EINFÜHRUNG.
Cyberangriffe (verursacht durch Dritte und böswillige Akteure (Cyberangreifer/autonome Malware), die unbefugt auf Systeme, Netzwerke und Informationen zugreifen) nutzen alle Arten von Schwachstellen, Sicherheitslücken und Angriffsvektoren in allen beteiligten Systemen und Umgebungen (Land, See, Luft, Weltraum und Cyberspace) aus. Sie betreffen alle Arten von Anwendungen (Webanwendungen, Apps, APIs, Podcasts, SPS/ICS/CPS, Videokonferenzsysteme, Office-Dokumente, Entwicklungssoftware, IDEs usw.) mit fehlerhaftem, kompromittiertem Code, fehlerhaften Konfigurationen und fehlender statischer und dynamischer Codeprüfung, da sie nicht nach dem DevSecOps-Modell entwickelt wurden (welches die Integration von Cybersicherheit von Anfang bis Ende in den gesamten Software-, Firmware- usw. Entwicklungszyklus ermöglicht). Oftmals basieren sie auf improvisierten, katastrophalen Entwicklungen, die auf Codefragmenten aus beliebigen Quellen (Open Source, Private Source usw.) beruhen und infiziert sind. Die Angriffe können auf allen Gerätetypen (Smartphones/Handys, Tablets, PCs, Drucker, AMR) erfolgen. (Autonome mobile Roboter), Router, IoT-Objekte, Fahrzeuge, Satelliten, HSE (Hardware-Sicherheitsmodule), Komponenten, Geräte, eingebettete Systeme, Instrumente usw. ohne Updates oder mit unzureichenden OTA/FOTA-Updates (Firmware-Over-The-Air), ohne ausreichenden Schutz), alle Arten von Menschen/Kunden (wir werden durch MDM (Fehlinformationen, Desinformationen, Schadinformationen) auf Basis von Social Engineering, synthetischen Medien, Deep Learning, KI, E-Mail-Anhängen, Links/Schaltflächen/Symbolen, QR-Codes, dem Besuch kompromittierter/infizierter Websites, dem Ansehen kontaminierter Videos und Fotos, der Nutzung sozialer Netzwerke (wie TikTok, Instagram, Facebook usw.), die uns zum Lesen von E-Mails und Instant-Messaging-Nachrichten (wie WhatsApp, Telegram usw. mit unzureichender und kompromittierter Verschlüsselung) usw. verleitet und irregeführt), alle Arten von Betriebssystemen (nicht aktualisierte, mangelhafte, schlecht aktualisierte oder veraltete Software, die nicht mehr vom Anbieter/Hersteller aktualisiert wird usw.), alle Arten von Webbrowsern (veraltet, mit kompromittierten Updates oder nicht) Die Sicherheitsvorkehrungen sind in allen Arten von Organisationen (Lieferanten, Händler, Distributoren, Groß- und Einzelhändler, Finanzinstitute, Gesundheitseinrichtungen usw.) unzureichend, ebenso wie in Prozessen, Verfahren, Protokollen, Governance-Mechanismen usw., die nur unzureichend geschützt sind. Die Faktoren, die die beispiellose Zunahme von Cyberangriffen (sowohl Zero-Day- als auch bekannte, reine und modifizierte, getarnte, versteckte usw.) verursachen, sind die wachsende Anzahl von Schwachstellen und Angriffsvektoren (Mängel, Fehler, Bugs usw., die zu einer Vergrößerung der Angriffsfläche führen) in allen Bereichen: Softwarecode/Firmware, Schnittstellen/APIs, Anwendungen, Datenbanken, fehlerhafte Konfigurationen, Hardware, Menschen (mit ihrem schädlichen Verhalten und ihren Handlungen), Protokolle, Cyber-Physical Systems (CPS) usw.). Cyberangriffe umfassen ein breites Spektrum an Aktionen und Verhaltensweisen, darunter Spionage/Datenexfiltration, Informationsdiebstahl/-manipulation, unbefugter Zugriff (z. B. versuchte illegale Zugriffe auf Webcams und Mikrofone, unbefugte Dateierstellung, unerlaubter Zugriff auf Prozess- und Unterprozessdaten, versuchte illegale