Security Navigator 2023

Der Security Navigator 2023 zeigt, dass Cyber-Erpressung die Bedrohungslandschaft dominiert, da es sich bei 40 % um Malware handelt. Angreifer nehmen Europa und andere Länder ins Visier. KMUs, die Fertigungsindustrie und der öffentliche Sektor sind besonders gefährdet.

• Unternehmen aller Größenordnungen waren Angriffen ausgesetzt, wobei Malware 40% der CyberSOC-Vorfälle (Detection and Response Operation Center) ausmachte.
• 99.000+ Untersuchungen zeigen einen Anstieg der Vorfälle um +5% im Vergleich zum Vorjahr; durchschnittlich 34 Vorfälle pro Monat/pro Kunde - mehr als ein Sicherheitsvorfall pro Tag pro Organisation.
• Es gibt eine klare Verschiebung bei der geografischen Lage der Opfer von Cyber-Erpressung (Cy-X). Von 2021 bis 2022 wird ein Rückgang der Zahl der Opfer aus Nordamerika (-8% in den USA, -32% in Kanada) beobachtet, der durch einen Anstieg in Europa (+18%), dem Vereinigten Königreich (+21%), den nordischen Ländern (+138%) und Ostasien (+44%) ausgeglichen wird.
• Vor allem kleine Unternehmen hatten mit Malware-Vorfällen zu kämpfen (49%). Die Fertigungsindustrie ist am stärksten von Cyber-Erpressung betroffen und die öffentliche Verwaltung hat meist mit Vorfällen zu tun, die auf interne Ursachen zurückzuführen sind (66%).
• Fast die Hälfte (47%) aller von unseren CyberSOCs aufgedeckten Sicherheitsvorfälle stammen von internen Akteuren, sei es vorsätzlich oder versehentlich.
• Der Security Navigator 2023 enthält erstmals anonymisierte, proprietäre Daten zu den Patch-Levels von fast 5 Millionen Mobilgeräten, die die Unterschiede zwischen der Android- und iOS-Schwachstellenlandschaft verdeutlichen.

Security Navigator 2023 - Die Zahl der Vorfälle nimmt weiter zu, obwohl sich das Tempo verlangsamt hat

Orange Cyberdefense, der auf Cybersicherheit spezialisierte Bereich der Orange Gruppe, hat heute seinen jährlichen Forschungsbericht zur Cybersicherheit, den Security Navigator 2023, veröffentlicht, der ab dem 1. Dezember erhältlich ist. Die diesjährige detaillierte Analyse untersuchte unter anderem 99.506 potenzielle Vorfälle, die von unseren CyberSOC-Teams untersucht und analysiert wurden, was einer Steigerung von 5% gegenüber dem Report 2022 entspricht. Der diesjährige Report zeigt zwar ermutigende Anzeichen dafür, dass sich das Tempo der Vorfälle verlangsamt, aber mehrere Faktoren geben weiterhin Anlass zu globaler Besorgnis.

Der diesjährige Report deutet darauf hin, dass die Cyber-Kriege in einigen Bereichen gewonnen werden. Es gibt jedoch noch eine Vielzahl von Herausforderungen.
Unsere Daten zeigen zum Beispiel, dass Unternehmen immer noch 215 Tage brauchen, um eine gemeldete Schwachstelle zu beheben. Selbst bei kritischen Schwachstellen dauert es in der Regel mehr als 6 Monate, bis sie behoben sind. In der Tat melden unsere Ethical-Hacking-Teams in fast 50% aller von ihnen durchgeführten Tests ein "ernstes" (kritisches oder hohes) Problem.
Wir beobachten, dass Cyber-Erpressung Unternehmen aller Größenordnungen auf der ganzen Welt betrifft. 82% der beobachteten Cy-X-Opfer waren kleine Unternehmen, ein Anstieg gegenüber den 78%, die wir im letzten Jahr gemessen haben.

