Einführung
Cybersicherheit ist keine Übung nach dem Motto „einmal einrichten und vergessen“. Risiken ändern sich ständig – und das bedeutet, dass sich die Sicherheitsstrategie ebenfalls weiterentwickeln muss. Multifaktor-Authentifizierung (MFA) ist ein gutes Beispiel. Noch vor wenigen Jahren galt MFA bei Versicherungen als Goldstandard zur Risikoreduzierung. Heute ist MFA eine Voraussetzung, die nur in Verbindung mit einer Vielzahl anderer Sicherheitsmaßnahmen wirksam ist, die angetreten sind, um der sich verändernden Bedrohungslandschaft zu begegnen.
Alton Kizziah
CEO, Beazley Security
Angriffe auf Edge-Geräte: eine Bedrohung, die man im Auge behalten sollte
Die Art und Weise, wie sich Bedrohungsakteure Zugang zu Umgebungen verschaffen, hat sich in letzter Zeit verändert.
Frühere Generationen von Angreifern konzentrierten sich darauf, sich über Endpunkte wie Workstations und Server Zugang zum Netzwerk zu verschaffen, indem sie Phishing-E-Mails mit bösartigen Links oder Dokumente als Waffe verwendeten und sich durch gestohlene Anmeldedaten oder die Installation von Hintertüren Zugang verschafften. Da im Lauf der Zeit Unternehmen und Anbieter die Endpunktsicherheit verbessert haben, haben Angreifer ihr Ziel verlagert und konzentrieren sich nun verstärkt auf veraltete, ungepatchte oder anderweitig anfällige Edge-Geräte.�
Bedrohungsakteure haben sich traditionell auf gestohlene Anmeldeinformationen als primäre Methode verlassen, um über Edge-Geräte auf Umgebungen zuzugreifen. Obwohl dieses Risiko bekannt ist, tun sich die Unternehmen immer noch schwer, es zu bewältigen. Hierfür gibt es mehrere Gründe. Benutzer verwenden Passwörter mehrfach, oder versäumen es, einen Passwort-Manager zu verwenden, der die effektive Verwendung langer und sicherer Passwörter ermöglicht.�
Wenn MFA nicht vorhanden ist, ermöglicht die Verwendung schwacher oder wiederverwendeter Passwörter Brute-Forcing- und Passwort-Spraying-Techniken, die seit Jahrzehnten zur Kompromittierung von Unternehmen eingesetzt werden. Und dort, wo MFA zwar vorhanden, aber in schwächeren Implementierungen konfiguriert ist, haben Bedrohungsakteure ihre Angriffstechniken angepasst, um MFA ganz zu umgehen, indem sie Sitzungs-Tokens stehlen („Attacker-in-the-Middle“, AiTM), Benutzer betrügerisch durch falsche Authentifizierungsprozesse leiten (Gerätecode-Phishing) oder Benutzer zwingen, bösartigen Open-Authorization-Anwendungen (oAuth) zuzustimmen, die legitim aussehen, dem Bedrohungsakteur aber Zugriff auf die Ressourcen des Benutzers geben.
Edge-Geräte sind Systeme, die ein internes Netzwerk und das öffentliche Internet miteinander verbinden. Sie sind ausdrücklich so konzipiert, dass sie direkt über das Internet zugänglich sind. Zu den häufigsten Typen gehören Firewalls, VPNs und Dateiübertragungsgeräte.
Was ist ein Edge-Gerät?
Die schnelle Identifizierung von Schwachstellen bei der �Evolution neuer Risiken ist eine ständige Herausforderung für Unternehmen. Ohne Einblick in die Art und Weise, wie oder wo ein Edge-Gerät als Nächstes ausgenutzt werden könnte, sind laufende Präventions- und Vorbeugungsmaßnahmen für die Selbstverteidigung unerlässlich.
Diese Maßnahmen umfassen:�
Extended Detection and Response (XDR), um die gesamte Angriffsfläche im Blick zu behalten
Robustes Schwachstellenmanagement und Patching, um den Schutz der Geräte zu gewährleisten
Weitere Verteidigungsmaßnahmen ‚in die Tiefe‘, um zu verhindern, dass Angreifer sich unbemerkt im Netzwerk bewegen und ihren Einfluss ausweiten können
Erfahren Sie hier mehr über Best Practices.
Die schnellere Ausnutzung neu veröffentlichter Sicherheitslücken hat die Sorge hinsichtlich Edge-Geräten verstärkt. Sobald eine neue Sicherheitslücke öffentlich bekannt wird, treten zahlreiche Bedrohungsakteure in Aktion, um sie auszunutzen.
