Wenn man über IT-Sicherheit und die aktuelle Bedrohungslage spricht, muss man sich zunächst über die Begrifflichkeiten im Klaren sein. Dieser Beitrag liefert insbesondere für Neueinsteiger in die Materie eine erste Basis zu Grundlagen im Bereich Cyber-Sicherheit, um aktuelle Bedrohungslagen einordnen und bewerten zu können. Eine häufig gestellte Frage: „Was muss ich über Cybersecurity wissen?“.
Bedrohung, Schwachstelle, Gefährdung
In der IT-Sicherheit werden drei Begriffe häufig verwechselt, die jedoch sehr Unterschiedliches meinen:
Eine Bedrohung ist ein Ereignis, das potenziell Schaden verursachen kann. Ein klassisches Beispiel ist Ransomware. Sie existiert als Gefahr, unabhängig davon, ob das eigene Unternehmen betroffen ist.
Eine Schwachstelle ist eine Sicherheitslücke in Systemen, Software oder Prozessen, die Schaden durch Bedrohungen erst ermöglicht. Das kann ein angreifbarer VPN-Dienst sein, eine veraltete Software oder eine Fehlkonfiguration im Netzwerk.
Zur Gefährdung wird es dann, wenn eine reale Bedrohung auf ein konkretes Asset im eigenen Unternehmen trifft. Konkreteres Beispiel: Wenn eine aktive Ransomware-Kampagne auf eine anfällige VPN-Lösung im eigenen Betrieb stößt. Dann besteht ein konkretes Risiko, das behandelt werden muss.
Gefährdung erkannt – und dann? Die vier Optionen der Risikobehandlung
Ist eine Gefährdung identifiziert, folgt die Risikobewertung. Beispielsweise nach dem BSI-Standard 200-3 wird jedes Risiko anhand von zwei Dimensionen in eine Risikomatrix eingeordnet: der Eintrittswahrscheinlichkeitund der Auswirkung. Daraus ergibt sich eine Priorisierung – hohe Risiken werden zuerst angegangen.
Für die Behandlung stehen vier grundlegende Optionen zur Verfügung:
Vermeiden bedeutet, die potenzielle Schwachstelle oder Bedrohung komplett zu entfernen – etwa indem ein unsicherer Dienst abgeschaltet wird. Verringern setzt auf Gegenmaßnahmen, die entweder die Eintrittswahrscheinlichkeit oder die Schadensauswirkung reduzieren. Transferieren verlagert das Risiko auf Dritte, zum Beispiel über eine Cyberversicherung. Und Akzeptieren bedeutet, ein Restrisiko bewusst in Kauf zu nehmen. Das ist etwa der Fall, wenn die Gegenmaßnahmen unverhältnismäßig teuer wären.
Welches sind wichtige Angreiferarten? Eine Übersicht
In der Cyber-Sicherheit unterscheidet man insbesondere zwischen zwei wichtigen Kategorien von Angreifergruppen, die sich in Motivation und Vorgehensweise grundlegend unterscheiden.
Advanced Persistent Threats (APTs)
APT-Gruppen verfolgen strategische Ziele und handeln oft im Auftrag und Interesse staatlicher Akteure. Ihre Angriffe sind langfristig angelegt, technisch hochentwickelt und gezielt gegen bestimmte Organisationen oder Sektoren gerichtet. Typische Ziele sind die öffentliche Verwaltung, Verteidigung und Sicherheit, IT-Dienstleister, die Luft- und Raumfahrt, politische Parteien sowie Forschungseinrichtungen.
Die Zuordnung (Attribuierung) von Angriffen zu einer APT-Gruppe erfolgt anhand wiederkehrender Muster: gleichbleibende Ziele und eine ähnliche Vorgehensweise über mehrere Kampagnen hinweg. Zu den beobachteten Angriffsvektoren gehören das Ausnutzen von Softwareschwachstellen, fehlkonfigurierte IT-Perimetersysteme sowie Phishing mit Malware. Eine besonders perfide Taktik sind sogenannte Zwischenziele: Dabei werden zunächst Dienstleister oder Zulieferer kompromittiert, um über deren Zugang das eigentliche Ziel zu erreichen.
