Methoden, mit denen Schadsoftware ihre Sichtbarkeit verbirgt.

Offensivmalware kann aus vielen verschiedenen Perspektiven, Kriterien, Strategien, Ansätzen usw. klassifiziert werden. Zum Beispiel: basierend auf der Art des Ansatzes, der verwendet wird, um ihre Sichtbarkeit zu verbergen

(1) Malware zur Verbreitung von Cyber-Pandemien.  Sie zeichnet sich dadurch aus, dass sie das gesamte Netzwerk bzw. Teilnetzwerk hunderte Male pro Sekunde  aktiv scannt . Sie ist nur minimal unauffällig. Beispiele hierfür sind Nimda, Conflicter, Slammer, Code Red usw. Sie verwendet eine einfache Nutzlast von wenigen hundert Bytes und nutzt monomorphe Technologie. Sie initiiert automatisch TCP-Verbindungen zu infizierten Geräten und verbindet sich mit neuen potenziellen Opfern, um die schädliche Nutzlast zu übertragen. Jedes infizierte Gerät scannt das gesamte Teilnetzwerk hunderte Male pro Sekunde.  

(2) Cyberendemische Malware . Diese Malware zeichnet sich dadurch aus, dass  sie aktiv einen Teil des Netzwerks/Subnetzes anhand einer vordefinierten Liste scannt. Sie ist etwas unauffälliger als Malware, die eine Cyberpandemie auslöst. Beispiele hierfür sind Duqu, Flame und Regin. Charakteristisch ist ihre große Nutzlast, die beispielsweise Tausende von Bytes umfassen kann. Sie nutzt polymorphe Formwandlungstechnologie in ihrer Nutzlast. Jedes infizierte Gerät scannt zufällig einen Teil des Subnetzes anhand einer Liste, die durch Informationen von infizierten Geräten optimiert wird.  

(3) Malware, die auf passivem Scannen basiert. Sie zeichnet sich durch einen hohen Grad an Tarnung während der Infektion aus. Beispiele hierfür sind Equation, AdWind und Gauss. Passives Scannen hinterlässt praktisch keine nachweisbaren Scan-Anomalien. Es verwendet eine komplexe Nutzlast von Tausenden von Bytes und nutzt eine Technologie zur Formveränderung. Abhängig vom Mechanismus

Offensivmalware lässt sich nach ihren Verschleierungsfähigkeiten und ihrem Transformationsgrad nach der Infektion kategorisieren, und je nach den Methoden, die zur Transformation verwendet werden, können wir Folgendes identifizieren:

Cybersicherheit-Arierio-2(1) Malware mit Verschleierungsfähigkeiten. Mit Low-Level-Code-Verschleierung (Einfügen von Daten mitten im Code, Verletzung von ABI-Konventionen(Aufruf/Rückgabe, Stack-Nutzung, Springen mitten in den Code, dynamisches Generieren oder Modifizieren von Code usw.), Verschlüsseln und Transformieren von Code, Verschleiern von Daten), Verhaltensverschleierung (Umgehung (durch Verwendung von Code-Verhaltensgeneratoren, die keinen Verdacht erregen), Kombinieren von gutartigem und bösartigem Verhalten, das die Erkennung und Analyse erschwert), Verwendung von Anti-Analyse-Techniken (Erkennen der Ausführung innerhalb einer VM, eines Emulators oder einer Sandbox und anschließendes Ändern ihres Verhaltens).

(2) Monomorphe Malware. Sie ändert ihre Form nicht

(3)  Polymorphe Malware. Sie verschlüsselt den Malware-Code so, dass sich die für jede Instanz einzigartige „Signatur“ bzw. Bytefolge des Codes von Instanz zu Instanz ändert. Der Verschlüsselungsschlüssel wird von Generation zu Generation geändert , was massive Veränderungen in den Bytefolgen zur Folge hat. Detektoren für polymorphe Malware konzentrieren sich auf die invarianten Teile, die zum Packen und Entpacken verwendet werden. Sie erfassen das Verhalten beim Entpacken und Ausführen (Laufzeiterkennung). Dies beinhaltet das Scannen nach der Malware nach dem Entpacken, um diese zu lokalisieren .

