Angriffe auf Unternehmen sind nicht spektakulärer geworden, aber dafür effizienter. Dieser Trend zeichnet sich bereits seit einigen Monaten ab und wird sich weiterentwickeln. Zwar reagieren Unternehmen inzwischen schneller auf Sicherheitsvorfälle, aber im Gesamtdurchschnitt ist die Resilienz gegenüber Angriffen auf Unternehmen noch deutlich steigerungsfähig. Während schlechte Passworthygiene weiterhin Tätergruppen die kriminelle Arbeit erleichtert, sorgen resilientere Netzwerke dafür, dass das Tempo bei Attacken steigt - vorhandene Schwachstellen werden also schneller ausgenutzt, und Netzwerke werden schneller verschlüsselt.
Erfolgreiche Passwort-Angriffe
Zurzeit nehmen erfolgreiche Angriffe auf Passwörter zu. Bedrohungsakteure nutzen dabei Brute-Force-Angriffe, bei denen sie automatisiert unzählige Passwort-Kombinationen ausprobieren, bis sie eine gültige Kombination finden. Alternativ kommen Passwortlisten zum Einsatz, bei denen Angreifer bekannte, zuvor geleakte Zugangsdaten (etwa aus Datenpannen bei Onlinediensten) systematisch gegen verschiedene Accounts erproben. Aber auch eine Kombination aus beidem, oft unterstützt durch einen hohen Grad an Automatisierung und leistungsfähige Infrastruktur aufseiten der Angreifenden, öffnet den Tätern die Tür. Gerade die Vermischung aus privaten Datenlecks und Passwort-Wiederverwendung im beruflichen Kontext ist ein häufiger Einstiegspunkt. Wird ein Passwort in einem privaten Online-Dienst geleakt und im Unternehmenskontext genutzt, steigt die Trefferquote bei Credential-Stuffing-Angriffen deutlich.
Wenn Unternehmen immer noch einfache Passwörter oder eine Mehrfachverwendung derselben Kombination erlauben, ist das eine offene Tür ins Netzwerk. Um diese Schwachstelle zu schließen, empfiehlt sich das Nutzen eines Passwortmanagers, der konsequente Einsatz einzigartiger, komplexer Kennwörter für jeden Dienst und Mehr-Faktor-Authentifizierung.
Das Tempo wird höher und die Resilienz entscheidend
Aktuelle Analysen lassen erkennen, dass die Zeit zwischen Erstzugriff und Verschlüsselung sich deutlich verkürzt hat. Wo es früher in vielen Fällen mehrere Monate dauerte, ist heute oft das Zeitfenster mit zwei bis drei Wochen deutlich kürzer. Der Grund dafür: Die Sichtbarkeit in den Infrastrukturen ist besser geworden. Unternehmen erkennen verdächtige Aktivitäten häufiger und früher, etwa wenn Angreifende versuchen, ihre Nutzerrechte zu erweitern und damit ungewöhnliche Verhaltensmuster an den Tag legen, welche deutlich aus dem Normalbetrieb herausstechen. Die technischen Maßnahmen stoppen noch nicht jede Ausbreitung automatisch. Aber Verantwortliche nutzen deutlich mehr Eindämmungsmaßnahmen und das ist ein wichtiger Fortschritt.
Angriff von innen: Belastungstest für die Organisation
Zunehmen wird die Zahl der Innentäterschaften. Also Vorfälle, bei denen langjährige IT-Leitungen oder IT-Admins zu einem sicherheitsrelevanten Risiko werden. Häufig sind es Personen, die lange im Unternehmen sind und über Jahre kaum Weiterbildung, Ressourcen oder Unterstützung erhalten haben.
Da IT-Sicherheit auf die Management-Agenda rückt, und kein rein technisches Thema mehr ist, wächst der Druck auf IT-Abteilungen. Steigende Compliance-Anforderungen führen zu mehr Audits und verstärkten Kontrollen.
Dabei offenbaren sich technische und organisatorische Altlasten. Es zeigt sich deutlich, wo Organisationen gewachsen sind. Und wo sie es versäumt haben, Strukturen, Rollen und Kompetenzen mitwachsen zu lassen.
Fazit: Früher erkennen, gezielter handeln, Menschen mitnehmen
In den kommenden Monaten werden Angriffe schneller und vielfältiger, Unternehmen aufmerksamer und resilienter. Das hat zur Folge, dass technische Maßnahmen und menschliche Faktoren enger miteinander verknüpft sind als je zuvor.
IT-Verantwortliche müssen im Kampf gegen Cyberkriminelle eher sehen, was passiert und gezielt einzugreifen, bevor ein Angriff die gesamte Organisation trifft. Dafür müssen sie Menschen, Strukturen und Technik gemeinsam weiterentwickeln. Das ist anspruchsvoll.
Aber es ist machbar.
Kira Groß-Bölting begleitet Unternehmen, Behörden und Organisationen durch akute Cyberattacken. Seit 2016 verstärkte sie das Team von G DATA Advanced Analytics GmbH. Seit 2022 bringt sie als stellvertretende Teamleitung im G DATA CSIRT (Computer Security Incident Response Team) sowie als Incident Managerin, Expertise und pragmatische Lösungen in jedes Projekt ein. Ihr Fokus: Krisen effektiv bewältigen, Handlungsfähigkeit wiederherstellen und nachhaltig Cyber-Resilienz stärken.
