Jahresrückblick 2021: Sichere Lösungen für unsichere Zeiten

Ein weiteres Jahr neigt sich dem Ende – Zeit für uns, auf das, was war, zurückzublicken. 2021 standen viele Themen auf der Agenda: Ransomware ist und bleibt eine Gefahr für Unternehmen jedweder Größe, Betreibende kritischer Infrastrukturen (KRITIS) waren gefordert und auch im Bereich der Zertifikate gab es Neuerungen. Wir fassen dieses aufregende Jahr für Sie zusammen und geben Ihnen einen spannenden Überblick über die wichtigsten Themen des Jahres.

Neuigkeiten: Das bewegte uns dieses Jahr 2021

Verschlüsselung sei ein Mittel, mit dem sich Terroristen schützen würden, während Strafverfolgende vor unlösbaren Herausforderungen stünden. Das war der Tenor gleich zu Beginn des Jahres 2021, als Regierungen sich nach dem Terroranschlag in Wien gegen Ende-zu-Ende-Verschlüsselung aussprachen. Der Crypto Wars war auch 2021 in vollem Gange: Man hatte eine Resolution zum Entschlüsseln beschlossen.

In unserem Beitrag „Verschlüsselungsverbot: EU macht Ernst mit Crypto Wars“ zeigten wir Anfang Januar in einem Rückblick, wie es zu den Plänen kam und wie es mittels Generalschlüssel gelingen sollte, verschlüsselte Kommunikationen zu dechiffrieren. Der Branchenverband Bitkom warnte in einer Grundsatzerklärung vor der Schwächung der Verschlüsselung, weitere Vereinigungen schlossen sich dieser Warnung an. Die Resolution zum Entschlüsseln wurde – allen Warnungen und Alternativen zum Trotz – beschlossen. Wie Bitkom hätten auch wir uns einen inklusiveren, demokratischeren und kooperativeren Ansatz gewünscht.

Microsoft Exchange-Server: Bedrohungslage rot

Exchange Server, der Dienst von Microsoft, mit dem sich die E-Mail-Kommunikation in Netzwerken steuern lässt, hat ein riesiges Sicherheitsproblem. Microsoft versuchte, die Schwachstellen mit außerplanmäßigen Updates zu schließen – das klappte eher mäßig. Zudem spielte der Redmonder die Gefahr, die von den Exchange-Sicherheitslücken ausgeht, zunächst herunter. Da zehntausende von Unternehmen, Behörden, Forschungseinrichtungen, Banken und anderen Institutionen betroffen waren und immer noch sind, war die Lage ernst – so ernst, dass das BSI die „IT-Bedrohungslage rot“ ausgerufen hatte. Unternehmen mussten aktiv werden – und sie müssen es immer noch, denn auch heute, fast ein Jahr nach Bekanntwerden der Lücken, werden diese ausgenutzt. In unserem Beitrag „Microsoft Exchange Server-Hack verursacht IT-Bedrohungslage rot“ gehen wir detailliert darauf ein, wie Betroffene handeln sollten.

Shathak: E-Mail-basierte Agriffskampagne breitet sich weltweit aus

Im Juni 2021 berichteten wir von Shathak, einer E-Mail-basierten Angriffskampagne, die sich auch im deutschsprachigen Raum immer weiter verbreitet hat. Shathak-Angriffe haben es in sich: E-Mails, die als Köder eingesetzt werden, sind so gut getarnt, dass die Infektionsgefahr für Anwendende nicht ersichtlich ist. Das liegt mitunter daran, dass eine E-Mail-Kette vorgetäuscht wird, sodass Nutzende von vertrauenswürdigen E-Mails ausgehen. In unserem Beitrag haben wir das Vorgehen des Shathak-Angriffs genau beschrieben und Ihnen Tipps gegeben, mit denen Sie sich schützen können.

SSL-Zertifikate: Neues aus 2021

SSL-Zertifikate hatten vor einigen Jahren noch Laufzeiten von bis zu fünf Jahren. Das zeigte sich vor allem dann problematisch, wenn SSL-Zertifikate kompromittiert wurden: Kürzere Laufzeiten führen zu einer verkürzten Möglichkeit, kompromittierte Zertifikate zu missbrauchen. In unserem Blogbeitrag „SSL-Zertifikat-Laufzeit: Die Hintergründe zur verkürzten Zertifikatslaufzeit“ zeigten wir in Form einer Roadmap auf, wie sich Zertifikatslaufzeiten in den vergangenen Jahren entwickelt haben und wer jeweils Änderungen angeregt hat.

