Cyberangriffe erfolgen oft durch die Nutzung kompromittierter Zugangsdaten: Laut einer Varonis-Analyse basieren 57 Prozent der untersuchten Vorfälle auf gehackten Konten. Die Angriffe bleiben häufig lange unerkannt und unaufgeklärt. Firmen benötigen daher bessere Forensik-Möglichkeiten und eine intelligentere Analyse des Nutzerverhaltens.

Cyberkriminelle sind meist nur im übertragenen Sinn Einbrecher, denn sie loggen sich meist einfach nur ein. Bei 57 Prozent der erfolgreichen Angriffe verschafften sich die Angreifer über ein kompromittiertes Nutzerkonto, Zugang auf die Systeme. Dies ergibt die Analyse von 35 der US-amerikanischen Börsenaufsicht gemeldeten Cybervorfällen zwischen Januar und August 2024, die vom Datensicherheitsspezialisten Varonis Systems in dem Report »The Identity Crisis: An in-depth report of cyberattacks in 2024« analysiert wurden. Das Ziel der meisten Vorfälle waren dabei allen voran personenbezogene Daten (54 %) sowie Gesundheitsinformationen (23 %).

»Bei der Untersuchung dieser 35 Cyberangriffe haben wir festgestellt, dass sich die Angreifer in der Regel nicht mit ausgefeilten Techniken oder Malware einhacken«, erklärt Volker Sommer, Regional Sales Director DACH von Varonis. »Meistens melden sie sich mit Zugangsdaten an, die entweder bereits gestohlen wurden, oder verwenden bewährte Techniken wie Phishing und Passwort-Spraying, um Zugang zu erhalten.« »Dies macht ihre Entdeckung prinzipiell schwieriger, da es sich ja um scheinbar legitime Insider handelt, die sich mit gewissen Rechten ausgestattet in der Infrastruktur bewegen.« Ein Hacker benötige lediglich einen gültigen Satz gestohlener Anmeldedaten und kann auf alles zugreifen, was ein Benutzer kann. Nur mit einer intelligenten Analyse des Nutzerverhaltens bestehe die Chance, den Kriminellen schnell auf die Schliche zu kommen.

Anzeige

Analysen dauern zu lange

Die Analyse ergab zudem, dass auch Wochen und Monate nach dem Vorfall 85 Prozent der Angriffe noch untersucht werden. Dies deutet zum einen auf die Komplexität der Untersuchungen gepaart mit mangelnden Forensik-Möglichkeiten hin, zum anderen bedeutet dies auch, dass weitaus mehr als jeder zweite Angriff über ein kompromittiertes Konto erfolgt sein könnte.

Alarmierend ist, dass die Angriffsmethode in mehr als 40 Prozent der öffentlich gemeldeten Vorfälle unbekannt ist. Dies deutet sowohl auf einen Mangel an Informationen als auch auf einen Mangel an Selbstauskünften über die Ursache dieser Cyberangriffe hin.

Die häufigste Ursache von Cyberangriffen, die in den SEC-Berichten genannt wird, ist »unbefugter Zugriff durch Dritte«. Auch wenn diese Beschreibung wenig aussagt, gibt es doch Berichte, die dies bestätigen.

Daten sind das Hauptziel

Während Angreifer schwache Identitätssicherheit als Ausgangspunkt ausnutzen, ist es auch wichtig zu verstehen, was sie tun, nachdem sie Zugang erhalten haben. Die Untersuchung der Auswirkungen dieser Cyberangriffe ergibt ein klareres Bild davon, worauf die Angreifer abzielen, und in den meisten Fällen sind es Daten.

Bei unserer Untersuchung der SEC 8-K-Einreichungen war die Datenexfiltration die häufigste Folge von Cyberangriffen, häufiger noch als die Betriebsunterbrechung.

»Zwar haben es die Angreifer oft auf verschiedene Datentypen abgesehen, doch die Varonis-Untersuchung ergab, dass Kundendaten bei weitem am häufigsten betroffen sind. In diesem Fall bezieht sich Kunden in erster Linie auf Patienten im Gesundheitswesen, Kunden von Finanzdienstleistungen und Nutzer von Software-Anwendungen.

Bei der Offenlegung der Sensibilität der Daten waren persönlich identifizierbare Informationen (PII) die am stärksten betroffene Art von sensiblen Daten, gefolgt von PHI (Persönliche Gesundheitsinformationen).

Unbekannte Konsequenzen

Oft genug ist nicht klar, was der Hackerangriff verursacht hat. Laut Varoins steht »unbekannt« gleichauf mit »Betriebsunterbrechung« an zweiter Stelle der am häufigsten gemeldeten Auswirkungen, da viele dieser Vorfälle noch untersucht werden. In Zahlen: Bei 85 Prozent der untersuchten Vorfälle laufen die Ermittlungen noch.

Dies lasse vermuten, dass die Zahl der Datenexfiltrationen sogar noch höher als 57 Prozent sein könnt. »Vielen Unternehmen fehlt der Überblick, um die Folgen eines Cyberangriffs genau zu beurteilen«, sagt Sommer.