Neue Angriffstrends im Bereich Informationssicherheit?

Für eine wirksame Strategie zur Verteidigung von IT-Infrastrukturen ist es erforderlich zu wissen, welche Techniken und Methoden bei Angriffen auf IT-Infrastukturen im Trend liegen und am häufigsten für digitale Einbrüche und Datendiebstähle verwendet werden.

Dieser Artikel beschäftigt sich in diesem Zusammenhang mit Sicherheitsvorfällen aus dem Jahr 2024 und nutzt dabei den M-Trends 2025 Report als Grundlage.

Datengrundlage

Einmal jährlich wird bzw. wurde der M-Trends Bericht von Mandiant veröffentlicht; Herausgeber ist inzwischen Google. In diesem Report analysieren die Autoren die größten Sicherheitsvorfälle des Vorjahres aus dem Bereich der Informationssicherheit.

Dabei werden Angriffspfade der größten bzw. häufigsten Angriffe des Jahres nachverfolgt und ausführlich analysiert. Dies beinhaltet z. B., welche Softwares, Sicherheitslücken und Methoden sich die Angreifenden zunutze gemacht haben.

Um verschiedene Trends in diesem Bereich zu erkennen und abzubilden, zieht der Bericht außerdem Vergleiche zu den Ergebnissen des Vorjahresberichts.

Die Inhalte solcher Berichte können als Hilfestellung in verschiedenen Unternehmensbereichen herangezogen werden, bspw., um die eigene IT-Landschaft vor bestehenden oder neuartigen Bedrohungen besser abzusichern und gleichzeitig sinnvolle Zukunftsentscheidungen treffen zu können. Die IT-Sicherheit und Resilienz vorhandener Infrastrukturen können dadurch nachhaltig erhöht werden.

Einfallstore für Angriffe

Die größten Bedrohungen bzw. Infizierungsvektoren für erfolgreiche Einbrüche in IT-Infrastrukturen waren 2024:

Exploits: 33 % (Vorjahr: 38 %)
gestohlene Zugangsdaten: 16 % (Vorjahr: 10 %)
E-Mail-Phishing: 14 % (Vorjahr: 17 %)
schadhafte Websiteinhalte: 9 % (Vorjahr: 5 %)

Wie auch bereits im Vorjahr wurden am häufigsten Exploits in Softwareprodukten für das Eindringen in IT-Infrastrukturen ausgenutzt.

Einen leichten Anstieg hat die Nutzung gestohlener Zugangsdaten zu verzeichnen. Damit sind z. B. sensible Datenleaks gemeint, die über das Darknet an andere böswillige Akteure verkauft und von diesen weiterverwendet werden.

E-Mail-Phishing als Einfallstor ist – vermutlich durch die zunehmende Sensibilisierung von Mitarbeitenden – zwar leicht zurückgegangen, verbleibt aber weiterhin im niedrigen zweistelligen Prozentbereich und ist somit ein beliebter Angriffsvektor.

Auf dem vierten Platz liegen schadhafte Websiteinhalte, deren Ausnutzung leicht angestiegen ist. Dieser Punkt fasst verschiedene, mit dem Browser zusammenhängende Angriffsvektoren zusammen; als Beispiel manipulierte Websites, die unbemerkt im Hintergrund schadhafte Inhalte nachladen und ausführen.

Sicherheitslücken (Exploits)

Werfen wir noch einen etwas genaueren Blick in das von Angreifenden am häufigsten genutzte Einfallstor: Sicherheitslücken (Exploits).

Die am häufigsten ausgenutzten Schwachstellen fanden sich ausnahmslos in Softwares von VPN- und Sicherheitslösungen, welche (aus zum Teil nachvollziehbaren Gründen) direkt im Internet erreichbar sind (CVE-2024-3400, CVE-2023-46805, CVE-2024-21887 und CVE-2023-48788). Es entbehrt nicht einer gewissen Ironie, dass ausgerechnet Software, die eigentlich zur Verbesserung der Sicherheit beitragen soll, auffällig häufig als Einfallstor für Angreifende diente.