Während einige unserer Teams zu Beginn des Ukraine-Krieges eine deutliche Verlangsamung der Cyberkriminalität beobachteten, nahm die Intensität bald wieder zu. Auch bei der Cyber-Erpressung stellen wir einen deutlichen Anstieg fest: In den letzten sechs Monaten stieg beispielsweise die Zahl der Cy-X-Opfer in Ostasien und Südostasien um 30% bzw. 33%.

Cyber-Erpressung ist weiterhin die vorherrschende Form des Angriffs, aber der Standort der Opfer verlagert sich eindeutig von Nordamerika nach Europa, Asien und in die Schwellenländer

Ransomware und Cyber-Erpressungsangriffe stellen nach wie vor eine große Bedrohung für Unternehmen weltweit dar und wurden daher im Laufe des Jahres regelmäßig in den World Watch-Meldungen von Orange Cyberdefense erwähnt. Im März und April häuften sich die Nachrichten über Ransomware aufgrund der Lapsus$-Aktivitäten und der Conti-Leaks, sowie der Besorgnis über den Krieg in der Ukraine.
Gleichzeitig handelte es sich bei 40% der von unseren CyberSOCs verarbeiteten Vorfälle um Malware.

Es gibt auch eine klare und sichtbare geografische Verschiebung, die sich darin zeigt, dass die Cy-X-Opferzahlen in Nordamerika um 8% und in Kanada um 32% zurückgehen, während sie in Europa, Asien und den Schwellenländern zunehmen. Von 2021 bis 2022 stiegen die Opferzahlen in der Europäischen Union um 18%, im Vereinigten Königreich um 21% und in den nordischen Ländern um 138%. Ostasien verzeichnete einen Anstieg von 44% und Lateinamerika von 21%.

Wir beobachten auch dramatische Veränderungen in der Zusammensetzung der aktiven kriminellen Gruppen. Von den 20 größten Akteuren, die 2021 beobachtet wurden, sind 14 im Jahr 2022 nicht mehr unter den Top 20. Nachdem sich Conti im zweiten Quartal 2022 aufgelöst hatte, wurden Lockbit2 und Lockbit3 mit insgesamt über 900 Opfern zu den größten Cyber-Erpressern im Jahr 2022.
Wir stellen außerdem fest, dass diese Akteure opportunistisch vorgehen. Fast 90% aller von uns verfolgten Täter forderten beispielsweise Opfer in den USA. Mehr als 50% schlugen im Vereinigten Königreich zu. Mehr als 20% der Täter schlugen sogar in Japan zu - dem Land mit einer der kleinsten beobachteter Opferzahlen in unserem Datensatz.

Auswirkungen des Krieges in der Ukraine
Hervorzuheben ist, dass wir in den ersten Wochen des Krieges gegen die Ukraine einen Rückgang der cyberkriminellen Aktivitäten gegen polnische Kunden um bis zu 50% beobachtet haben, was offenbar darauf zurückzuführen ist, dass die Kriminellen durch den Krieg abgelenkt wurden und sich neu formieren mussten. Nach einigen Wochen kehrten die Aktivitäten jedoch zur Normalität zurück.

KMUs, die Fertigungsindustrie und der öffentliche Sektor sind besonders gefährdet

Kleine bis mittlere Unternehmen

Wir verzeichnen etwa 4,5-mal mehr kleine Unternehmen, die Opfer von Cyber-Erpressung werden, als mittlere und große Unternehmen zusammen. Im Verhältnis dazu sind große Unternehmen jedoch immer noch viel stärker betroffen.

Kleine und mittlere Unternehmen sind besonders stark mit Malware-Vorfällen konfrontiert, was sich in den 49% der bestätigten Vorfälle für diese Gruppe in diesem Jahr widerspiegelt (gegenüber 10% im Jahr 2019, 24% im Jahr 2020 und 35% im Jahr 2021). Da die durchschnittlichen Kosten für Datenschutzverletzungen bei Unternehmen mit weniger als 500 Mitarbeitern auf 1,9 Millionen US-Dollar geschätzt werden, besteht für KMUs die Gefahr, dass sie aufgrund dieser Verstöße untergehen.