�Mithilfe allgemein verfügbarer Tools können sie problemlos nach internetfähigen Geräten suchen, die möglicherweise anfällig sind. Sobald sie über die Schwachstelle in einem Edge-Gerät Zugang zu einer Umgebung erlangt haben (manchmal innerhalb von wenigen Stunden nach Bekanntwerden der Schwachstelle), können sie entweder einen dauerhaften Zugang aufrechterhalten oder über Filehosting-Lösungen Daten sofort exfiltrieren, ohne die Umgebung zu kompromittieren.
Mit einfachen Scan-Tools lassen sich potenziell gefährdete Geräte leicht ausfindig machen, und auch die Prüfung, ob sie gepatcht wurden, ist ein unkomplizierter Prozess. Dies macht einen Angriff zu einem Zahlenspiel für Bedrohungsakteure – und die Zahlen sprechen für die Angreifer. Beispiele dafür, wie dies in der Praxis aussieht, finden Sie hier.
Bedrohungsakteure verzeichnen häufig eine hohe Erfolgsrate beim Zugriff auf Edge-Geräte aufgrund schlecht verwalteter Anmeldeinformationen. Durch die einfache und sofortige Verfügbarkeit von Phishing-Infrastrukturen, die MFA umgehen können, können Angreifer jetzt sogar Unternehmen angreifen, die robuste MFA-Maßnahmen implementiert haben.
MFA wird am häufigsten mithilfe einer Technik umgangen, die als „Attacker in the middle“ bekannt ist. Dabei sendet ein Bedrohungsakteur eine Phishing-E-Mail mit einem Link, der eine Verbindung zwischen dem Opfer und einem Anmeldeportal (meistens Office365) ermöglicht und abfängt. Dadurch kann der Bedrohungsakteur Sitzungstoken und andere technische Geheimnisse abfangen. Der Bedrohungsakteur umgeht also die MFA, indem er sich eine legitim authentifizierte Sitzung verschafft. Diese Technik ist deshalb so erfolgreich, weil sie einen 1:1-Klon der Ziel-Anmeldeseite erstellt, wobei nur die URL des Phishing-Servers und die Informationen im TLS-Zertifikat als sichtbare Verräter übrig bleiben.
In Unternehmen, in denen der VPN-Zugang eine einmalige Anmeldung zur Authentifizierung erfordert, könnte ein erfolgreicher AiTM-Angriff innerhalb weniger Minuten direkt zum Netzwerkzugang führen. Schließlich ist es viel einfacher, ein Haus auszurauben, wenn man die Schlüssel hat, anstatt die Tür einzuschlagen.
Die Risiken im Kontext:
Fallstudien und Daten
Der Kunde betreibt Einrichtungen für die stationäre Behandlung von Patienten. Nach einer Fortinet-Warnung über eine 0-Day-Schwachstelle hatte der Kunde direkt seinen IT-Anbieter benachrichtigt, um die betroffenen Firewalls in seinem Netzwerk zu patchen. Weniger als 24 Stunden nach der Veröffentlichung des 0-Day entdeckte der IT-Anbieter, dass vier Firewall-Edge-Geräte kompromittiert worden waren.
Beazley Security wurde beauftragt, den Angriff zu untersuchen, einzudämmen und zu beseitigen. Die Untersuchung ergab, dass der Bedrohungsakteur aufgrund des Missbrauchs eines VPN in der Lage war, alle Benutzernamen und Kennwörter für das Gerät zu erlangen und in die Umgebung einzudringen. Der Bedrohungsakteur nutzte automatische Privilegienerweiterung, um ein Superuser zu werden und so vollständigen Zugriff und die Möglichkeit zu erhalten, legitime Konten anzulegen. Er legte in kurzer Zeit viele neue Admin- und Benutzerkonten an. Der Angreifer änderte auch die Konfigurationsregeln, um den Fernzugriff weiter zu erleichtern und seine Position zu stärken.
Das bloße Abschalten von ein oder zwei Konten hätte nicht gewährleistet, dass der Bedrohungsakteur nicht wieder auftaucht. Der Kunde verzögerte jedoch das Zurücksetzen der Anmeldedaten, als der Vorfall entdeckt wurde: er nahm sich zunächst Zeit, die erste Warnung zu untersuchen. Dadurch musste das angegriffene Unternehmen in einer Sisyphusarbeit versuchen, das Problem in den Griff zu bekommen, während der Bedrohungsakteur sich gleichzeitig schnell in der Umgebung bewegte. Die Ermittler identifizierten die kompromittierten Konten, entfernten die Persistenzmechanismen und installierten EDR, um Transparenz zu gewährleisten und sicherzustellen, dass keine weiteren Aktivitäten des Bedrohungsakteurs stattfanden.
