Orange Cyberdefense veröffentlicht den Security Navigator 2024

Der Security Navigator 2024 zeigt die höchste jemals verzeichnete Zahl von Cyber-Erpressungsopfern mit einem Anstieg von 46% weltweit im Jahr 2023

• 129.395 erkannte Vorfälle stellen einen Anstieg um 30 % gegenüber dem Vorjahr dar, wobei 25.076 bestätigte Sicherheitsvorfälle (19 %) zu verzeichnen sind.
• 37 % der verzeichneten Vorfälle gehen auf interne Akteure zurück, sei es vorsätzlich oder versehentlich.
• Die VERIS-Kategorie „Hacking" steht weiterhin an erster Stelle und macht fast ein Drittel der bestätigten Vorfälle aus (30 %).
• Große Unternehmen (40 %) sind am stärksten von Cyber-Erpressung betroffen, gefolgt von kleinen Organisationen (25 %) und mittleren Unternehmen (23 %).
• Neueste Forschungsergebnisse zeigen eine zunehmende Angleichung von physischen und virtuellen Kriegsschauplätzen.
• Die Analyse von 2,5 Millionen Schwachstellen zeigt, dass die meisten (79 %) bezüglich ihrer Gefährlichkeit als mittel oder hoch eingestuft werden, wobei fast jede zehnte (9 %) kritisch ist.

Orange Cyberdefense, der auf Cybersecurity spezialisierte Geschäftsbereich von Orange, stellt seinen jährlichen Security Research Report, den Security Navigator 2024, vor. Der Report, der Daten aus einer Vielzahl von Quellen* sammelt, vergleicht und analysiert, zeichnet ein komplexes Bild der Welt der Cybersicherheit. Da das Umfeld immer instabiler und weniger vorhersehbar wird, ist es umso wichtiger, dass Unternehmen ihr Risiko reduzieren, indem sie die Bedrohungslandschaft verstehen und wissen, wie sie dieser entgegentreten können.

Der Security Navigator 2024 zeigt, dass unsere Threat Detection Teams 2023 30 % mehr Ereignisse verarbeitet haben, insgesamt 129.395. Davon waren 25.076 (19 %) bestätigte Sicherheitsvorfälle. Innerhalb dieser wiederum war die Bedrohungskategorie „Hacking" mit fast einem Drittel der bestätigten Vorfälle (30 %) nach wie vor am stärksten vertreten, gefolgt von „Misuse“ (17 %) und „Malware“ 13 %) auf den Plätzen zwei und drei.

Während die Anzahl der Vorfälle zugenommen hat, ist die Zahl der bestätigten Vorfälle im Vergleich zum Vorjahr um 14 % zurückgegangen. Die Fertigungsbranche (32 %) hat den weitaus größten Anteil an bestätigten Vorfällen und folgt damit dem Muster der vergangenen Jahre. Der Einzelhandel (22 %) und die freiberuflichen, wissenschaftlichen und technologischen Dienstleistungen (10 %) vervollständigen die ersten drei Plätze. So sind sie für mehr als zwei Drittel der bestätigten Vorfälle verantwortlich, die wir unseren Kunden gemeldet haben.

Neben kriminellen Beweggründen sind immer mehr Bedrohungsakteure politisch oder ideologisch motiviert, wobei die Ziele von Spionage, Sabotage, Desinformation und Erpressung zunehmend miteinander verwoben werden. Thema des Berichts ist auch die weltweite Zunahme von Opfern von Cyber-Erpressung (Ransomware) sowie der immense Anstieg von Hacktivismus im Zusammenhang mit dem Krieg gegen die Ukraine. Die aktuellen geopolitischen Ereignisse haben auch einige Cyber-Erpressungsakteure weiter politisiert.

Die Bedrohungslandschaft im Bereich der Cyber-Erpressung entwickelt sich weiterhin schnell: In den letzten 12 Monaten stieg die Zahl der Cyber-Erpressungsopfer weltweit auf einen Höchstwert von 46 %. Die meisten Angriffe zielten auf große Unternehmen (40 %) mit mehr als 10.000 Mitarbeitern ab. Bei diesen nimmt die Zahl der Angriffe stetig zu. Verschärft wurde der Trend durch einen einzigen Bedrohungsakteur: Cl0p. Im Jahr 2023 nutzte die Gruppe zwei große Sicherheitslücken aus. Kleine Organisationen machen ein Viertel (25 %) aller Opfer aus, dicht gefolgt von mittleren Unternehmen mit einem Anteil von 23 %.

