In diesem Jahr muss die Cyberabwehr noch schneller und intelligenter werden, um den zunehmend automatisierten und professionalisierten Angriffen angemessen begegnen zu können. Gerade kleine und mittelständische Unternehmen sind jetzt gefordert. Ein exklusiver Gastbeitrag von Klaus Wunder von SECUINFRA. [...]
Infostealer und KI-basiertes Phishing gehören neben Ransomware zu den bevorzugten Werkzeugen der Cyberkriminellen. Die Hauptangriffsvektoren des Jahres 2024 werden auch im neuen Jahr die professionellen Cyber-Defender in Atem halten. Alarmierend ist die immer kürzere Zeitspanne, in der gestohlene Zugangsdaten ausgenutzt werden. Mitunter vergehen nur wenige Minuten, bis ein kompromittiertes Konto übernommen wird. Dies ist auf den zunehmenden Automatisierungsgrad zurückzuführen, mit dem Anmeldedaten getestet und umgehend Angriffe gestartet werden.
Insgesamt nimmt die Zahl der professionalisierten Angriffe weiter zu, sowohl durch organisierte Banden und spezialisierte Dienstleister (Stichwort: Cybercrime as a Service) als auch durch staatlich geförderte Angriffe. Zu den Angriffen aus Russland und China gesellen sich vermehrt Offensiven aus Nordkorea. Methodisch setzten sich die Trends des Vorjahres fort. Dazu gehören gezielte Phishing-Kampagnen, die nicht zuletzt durch den Einsatz von KI immer vertrauenswürdiger erscheinen. Häufig geben sich Angreifer auch als legitime Partner aus, indem sie bereits kompromittierte E-Mail-Konten ausnutzen. Last but not least ist eine Zunahme von plattformübergreifender Malware zu beobachten, die Windows-, Linux- und Mac OS-Rechner gleichermaßen bedroht.
Geschwindigkeit wird zum Erfolgsfaktor
Alles in allem werden die Angriffe im Jahr 2025 nicht nur raffinierter, sondern auch schneller. Die erforderliche Reaktionszeit sinkt weiter: auf wenige Stunden oder gar Minuten. Besonders gefährlich ist dies bei gezielten Angriffen außerhalb der Arbeitszeiten – zum Beispiel am Freitagabend, wenn die IT-Teams ins Wochenende gehen. Die Antwort auf diese Bedrohungen liegt in der Automatisierung und Überwachung rund um die Uhr. Technologien wie Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) und Incident Response sind dafür ebenso unerlässlich wie ein Security Information and Event Management (SIEM), dass die Logfiles der verschiedenen Systeme auswertet. Darüber hinaus benötigen Unternehmen klare Reaktionspläne und geschultes Personal. Als Alternative zur eigenen Rekrutierung können entsprechende Expertise und Analysekapazitäten zu vertretbaren Kosten im Rahmen eines Managed Detection and Response (MDR)-Angebots bezogen werden.
KI-basierte Angriffe…
Künstliche Intelligenz kommt tendenziell noch eher der Gegenseite zugute. Angreifer nutzen sie, um in kürzester Zeit täuschend echte Phishing-Mails und gefälschte Webseiten inklusive Vita zu erstellen. In der Abwehr verbessert KI vor allem die Angriffserkennung, etwa durch den Vergleich von Artefakten und Datei-Hashes. Eine Herausforderung für das Jahr 2025 besteht in diesem Zusammenhang darin, KI-basierte Erkennungssysteme richtig zu konfigurieren und menschliches Know-how nahtlos zu integrieren. Insgesamt gewinnt der Faktor Mensch in der Cyber-Abwehr weiter an Bedeutung. Denn gezielten Phishing-Kampagnen wie gefälschten Stellenangeboten oder Angebotsanfragen können automatisierte Tools immer weniger entgegensetzen. Sie werden geschickt ausgetrickst oder umgangen. Mehr denn je gilt daher im Jahr 2025, dass Unternehmen ihre Mitarbeitenden kontinuierlich schulen und für neue Bedrohungen sensibilisieren müssen.