(4) Metamorphe Malware. Sie überschreibt den gesamten Code von einer Generation zur nächsten. Da sie keinen Code für die Verschlüsselung/Entschlüsselung benötigt, sind verhaltensbasierte Malware-Erkennungsmethoden möglicherweise nutzlos. Sie verwendet alternative Befehlssequenzen, um denselben Effekt zu erzielen.

(5) Oligomorphe Malware. Sieverwendet eine Reihe unterschiedlicher Entschlüsselungs-/Ladeprogramme (im Gegensatz zu polymorpher Malware, die unendlich viele Entschlüsselungsprogramme generiert, generiert oligomorphe Malware weniger, die für jedes neue Opfer zufällig ausgewählt werden. Die erste oligomorphe Malware war Whale)

Schadsoftware kann, je nach Ursprung oder Quelle, in zwei Kategorien eingeteilt werden:

(1) Cyber-endogene Malware. Sie ist dadurch gekennzeichnet, dass sie in einem anderen System entsteht oder darin geboren wird.

(2) Exogene Cyber-Malware. Sie ist dadurch gekennzeichnet, dass sie außerhalb eines anderen Systems mittels Cyber-Seeds, Cyber-Sporen oder Resurrection-Fragmenten gebildet oder geboren wird.

Klassifizierung von Schadsoftware basierend auf ihren Funktionen und Verbreitungs- und Lokalisierungsmethoden.

Je nachdem, wie sie sich verbreiten, infizieren und lokalisiert werden, weisen offensive Schadsoftware, die bei Cyberangriffen eingesetzt wird, typischerweise die folgenden Funktionalitäten/Typen auf: 

(1) Wurm. Ein Wurm ist ein eigenständiges Schadprogramm (ähnlich einem Rootkit), das sich selbst repliziert, ohne Dateien zur Verbreitung zu benötigen. Würmer benötigen in der Regel kein menschliches Eingreifen, da sie sich selbstständig im Netzwerk verbreiten. Ein Wurm infiziert andere Geräte, verbreitet sich aber nicht durch die Infektion anderer Dateien. Er verbreitet sich, indem er Sicherheitslücken ausnutzt (Zero-Day-Schwachstellen und bekannte Schwachstellen wie z. B. in Log4j). Die Funktionsweise eines Wurms ist wie folgt: (A) Es wird eine zufällige IP-Adresse generiert. (B) Diese Adresse wird überprüft. Existiert das Gerät? Falls nicht, wird zu Schritt (A) zurückgekehrt. (C) Falls ja, sucht der Wurm nach anfälligen Diensten. Falls nicht, wird zu Schritt (A) zurückgekehrt. (D) Falls ja, wird das Gerät infiziert, und die Suche wird fortgesetzt, bis der Vorgang zu Schritt (A) zurückkehrt. Drei der vielen verbreiten kann, ein Wurm sind: „fingerd“ (nutzt einen Pufferüberlauf in der Funktion „fgets“ aus; anscheinend ist dies die erfolgreichste Methode für Cyberangriffe), „sendmail“ (nutzt die „Debug“-Option in sendmail aus, um Shell-Zugriff zu ermöglichen) und „rsh“ (nutzt Sicherheitslücken auf vertrauenswürdigen Geräten aus und knackt PasswörterE-Mail-Würmer Nimda und Aliz nutzen Schwachstellen in Microsoft Outlook aus; sobald das Opfer eine infizierte Nachricht öffnet oder den Mauszeiger im Vorschaufenster über die Nachricht bewegt, wird die Wurmdatei ausgeführt. Ein Wurm kann sich selbst über das Netzwerk replizieren und dadurch Netzwerkbandbreite verbrauchen, Dateien von einem System löschen, Dokumente per E-Mail versenden und andere ausführbare Dateien als Nutzlast mitführen (wodurch eine Hintertür auf einem infizierten Gerät/System installiert wird (sogenanntes Zombie-Gerät/System), was eine sehr hohe Infektionsrate aufweist). Beispiele für Würmer sind: MyDoom (der erhebliche finanzielle Schäden verursachte), Slammer (der 2003 auftauchte), CodeRed, Sasser und Lovesan/Blaster, die Schwachstellen im Windows-Betriebssystem ausnutzen; sowie Ramen und Slapper, die Schwachstellen im Linux-Betriebssystem und in Linux-Anwendungen ausnutzen. Zwei Exploits vom WurmWin32/Nimda.A@mm sind: der „Web Server Folder Traversal Exploit“, der ISIS-Webserver infiziert, und der „MIME Header Exploit“, der durchdas Lesen oder Anzeigen einer infizierten E-Mail ausgeführt werden kann.