Die meisten Opfer kommen nach wie vor aus großen, englischsprachigen Volkswirtschaften, wobei mehr als die Hälfte (53 %) ihren Hauptsitz in den Vereinigten Staaten hat, gefolgt vom Vereinigten Königreich (6 %) und Kanada (5 %). Es zeichnet sich jedoch eine geografische Verschiebung ab, die sich in einem starken Anstieg der Zahlen in Indien (+97 %), Ozeanien (+73 %) und Afrika (+70 %) im Jahresvergleich zeigt.

Eine interessante Erkenntnis ist, dass 25 Cyber-Erpressergruppen aus dem Jahr 2022 verschwunden waren, aus dem Vorjahr noch 23 aktiv waren und 31 neu Gruppen verzeichnet werden konnten. Von den 23 bestehenden hat über die Hälfte (54 %) eine Bestandsdauer von bis zu sechs Monaten, 21 % von sieben bis zwölf Monaten und nur 10 % aller Gruppen erreichten 13 bis 18 Monate. Dies verdeutlicht die Herausforderungen, vor denen diejenigen stehen, die versuchen, Cyber-Erpressung zu vereiteln.

In den letzten zwei Jahren haben die Aktivitäten im Bereich Hacktivismus zur Unterstützung politischer oder sozialer Anliegen deutlich zugenommen. Angriffe von Hacktivistengruppen, die in den Ukraine-Krieg verwickelt sind und entweder für Russland oder die Ukraine Partei ergreifen, erreichten ein Rekordniveau. Die Ukraine, Polen und Schweden sind dabei am stärksten von den von uns beobachteten pro-russischen Hacktivisten betroffen. Dieser Trend zur Gründung neuer Gruppen wird durch andere geopolitische Ereignisse noch verstärkt, zuletzt durch den Beginn des Krieges im Nahen Osten.

85 % aller Hacktivisten-Angriffe im Jahr 2023 betrafen Europa, gefolgt von Nordamerika (7 %) und dem Nahen Osten (3 %). Die meisten der übermäßig angegriffenen Länder liegen dabei geografisch relativ nah am Krieg gegen die Ukraine.

Unsere Forschung zeigt eine kontinuierliche Entwicklung hin zu "kognitiven" Angriffen. Es geht dabei weniger um den Störeffekt des Angriffs oder den Wert der betroffenen Daten oder Systeme (z. B. gestohlene, durchgesickerte oder zerstörte Daten), sondern um die Auswirkungen, die diese Angriffe auf die gesellschaftliche Wahrnehmung haben werden. Wir erleben nicht nur Cyber-Ereignisse, die sich auf die physische Welt auswirken, sondern auch physische Ereignisse, die eine direkte Cyber-Reaktion der Bedrohungsakteure hervorrufen. Dies wiederum führt zu einer Eskalation eben dieser geopolitischen Spannungen.

Bei den meisten Hacktivisten-Angriffen, die wir beobachten, handelt es sich um DDoS-Angriffe (Distributed-Denial-of-Service). Einige Hacktivistengruppen haben starke DDoS-Fähigkeiten entwickelt, während andere ihre Fähigkeiten und Auswirkungen lautstark darstellen und eine Sprache und Darstellung verwenden, die in keinem Verhältnis zu ihren tatsächlichen Aktionen (und Auswirkungen) steht.

Auf der Grundlage des VERIS[1]-Frameworks bleibt die Bedrohungskategorie „Hacking“ die am häufigsten erkannte Art von Sicherheitsvorfällen. Mit 30 % macht sie fast ein Drittel der bestätigten Vorfälle aus, was einen deutlichen Anstieg gegenüber dem letzten Jahr (25 %) zeigt. „Malware“ war in der Vergangenheit eine der beiden am häufigsten erkannten Arten von „True Positive“-Vorfällen. 2023 rutschte es mit 13 % auf Platz 3 ab. „Misuse“ bleibt mit 17 % die zweithäufigste Bedrohungsform. Vorfälle, die als „Error“ (7 %) eingestuft werden und „Social“ (7 %) vervollständigen die Top Five.

Die Daten zeigen, dass 37 % der entdeckten Vorfälle in Unternehmen von internen Akteuren ausgingen, wobei die Mehrheit von externen Akteuren (44 %) ausging. Dabei war das Gerät des Endnutzers das am stärksten betroffene Objekt (28 %), gefolgt vom Server (27 %).

Die CyberSOC-Teams haben festgestellt, dass es eine starke Korrelation zwischen der Erkennungseffizienz eines Kundenkontos und dem Grad des Feedbacks gibt, das wir vom Kunden erhalten. Wir haben in diesem Jahr festgestellt, dass die Effizienz reifer, etablierter Kunden viermal höher sein kann als die von Neukunden, die gerade erst ihre Zusammenarbeit mit uns starten. Wir sind der Ansicht, dass sich diese Kundenreife stark in der Häufigkeit widerspiegelt, mit der wir Feedback zu Vorfällen erhalten.