FALLSTUDIE: Einspielen von Patches offenbart Kompromittierungen
Die Verlagerung von Angriffen auf Edge-Geräte durch Bedrohungsakteure ist die treibende Kraft hinter den Bemühungen von Beazley Security Labs zur Erforschung von Schwachstellen.
Dieses Team überwacht und bewertet Sicherheitsrisiken durch neue Software-Schwachstellen und gibt Hinweise auf die dringendsten Risiken für Kunden. Das Labs-Team verfolgt bei der Veröffentlichung von Advisories einen risikobasierten Ansatz und beschreibt Schwachstellen, die mit hoher Wahrscheinlichkeit zu einem schädlichen Cybervorfall für Beazley-Kunden führen können.
Durchschnittlich werden jede Woche 40 bis 50 Schwachstellen gemeldet und die Reduzierung dieser Schwachstellen auf die für die Kunden von Beazley wichtigsten ist ein wesentlicher Bestandteil der Arbeit des Labs-Teams.
Unser kompetentes Labs-Team überprüft jede neue Schwachstelle, um die Wahrscheinlichkeit einer Ausnutzung, die Leichtigkeit des Missbrauchs und den potenziellen Schaden zu bewerten, den ein Angreifer verursachen könnte.
Unser Team nutzt dann unsere Einblicke in die nach außen gerichteten Systeme der Beazley-Kunden, um diejenigen Unternehmen zu ermitteln, die möglicherweise betroffen sind, und gibt Empfehlungen auf Grundlage der Einfachheit der Ausnutzung, der Anzahl der Geräte, die wir bei Kunden sehen, und der Auswirkungen, die Bedrohungsakteure erzielen könnten. Dank dieses sorgfältigen Screening-Prozesses können Kunden sicher sein, dass sie auf jede Schwachstelle, die ein Advisory verdient, sofort reagieren müssen.
�Auch wenn es für weniger qualifizierte Angreifer nicht einfach ist, die Schwachstellen auszunutzen, sind Ransomware-Gruppen oft in der Lage, fachkundige Helfer zu engagieren, die erfolgreich hacken, sobald die Schwachstellen öffentlich bekannt werden.
Der Arbeitsablauf
Was CISOs wissen sollten: �Best Practices und technische Lösungen
Bei der Bewertung des Risikos ausgenutzter Schwachstellen ist es wichtig zu ermitteln, inwiefern die Schwachstelle auf Ihr Unternehmen anwendbar ist oder nicht.
�Zunächst muss festgestellt werden, ob die anfällige Software oder das anfällige Gerät im Internet sichtbar und in Ihrer Umgebung ausnutzbar ist. Wichtig zu beachten: Selbst wenn eine Schwachstelle in Ihrer Umgebung heute nicht ausnutzbar zu sein scheint, ist dies keine Garantie dafür, dass sie in Zukunft nicht ausnutzbar sein wird. Anbieter verbessern ihre Produkte ständig, indem sie neue Funktionen hinzufügen und die Software aktualisieren, was zu neuen Schwachstellen führen kann. Daher ist ein robustes Schwachstellenmanagement und ein Patching-Prozess ein Muss.
Edge-Geräte, wie z. B. VPN-Gateways oder Dateiübertragungssysteme, sind im Internet sichtbar und müssen aus Prinzip zugänglich sein. Bewährte Segmentierungsverfahren können dazu beitragen, das Risiko zu verringern. Ein guter Ausgangspunkt hierfür ist eine Überprüfung Ihrer Segmentierungspolitik: Werden sie durch die korrekten Daten unterstützt? Haben Sie ermittelt und klassifiziert, welche Assets als kritisch angesehen werden? Verfügen Sie über aktuelle Netzabbildungen und dokumentierte Datenflüsse?
Zunächst werden diese Geräte zu einem weiteren Punkt, den Angreifer scannen und angreifen können, und sie können wertvolle Informationen liefern, die Angreifern helfen, das Gerät zu identifizieren.
Zusätzlich können Angreifer, wenn Managementkonsolen vom Internet aus sichtbar sind, gestohlene Kennwörter an ihnen ausprobieren, um Zugang zu erhalten.
