann an über 18.000 Kunden verteilt wurden, darunter Regierungsbehörden und Großunternehmen. Dieser Verstoß führte zu unbefugten Zugriffen auf vertrauliche Daten und Netzwerke, wobei die Angreifer mehrere Monate lang unentdeckt blieben. Diese Cyberspionagekampagnen gilt als eine der größten der Geschichte.

WannaCry-Ransomware

Im Mai 2017 verbreitete sich der Ransomware-Angriff WannaCry rasant über den gesamten Globus und betraf Hunderttausende Computer in über 150 Ländern. Dieser Stamm nutzte eine Schwachstelle in Windows-Betriebssystemen aus, verschlüsselte Dateien und forderte Lösegeldzahlungen in Bitcoin. Wichtige Services, darunter auch Gesundheitssysteme wie der britische National Health Service (NHS), wurden dadurch erheblich beeinträchtigt. Trotz seiner weitreichenden Auswirkungen konnte der Angriff aufgrund der Entdeckung eines Kill Switches innerhalb weniger Tage weitgehend abgeschwächt werden.

Scattered Spider

Scattered Spider ist eine finanziell motivierte Bedrohungsgruppe, die um 2022 entstand und dafür bekannt ist, Telekommunikations- und Technologieunternehmen ins Visier zu nehmen. Die Gruppe verwendet Social-Engineering-Taktiken wie Phishing und SIM-Swapping, um Zugriff auf Unternehmensnetzwerke zu erhalten und Betrug zu begehen oder Ransomware einzusetzen. Unternehmen, die von Scattered Spider ins Visier genommen wurden, mussten erhebliche Betriebsstörungen und finanzielle Verluste hinnehmen, da die Gruppe aufgrund ihrer raffinierten Taktiken eine enorme Bedrohung darstellte.

Colonial Pipeline

Der Angriff auf die Colonial Pipeline im Mai 2021 war ein Ransomware-Angriff der DarkSide-Gruppe, der auf die größte Treibstoffpipeline der USA abzielte. Dabei wurden veraltete Cybersicherheitsmaßnahmen ausgenutzt, was zu einem Ausfall der Treibstoffversorgung an der gesamten Ostküste der USA führte. Der Angriff hat Schwachstellen in kritischer Infrastruktur aufgezeigt und die Notwendigkeit einer stärkeren Cybersicherheit in systemrelevanten Services aufgezeigt.

Dark Angels

Dark Angels ist eine Ransomware-Gruppe, die im Jahr 2022 entstand und für ihre ausgeklügelten Taktiken, gezielte Angriffe auf einzelne prominente Unternehmen und hohe Lösegeldforderungen bekannt ist. Die Gruppe verwendet typischerweise Doppelerpressungsmethoden, bei denen sie nicht nur die Daten des Opfers verschlüsselt, sondern auch damit droht, vertrauliche Informationen preiszugeben, wenn das Lösegeld nicht gezahlt wird. Bei dem von ThreatLabz im Jahr 2024 aufgedeckten Angriff mit einer Lösegeldzahlung in Rekordhöhe von 75 Millionen USD kam diese Taktik indes nicht zum Einsatz.

So schützen Sie sich vor Bedrohungsakteuren

Bedrohungsakteure lassen sich immer neue Tricks einfallen, um sich unbefugten Zugriff auf Unternehmenssysteme zu verschaffen. Mit den hier vorgestellten Techniken können Sie sicherstellen, dass die Schwachstellen Ihres Unternehmens geschlossen werden.

• Betriebssysteme und Browser regelmäßig aktualisieren: Softwareanbieter beheben regelmäßig neu entdeckte Schwachstellen in ihren Produkten und veröffentlichen Updates, um Ihre Systeme zu schützen.
• Automatische Backups:Implementieren Sie einen Prozess zur regelmäßigen Sicherung der Systemdaten, damit Sie diese im Falle eines Ransomware-Angriffs oder eines Datenverlusts wiederherstellen können.
• Multifaktor-Authentifizierung (MFA): Strategien zur Zugriffskontrolle wie eine mehrstufige Authentifizierung schaffen eine zusätzliche Schutzschicht zwischen Angreifern und internen Systemen.
• Schulung und Aufklärung der User: Cyberkriminelle entwickeln ständig neue Angriffsstrategien, und die Mitarbeiter sind und bleiben die größte Schwachstelle eines jeden Unternehmens. Die Sicherheit Ihrer Organisation erhöht sich deutlich, wenn alle User wissen, wie man Phishing-Versuche identifiziert und meldet, woran man schädliche Domains erkennt usw.
• Integrierte Zero-Trust-Sicherheit: Um Ihre Belegschaft optimal vor heutigen Cyberbedrohungen zu schützen und das Unternehmensrisiko zu reduzieren, benötigen Sie eine proaktive, intelligente und ganzheitliche Sicherheitsplattform.