Welche Vor- und Nachteile verkürzte Laufzeiten von SSL-Zertifikaten haben, führten wir weiter auf. Zu guter Letzt haben wir Ihnen eine Möglichkeit aufgezeigt, administrativen Aufwand deutlich einzuschränken: Dank unserem Abo-Modell für SSL-Zertifikate und der Automatisierung in der PSW Konsole können unsere geschätzten Kundinnen und Kunden Geld, Zeit und Nerven beim Ausstellen von SSL-Zertifikaten sparen.

Um das SSL-/TLS-Zertifikate-Ökosystem sicherer zu gestalten, initiierte Google vor einigen Jahren die Initiative Certificate Transparency. Apple hatte die hauseigenen CT-Richtlinien bis dato sehr an den Chrome-CT-Richtlinien angepasst, sich davon jedoch im April 2021 gelöst: Der Konzern aktualisierte die CT-Policy. In unserem Beitrag „Certificate Transparency (CT): Apple aktualisiert Zertifikatstransparenz“ können Sie nachlesen, welche Regeln Apple für die hauseigenen CT-Logs aufgestellt hat.

Phishing hatte Hochkonjunktur

Phishing kann in vielen verschiedenen Formen auftreten und viele Wege sind beim Phishing möglich – es handelt sich um kein reines E-Mail-Problem. Diese Fakten einschließlich bekannter Phishing-Formen haben wir Ihnen in unserem April-Beitrag „Phishing-Schutz: So erkennen Sie Phishing und schützen sich“ dargestellt. Am Ende dieses Artikels finden Sie Tipps, mit denen Sie sich effizient vor Phishing schützen können.

Ransomware: Eine neverending Story

Seit vielen, vielen Jahren wütet er überall auf der Welt: Der Verschlüsselungstrojaner Emotet, der vom BSI-Präsidenten Schönbohm im Jahre 2019 zum „König der Schadsoftware“ gekürt wurde. Ende Januar 2021 ist es dann gelungen: Ermittelnde konnten Kontrolle über die Infrastruktur der Emotet-Trojaner bekommen – Emotet war zerschlagen. Wie wir im Februar berichteten, sollte damit jedoch nicht Entwarnung gegeben werden: Wahrscheinlich, so mutmaßten wir, würden andere Verschlüsselungstrojaner den Platz von Emotet einnehmen.

Deshalb und weil Ransomware auch ohne Emotet massiv wütet, haben wir im März mit einigen Ransomware-Mythen aufgeräumt. Wir prüften Aussagen zu Ransomware, mit denen wir im Alltag immer wieder konfrontiert werden, und stellten fest, dass Vorsorge der beste Schutz ist.

Das gilt auch für die Ransomware-Familie REvil, über die wir im Juli aufgeklärt haben. Die Hacker-Gruppe hatte es auf Acer, auf den Apple-Fertiger Quanta und auf die US-Firma Kaseya abgesehen – wir zeigten alle drei Fälle, die mit teils gigantischen Lösegeldforderungen einhergingen. Tipps, wie Sie sich gegen Ransomware schützen können, begleiteten den Beitrag.

Einen Status quo zum Thema Ransomware zeigten wir im September, basierend auf dem Ransomware-Report 2021 von Sophos. Die erschreckenden Tatsachen: Ransomware traf nahezu jedes dritte mittelständische Unternehmen – hierzulande waren sogar 46 Prozent der befragten Unternehmen mit Ransomware-Angriffen konfrontiert. Diese werden gezielter, womit auch das Schadenspotenzial steigt. Eine Varonis-Studie kommt zu ähnlichen Ergebnissen. Doch es gibt auch gute Nachrichten: Forschenden ist es gelungen, Ransomware auf Firmware-Ebene zu stoppen.