Es ist Best Practice, die Anzahl der Dienste, die dem Internet ausgesetzt sind, zu begrenzen. Ein gewisses Maß an Sichtbarkeit ist jedoch oft unvermeidlich, so dass eine Absicherung der dem Internet ausgesetzten Dienste unerlässlich ist. Die meisten Unternehmen, die Geräte mit Managementkonsolen herstellen, bieten typischerweise Anleitungen zur Absicherung an. Dies kann beinhalten, den Zugriff auf die Managementkonsole auf eine einzige IP-Adresse oder ein administratives Subnetz von IP-Adressen, die Änderungen vornehmen können, zu beschränken.
Es gibt zwei Probleme, die durch Managementkonsolen für exponierte Edge-Geräte entstehen.
Unternehmen können sich nicht nur auf eine einzige Sicherheitsmaßnahme verlassen – eine „Defense in Depth“-Strategie ist unerlässlich, um die Umgebung als Ganzes zu schützen.
Wenn es um eine umfassende Verteidigung geht, müssen mehrere Ebenen, mehrere Maßnahmen und mehrere Protokolle bewertet werden. Es reicht nicht aus, ein Produkt zu kaufen, es zu installieren und zu hoffen, dass es nicht angegriffen wird – und es reicht auch nicht aus, nur Patches zu installieren und das Beste zu hoffen. Unternehmen müssen die sich ständig weiterentwickelnde Cyber-Bedrohungslandschaft im Auge behalten, um Bedrohungen zu erkennen und darauf zu reagieren.
�Ein umfassendes Programm für eine gründliche Verteidigung beinhaltet: �
Schwachstellen-Scans und Patching-Prozesse
EDR, das überall eingesetzt wird und so konfiguriert ist, dass es Bedrohungen aktiv blockiert
MDR SOC-Überwachung von Alarmen und deren Untersuchung
gesperrter Zugang zu Lateral Movement-Möglichkeiten, um die Bedrohungsakteure zu verlangsamen
Identitäts- und Zugriffsmanagement (IAM)
Darüber hinaus gibt es einige Best Practices, die für bestimmte Branchen spezifisch sind.
Finanzdienstleistungen
Transaktions- und Verhaltensüberwachung einsetzen, um betrügerische und ungewöhnliche Kontoaktivitäten zu erkennen.
Regelmäßige Schwachstellen-Scans und Patchvorgänge durchführen, um veraltete Software zu überwachen; prüfen, ob Ausgleichsmaßnahmen für ältere Geräte getroffen werden, die nicht mehr unterstützt werden.
Systeme von Drittanbietern (wie Kernanbietern) überwachen und überprüfen, um sicherzustellen, dass sie aktualisiert und auf den neuesten Stand gebracht werden.
Mikrosegmentierung und eingeschränkten Zugriff auf Legacy-Systeme implementieren.
Legacy-Anwendungen/-Systeme überwachen und protokollieren.
Starke Kundenauthentifizierung („String Customer Authentication“, SCA) als zusätzliche Verifizierung für Transaktionen nutzen.
Sicherstellen, dass Finanzdaten während der Übertragung und im Ruhezustand verschlüsselt sind.
API-Exposition begrenzen – APIs sollten strengen Authentifizierungs- und Überwachungsprotokollen unterliegen.
Gesundheitswesen
Technology
SaaS-Unternehmen
Fertigung & Industrie
Organisationen des Gesundheitswesens, einschließlich Krankenhäusern, Kliniken und Gesundheitsdienstleistern, die Patientendaten schützen und Vorschriften einhalten müssen, empfehlen wir außerdem folgendes:
Technologieunternehmen, darunter Softwareentwickler und IT-Dienstleister, benötigen starke Cybersicherheitsmaßnahmen, um geistiges Eigentum und Kundendaten zu schützen.
