Die häufigsten Arten von Cyber-Angriffen

Malware, auch bekannt als Schadsoftware, ist der Oberbegriff für verschiedene Arten von invasiven Computerprogrammen, die von Hackern genutzt werden, um unbefugt Zugriff auf IT-Systeme zu erlangen. Zu den bekanntesten Malware-Typen gehören Viren, Trojaner, Würmer, Adware, Spyware und Ransomware.

Bei all diesen Schadprogrammen handelt es sich um bösartigen Softwarecode, der sich über Computersysteme und Netzwerke verbreitet. Nicht immer entsteht durch Malware ein direkter Schaden. Vielmehr wird sie häufig von Hackern als Werkzeug gebraucht, um sich unbefugten Systemzugriff zu verschaffen und das System zu beobachten.

Es gibt verschiedene Warnzeichen, die darauf hindeuten, dass ein System oder Netzwerk mit Malware infiziert ist. Infizierte Systeme und Geräte laufen zum Beispiel häufig langsamer als zuvor, haben plötzlich deutlich weniger freien Speicherplatz und verbrauchen mehr Strom. Auch seltsame neue Programme oder ständig auftretende Pop-up-Fenster können Anzeichen dafür sein, dass Malware auf einem System oder einem Gerät installiert wurde.

Ransomware ist aktuell die dominierende Art von Malware. Der Name setzt sich aus den englischen Begriffen “ransom” (Lösegeld) und “software” zusammen. Einmal installiert, sperrt die Datenverschlüsselung das betroffene Gerät, um von den Opfern Lösegeld zu erpressen, um die Daten wieder freizugeben. Das macht sie zur aktuell größten Bedrohung für Unternehmen.

Eine unter Cyber-Kriminellen beliebte Weiterentwicklung von Ransomware ist Double Extortion (auf Deutsch: doppelte Erpressung). Bei einem Double-Extortion-Angriff werden die Daten nicht nur verschlüsselt, sondern davor meist auch noch kopiert und an einem anderen Ort aufbewahrt, um in zweifacher Hinsicht Druck auf das Unternehmen aufzubauen, das geforderte Schweigegeld für die Nichtveröffentlichung der Daten zu zahlen.

Eines der bekanntesten Beispiele für Ransomware ist das Schadprogramm WannaCry, das 2017 innerhalb von nur wenigen Tagen Daten auf über 200.000 Windows-Rechnern in mehr als 150 Ländern verschlüsselte. Ransomware-Arten, die aktuell von aktiven Crime-Gruppen in Deutschland eingesetzt werden, sind unter anderem LockBit, BlackCat und Emotet.

Phishing ist eine Betrugsmasche, die Cyber-Kriminelle verwenden, um an Passwörter und Zugangsdaten für Online-Dienste zu kommen. Gegenstand von Phishing-Attacken sind meistens E-Mails, Textnachrichten oder Websites, die vertrauenswürdige Personen oder Unternehmen imitieren und das Opfer so dazu bringen, sensible Daten weiterzugeben. Typische Beispiele sind das Fischen nach Informationen für privates Online-Banking oder nach Zugängen für den Fernzugriff auf ein Unternehmensnetz.

Anders als Malware-Angriffe geht es beim Phishing zunächst nicht um einen direkten Angriff auf Geräte oder Systeme, sondern vielmehr darum, menschliche Schwächen auszunutzen. Durch das Ausnutzen von Vertrauensbeziehungen sollen die Opfer dazu manipuliert werden, Daten zu übermitteln oder Hackern andere Angriffsmöglichkeiten zu bieten. Phishing ist eine Unterart von Social Engineering.

Cyber-Security-Fakt: Laut dem von IBM veröffentlichten Bericht über die Kosten einer Datenschutzverletzung ist Phishing die häufigste Ursache, dass Daten kompromittiert werden.

Als Spam bezeichnet man unerwünschte E-Mails und Textnachrichten. Neben harmlosem Werbespam, der lediglich dazu führt, dass der Empfänger mit Angeboten zugeschüttet wird, gibt es auch gefährlichen Spam, mit dem kriminelle Absichten verfolgt werden.

Dazu gehören zum Beispiel E-Mails, die mit dem Ziel verschickt werden, den Empfänger auf eine gefälschte, mit Malware infizierte Website weiterzuleiten oder ihn dazu zu verleiten, einen Anhang zu öffnen, der Schadsoftware auf dem Gerät installiert.