Cybercrime-Gruppen
Im Gegensatz zu APTs sind Cybercrime-Gruppen finanziell motiviert. Sie werden anhand ihrer eingesetzten Malware und ihrer Vorgehensweise differenziert. Besonders bemerkenswert ist die zunehmende Professionalisierung: Viele dieser Gruppen operieren als Cybercrime-as-a-Service (CaaS)-Anbieter. Sie stellen die komplette Infrastruktur bereit: Cybercrime-Software, Leak-Seiten, Services und sogar Support. Sogenannte Affiliates kaufen sich in diese Plattformen ein und führen die eigentlichen Angriffe durch.
Die Erpressung der Opfer erfolgt über mehrere Hebel gleichzeitig: die öffentliche Bekanntmachung des Unternehmensnamens, die Forderung von Lösegeld in Kryptowährungen, die Veröffentlichung gestohlener Daten auf Leak-Seiten oder der direkte Verkauf erbeuteter Daten an Dritte.
Botnetze – Ein Hauptwerkzeug von Angreifern
Ein Botnetz ist ein Netzwerk aus kompromittierten Systemen – sogenannten Bots –, die von Angreifern zentral gesteuert werden. Die betroffenen Geräte reichen von klassischen Computern über IoT-Geräte wie Smart-TVs und Set-Top-Boxen bis hin zu Routern und Servern. Die Besitzer dieser Geräte wissen in der Regel nicht, dass ihre Hardware Teil eines Botnetzes ist.
Botnetze sind ein zentrales Werkzeug im Arsenal der Angreifer, weil sie vielseitig einsetzbar sind: für DDoS-Angriffe (Überlastung von Diensten und Webseiten), für den massenhaften Versand von Spam, für Credential-Stuffing (automatisiertes Testen gestohlener Zugangsdaten), für Informationsdiebstahl oder schlicht zur Verschleierung der eigenen Identität, indem der Angriffsverkehr über tausende kompromittierte Geräte geleitet wird.
Der Erfolg eines Botnetzes lässt sich einfach an seiner Größe abschätzen: Je mehr Bots, desto mehr Schlagkraft. Die Verbreitung erfolgt häufig über Schwachstellen in Geräten, Brute-Force-Angriffe auf schwache Passwörter oder vorinstallierte Malware auf billigen No-Name-Geräten. Die Steuerung (Command & Control, kurz C2) läuft über verschiedene Kanäle – von klassischem IRC bis hin zu modernen verschlüsselten Protokollen.
Wie schützt man sich vor Botnetzen?
Gegen den Missbrauch eigener Geräte als Teil eines Botnetzes helfen vor allem regelmäßige Firmware- und Software-Updates, der Einsatz von Geräten vertrauenswürdiger Hersteller, starke Passwörter, die Deaktivierung nicht benötigter Dienste und Netzwerksegmentierung.
Fazit
Wer die Grundlagen der Cyber-Sicherheit versteht, kann aktuelle Bedrohungslagen besser einordnen und gezielter reagieren. Die Grundlage für ein strukturiertes Vorgehen ist ein risikogetriebener Ansatz mit klarer Kenntnis über vorhandene Bedrohungen, Schwachstellen, konkreten Gefährdungen und ihrem jeweiligen Risiko für Ihr Unternehmen.
Cybersecurity Analyse: Wir analysieren Ihr Netzwerk von außen und von innen: Schwachstellen-Scans, Breach-Analysen, Phishing-Simulationen. Das Ergebnis ist ein Management-Report mit konkreten, priorisierten Maßnahmen.
Quellen und weiterführende Links
Grundbegriffe und Risikomanagement
Cloudflare: Aisuru/Kimwolf-Botnetz – Erklärung und Hintergründe zum IoT-Botnetz mit 1–4 Mio. Geräten.
Schwachstellen und Patch-Management
Kostenlose Sicherheits-Tools
By Franz Zahn
By Christoph Frohner