Im Folgenden werden bewährte Praktiken für diese Branche beschrieben:
Fertigungs- und Industrieunternehmen, die auf Operational Technology (OT) und industrielle Kontrollsysteme (ICS) angewiesen sind, geraten zunehmend ins Visier von Cyberbedrohungen. Diese Unternehmen sind gut beraten, Folgendes zu tun:
Für Software-as-a-Service(SaaS)-Unternehmen, die mit sensiblen Kundendaten umgehen und sicherstellen müssen, dass ihre Sicherheitsvorkehrungen solide sind, sollten folgende Best Practices gelten:
Allgemeine Best Practices zur Verhinderung der Ausnutzung gestohlener Zugangsdaten, die jedes Unternehmen befolgen sollte:
Incident Response ist kein linearer Prozess. Wir gehen vorwärts und rückwärts, wenn wir neue Informationen erhalten, sie analysieren und Schlussfolgerungen ziehen. Der IR-Prozess beinhaltet diese Schritte:
Wenn Sie vermuten, dass ein VPN kompromittiert wurde: der IR-Lebenszyklus
Suche nach Sicherheitslücken, die den Zugang zu Ihrem Netzwerk ermöglicht haben könnten
Aufbewahrung der Protokolle für 60 oder 90 Tage, damit der Vorfall untersucht werden kann
Überprüfung von Benutzer- und Administratorkonten, die ein Bedrohungsakteur oft sofort nach dem Zugriff anlegt, um die Persistenz sicherzustellen
Überwachung auf verdächtiges Nutzerverhalten oder Admin-Aktivitäten, wie z. B. Anmeldungen von ungewöhnlichen IP-Adressen oder zu unerwarteten Zeiten
Zurücksetzen der Anmeldedaten für Konten, die bekanntermaßen kompromittiert sind oder kompromittiert worden sein könnten
Dr. Mohibi Hussain
Director, Global Advisory Services, Beazley Security
„Da die Zeit bis zum Exploit immer kürzer wird, gibt es ein viel begrenzteres Delta zwischen den Compliance-Richtlinien eines Unternehmens, den Zeitplänen für die Patch-Verwaltung und der Leichtigkeit, mit der ein Bedrohungsakteur seine Ziele erreichen kann. Eine konsequente Überwachung der Umgebung und ein schnelleres, effektiveres Patch-Management-System sind entscheidend.”
Sie möchten mehr erfahren?
ADurchsetzung von MFA
Passwortlose Authentifizierung
Rollenbasierter und Just-in-Time-Zugriff
Identitätsschutzmaßnahmen (Sign in Risk) (falls zutreffend)
Überwachung auf verlorene / geleakte Zugangsdaten
Beschränkung der Verwendung auf moderne Authentifizierungsmethoden und Blockierung älterer Authentifizierungsmethoden
Sicherheit der Anmeldeinformationen
Durchsetzung strenger Passwortrichtlinien
privilegierte Zugriffsverwaltung (PAM)
adaptive Authentifizierung
Audit und Überwachung von Anmeldeversuchen
Sperren des Zugriffs von Anmeldeinformationen, die in einem Breach verloren wurden
Endpunkt- und Netzwerksicherheit
kontinuierliche Überwachung und Erkennung von Anomalien
Segmentierung des Netzes
Durchsetzung von Sicherheitsrichtlinien für Geräte
Aktivierung von Geofencing und IP-Einschränkungen
Automatisierung von Sitzungszeitüberschreitungen und erneuter Authentifizierung
Francisco Donoso
Chief Product and Technology Officer, Beazley Security
„Der Trend geht jetzt zu einer schnelleren Ausnutzung von Schwachstellen. Bedrohungsakteure beobachten genau, wie Entwickler, Hersteller und Anbieter eine Schwachstelle veröffentlichen, und nutzen dann die Gelegenheit.”
Die neuesten Advisories finden Sie immer auf unserer Website: beazley.security/alerts-advisories
FALLSTUDIE: Ausnutzung gestohlener VPN-Zugangsdaten legt die Produktion lahm
Der Kunde ist ein Hersteller von Bauelementen, der mehr als 10 verschiedene Standorte mit Produktions-, Lager- und Versandabteilungen betreibt. Eines Morgens erhielt der Kunde von seinem Security-Dienstleister eine Mitteilung über einen möglichen Vorfall, der mehrere Standorte betraf. Der Kunde bemerkte Bewegungen innerhalb seiner Systeme (lateral movement), stellte fest, dass seine VMware-Hosts heruntergefahren waren, und fand eine Erpressernotiz der Ransomhub-Gruppe.
Beazley Security wurde mit der forensischen Untersuchung und der Datenwiederherstellung beauftragt. Die Untersuchung ergab, dass der Bedrohungsakteur gültige Anmeldedaten für drei verschiedene Konten verwendet hatte, um auf das VPN zuzugreifen. Nachdem er sich Zugang verschafft hatte, nutzte der Bedrohungsakteur Single Sign-On (SSO), um auf die VMware-Konsole zuzugreifen, startete Malware, um EDR-Agenten zu deaktivieren, verschlüsselte vier virtuelle Server sowie Endpunkte und exfiltrierte mehr als 200 GB an Daten.
Obwohl der Kunde über funktionierende Backups verfügte, dauerte die vollständige Wiederherstellung mehr als zwei Wochen, und die Verzögerungen bei der Produktion und Auftragsabwicklung führten zu erheblichen Gewinneinbußen. Data Mining war erforderlich, um den Inhalt der gestohlenen Daten zu verstehen, und ein Fachanwalt sorgte dafür, dass mehr als 2.200 betroffene Personen sowie die Datenschutzbehörden informiert wurden.