Die Grundidee hinter Social Engineering besteht darin, Menschen durch Manipulation zu bestimmten Handlungen und Verhaltensweisen zu bringen, indem entweder zeitlicher oder persönlicher Druck aufgebaut oder die Gutgläubigkeit der Person ausgenutzt wird.

Anders als Schadsoftware, die als Werkzeug für einen direkten Angriff auf Computer und Systeme genutzt wird, setzt Social Engineering direkt beim Menschen selbst an, der durch Täuschung dazu bewegt werden soll, vertrauliche Informationen zu enthüllen oder eine Handlung auszuführen, von der die Initiatoren des Betrugs profitieren.

Die am häufigsten vorkommende Form von Social Engineering ist Phishing. Gerade im Unternehmenskontext setzen Cyber-Kriminelle jedoch häufig auf deutlich ausgeklügeltere Szenarien. Dazu gehört unter anderem die Betrugsmasche “Fake President”. 

Dabei handelt es sich um eine Betrugsmasche, bei der falsche Identitäten (i.d.R. die eines Vorgesetzten) verwendet werden, um Mitarbeitende aus der Buchhaltung oder anderen Abteilungen mit Zugriff auf die Unternehmenskonten dazu zu bewegen, Geldbeträge auf Hacker-Konten zu überweisen.

Ein prominentes Beispiel für einen erfolgreichen Social-Engineering-Angriff ist der millionenschwere Deepfake-Betrug im britischen Ingenieurunternehmen Arup. Im Mai 2024 überwies ein Arup-Mitarbeiter in Hong Kong einen zweistelligen Millionenbetrag auf das Konto von Betrügern, nachdem er in einem Videocall von einem Deepfake (einer mithilfe Künstlicher Intelligenz erstellten, täuschend echt wirkenden Videoaufzeichnung) des CFO des Unternehmens dazu angewiesen worden war.

Bei einem Denial-of-Service-Angriff (kurz: DoS-Angriff) geht es darum, einen Server vorübergehend außer Betrieb zu setzen, indem er mit einer hohen Anzahl an Anfragen überlastet wird. Aufgrund des hohen Datenverkehrs ist der Server nicht mehr in der Lage, die Anfragen zu erfüllen und verweigert in der Folge den Service.

So können beispielsweise Online-Shops vorübergehend außer Betrieb gesetzt werden. Durch die Überlastung des Servers können Kunden keine Bestellungen mehr vornehmen und das Unternehmen erleidet Umsatzeinbußen. Auch Online-Auftritte von Bürgerämtern waren in den vergangenen Jahren häufig das Ziel von DoS-Angriffen, wodurch die angebotenen Online-Services für Bürger über längere Zeit nicht verfügbar waren.

Eine Sonderform sind sogenannte DDoS-Angriffe. DDoS steht für Distributed Denial of Service, also einen verteilten Angriff auf einen Server. Hier ist nicht nur ein Angriffssystem für eine Überschwemmung des Servers mit Anfragen verantwortlich, sondern ein Netzwerk verschiedener Systeme. 

Als Netzwerksysteme werden häufig mit Schadsoftware infizierte Rechner verwendet, über die gefälschte Anfragen an den Server geschickt werden, der lahmgelegt werden soll. Ein bekanntes Beispiel ist das Mirai-Botnetz, das Botnetze aus ungesicherten intelligenten Geräten schafft, indem es die Kontrolle über sie übernimmt.

Ein Supply-Chain-Angriff (auf Deutsch: Lieferkettenangriff) ist eine Cyber-Attacke, die nicht auf das eigene Unternehmen, sondern auf externe Zulieferer beziehungsweise andere Akteure der Lieferkette abzielt. Cyber-Kriminelle nehmen die Lieferkette ins Visier, um darüber Zugang zum Netzwerk des Unternehmens zu erhalten und Komponenten in die Endprodukte einzuschleusen.

Die Logik hinter dieser Art von Angriffen liegt darin, dass es für Angreifer einfacher ist, die Systeme eines kleinen Zulieferers zu kompromittieren, anstatt ein großes Unternehmen direkt anzugreifen. Nehmen wir als Beispiel den Automobilhersteller Volkswagen. Anstatt einen direkten Angriff auf die Systeme von VW zu starten, ist es viel leichter, Zugang über einen Zulieferer zu erlangen.

