Häufige Cyberangriffe und deren Gegenmaßnahmen

Am 31. März war der World Backup Day. Angesichts dessen kann man darüber nachdenken, welchen Nutzen ein Backup hat und in welchen Bereichen der Backup eine Rolle spielt.

Angriffsszenarien betreffen aktuell häufig Ransomware- und DDoS-Attacken. Für viele Themen gibt es klare Gegenmaßnahmen.

Bei Ransomware musst man vor allem Verschlüsselung und Datenabfluss gleichzeitig verhindern; bei DDoS geht es um Resilienz, Drosselung und schnelles Umlenken/Filtern des Angriffsverkehrs.

Ransomware mit Double-/Triple-Extortion

Moderne Ransomware kombiniert oft Verschlüsselung, Exfiltration und zusätzlichen Druck auf Kunden oder Partner. Wichtige Gegenmaßnahmen sind:

• Immutable, versionierte und getrennte Backups aufbauen und regelmäßig Restore-Tests durchführen, damit Erpressung nicht auf Backup-Zerstörung zielt.

• Datenabfluss aktiv verhindern oder früh erkennen: DLP, EDR/XDR, Monitoring für ungewöhnliche Transfers, Uploads und FTP/Cloud‑Exfiltration.

• Netzwerk segmentieren und Zero‑Trust‑Prinzipien nutzen, damit sich Angreifer nicht seitlich ausbreiten können.

• MFA überall einsetzen, besonders phishing‑resistente MFA für privilegierte Konten und Administratoren.

• Schwachstellenmanagement, Patchen und Härtung priorisieren, damit typische Initialzugänge wie RDP, VPN, E-Mail und Web‑Anwendungen abgesichert sind.

• Incident‑Response und Erpressungsszenarien üben, inklusive Kommunikationsplan für Datenleck, Kundenkontakt und regulatorische Meldungen.

DDoS gegen geopolitisch motivierte Ziele

DDoS wird häufig von Hacktivisten oder staatsnahen Gruppen eingesetzt und oft zu symbolischen Zeitpunkten oder rund um politische Ereignisse getriggert. Wichtige Gegenmaßnahmen sind:

• Externe Angriffsfläche reduzieren: nicht benötigte Dienste abschalten, exponierte Systeme inventarisieren und Web-/API‑Angriffsflächen bereinigen.

• Rate Limiting, ACLs, WAF und Bot‑Schutz einsetzen, um L7‑Angriffe und automatisierte Lastspitzen zu begrenzen.

• Upstream‑Schutz vorbereiten: Scrubbing‑Center, Carrier‑Mitigation, Flowspec/Blackholing und Provider‑Runbooks für schnelle Umleitung des Verkehrs.

• Segmentierung zwischen IT, OT und IoT sauber validieren, damit ein DDoS‑Begleitangriff nicht in andere Netze überspringt.

• Monitoring und Threat‑Intelligence hochfahren, besonders vor geopolitisch sensiblen Ereignissen; Alarmierung und Eskalation vorab festlegen.

• Kommunikationsplan und Fallback‑Kanäle vorbereiten, etwa Statusseite, Alternativdomain und Incident‑Messaging für Kunden und Partner.

Opensource

Angreifer kompromittieren zunehmend breit genutzte Opensource-Komponenten, was weitreichende und schwer eingrenzbare Folgewirkungen für alle abhängigen Systeme erzeugt. Und viele Cyberangriffe wirken entlang digitaler Abhängigkeiten über Organisations- und Landesgrenzen hinweg - Cybersicherheit geht somit alle an!

Praktische Priorität nach Wirkung

• Für Ransomware sind Backups, MFA, Segmentierung und Exfiltrationskontrollen die wichtigsten Basismaßnahmen.

• Für DDoS sind WAF, Rate Limiting, Scrubbing und klare Provider-Absprachen am wirkungsvollsten.

Empfehlung

Für alle Themen gilt, dass gut vorbereitetes Notfallmanagement, regelmäßige Übungen und klare Verantwortlichkeiten helfen! Ein umfassendes und belastbares ISMS ist entscheidend.