Genossenschaften, Banken und Versicherungen, die mit sensiblen Finanzdaten umgehen, sind bevorzugte Ziele für Cyberangriffe. Zusätzlich zu den oben genannten bewährten Verfahren sollten Finanzdienstleistungsunternehmen:
Sicherung der elektronischen Gesundheitsakten, indem Sie Patientendaten während der Übertragung und im Ruhezustand verschlüsseln.
Überwachung von Drittanbietern auf Einhaltung von Sicherheitsstandards im Gesundheitswesen.
Realisierung der Sicherheit von Medizingeräten, indem Sie IoT-Geräte isolieren.
Durchführung regelmäßiger Patches und Schwachstellen-Scans, um kontinuierlich nach veralteter Software zu suchen.
Schulung der Mitarbeiter in Phishing- und Social-Engineering-Taktiken und sicherstellen, dass die Benutzer bewährte Praktiken zum Schulterblick, zur Passwortverwaltung und zu unbeaufsichtigten Computern befolgen.
Durchsetzung eines sicheren Softwareentwicklungszyklus (SDLC) durch die Anwendung sicherer Kodierungspraktiken und die Durchführung häufiger Sicherheitstests.
Erleichterung der Anwendung von DevSecOps durch die Integration von Sicherheitstests in eine Pipeline für Continuous Integration/Continuous Deployment (CI/CD).
Überprüfung auf Open-Source-Sicherheitslücken, indem Sie Abhängigkeiten auf Sicherheitsmängel bewerten.
Überwachung der Cloud-Sicherheit, um sicherzustellen, dass die Cloud-Umgebungen sicher konfiguriert sind.
Bewertung der Anwendungen und des internen und externen Netzes, um zu prüfen, ob die Software/Betriebssysteme veraltet sind.
Segmentierung von IT- und OT-Netzwerken, um Querverbindungen zwischen ICS und Unternehmens-IT zu verhindern.
Überwachung industrieller IoT-Geräte, um ältere und „Smart Factory“-Anlagen zu sichern.
Patch-Management für Altsysteme, einschließlich der Implementierung von Ausgleichskontrollen für nicht unterstützte Altgeräte.
Sicherstellung, dass physische Sicherheitsmaßnahmen den unbefugten Zugang zu industriellen Systemen einschränken.
Mandantenisolierung in Mehrmandantenumgebungen, um Datenlecks zwischen Mandanten zu verhindern.
Sicherheitskonfigurationsmanagement (SCM) zur kontinuierlichen Durchsetzung sicherer Einstellungen in der Cloud.
Attributbasierte Zugriffskontrolle (ABAC) �zur Begrenzung der Datenzugriffsberechtigungen.
Runtime Application Self-Protection (RASP) zur Überwachung und Verhinderung von Angriffen innerhalb der Anwendung.
Unsere Teams passen sich ständig an neue Taktiken an, identifizieren potenzielle Risiken, die den Betrieb stören oder sensible Daten gefährden könnten, und erarbeiten Strategien zur Minderung dieser Schwachstellen. Die Fähigkeit, diese Erfahrungen proaktiv mit unseren Kunden zu teilen, ist ein wesentlicher Bestandteil des Wertversprechens von Beazley Security. Deshalb freue ich mich, unsere neue Serie Cyber Risk | In Focus vorstellen zu dürfen. Diese Reports, die teils Erklärungen, teils Analysen und teils Datenquellen darstellen, haben wir entwickelt, um tief in aufkommende Trends einzutauchen und Ihnen dabei zu helfen, fundierte Entscheidungen über Ihre Cyberabwehr zu treffen.
�Cyber-Resilienz ist nicht einfach eine Verteidigungsstrategie. Wir sehen einen Geschäftsfaktor, der Systeme und Organisationen angesichts von Cyberbedrohungen widerstandsfähig hält. Wir beobachten bereits, wie anders die Gespräche ausgehen, wenn reale Daten – von Beazleys Underwriting- und Schadenteams sowie von unseren eigenen Sicherheits- und Forschungsteams – für Risikoentscheidungen herangezogen werden. Gemeinsam sind wir stärker, und dementsprechend sind es auch die Organisationen, die uns ihr gesamtes Spektrum an Cybersicherheitsanforderungen anvertrauen.
Tauchen wir also ein. Heute werfen wir einen präemptiven Blick auf das Edge-Geräte-Hacking, und auf die Frage, wie sich die schnellere Ausnutzung neu veröffentlichter Schwachstellen auf das Risiko für Unternehmen auswirkt. Lesen Sie weiter, um zu erfahren, was dies für Ihr Geschäft bedeuten könnte und was Sie präventiv tun können, um Ihre Umgebung zu schützen.