Zukünftige Trends bei den Aktivitäten von Bedrohungsakteuren

Bedrohungsakteure und die Gruppen, denen sie angehören, werden Sicherheitsexperten auch weiterhin Schwierigkeiten bereiten. Besorgniserregend sind inbesondere folgende Trends:

Dark Chatbots und KI-gesteuerte Angriffe

Der Missbrauch von KI zu bösen Zwecken wird zunehmen. KI-gestützte Angriffe werden aller Voraussicht nach zunehmen. Das Darknet dient hierbei als Nährboden für bösartige Chatbots wie WormGPT und FraudGPT und den daraus resultierenden Anstieg cyberkrimineller Aktivitäten. Diese gefährlichen Tools werden bei der Ausführung von erweitertem Social-Engineering- und Phishing-Betrug sowie verschiedenen anderen Bedrohungen eine entscheidende Rolle spielen.

IoT-Angriffe

Anfällige IoT-Geräte werden zunehmend zu einem primären Bedrohungsvektor und setzen Unternehmen der Gefahr von Sicherheitsverstößen und neuen Risiken aus. Der Mangel an standardisierten Sicherheitsmaßnahmen seitens der Entwickler und Hersteller von IoT-Geräten führt zu Schwachstellen, die Angreifer leicht ausnutzen können.

Angesichts der weitverbreiteten Einführung und Nutzung dieser Geräte ist das IoT für Angreifer ein leichtes Unterfangen, um leicht und dennoch erheblichen finanziellen Gewinn zu erzielen.

VPN-Ausnutzung

Angesichts der Häufigkeit, Schwere und des Ausmaßes der im vergangenen Jahr bekannt gewordenen VPN-Schwachstellen müssen Unternehmen sich darauf einstellen, dass dieser Trend weiter anhält. Bedrohungsakteure und Sicherheitsforscher sind sich des erhöhten Risikos schwerwiegender Schwachstellen in VPN-Produkten bewusst. Im Gegenzug suchen sie aktiv nach weiteren CVEs, sodass es wahrscheinlich ist, dass in den kommenden Monaten und Jahren noch weitere CVEs gefunden werden.

Zscaler gewährleistet Schutz vor Bedrohungsakteuren

Investieren Sie in Zscaler Cyberthreat Protection als Komponente unserer Zero Trust Exchange™, um Bedrohungsakteure aus allen Richtungen abzuwehren. Zscaler ist die weltweit größte und am häufigsten eingesetzte Inline-Sicherheits-Cloud, die speziell dafür entwickelt wurde, den dynamischen Cyber-Anforderungen heutiger Unternehmen gerecht zu werden.

Die Proxy-Architektur von Zscaler basiert dagegen auf dem Prinzip der minimalen Rechtevergabe und ermöglicht lückenlose TLS/SSL-Überprüfungen. Dabei werden die Verbindungen zwischen Usern und Anwendungen anhand von Identität, Zusammenhang und Geschäftsrichtlinien hergestellt.

• Angriffsfläche minimieren Machen Sie Ihre Anwendungen, Standorte und Geräte im Internet unsichtbar und verhindern Sie, dass Bedrohungsakteure auf diese Ressourcen zugreifen.
• Kompromittierung verhindern: Verhindern Sie Phishing-Angriffe und Malware-Downloads mit lückenloser Inline-TLS/SSL-Überprüfung im großen Maßstab und KI-gestützte Bedrohungsprävention.
• Laterale Bewegungen blockieren: Minimieren Sie das Schadenspotenzial, verteidigen Sie sich gegen Insider-Bedrohungen und reduzieren Sie den Betriebsaufwand mit Zero-Trust-Segmentierung.
• Datenverluste stoppen: Entdecken Sie Schatten-IT und riskante Apps mit der automatischen Klassifizierung vertraulicher Daten. Sichern Sie User, Workloads und IoT/OT-Traffic für Daten im Ruhezustand und bei der Übertragung.

Möchten Sie mehr über Zscaler Cyberthreat Protection erfahren?Vereinbaren Sie eine individuelle Demo mit einem unserer Experten und erfahren Sie, wie Zscaler Sie bei der Bekämpfung raffinierter Bedrohungstechniken unterstützt.