«Die aktuellen Zahlen unterstreichen die Notwendigkeit robuster Massnahmen zum Identitätsschutz», sagt Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland. «Ein weiteres wichtiges Thema ist die Ausnutzung älterer – teils Jahrzehnte alter – Schwachstellen, die sich oft in weit verbreiteter Software und Hardware befinden. Einige der am häufigsten angegriffenen Netzwerkschwachstellen betreffen ältere Geräte, für die keine Patches mehr entwickelt werden.»

Der 2024 am häufigsten von Ransomware angegriffene Sektor waren Hochschulen, die aufgrund von Budgetbeschränkungen, Bürokratie und einer breiten Angriffsfläche oft wenig gut geschützt sind. Danach folgen öffentliche Verwaltung, Produktion und Gesundheitswesen. Die grundlegenden Sicherheitsmassnahmen sind ein zentrales Thema, weil Angreifer oft nach einfach zu nutzenden, da bekannten Schwachstellen suchen. Zudem wurden in vielen der von Talos IR beobachteten Ransomware-Fälle Endpunktlösungen ausgenutzt, die kein Kennwort für einen Agenten oder Connector erforderten und/oder nicht ordnungsgemäss konfiguriert waren.

Die aktivste Ransomware-as-a-Service (RaaS)-Gruppe war 2024 LockBit, wenn man den Umfang der Beiträge zu Data Leak Sites als Massstab nimmt. Trotz der versuchten Zerschlagung im März 2024 war LockBit damit zum dritten Mal in Folge die aktivste Gruppe. Platz 2 belegt die neue Gruppe RansomHub, die grosse Unternehmen mit hohen Zahlungsaufforderungen angreift.

Der Cisco Talos Year in Review Report zeigt auch die aktuelle Rolle von Künstlicher Intelligenz (KI). Im Jahr 2024 nutzten Angreifer KI eher zur Verbesserung bestehender Taktiken – wie Social Engineering und Aufgabenautomatisierung – statt für die Entwicklung grundlegend neuer Techniken. Anstelle eines Invests in neue KI-Angriffsmethoden, wurde die kostengünstige Verbesserung existierender Methoden genutzt.

Die wichtigsten Ergebnisse laut Cisco Talos

Bei den am häufigsten angegriffenen Schwachstellen im Jahr 2024 handelte es sich meist um ältere CVEs, die bereits seit mehreren Jahren bekannt sind.

• Die meisten dieser Schwachstellen befinden sich in weit verbreiteter Software und Hardware wie Apache Log4j und der Skriptsprache Bash, wodurch viele Branchen und Regionen betroffen sind.
• Auf identitätsbasierte Angriffe entfielen 60 % aller Cisco Talos Incident Response-Fälle.
• 44 % der Identitätsangriffe zielten auf das Active Directory ab.
• 20 % der identitätsbasierten Angriffe betrafen Cloud-Anwendungen, wobei APIs aufgrund ihres Zugangs zu sensiblen Daten ein attraktives Ziel darstellten.
• Ransomware-Akteure nutzten in fast 70 % der Fälle gültige Konten für den Erstzugang.
• Ransomware-Akteure griffen 2024 vor allem das Bildungswesen an, gefolgt von öffentlicher Verwaltung, Produktion und Gesundheitswesen.
• In den meisten der von Talos IR beobachteten Fälle versuchten Angreifer, Sicherheitslösungen der Opfer zu deaktivieren und waren fast immer erfolgreich.

Die 5 wichtigsten Empfehlungen von Cisco Talos zu Sicherheitsmassnahmen

• Updates und Patches so schnell wie möglich aufspielen
• Robuste Authentifizierungsmethoden wie MFA und komplexe Passwörter durchsetzen
• Best Practices wie strenge Zugangskontrollen, Netzwerksegmentierung und Mitarbeiterschulungen umsetzen
• Sämtlichen Datenverkehr für Monitoring und Konfiguration verschlüsseln
• Alle Massnahmen auch für die Netzwerkinfrastruktur implementieren
   
  Den vollständigen Cisco Talos Year in Review Report 2024 finden Sie hier.
  
  Über Cisco
  Cisco (NASDAQ: CSCO) ist das weltweit führende Technologie-Unternehmen, das die Welt vernetzt, um alles möglich zu machen. Unser Ziel ist es, mit Digitalisierung eine inklusive Zukunft zu schaffen, die allen Menschen neue Möglichkeiten eröffnet. Deshalb unterstützen wir unsere Kunden dabei, ihre Anwendungen neu zu gestalten, hybrides Arbeiten zu ermöglichen, ihre Unternehmen abzusichern, digitale Infrastrukturen zu modernisieren und ihre Nachhaltigkeitsziele zu erreichen.

(Quelle: Medienmitteilung von Cisco)