Unternehmen des öffentlichen Sektors

Auf einer standardisierten Basis hat der öffentliche Sektor den fünfthöchsten Anteil an Vorfällen, mit denen sich unsere CyberSOCs befassen. Dieser Sektor verzeichnet auch den größten Anteil an Social-Engineering-Vorfällen in unserem Datensatz.

In den meisten Branchen wird die Mehrheit der von uns entdeckten Vorfälle intern ausgelöst. Bei unseren Kunden im Gesundheitswesen konnten wir jedoch erstaunlicherweise 76% der Vorfälle auf externe Akteure wie kriminelle Hacker und APTs (staatlich unterstützte Bedrohungsgruppen) zurückführen.

Die Fertigungsindustrie ist nach wie vor die am stärksten betroffene Branche, was die Zahl der Opfer betrifft
Die Fertigungsindustrie ist nach wie vor die führende Branche, wenn es um die Zahl der Opfer von Cyber-Erpressungen (Cy-X) geht, obwohl es unseren Untersuchungen zufolge nur an fünfter Stelle der Branchen steht, die am bereitwilligsten Lösegeld zahlen. Wir berichten, dass die Kriminellen eher "konventionelle" IT-Systeme als die spezialisiertere Betriebstechnologie angreifen und führen diese hohe Zahl von Opfern in erster Linie auf ein schlechtes IT-Schwachstellenmanagement zurück. Unsere Daten zeigen, dass Unternehmen in diesem Sektor durchschnittlich 232 Tage brauchen, um gemeldete Schwachstellen zu beheben. Bei dieser Kennzahl schneiden nur vier andere Branchen schlechter ab als die Fertigungsindustrie.

Kritische Schwachstellen bleiben bestehen und Verzögerungen bei Patches bedrohen die Sicherheit

Auf der Grundlage eines neuen Datenbestandes über Schwachstellen stellten die Forscher fest, dass es in den IT-Systemen von Unternehmen nach wie vor schwerwiegende Schwachstellen gibt, wobei 47% der bestätigten Schwachstellen als "kritisch" oder "hoch" eingestuft wurden. Für die Behebung kritischer Schwachstellen benötigten Unternehmen immer noch mehr als ein halbes Jahr (184 Tage). Andere Schwachstellen können viel länger bestehen bleiben, wobei die Daten darauf hindeuten, dass viele Schwachstellen, selbst kritische, nie behoben werden.

Die Behebung von IT-Schwachstellen in der Fertigungsindustrie dauerte durchschnittlich 235 Tage, während es in allen anderen Sektoren durchschnittlich 215 Tage dauerte. In Krankenhäusern (innerhalb des Sektors Gesundheits- und Sozialwesen) dauerte die Behebung von IT-Schwachstellen im Durchschnitt 491 Tage. Im Transportsektor dauerten die Korrekturen im Durchschnitt 473 Tage.

Die durchschnittliche Zeit, die unsere Hacking-Experten benötigten, um einen bestätigten schwerwiegenden (hohen oder kritischen) Befund zu entdecken, betrug 7,7 Tage.

Das menschliche Dilemma - In den meisten Branchen überwiegen Insider-Bedrohungen gegenüber externen Angriffen, während offene Stellen im Bereich Cybersicherheit nicht besetzt werden können

Die Mitarbeiter von Unternehmen stehen an der vordersten Front der Unternehmensverteidigung, können aber auch das schwächste Glied im Unternehmen sein. Unser Report hat beispielsweise folgendes gezeigt:

• In der öffentlichen Verwaltung wurden die meisten Vorfälle, mit denen wir uns befasst haben, internen Quellen zugeschrieben, unabhängig davon, ob es sich um vorsätzliche oder versehentliche Vorfälle handelte.
• Bei unseren Kunden aus der Fertigungsindustrie wurden 58% der bearbeiteten Vorfälle als intern verursacht eingestuft. Bei unseren Kunden aus dem Bereich "Transport und Logistik" ist der Anteil sogar noch höher - 64% der Vorfälle haben ihren Ursprung intern.