KRITIS: Neue Hilfestellungen

Betreibende kritischer Infrastrukturen (KRITIS) werden immer häufiger Ziel von Cyberkriminellen. Die Bundesregierung möchte mit dem IT-Sicherheitsgesetz 2.0 für Abhilfe sorgen, indem die Abwehr von KRITIS gesteigert wird. Neben Details zur Gesetzgebung haben wir uns in unserem Artikel „IT-Sicherheitsgesetz 2.0: KRITIS ausreichend schützen“ mit konkreten Zahlen beschäftigt, die von der Bundesregierung und dem BSI stammen. Wir führen aus, warum KRITIS immer häufiger Opfer von Angriffen werden und analysieren, inwieweit das IT-SiG 2.0 hilfreich sein kann.

Hilfreich sollen auch die Unterstützungen sein, die KRITIS vom BSI erhalten. Deshalb aktualisierte das Bundesamt für Sicherheit in der Informationstechnik die hauseigenen Hilfestellungen für KRITIS – wir berichteten im August 2021. Auch wir bieten verschiedene Formen der Unterstützung: Etwa durch Awareness-Schulungen, Cyber-Security-Schulungen, Schulungen im IT-Grundschutz oder durch ISO/IEC 27001-Zertifizierungskurse.

Themenreihen: Wissen in Serie

Äußerst beliebt bei unseren Leserinnen und Lesern sind unsere Themenreihen, in denen wir Wissen in Serienform bieten. Im Jahr 2021 haben wir vier verschiedene Themenreihen auf den Weg gebracht:

Identitätsdiebstahl im Internet

Mit dem Schutz digitaler Identitäten ging unsere erste Serie des Jahres 2021 im April an den Start: „Identitätsdiebstahl im Internet“ befasste sich mit verschiedenen kriminellen Methoden, Internet Identitäten zu stehlen – etwa mittels Hacking, Phishing, Malware und Social Engineering. Zu jedem Punkt sind wir mit weiteren Beiträgen weiter ins Details gegangen.

Digital ausweisen

Im Oktober starteten wir mit „Digital ausweisen: Digitale Identität, digitale Signatur & digitales Zertifikat“ eine weitere Serie: Nach einem allgemeinen Überblick ging es in Einzelbeiträgen wieder in die Tiefe. Dabei haben wir auch geschaut, was sich zum Thema digital ausweisen auf politischer Ebene tut.

Messenger-Test 2021

Nach fünfjähriger Pause starteten dieses Jahr wieder unsere beliebten Messenger-Tests: Wir schauen uns WhatsApp, Threema, Signal, Telegram, Wire, ginlo, ICQ und WeChat an – insbesondere bezüglich Sicherheit und Datenschutz. Zum Finale kommt es erst in 2022: Freuen Sie sich darauf, zu erfahren, wer diesmal Testsieger wird.

Authentisieren, authentifizieren & autorisieren

Im September klärten wir darüber auf, was es mit den Begriffen „authentisieren“, „authentifizieren“ und „autorisieren“ auf sich hat. Gleichzeitig war das der Start für eine Kurzserie, die sich in den Folgebeiträgen rund um Passwörter, Biometrie und Mehr-Faktor-Authentifizierung drehte.

PSW GROUP: Neu in unserem Portfolio

Veränderte Angriffssituationen erfordern immer auch sich ändernde Sicherheitslösungen. So rief die EU mit PSD2 die zweite EU-Zahlungsrichtlinie ins Leben, mit der Banken und sonstige Finanzunternehmen in die Pflicht genommen wurden, neue technische Anforderungen umzusetzen. Mitunter ist es zur Pflicht geworden, PSD2-konforme Zertifikate als Verschlüsselungslösung einzusetzen, die auch von D-TRUST feilgeboten werden. D-TRUST gehört zu den deutschen Zertifizierungsstellen, die wir in unserem Portfolio aufgenommen haben, sodass auch wir Ihnen PDS2-konforme Zertifikate von D-TRUST anbieten können. Alle Informationen dazu stellten wir Ihnen im Juni im Artikel „D-TRUST: PSD2-konforme Verschlüsselungslösungen“ zusammen.

Neu in unserem Portfolio sind außerdem VMC-Zertifikate, mit denen Ihr Firmenlogo bereits im Posteingang von E-Mail-Empfangenden angezeigt wird – wir berichteten im August. Was VMC-Zertifikate für die Sicherheit und gegen Phishing tun können und mit welchen weiteren Vorteilen sie verbunden sind, stellt der Beitrag übersichtlich dar.