Die „Quantität“ der Vorfälle, die wir unseren Kunden melden, hat im Laufe der Jahre proportional abgenommen, während die „Qualität“ gestiegen ist. Dies zeigt sich bei den „unbekannten Ereignissen“: Kunden, die weniger als 10 Monate mit uns arbeiten, haben diese Kategorie bei 15 % der Fälle. Kunden, die zwischen 41 und 50 Monaten mit uns arbeiten, nur noch in 4 % der Fälle. Wir sind überzeugt, dass dies auf eine Optimierung der Erkennung, eine gründlichere Analyse und andere Serviceverbesserungen zurückzuführen ist. Darüber hinaus verbessern unsere Kunden mit zunehmender Erfahrung ihre Fähigkeit, auf die von uns gemeldeten Ereignisse zu reagieren, und verfeinern den Prozess der Rückmeldung an uns. Bei ausreichendem Feedback sind wir in der Lage, in einem sich wiederholenden Zyklus intelligente Optimierungen vorzunehmen und so die Effizienz der Detection zu verbessern.

„Der diesjährige Report unterstreicht das unvorhersehbare Umfeld, mit dem wir heute konfrontiert sind. Wir sehen, dass unsere Teams härter arbeiten als je zuvor, da die Zahl der erfassten Vorfälle weiter zunimmt (+30 % gegenüber dem Vorjahr). Während die Zahl der großen Unternehmen, die von Cyber-Erpressung betroffen sind, stark zunimmt (40 %), machen kleine und mittlere Unternehmen zusammen fast die Hälfte aller Opfer aus (48 %)“, so Hugues Foulon, CEO von Orange Cyberdefense.

„Gemeinsam mit unseren Kunden verfolgen wir eine konsequente Politik der Sensibilisierung und Unterstützung für unsere zunehmend vernetzte Welt. Wir passen uns an neue Technologien an und bereiten uns auf neue Bedrohungsakteure vor, indem wir Angriffe antizipieren, erkennen und eindämmen, sobald sie auftreten“, so Foulon.

Der vollständige Bericht mit detaillierten Ergebnissen und Einblicken in den Cybersicherheitssektor kann hier heruntergeladen werden.

Der Security Navigator basiert auf der Sichtbarkeit und Analyse der aktuellen Cybersicherheitslandschaft durch mehr als 3.000 Experten, 18 SOCs und 14 CyberSOCs weltweit durch Orange Cyberdefense. Er berücksichtigt Länder wie Frankreich, Belgien, die Niederlande, Dänemark, Deutschland, Norwegen, Schweden, das Vereinigte Königreich und Südafrika, wobei die Daten zwischen Oktober 2022 und September 2023 untersucht werden. Verwendet werden eigene Datenquellen (CyberSOC, Vulnerability Operations Center, Penetrationstests, World Watch Intelligence Data, Cyber Extortion Data Leak Sites, Telegram Chat Logs) und externe Daten von Drittanbietern. Weitere Details siehe unten:

Ein breiter Datensatz wird von allen operativen Teams innerhalb von Orange Cyberdefense gesammelt, darunter 14 CyberSOCs, die für die Unterstützung von Kunden auf der ganzen Welt verantwortlich sind. Dazu gehören die Daten der Managed Threat Detection Services vom 1. Oktober 2022 bis zum 30. September 2023 unter Verwendung des VERIS-Frameworks für die Klassifizierung von Vorfällen.

Seit 2020 haben wir 8.948 Opfer von Cyber-Erpressung erfasst, die öffentlich auf einer „Leak-Site“ im Dark Web aufgelistet wurden. Dies ist nur ein Teilaspekt des gesamten Problems der Cyber-Erpressung, da wir die Opfer berücksichtigen, die auf den speziellen Leak-Sites aufgedeckt wurden. Das bedeutet aber auch, dass sie bereits das Ende der Cyber-Erpressungs-Angriffskette erreicht haben und die Bedrohungsakteure festgestellt haben, dass es einen gewissen Wert hat, die vermeintliche Kompromittierung öffentlich zu machen. Wir sind uns bewusst, dass es eine hohe Dunkelziffer von Opfern gibt, von denen wir nichts wissen.

Der diesjährige Penetrationstest-Datensatz enthält Berichte von zwei Teams, die 296 anonymisierte Penetrationstest-Berichte für den Zeitraum von Oktober 2022 bis September 2023 geprüft haben. Bewertungen sind in der Regel auf spezifische Kundenanforderungen und -umfänge innerhalb der Grenzen bestimmter Projekttypen ausgerichtet, wie z. B. interne, externe, Webanwendungen, Sicherheit mobiler Anwendungen, Red Teaming, API-Bewertung, Konfigurationsüberprüfung und mehr. Diese können in ihrer Komplexität und Zeiteinteilung variieren und können mehrere Ethical Hacker zur Durchführung erfordern. In den meisten Fällen bestimmt der Kunde den Umfang und das Ausmaß der erforderlichen Tests.