��
Angriffe auf Edge-Geräte:
Der Wettlauf mit der Zeit
Cyber Risk | In Focus
Angriffe auf Edge-Geräte: eine Bedrohung, die man im Auge behalten sollte
Die Risiken im Kontext:
Fallstudien und Daten
Was CISOs wissen sollten:�Best Practices und �technische Lösungen
Sie möchten mehr erfahren?
Wir von Beazley Security helfen Ihnen, sich in der komplexen Landschaft der Cyberbedrohungen von heute zurechtzufinden. �Wenn Sie mehr darüber erfahren möchten, wie unsere Dienstleistungen Ihr Unternehmen schützen können, kontaktieren Sie uns noch heute.
© 2025 Beazley Security
beazley.security
Sind Sie bereit, Ihre Sicherheit zu verbessern?
Hervorragende Expertise im Bereich Cybersicherheit, ergänzt durch bewährte Leistungen bei der Risikominderung, um Ihre Widerstandsfähigkeit zu stärken.
Kompromisslose Innovation.
Für die heutige Landschaft bedeutet das, zu verstehen, wie Sicherheitslücken in Edge-Geräten ausgenutzt werden können – und welche Maßnahmen am effektivsten gegen die daraus resultierenden Risiken schützen. Für die Zukunft bedeutet dies auch, dass wir die Ressourcen und Instrumente haben müssen, um Trends zu überwachen und schnell auf neue faktenbasierte Empfehlungen zu reagieren.
Solange Bedrohungsakteure Sicherheitslücken in Edge-Geräten ausnutzen können, um Zugang zu Systemen zu erlangen, werden sie dies zweifellos weiterhin tun. Aber sie werden sich damit nicht zufriedengeben – und das sollten Sie auch nicht. ��
Ständige Weiterbildung ist ein Schlüsselelement der präventiven Cybersicherheit. In einer Welt, in der Bedrohungsakteure ihre Taktiken regelmäßig ändern und verfeinern, muss Ihr Unternehmen auf alles vorbereitet sein und sich ständig mit den neuesten Trends vertraut machen.
Es kommt vor, dass Beazley Security Labs ein Advisory für Systeme herausgibt, die in der Regel nicht mit dem Internet verbunden sind, aber dennoch gefährdet sein könnten, z. B. die beliebte Backup-Lösung Veeam, die häufig Ziel von Ransomware-Angriffen ist.
In einem solchen Szenario entscheiden wir gegebenenfalls, ein Advisory für Beazley Security MDR-Kunden für eine bessere Verteidigung in der Tiefe herauszugeben und es auf unserer Website zu veröffentlichen. Durch die Anwendung eines risikobasierten Ansatzes bei der Behebung von Schwachstellen wird das Risiko von der reinen Technik auf die Unternehmensebene verlagert und das operationelle Risiko wird vollständig reduziert.
Hauptursache für Schäden
Durchschnitt aller Branchen
Einzelhandel
Professionelle Dienstleistungen und Verbände
Fertigung und Vertrieb
Non-profit
Regierungsbehörden
Business-Services
Bildung
Finanzinstitute
Gesundheitswesen
Sonstige Branchen
Durchschnitt aller Branchen
Einzelhandel
Professionelle Dienstleistungen und Verbände
Fertigung und Vertrieb
Non-profit
Regierungsbehörden
Business-Services
Bildung
Finanzinstitute
Gesundheitswesen
Sonstige Branchen
Managed Detection and Response: MITRE ATT&CK-Verteilung im ersten Quartal
Im ersten Quartal reagierten die MDR-Teams von Beazley Security auf eine Vielzahl von Vorfällen in Kundenumgebungen. Während des gesamten Berichtszeitraums konzentrierten sich die meisten Reaktionsmaßnahmen auf die frühen und mittleren Phasen der Kill Chain. Das reflektiert die starke Konzentration der Angreifer auf Maßnahmen zum Auskundschaften und kontinuierliche Versuche, sich lateral innerhalb der Zielumgebungen zu bewegen. Die überwachten Aktivitäten deuten auf opportunistische, automatisierte Kampagnen, bei denen Angreifer versuchen, erste Zugriffsmethoden zu missbrauchen, um ihren Erstzugriff schnell auszubauen. Wir beobachten jedoch zunehmend Versuche, sich durch die Verwendung von Infostealern, die über bösartige Phishing-Links oder Downloads aktiviert werden, ersten Zugang zu verschaffen.