(2) Virus.  Wie Logikbomben und Trojaner benötigt er ein Wirtsprogramm . Er ist ein Codefragment, das sich an andere Dateien anhängt, um diese zu infizieren. Er repliziert sich selbst, sobald infizierte Programme ausgeführt werden. Ein Virus ist so konzipiert, dass er sich selbst kopiert und von einer infizierten Computerdatei zur anderen verbreitet, üblicherweise durch Anhängen an Programmdateien. Beispiele für Viren sind: Makroviren, Bootsektorviren ( die unwahrscheinlich sind , wenn das Betriebssystem über einen Speicherschutz verfügt), Dateiviren, infizierte E-Mail-Anhänge und Viren, die sich an Programme, Skripte, Bibliotheken usw. anhängen. Viren replizieren sich selbst und hängen sich an anderen, nicht schädlichen Code an. Ein Beispiel für einen Virus ist SoBig-2003  , der die Systeme zur Steuerung der Zugsignale in Florida (USA) lahmlegte Cybersicherheit-Arierio-3

(3) Spyware. Hierbei handelt es sich um Schadsoftware, die sich unbemerkt und heimlich installiert und ihr Zielsystem infiziert, um ohne Wissen oder Zustimmung des Besitzers Systeminformationen zu sammeln. Zu den Arten von Spyware gehören Keylogger (die illegal Tastatureingaben und Mausbewegungen aufzeichnen), Creepware (die illegal Bilder, Webcam-Videos und Mikrofon-Audio von Smartphones, PCs, Smart-TVs, vernetzten Fahrzeugen, IoT/IoMT-Geräten usw. aufzeichnet) und andere. Es handelt sich um Schadsoftware, die Informationen von einer Person oder Organisation ohne deren Zustimmung oder Wissen sammelt. Zwei Beispiele für Spyware/Cyber-Spionage-Tools sind Pegasus und Sourgum von Candiru. Sie wurden entwickelt, um Einzelpersonen, Bevölkerungsgruppen, Nationen, den gesamten Planeten usw. auszuspionieren und zu überwachen. Pegasus ist geräte- und plattformübergreifend und läuft auf Smartphones, Tablets, PCs usw. unter Betriebssystemen wie iOS, Android, Symbian, Windows, Huawei, Linuxusw. Pegasus nutzt verschiedene Angriffsvektoren (SMS, iMessage, Sicherheitslücken, E-Mails, Instant-Messaging-Apps wie WhatsApp und Telegram usw.) und kann eine Vielzahl von Daten erfassen (von Kamera, Mikrofon, Adressbuch, Kalender, GPS, E-Mails, Instant Messaging, SMS, Fotos und Videos, mobilen Anwendungen, Kiosksystemen usw.). Pegasus kann „gefälschte digitale Spuren“ hinterlassen, die seine Anwesenheit auf einem Mobilgerät vortäuschen. löscht sich die Software selbst. Die Identifizierung des Spions ist aufgrund der Verwendung von Proxy-Netzwerken. Spyware enthält oft verschiedene interne Funktionen wie „Infostealer“, „Trojaner“ usw. Zwei Beispiele für Spyware sind „Agent Tesla“ und „Formbook“.