Viren oder andere Schadsoftware werden über den Zulieferer beispielsweise unbemerkt in bestimmte Softwarekomponenten eingeschmuggelt, die dann im finalen Produkt verbaut werden. Aufgrund der Komplexität von Lieferketten sind Supply-Chain-Angriffe nur schwer zurückzuverfolgen.

Es gibt viele verschiedene Möglichkeiten, wie Cyber-Kriminelle Unternehmen Schaden zufügen können. Weitere Arten von Cyber-Angriffen, die eine potenzielle Gefahr für Unternehmen darstellen, sind:

• Man-in-the-Middle-Angriff: Bei Man-in-the-Middle-Angriffen (MitM) klinken sich Cyber-Kriminelle in eine virtuelle Kommunikation ein, sodass sie Zugriff auf alle Nachrichten haben, die zwischen den Kommunikationspartnern ausgetauscht werden, und den Nachrichtenverlauf manipulieren können.
• Insider-Bedrohungen: Insider-Bedrohungen sind Cyber-Bedrohungen, die von Personen innerhalb eines Unternehmens oder einer Organisation ausgehen. Insider können in diesem Fall entweder Mitarbeitende, Auftragnehmer oder Unternehmenspartner sein, die einen autorisierten Zugriff auf sensible Daten und Netzwerke haben und diesen Zugriff entweder absichtlich missbrauchen oder unwissentlich die Informationssicherheit gefährden können.
• SQL-Injection: Eine SQL-Injection ist ein Angriff auf eine Datenbank mit dem Ziel, das Unternehmen zu schädigen. Über Manipulation des SQL-Codes (Programmiersprache zum Speichern und Verarbeiten von Datenbankinformationen) verschaffen sich Angreifer unbefugten Zugriff auf sensible Daten.
• Identitätsdiebstahl: Identitätsdiebstahl ist der Missbrauch von personenbezogenen Daten durch Cyber-Kriminelle, die mithilfe der gestohlenen Daten die digitale Identität des Opfers annehmen, um damit im Internet Käufe zu tätigen oder Ähnliches. Unter Identitätsdiebstahl fallen unter anderem die Angriffsarten Doxing (Veröffentlichung privater Personendaten im Internet, um die Identität zu enthüllen), Spoofing (Vortäuschen einer fremden Identität, um das Vertrauen des Opfers zu gewinnen) und Vishing (Phishing-Anrufe, bei denen Opfer zur Preisgabe vertraulicher Daten manipuliert werden).
• Zero-Day-Exploits: Ein Zero-Day-Exploit nutzt eine noch unbekannte oder nicht behobene Sicherheitslücke in einer Software oder Anwendung aus, um sich Zugang zu Systemen zu verschaffen. Der Name “Zero-Day-Exploit” spielt darauf an, dass der Betreiber der Software oder Anwendung null Tage hat, um die Schwachstelle zu beheben.
• Angriffe mit KI: KI-gestützte Cyber-Angriffe können verschiedene Formen annehmen, darunter automatisierte Angriffe, KI-basiertes Social Engineering oder erweiterte Phishing-Methoden.
• Advanced Persistent Threats: Ein Advanced Persistent Threat (APT) ist eine Cyber-Bedrohung, die von gut ausgebildeten, häufig staatlich unterstützten Cyber-Kriminellen ausgeht und der langfristigen Spionage und Aufdeckung von Betriebs- und Geschäftsgeheimnissen dient.
• Fake-Invoice-Betrug: Ein Fake-Invoice-Betrug ist eine Betrugsmasche, bei der gefälschte Rechnungen verschickt werden, die zur Zahlung eines Geldbetrags für eine nicht erbrachte Leistung auffordern. In manchen Fällen liegt das Ziel auch darin, über Anhänge Schadprogramme auf dem Computer des Rechnungsempfängers zu installieren.
• Angriffe auf Dienstleister: Angriffe auf Dienstleister stellen eine weitere Cyber-Bedrohung dar, gegen die Unternehmen sich wappnen müssen. Darunter fallen beispielsweise Cyber-Attacken auf Cloud-Provider oder sonstige Internetdienstleister, von denen das Unternehmen Services bezieht. Sind Dienstleister betroffen, erreichen die Auswirkungen auch die Kundenunternehmen.