Datenexfiltration
Kurz nach dem Aufschwung von Ransomware vor etwa sechs Jahren begannen Angreifer, den Zugriff auf kompromittierte Netzwerke nicht nur zum Verschlüsseln von Daten zu nutzen, sondern auch, um diese zu exfiltrieren. Dadurch erhielten sie zwei zusätzliche Druckmittel für ihre Lösegeldforderungen: die Drohung, gestohlene Daten zu veröffentlichen, und später die Verwendung dieser Daten, um Mitarbeiter oder Kunden des Opferunternehmens gezielt unter Druck zu setzen. Wie wir vorausgesagt hatten, ist die Datenexfiltration bei Cyber-Erpressungsvorfällen mittlerweile unvermeidlich. Im vierten Quartal waren 100 % der Ransomware-Vorfälle mit Datenexfiltration verbunden.
Betrug mit geschäftlichen E-Mails
Professionelle Dienstleistungsunternehmen, darunter Anwaltskanzleien und andere Unternehmen, die mit Immobilien- und Finanztransaktionen befasst sind, sind weiterhin das Ziel von Angreifern, die Gelder umleiten und stehlen wollen. Diese Unternehmen verzeichnen die höchste Zahl solcher Vorfälle. Aber auch Behörden, Unternehmensdienstleister und Bildungseinrichtungen sind zunehmend von BEC-Angriffen betroffen.
Unterbrechung eines Anbieterdienstes
Risiken durch Dritte können sich über Branchen hinweg ausbreiten, beispielsweise wenn Angreifer häufig verwendete Software oder Tools ausnutzen, wie im Fall des Hafnium-Vorfalls im Zusammenhang mit Microsoft Exchange Server im Jahr 2021. Wie die Grafik zeigt, können sie jedoch auch bestimmte Branchen erheblich beeinträchtigen. Der Hackerangriff auf Blackbaud, eine häufig verwendete Fundraising- und Verwaltungsplattform für gemeinnützige Organisationen, hatte 2020 enorme Auswirkungen auf den gemeinnützigen Sektor und das Bildungswesen. Im Jahr 2023 wurden Finanzdienstleister ins Visier genommen, was zu einem sprunghaften Anstieg bei Finanzinstituten führte. Und im ersten Quartal führte eine Datenpanne Ende Dezember 2024 bei der von vielen US-Schulen genutzten Plattform PowerSchool zu Hunderten von nachgelagerten Schäden.
�
Schwachstellen-Trends im ersten Quartal 2025
12,066
Neue von NIST veröffentlichte CVEs
Zur CISA KEV-Liste hinzugefügte CVEs
45
Kritische 0-Day-Warnungen veröffentlicht von Beazley Security Labs
8
+8.69%
Änderung gegenüber dem 4. Quartal
Änderung gegenüber dem 4. Quartal
+22%
Änderung gegenüber dem 4. Quartal
+60%
Cyberaktivitäten – in Zahlen: 1. Quartal 2025
Beazley Security verfolgt in Zusammenarbeit mit Beazley Insurance und unseren Partnern seit mehr als fünf Jahren Cyberaktivitäten. Sehen Sie hier, wie sich das erste Quartal 2025 darstellt. Kontaktieren Sie uns gerne, um zu besprechen, wie sich dies auf Ihr Unternehmen auswirken könnte.
Klicken Sie auf einzelne Branchen, um zu sehen, wie sich deren jährliches Vorfallprofil vom Durchschnitt unterscheidet. Systemeinbruchsrisiken sind beispielsweise in der Fertigungsindustrie, wo Unternehmen möglicherweise weniger personenbezogene Daten speichern, viel häufiger anzutreffen. Im Bildungswesen hingegen zeigen sich die überproportionalen Auswirkungen schwerwiegender Vorfälle bei Anbietern in bestimmten Jahren.
Edge Device Exploitation:
The accelerating timeline
Cyber Risk | In Focus
At Beazley Security, we’re here to help you navigate today’s complex cyber threat landscape with confidence. If you’d like to learn more about how our services can safeguard your business, contact us today.
© 2025 Beazley Security
beazley.security
Ready to Strengthen Your Security?
Distinctive cyber security expertise reinforced by proven performance in risk mitigation to power your resilience.
Relentless Innovation.
Introduction
Edge Device Exploitation:�A Threat to Watch
Putting the Risks in Context: Case Studies & Data
What CISOs Should Know: �Best Practices and Technical Solutions
To Learn More
Vertiefen Sie diese Zahlen auf unserer Seite Einblicke.
Entdecken Sie die fortschrittliche MDR-Lösung von Beazley Security
Dive deeper into these numbers on our insights page
EN
FR
Deutsch
French