(4) Trojanische Software. Das Opfer hält sie für ein legitimes Programm. Sie benötigt ein Wirtsprogramm. Sie ermöglicht unautorisierten Hintertürzugriff auf ein kompromittiertes System. Dadurch kann das Opfer in mehrere Malware-Cyberangriffe verwickelt werden. Beispiele hierfür sind Peacomm, Trojan.Downloader.Js.Agent.F (eine JavaScript-Datei, die Links zu schädlichem JavaScript-Code und iFrames im Klartext einfügt, um Benutzerinformationen zu stehlen), Trojan.Downloader.JLPK (Malware, die Funktionen entschlüsselt und weitere Malware-Dateien herunterlädt),  Trojan.Exploit.ANPi (ein Visual Basic-Skript, das eine Sicherheitslücke in einem Webbrowser ausnutzt, um infizierte Dateien herunterzuladen, zu speichern und auszuführen, um Benutzerinformationen zu stehlen) usw.

(5) Beliebiger Codeausführer. Schadsoftware, die durch Ausnutzung verschiedener Sicherheitslücken die Kontrolle erlangt und eigenen Code einschleust, um beliebige Operationen an der Anwendung durchzuführen, zu der sie Zugriffsberechtigung hat. 

(6) Dateilose Malware basiert auf LotL (Living off the Land). Sie nutzt bereits im Betriebssystem vorhandene Komponenten, legitim installierte Software und verfügbare Systemfunktionen, um schädliche Aktionen auszuführen; es müssen keine neuen Komponenten geladen werden. Die meisten LotL-Malware-verwenden die folgenden Tools: (i) PowerShell ist ein Framework mit umfangreichen Funktionen zur Verwaltung von Windows-Geräten. Schadsoftware kann PowerShell , um schädliche Skripte auszuführen, Berechtigungen zu erweitern, Hintertüren usw. (ii) WMI (Windows Management Instrumentation) ist eine Schnittstelle für den Zugriff auf verschiedene Windows-Komponenten. Für Schadsoftware WMI ein geeignetes Werkzeug, um Anmeldeinformationen abzugreifen, Sicherheitsmechanismen (wie Antivirenprogramme und die Benutzerkontensteuerung (UAC)) zu umgehen, Dateien zu stehlen, sich lateral im Netzwerk zu bewegen usw. (iii) PsExec ist ein Tool zur Remote-Befehlsausführung, das von Schadsoftware verwendet wird, um schädlichen Code einzuschleusen. (iv) Mimikatz ist ein Windows-Sicherheitsscanner, der Benutzeranmeldeinformationen protokolliert. Bei LotL hinterlässt die Schadsoftware keine Spuren schädlicher Dateien und kann daher nicht erkannt werden. Die Stuxnet-Malware verwendet keine optimierten Infektionslisten.

Cybersicherheit-Arierio-4ARTEN VON OFFENSIVER MALWARE BASIEREND AUF IHREN AUSWIRKUNGEN.

Offensivmalware,  die bei Cyberangriffen eingesetzt wird, kann anhand der Art der von ihr ausgeführten schädlichen/perversen Aufgabe wie folgt klassifiziert werden: 

(1) Ransomware. Diese Schadsoftware ermöglicht Cybererpressung, bei der die Opfer nicht mehr auf ihre Daten zugreifen können (es handelt sich um einen Cyberangriff auf die Verfügbarkeit und möglicherweise auch die Vertraulichkeit). Als Gegenmaßnahme sollten Sie redundante, verteilte Backups erstellen, die sich nicht auf den zu infizierenden Geräten befinden, und die Daten (Dateien, Ordner, Festplatten usw.) besonders robust verschlüsseln, beispielsweise mit mehreren verschachtelten Algorithmen. Der Angreifer verschlüsselt oder löscht die Daten auf niedriger Ebene (ähnlich einem „Wipe“), bis ein Lösegeld gezahlt wird (üblicherweise in Kryptowährungen wie Bitcoin). Es wird empfohlen, alle Geräte und Betriebssysteme stets auf dem neuesten Stand zu halten und mit Patches zu versehen, um potenzielle Sicherheitslücken zu minimieren. Installieren Sie keine Software und gewähren Sie keine Administrator-/Root-Rechte, es sei denn, Sie wissen genau, was die Software ist und wie sie funktioniert (was praktisch unmöglich ist). Beispiele für Ransomware-Malware sind: WannaCry, Conti, NotPetya, Cryptolocker-2013, Locky, CryptXXX, REvil/Sodinokibi, TorrentLocker, Jigsaw, Ceber usw.