In unserem Bericht wird aufgezählt, wie ein höheres Maß an Monitoring die Wirksamkeit der Kontrollen verbessert, aber auch mehr Fehlalarme erzeugt und zu einer höheren Belastung der Sicherheitsexperten führen kann. Und das in einer Branche, die allein in der EMEA-Region um die Besetzung von über 300.000 offenen Stellen im Bereich Cybersicherheit kämpft.ⁱ

Mobile Security: iOS vs. Android

Der Security Navigator 2023 enthält zum ersten Mal proprietäre Daten zu den Patch-Leveln von fast 5 Millionen Mobilgeräten, mit denen wir zwischen September 2021 und September 2022 gearbeitet haben. Untersuchungen von Drittanbietern zeigen, dass im Jahr 2021 beide Betriebssysteme, iOS und Android, mit gemeldeten Schwachstellen zu kämpfen hatten. Für Android waren es 547 und für iOS 357 Schwachstellen. 79% der Android-Schwachstellen wurden als wenig komplex eingestuft (d. h. sie sind für Angreifer leicht auszunutzen), während es bei iOS nur 24% waren. 45 iOS-Schwachstellen erhielten einen kritischen CVSS-Wert, während es bei Android nur 18 waren.ⁱⁱ

Im Security Navigator werden schwerwiegende Sicherheitslücken in Apple und Android untersucht, um festzustellen, wie lange das System braucht, um den erforderlichen Patch zu installieren. In einem iOS-Fall haben wir festgestellt, dass es 224 Tage dauerte, bis 90% des Apple-Systems auf die gepatchte Version aktualisiert war. Sowohl für Android als auch für iOS scheint es, dass etwa 10% der Nutzerbasis nie richtig gepatcht werden.

Die Ergebnisse zeigen, dass ein höherer Anteil der iPhone-Benutzer gefährdet ist, wenn eine Sicherheitslücke zum ersten Mal bekannt wird, was auf den homogenen Charakter des Betriebssystems zurückzuführen ist. Die Nutzer wechseln jedoch schnell zu einer neuen Version, wobei 70% innerhalb von 51 Tagen nach Veröffentlichung des Patches ein Update durchführen. Die stärkere Fragmentierung des Android-Systems bedeutet, dass die Geräte oft für mehr alte Sicherheitslücken anfällig sind, während weniger Geräte für neue Sicherheitslücken angreifbar sind.

"Die letzten Monate waren in Bezug auf makroökonomische Ereignisse besonders turbulent, dennoch ist das Cybersecurity-Ökosystem infolgedessen wachsamer und geeinter geworden. Cyberattacken machen Schlagzeilen und der Krieg in der Ukraine erinnert uns eindringlich daran, dass unsere digitalisierte Welt auch das Feld virtueller Schlachten ist", so Hugues Foulon, CEO, Orange Cyberdefense.

"Der erfreuliche Gesamtrückgang der Vorfälle bei unseren Kunden (17,7%) gibt uns Hoffnung, dass die Verteidiger beginnen, einige Schlachten gegen böswillige Akteure zu gewinnen. Doch auch wenn wir Schlachten gewinnen, geht der Kampf gegen die Internetkriminalität weiter. Die diesjährigen Ergebnisse verdeutlichen die Schwierigkeiten, mit denen Unternehmen bei der Abwehr von Bedrohungen aus allen Richtungen konfrontiert sind und machen deutlich, wie wichtig es ist, dass wir unsere Arbeit fortsetzen, um sie für diesen Kampf zu rüsten und zu unterstützen", erläuterte er abschließend.