Das Orange Cyberdefense Vulnerability Operations Center bietet Zugang zu Experten, die Kunden zu erreichbaren Ergebnissen verhelfen können. Grundlagen hierfür sind relevante aktuelle Bedrohungen und deren Vergleich mit der Gefährdung und den potenziellen Risiken, denen die Umgebung des Kunden ausgesetzt ist. Der Datensatz ist repräsentativ für eine Teilmenge der Kunden, die unsere Vulnerability-Scanning-Services in Anspruch nehmen. Zu den gescannten Assets gehören sowohl solche, die über das Internet erreichbar sind, als auch solche, die sich in internen Netzwerken befinden. Die Daten enthalten Ergebnisse für Netzwerkgeräte, Desktops, Webserver, Datenbankserver und sogar den einen oder anderen Dokumentendrucker oder Scanner.

Unser World Watch Service hat im Zeitraum Oktober 2022 bis September 2023 491 Hinweise veröffentlicht, im Durchschnitt über 40 Hinweise pro Monat – eine Kombination aus neuen und aktualisierten Informationen zu bereits behandelten Themen. World Watch befasst sich auf hohem Niveau mit Schwachstellen und Bedrohungen.

Wir haben 35 Jahre OT-Cyberangriffe analysiert und einen weiteren Kontext hinzugefügt, indem wir untersucht haben, wie sie im Vergleich zu den vorgeschlagenen Typen und Kategorien abschneiden. Dies führt uns zu einigen Erkenntnissen, die Fragen über die Zukunft von OT-Cyberangriffen aufwerfen und darüber, ob wir mittel- bis langfristig eine Veränderung der Typen oder Kategorie erleben werden. Abschließend zeigen wir anhand eines Beispiels, wie sich OT-Cyberangriffe unserer Meinung nach in Zukunft entwickeln könnten.

Orange Cyberdefense ist eine Geschäftseinheit von Orange, welche sich der Cybersecurity widmet. Sie hat weltweit 8.700 Kunden. Als Europas führender Anbieter von Cybersecurity Services sind wir bestrebt, die Freiheit zu schützen und eine sicherere digitale Gesellschaft aufzubauen. Die Stärke unserer Services liegt in der Forschung und Information, die es uns ermöglicht, unseren Kunden ein beispielloses Wissen über aktuelle und neue Bedrohungen zu bieten. Mit mehr als 25 Jahren Erfahrung auf dem Gebiet der Informationssicherheit, 3.000 Experten, 18 SOCs und 14 CyberSOCs auf der ganzen Welt wissen wir, wie wir die globalen und lokalen Probleme unserer Kunden angehen müssen. Wir schützen sie über den gesamten Threat Lifecycle von Bedrohungen in mehr als 160 Ländern.

Orange ist einer der weltweit führenden Telekommunikationsanbieter mit einem Umsatz von 43,5 Milliarden Euro im Jahr 2022 und 137.000 Mitarbeitern weltweit (Stand 30. September 2023), darunter 73.000 Mitarbeiter in Frankreich. Die Gruppe hat einen Kundenstamm von insgesamt 296 Millionen Kunden weltweit (Stand 30. September 2023), darunter 251 Millionen Mobilfunkkunden und 25 Millionen Festnetz-Breitbandkunden. Die Gruppe ist in 26 Ländern vertreten. Orange ist auch ein führender Anbieter globaler IT- und Telekommunikationsdienste für multinationale Unternehmen unter der Marke Orange Business. Im Februar 2023 stellte die Gruppe ihren neuen Strategieplan "Lead the Future" vor, der auf einem neuen Geschäftsmodell basiert und auf Verantwortung und Effizient ausgerichtet ist. "Lead the Future" setzt auf die Exzellenz des Netztes, um die Führungsposition von Orange in der Servicequalität zu stärken.

Orange ist an der Euronext Paris (Symbol ORA) und an der New York Stock Exchange (Symbol ORAN) notiert.

Weitere Informationen finden Sie im Internet und mobil unter: www.orange.com, www.orange-business.com/, in der Orange News App oder auf Twitter: @orangegrouppr.

Orange und alle anderen in diesem Material enthaltenen Namen von Orange Produkten oder Dienstleistungen sind Marken von Orange oder Orange Brand Services Limited.

Emma Goodwin, Orange Business, emma.goodwin@orange.com, +44 7746 515 781

Maisberger Gesellschaft für strategische Unternehmenskommunikation mbH  
Emma Deil-Frank/ Florian Lang
Tel: +49-(0)89-41 95 99-53/ -16

Orange@maisberger.com