(2) Doxware-Malware. Diese Schadsoftware ermöglicht Cybererpressung, indem sie Opfern mit der Veröffentlichung ihrer Daten droht, falls diese kein Lösegeld (in Kryptowährungen wie Bitcoin, Ethereum usw.) zahlen. Eshandelt sich um einen Cyberangriff auf die Vertraulichkeit und potenziell auch die Verfügbarkeit von Daten. AlsGegenmaßnahme sollten mehrschichtige Verschlüsselung und redundante, an sicheren Orten verteilte Backups implementiert werden. 

(3) DDoS/DoS-Malware (Distributed Denial of Service/Denial of Service) . Diese Angriffsart zielt auf die Verfügbarkeit von Ressourcen ab und ermöglicht einen Cyberangriff auf Netzwerkressourcen ( Server, Website, Anwendung, Dienst, Gerät, IoT-Objekt, Netzwerk usw. ) mithilfe eines Kollektivs kompromittierter/infizierter Computersysteme, sogenannter Bots. Die betroffene Netzwerkressource wird mit einer Vielzahl von Nachrichten überflutet, was zu einer Verlangsamung und/oder zum Absturz des Zielsystems führt und es für autorisierte Benutzer und Systeme unzugänglich macht. Ein DDoS -Malware-Angriff erfolgt typischerweise durch das Zusammenwirken mehrerer infizierter/kompromittierter Systeme (manchmal auch Botnetz genannt) . Zu den Abwehrmaßnahmen gegen diese Art von Cyberangriff gehört die Verwendung Content Delivery Network). eines ist ein Netzwerk von Servern, die weltweit verteilt sind. Sie replizieren die Daten einer geschützten Website. Das CDN leitet den Datenverkehr um, um die Funktionalität auf andere Server zu gewährleisten, wenn ein Server überlastet oder nicht verfügbar ist CDN ( Ein CDN . (ii) Der Einsatz von Reverse-Proxys ist eine Art Proxy-Server, der im Auftrag des Clients Ressourcen von einem oder mehreren Servern abruft . (iii) HA-Proxys (High Availability Proxys)  verteilen Anfragen auf mehrere Server. Dadurch wird die Last potenzieller DDoS-Malware-Angriffe ausgeglichen und verhindert, dass diese den betroffenen Benutzer erreichen. Ziel ist es, mehrere Verteidigungsebenen zwischen den Systemen/Ressourcen, die Inhalte bereitstellen, und den legitimen Clients, die diese Inhalte anfordern, zu implementieren. Beispiele für Malware, die DDoS-Angriffe  gegen Anwendungsserver und Netzwerksoftware durchführt, sind die Mirai-Familie und all ihre Varianten: Miori, Okane, Echobot, Bashlite, Satori, Omni, Asher usw. Beispiele für Malware-Familien, die DDoS-artige Cyberangriffe auf IoT-Geräte durchführen, sind: Persirai-Botnetz (gegen IP-Kameras und DVRs), Hajime (gegen eingebettete Geräte), PsyBot (gegen Router und Modems), Linux.Wifatch (gegen eingebettete Geräte), Http81 (gegen IP-Kameras), SohoPharming (gegen Router), VPNFilter (gegen Router), Trinity Miner (gegen Android-Geräte), BrickerBot (gegen eingebettete Geräte), TheMoon (gegen Router), Silex (gegen eingebettete Geräte) und Linux.NyaDrop.b (gegen MIPS-basierte IoT-Geräte). 

(4) Hintertür-Malware. Diese Schadsoftware installiert sich selbst und erstellt eine Hintertür, sodass andere Schadsoftware beliebig oft auf das infizierte Gerät/den infizierten Computer zugreifen und es fernsteuern kann. Dadurch wird das Opfer wiederholten Cyberangriffen ausgesetzt. Beispiele hierfür sind rustock.b und tivserv . Ein von der NSA verwendetes Tool zum Einschleusen von Hintertüren ist „Double-Pulsar“.