…verlangen nach menschlicher Firewall
Auch die Security-Teams müssen am Puls der Zeit bleiben und sich flexibel und kreativ an die sich ständig verändernde Bedrohungslandschaft anpassen. Interessanterweise machen es sich die Kriminellen häufig relativ einfach, indem sie die Techniken beibehalten. So werden teilweise ganze Klassen oder Beschreibungen 1:1 für die nächste Kampagne übernommen und lediglich die Programmiersprache geändert, um die Abwehr zu täuschen. Sicherheitsfirmen müssen 2025 mehr denn je um die Ecke denken, Angriffe simulieren und den Überblick behalten, so der Tenor der letzten Sicherheitskonferenzen. Während Produkte gewechselt werden können, sorgt das Fachwissen des IT-Dienstleisters für die nötige Kontinuität. Externe Experten haben zudem den Vorteil, dass sie durch ihre Arbeit in verschiedenen Branchen und Unternehmensgrößen einen größeren Überblick und eine höhere Effizienz vorweisen können als interne Security-Teams.
Die größten Herausforderungen
Angesichts der beschleunigten Angriffsdynamik müssen sich die Unternehmen in diesem Jahr auf komplexere Phishing-Methoden mit sozialen Manipulationstechniken und noch überzeugenderen E-Mails und Fake-Webseiten einstellen. Um mit dem hohen Tempo der Automatisierung mitgehen zu können, müssen sie außerdem ihre Reaktionszeiten minimieren, um rechtzeitig Benutzerkonten sperren und befallene Rechner isolieren zu können. Entweder automatisiert oder durch ein SOC (Security Operations Center). Ferner müssen die Sicherheitslösungen für alle Betriebssysteme im Unternehmensnetzwerk optimiert und die Sicherheitskonzepte auf die Partner- und Lieferantennetzwerke ausgedehnt werden.
Fünf Handlungsempfehlungen
Aus den genannten Herausforderungen lassen sich fünf Handlungsfelder für die Cybersicherheit ableiten, die in diesem Jahr an Bedeutung gewinnen werden:
- Automatisierung: Technologien wie EDR, XDR und SIEM müssen strategisch eingesetzt werden. Eine automatisierte Reaktion (z.B. Sperrung eines kompromittierten Kontos) kann den Schaden eines Angriffs drastisch minimieren.
- 24/7-Überwachung: Ob intern oder durch Managed Detection and Response (MDR)-Dienstleister – Unternehmen sollten kontinuierlich überwachen. Denn Angreifer sind smart und nutzen nahezu jede Gelegenheit aus.
- Konsolidierung: Zu viele Sicherheitswerkzeuge erhöhen die Komplexität und erschweren die Reaktion. Ziel sollte eine übersichtliche und effiziente Sicherheitsarchitektur sein.
- Human Firewall: Mitarbeiterschulungen und praktische Übungen (z.B. Tabletop Exercises oder Awarness Trainings) sind unerlässlich, um sich gegen immer raffiniertere Angriffe zu wappnen.
- Sicherheitskultur: Gerade kleine und mittelständische Unternehmen sind gefordert, akute Bedrohungen zu erkennen und die Haupteinfalltore zu schließen. Mit Microsoft Defender XDR können Endpoints, Identitäten und E-Mails gleichermaßen geschützt werden. Bei der Konfiguration und Integration kann ein Dienstleister helfen.
Fazit: Proaktiven Schutz ausbauen
Die Bedrohungslage wird 2025 erwartungsgemäß angespannt bleiben. Angesichts immer schnellerer und gezielterer Angriffe müssen Unternehmen ihre Sicherheitsmaßnahmen auf Geschwindigkeit, Automatisierung und Resilienz ausrichten, nicht zuletzt auch, um den regulatorischen Anforderungen wie NIS2 zu genügen. Logs aus SIEM-, EDR- und XDR-Systemen spielen eine wesentliche Rolle bei der Aufdeckung von Infostealern, die teilweise keine Artefakte mehr hinterlassen. Ein erfahrener Dienstleister kann helfen, Lücken zu identifizieren, geeignete Regeln zu bestimmen und ggf. ein komplettes SIEM aufzubauen.
Die Handlungsempfehlungen für 2025 lassen sich mit dieser Faustregel zusammenfassen: Die drei Haupteinfalltore Endpoints, Identitäten und E-Mails absichern, diesen Basisschutz mit Incident Response und 24×7-Monitoring untermauern und einen Notfallplan erarbeiten. Denn nach wie vor gilt: Nur wer gut vorbereitet ist, kann im Ernstfall schnell reagieren und Schaden vom Unternehmen, seinen Partnern und Kunden abwenden.
*Klaus Wunder ist Senior Cyber Defense Analyst bei SECUINFRA GmbH.
Be the first to comment