In diesem Zusammenhang bleibt zu hoffen, dass die kürzlich verabschiedete Produkthaftungsrichtlinie (EU-Richtlinie 2024/2853), die nun auch endlich die Hersteller von Software mit in die Verantwortung nimmt, nachhaltig zu einer Verbesserung von Softwarequalität beiträgt und damit gleichzeitig das Auftreten von (vermeidbaren) kritischen Sicherheitslücken zurückgeht.

Verweildauer von Angreifenden

Die Verweildauer von Angreifenden gibt die durchschnittliche Zeitspanne in Tagen an, die zwischen initialem Zugang (Einbruch) und Entdeckung der Angreifenden (z. B. durch IT-Verantwortliche) liegt. Dieser Zeitraum steht den Angreifenden für Rechteausweitung, Erbeutung (weiterer) sensibler Zugangsdaten, Datendiebstahl, Verschlüsselung von Daten sowie allgemeiner Erkundung der IT-Infrastruktur zur Verfügung. Die durchschnittliche Verweildauer betrug 2024 etwa 11 Tage und ist damit im Vergleich zum Vorjahr nahezu unverändert geblieben (10 Tage).

Hauptinteresse ist finanzieller Natur

Das Hauptziel der Angreifenden ist seit Jahren unverändert finanzieller Natur (35 %, Vorjahr: 36 %).

Häufig stehen derartige Angriffe im Zusammenhang mit Ransomware-Attacken (21 %, Vorjahr: 23 %), welche auf die Verschlüsselung von Daten abzielen und die Betroffenen anschließend mit einem Lösegeld zu erpressen versuchen.

Aber auch der Diebstahl von (sensiblen) Daten bleibt bei Angreifenden weiterhin beliebt und konnte bei 37 % der untersuchten Angriffe identifiziert werden (im Vergleich zum Vorjahreswert keine Änderung).

Diese Beobachtungen passen ebenfalls zu den hinter den Angriffen steckenden Bedrohungsakteuren. Unter den identifizierten Akteuren verfolgten insgesamt 55 % finanzielle Absichten (Vorjahr 52 %).

Bei einem nicht unwesentlichen Anteil von Akteuren (35 %) konnte die Motivation für die Angriffe allerdings auch nicht eindeutig aufgeklärt werden.

Fazit

Insgesamt also nicht viel Neues: Die Bedrohungslage ist relativ unverändert, bahnbrechende Angriffsvektoren gibt es nicht und auch bei der Dauer zwischen Einbruch und Entdeckung hat sich nicht viel getan. Die Rangliste der Angriffsvektoren, die Angreifende als initiale Einfallstore für erfolgreiche Angriffe ausnutzen, hat sich ebenfalls nicht verändert.

Weiterhin gelten somit die in der Praxis üblichen technischen und organisatorischen Maßnahmen, um den existierenden Bedrohungen angemessen zu begegnen und IT-Infrastrukturen nachhaltig abzusichern.

Abschließend an dieser Stelle eine beispielhafte Auswahl von Maßnahmen ohne Anspruch auf Vollständigkeit:

Passwort- und Kontomanagement (Verwaltung sensibler Zugänge)
Update- und Patchmanagement (Verwaltung und Administrierung genutzter Softwareprodukte)
Monitoring und Logging (Angriffs- und Fehlererkennung)
Back-up-Strategien (Wiederherstellung von Daten im Angriffsfall)
Sensibilisierung von Mitarbeitenden zu aktuellen Angriffsmethoden und Kampagnen (Prävention und Angriffserkennung)
Angriffsflächen minimieren und Dienste/Services voneinander isolieren (Netzwerksegmentierung)
Komplexitäten reduzieren/abbauen (weniger ist mehr)
individuelles Berechtigungsmanagement (Principle of least privilege)
regelmäßige Überprüfung und Anpassungen etablierter (Sicherheits-)Prozesse und -Konzepte (IT-Sicherheit ist ein fortlaufender Prozess)

Christopher Reusche | 9. Mai 2025 | Informationssicherheit | Angriffsmethoden, Exploits, Informationssicherheit, IT-Infrastruktur, Phishing, Sensibsilierung von Mitarbeitenden, Sicherheitslücken, Software, Websites, Zugangsdaten