(5) Malware vom Typ Infostealer. Diese angreifende Malware ist darauf ausgelegt, Informationen zu stehlen. Zum Beispiel snifula.b.

(6) Adware-Malware. Diese schädliche Malware ermöglicht Infektionen durch manipulierte Werbung. Beispiele hierfür sind die Adware Borland und Aurora

Cybersicherheit-Arierio-5(7) Selbstausführende Schadsoftware. Diese Art von Schadsoftware kann sich ohne Zutun des Opfers selbstständig ausführen. Beispiel: VBS-Runauto.

(8) RAT (Remote Access Trojan). Diese Schadsoftware verschafft sich aus der Ferne Zugriff auf das Gerät des Opfers. 

(9) Trojan.Exploit.SSX. Diese Schadsoftware gelangt über SQL-Injection , indem sie einen unsichtbaren iFrame in den Klartextcode einfügt. Sie kann Benutzerinformationen stehlen. 

(10) Malware in ICS-OT/BDs-IT. Diese offensiven Schadprogramme operieren in OT/IT-Umgebungen, zum Beispiel: Duqu ( gegen SCADA-Systeme ), Bad Rabbit ( gegen ukrainische Transportunternehmen), Locker Goga (gegen ein norwegisches Aluminiumunternehmen), Triton (gegen eine petrochemische Anlage in Saudi-Arabien), Flame, Flamer oder SkyWiper (für Spionage und gezielte Cyberangriffe), BlackEnergy3/Industroyer (gegen das ukrainische Energienetz und ICS), Snifula.B (führt Informationsdiebstahl durch), Stuxnet (gegen iranische Uranraffinerien), NotPetya (gegen ukrainische Organisationen), Triton/Trisis (griff die Cybersysteme der Öl-, Gas- und Stromindustrie im Nahen Osten, Europa und Nordamerika an), PLC-Blaster (Wurm gegen Siemens S7-SPSen), ACAD/Medre.A (Industriespionage gegen AutoCAD-Konstruktionen), Babar, VPNFilter, Conficker (Wurm), BlackEnergy (gegen cyber-physische Systeme; im Jahr 2015). Cyberangriffe auf die Energieversorgung (aus der Ukraine), Backdoor.Oldrea (gegen ICS), DanaBot und QakBot (zum Aufbau von Botnetzen), Nymaim, EquationGroup, CryptoWire, Jaff, RapidRansom, Sage und Ryuk (Ransomware), Pupy, SoftPLC (gegen SPS), WannaCry (gegen Industrie- und IT-Netzwerke) und Shamoon (legte 2012 die Computersysteme des saudi-arabischen Ölkonzerns Aramco lahm). Die Malware BlackEnergy  führt ein Plug-in auf dem Zielsystem aus, um sich mithilfe von „ PsEexc “ und dem Zugriff auf Administratorfreigaben im lokalen Netzwerk zu verbreiten . Die Malware Cobalt Strike kann Windows-Administratorfreigaben ( C$ und ADMIN$ ) zur lateralen Ausbreitung nutzen . Zu den bedeutenden Cyberangriffen zählen Cloud Hopper, der Bundestag-Hack und der Angriff auf die OPCW. 

(11) Malware speziell für OT/ICS/CPS-Umgebungen. Einige Familien offensiver Malware (die SCADAs, SPSen, CPS, Modbus-Technologie, TCP, CODESYS, OPC UA, Zutrittskontrollsysteme, Wiegand-Protokolle, Clock-and-Data, Mifare, Desfire usw. angreifen) sind: Pipedream/Incontroller (im April 2022 veröffentlichte CISA-USA die Warnung AA22-103a bezüglich einer neuen modularen Malware, die verschiedene Ziele mit 36 ​​verschiedenen Angriffstechniken angreifen kann), Stuxnet (für einen spezifischen Einsatz entwickelt), Havex, Industroyer2, Triton/Trisis (für einen spezifischen Einsatz entwickelt), Blackenergy2, Crashoverride/Industroyer usw.