Reports und Studien 2021

Um das ganze Ausmaß von Cyberkriminalität zu begreifen, ist es hilfreich, auf Studien und Reports zu schauen. So etwa das „Allianz Risk Barometer“, welches die relevantesten Unternehmensrisiken abbildet. Als die drei wichtigsten Geschäftsrisiken stellten sich in 2021 Betriebsunterbrechungen, Pandemie-Ausbrüche und Cyberrisiken heraus. Dass der Faktor Mensch zu den wichtigsten beim Betrachten der Sicherheitsstrategie von Unternehmen gehört, stellten wir im dazugehörigen Beitrag „Cyber-Risiken: Wie groß ist die Gefahr von Cyberangriffen?“ heraus; doch auch das Unternehmensnetzwerk bietet große Angriffsflächen.

Im Juni berichteten wir über den Länderreport „Cybercrime 2020“ vom BKA. Dieses Bundeslagebild Cybercrime zeigte deutlich, dass mit der Corona-Krise die Angriffsfelder für Kriminelle angestiegen sind – Home-Office und Homeschooling sind wichtige Stichpunkte, die zu deutlich steigenden Zahlen führten. Das BKA schätzt entstandene Schäden allein durch Ransomware auf einen hohen siebenstelligen Bereich, wobei Reputationsschäden und Imageverluste noch nicht einkalkuliert wurden. Da die Aufklärungsrate sehr gering ist, hilft nur eines: effizienter Selbstschutz. Wie dieser aussehen kann, lesen Sie im Artikel.

Dass E-Mail-Betrug für Unternehmen die größten Verluste bedeutet, zeigten wir in einem Beitrag im August 2021: Der jährlich vom FBI herausgegebene Internet Crime Report zeigt, dass E-Mail-Attacken und Phishing, aber auch Ransomware zu den häufigsten Gefahren gehören. Gesamtverluste von mehr als 4 Milliarden US-Dollar nur im Jahr 2020 nennt das FBI in seinem Report. Kriminellen würden dabei auf Themen unserer Zeit setzen, etwa auf die Corona-Krise. Eine in dem Beitrag außerdem genannte Studie zeigt, dass Mustererkennungen beim E-Mail-Betrug möglich sind: Ziel der Untersuchung war es, herauszufinden, ob Opfer aus bestimmten Gründen zum Angriffsziel werden. Die Studienergebnisse sind interessant und können dabei unterstützen, sich vor E-Mail-Betrug zu schützen.

Mit der Studie „Wirtschaftsschutz 2021“ zeigte auch der Branchenverband Bitkom, wie sehr deutsche Unternehmen von Cyberkriminalität betroffen sind. Tatsächlich waren die Schäden doppelt so hoch wie in den Vorjahren. In unserem Beitrag „Cyberangriffe verursachen 223 Milliarden Euro Schaden in der Wirtschaft“ geben wir einen Überblick über die Bitkom-Studie, erklären, wie Unternehmen die Lage selbst einschätzen und geben Tipps zum Schutz vor Cyberkriminalität.

Danke für 2021!

Sie sehen: 2021 war geprägt von unsicheren Zeiten – neue Angriffsarten und Angriffsfamilien gesellen sich zu altbekannten, denen zum Teil – wie bei Emotet – den Wind aus den Segeln genommen werden konnte. Doch auch neue Sicherheitslösungen bot das Jahr 2021: Mit VMC-Zertifikaten gibt es ein Marketing-Tool mit Phishing-Schutz und Forschende sind bemüht, Lösungen gegen Ransomware zu finden – wie der Ansatz, bei dem die Verschlüsselung von Daten auf Firmware-Ebene gestoppt werden konnte.

Für 2022 gibt es keine Entwarnung: Trotz vieler interessanter Ansätze wird Ransomware ein Thema bleiben, welches uns begleitet. Das Wettrennen zwischen Cyberkriminalität und IT-Sicherheit wird weiter an Fahrt aufnehmen – deshalb: Bleiben Sie am Ball! Wissen ist Macht und je mehr Sie über IT-Sicherheit und etwaige Gefahren wissen, umso machtvoller stehen Sie Letzteren gegenüber. Wir begleiten Sie gerne dabei und berichten weiter aus der Branche. Wir danken Ihnen herzlich für Ihre Treue im Jahr 2021 und wünschen Ihnen einen sicheren Start ins neue Jahr.