Der Security Navigator 2023 enthält:

• 100% der Informationen aus erster Hand durch 2.700 Experten auf der ganzen Welt, 17 SOCs, 13 CyberSOCs und dem CERT von Orange Cyberdefense an 8 Standorten
• 28 Seiten mit CyberSOC-Statistiken
• Detaillierte Analyse der Cyber-Kriegsführung und der Auswirkungen der Ukraine-Krise auf das Cyber-Umfeld
• Neueste Datensätze aus den VOC- und Penetrationstest-Services, die den Umfang und die Art der Schwachstellen analysieren, von denen Unternehmen aller Branchen betroffen sind
• Spotlight-Untersuchung der Bedrohungen und Schwachstellen der Fertigungsindustrie
• Neueste Daten zu Mobile Security: Bedrohungen und Schwachstellen

Der diesjährige Security Navigator Report 2023 ist seit 1. Dezember 2022 erhältlich.

Orange Cyberdefense ist ein Unternehmen der Gruppe Orange, das auf Cybersicherheit spezialisiert ist. Es zählt 8.500 Kunden weltweit. Als Europas führender Anbieter von Dienstleistungen im Bereich der Cybersicherheit setzten wir uns für den Schutz der Freiheit und eine besonders sichere digitale Gesellschaft ein. Unsere Leistungsstärke basiert auf Forschung und Informationen, wodurch wir unseren Kunden ein beispielloses Wissen über aktuelle und neu entstehende Bedrohungen zur Verfügung stellen können. Mit 25 Jahren Erfahrung im Bereich der Informationssicherheit, 2700 Spezialisten und Analysten, 17 SOCs und 13 CyberSOCs weltweit sind wir in der Lage, die globalen und lokalen Probleme unserer Kunden anzugehen. Wir schützen sie während der gesamten Dauer der Bedrohung in über 160 Ländern.

Folg uns auf Twitter und LinkedIn.

Orange ist eines der größten Telekommunikationsunternehmen weltweit, das 2021 einen Umsatz von 42,5 Milliarden Euro erzielte und am 30. Juni 2022 137 000 Mitarbeiter beschäftigte, von denen 76 000 in Frankreich tätig sind. Die Gruppe zählte am 30. Juni 2022 282 Millionen Kunden, von denen 236 Millionen Mobilfunkkunden und 24 Millionen Festnetzkunden mit Breitbandverträgen sind. Orange ist in 26 Ländern präsent. Der Konzern ist darüber hinaus einer der weltweit führenden Anbieter von Telekommunikationsdienstleistungen für multinationale Unternehmen, die unter der Marke Orange Business Services bereit gestellt werden. Im Dezember 2019 stellte die Gruppe ihren neuen strategischen Plan „Engage 2025“ vor, ein Programm, das sich an sozialer und ökologischer Verantwortung orientiert und darauf abzielt, die Aufgabe der Gruppe als Telekommunikationsanbieter neu zu definieren. Während die Gruppe in wachstumsstarken Gebieten und Bereichen Fuß fasst und Daten und KI in den Mittelpunkt seines Innovationsmodells stellt, sieht sie sich als attraktiven, verantwortungsbewussten Arbeitgeber, der auf neue Geschäftsmodelle umstellen kann.

Orange ist an der Euronext Paris (Symbol ORA) und an der New York Stock Exchange (Symbol ORAN) notiert.

Weitere Informationen finden Sie (im Internet und auf Ihrem Smartphone) unter: www.orange.com, www.orange-business.com oder auf Twitter unter: @orangegrouppr.

Orange oder andere Produkte oder Dienstleistungen von Orange, die in dieser Mitteilung genannt werden, sind Marken von Orange oder Orange Brand Services Limited.

Presse-Kontakt

Vanessa Clarke; vanessa.clarke@orange.com +44 (0)7818 848 848

i 2022 (ISC) Cybersecurity Workforce Study https://www.isc2.org/-/media/ISC2/Research/2022-WorkForce-Study/ISC2-Cybersecurity-Workforce-Study.ashx
ii https://securityaffairs.co/wordpress/127240/hacking/apple-fixed-two-zero-day-2022.html
https://www.humansecurity.com/learn/blog/poseidons-offspring-charybdis-and-scylla
https://www.bleepingcomputer.com/news/security/2021-mobile-security-android-more-vulnerabilities-ios-more-zero-days/
https://about.fb.com/news/2022/10/protecting-people-from-malicious-account-compromise-apps/