(12) DNS-verändernde Malware. Sie verändert die Zuordnung zwischen IP-Adresse/L3-Adresse und URL/L5-Adresse und umgekehrt. Das heißt, sie ändert die DNS-Serverkonfiguration des Nutzers, um die legitimen DNS-Server des Internetanbieters durch bösartige, von Cyberkriminellen kontrollierte DNS-Server zu ersetzen. Aktuell werden die fortschrittlichsten Malware-Arten durch die gleichzeitige Kombination verschiedenster Funktionen entwickelt, darunter Würmer, Viren, metamorphe Malware, Spyware, DoS-Angriffeusw. Darüber hinaus können sie aktualisiert werden, umFunktionenund so neue, noch verstecktere und bösartigere Funktionsweisen zu integrieren (mithilfe von schwer erkennbaren Cyber-Seeds und Cyber-Sporen).

Cybersicherheit-Arierio-6SCHLUSSBEMERKUNGEN. 

Die digitale Entwicklung von Organisationen und Branchen wird heute, parallel zur digitalen Transformation, zunehmend von der wachsenden Zahl an Cyberangriffen beeinflusst, die abgewehrt werden müssen. Im Bereich CybersicherheitSensibilisierungmuss in zertifizierte Schulungen anerkannter und akkreditierter Anbieter umgewandelt werden. Diese Schulungen erfordern von allen Mitarbeitenden – von der Führungskraft bis zum einfachen Angestellten – das Erlernen und Bestehen anspruchsvoller Prüfungen und Bewertungen, um die Zertifizierung zu erhalten. Wir können es uns nicht mehr leisten, lediglich Sensibilisierungsprogramme anzubieten; sie müssen in zertifizierte Schulungen umgewandelt werden. Dies befähigt alle, in jeder Situation angemessen zu handeln und die besten Entscheidungen zu treffen, selbst in kritischen und stressigen Situationen. Laut einer des WatchGuard Threat Lab wurden in den letzten Monaten des Jahres 2021 91,5 % der Schadsoftware über verschlüsselte HTTPS-. Darüber hinaus nutzt Schadsoftware Skriptsprachen wie PowerShell, um Sicherheitsvorkehrungen zu umgehen. Laut Kaspersky wurde im ersten Halbjahr 2021 jedes dritte industrielle Steuerungssystem ICS () – darunter SCADA-Server, Datenspeicherserver, Datengateways, Mensch-Maschine-Schnittstellen (HMIs), mobile und stationäre Arbeitsstationen sowie Geräte zur industriellen Netzwerkverwaltung – angegriffenmittels Wechseldatenträgern und infizierten E-Mail-AnhängenDas Bundesamt für Sicherheit in der Informationstechnik (BSI) entdeckte allein zwischen Juni 2020 und Ende Mai 2021 144 Millionen neue Malware-Varianten, ein Anstieg von 22 % gegenüber dem Vorjahr. Im Februar 2021 identifizierte das BSI zudem 553.000 Malware-Varianten an einem einzigen Tag. 

LITERATURVERZEICHNIS. 

- Areitio, J. „Informationssicherheit: Netzwerke, Computer und Informationssysteme“. Cengage Learning-Paraninfo. 2021.

- Areitio, J. „Neue Horizonte des Schutzes und der proaktiven Verteidigung der DAIM/MIAD gegen alle Arten heimtückischer Cyberangriffe“. Conectrónica Magazin. Nr. 252. Oktober 2022.

- Rawal, BS, Manogaran, G. und Peter, A. „Cybersecurity and Identity Access Management“. Springer. 2022.  

- Hubbard, DW und Seiersen, R. „Wie man alles im Bereich Cybersicherheitsrisiken misst“. John Wiley & Sons Inc. 2022.   

- Smidts, C., Ray, I., Zhu, Q., Vaddi, PK, Zhao, Y., Huang, L., Diao, X., Takibul, R. und Pietrykowski, MC „Cybersecurity Threats and Response Models in Nuclear Power Plants“. Springer. 2022.   

- Sipola, T., Kokkonen, T. und Karjalainen, M. „Künstliche Intelligenz und Cybersicherheit: Theorie und Anwendungen“. Springer. 2022

Autor: Prof. Dr. Javier Areitio Bertolín – Direktor der Forschungsgruppe Netzwerke und Systeme