USB-Datenverbindungen über einen kompromittierten USB-Stick oder eine kompromittierte Steckdose usw.), Eindringversuche (über IP-Adressen, MAC-Adressen oder Cyberangriffs-URLs usw.), Informationserfassung, physische Löschung/Verschlüsselung von Informationen und vieles mehr. Die Funktionsweise von Cyberangriffen basiert auf der Orchestrierung adaptiver Strategien, Taktiken, Techniken, Verfahren und Funktionen auf niedriger oder sehr niedriger Ebene. Cyberangriffe nutzen strukturierte, phasenweise Verhaltensmuster mit zufälliger Auswahl und Verteilung sowie die Orchestrierung operativer Frameworks auf Basis mehrerer Playbooks, Mimikry und anderer Techniken. „Härtung“ bezeichnet die Methoden und Techniken, die die Angriffsfläche verringern. Beim sogenannten „SIM-Swapping“ können gefälschte SIM-Karten, die mit Telefonanschlüssen verknüpft sind, ohne die Zustimmung der Inhaber beschafft werden, um sich als diese auszugeben und auf deren vertrauliche Daten zuzugreifen. Telekommunikationsunternehmen mit mangelhaften Cybersicherheits- und Datenschutzrichtlinien können daran beteiligt sein.

f1B-wGRÜNDE FÜR DEN GEGENWÄRTIGEN ÜBERMÄSSIGEN ANSTIEG VON CYBERANGRIFFEN.
Die Hauptgründe und Herausforderungen für den exponentiellen Anstieg von Cyberangriffen sind: die beschleunigte Digitalisierung (wahllos, improvisiert, chaotisch, hektisch, mit unzureichendem oder gar keinem Cybersicherheitsschutz), exzessives und unreflektiertes Teilen von Informationen, zunehmendes Vertrauen (das Gleichgültigkeit gleicht, stetig wächst und nicht geprüft oder verifiziert wird), allgegenwärtige Hyperkonnektivität (die Vernetzung nimmt mit unzureichendem Schutz immer weiter zu), die zunehmende Einführung neuer Technologien (in immer mehr Umgebungen, meist ungetestet und unzureichend geschützt; dazu gehören Technologien wie künstliche Intelligenz, Blockchain, Smart Contracts, NFTs, Cloud Computing, IoT-Infrastrukturen, Metaverse usw.). Die wachsende Technologieabhängigkeit unserer Gesellschaft führt zu einer stetig steigenden Anzahl von Cyberbedrohungen und Cyberangriffen, die immer größer, gefährlicher und ausgefeilter werden. Hinzu kommen die rasante Automatisierung (in allen Bereichen, ungetestet und mit ungelösten Mängeln) und die allgegenwärtige Kontrolle (durch die stetig zunehmende Internetnutzung). Videokonferenzen, Apps/APIs für alles: von der Hausüberwachung (auch aus dem Google Play Store und dem App Store), Instant Messaging mit schwacher Verschlüsselung, E-Mail, Webbrowser, SMS/MMS usw.), E-Commerce (zunehmend ungeschützt, z. B. durch „Formjacking“, das Online-Käufe und Zahlungssysteme manipuliert), das Wachstum von IoT-Ökosystemen (ungeschützt oder nur unzureichend geschützt; viele IoT-Geräte laufen mit veralteten Betriebssystemen, die nicht aktualisiert werden können, verwenden schwache oder Standardpasswörter und werden nicht auf Sicherheitslücken überwacht; laut einem Gartner-Bericht wird die Anzahl der IoT-Geräte (und all ihrer Ableitungen: IoMT (Internet der medizinischen Dinge), IIoT (Industrielles Internet der Dinge), IoAIT (Internet der künstlichen Intelligenz), IoCT (Internet der Kinderdinge) usw.), die über alle technischen Bereiche hinweg vernetzt sind, bis 2025 eine Billion erreichen), der übermäßige Anstieg von Cloud-Computing (private, öffentliche und hybride Cloud-/Fog-/Edge-Computing mit schwachem Schutz, dezentralisiert, versteckt, in Unterwasser-/Flugfahrzeugen usw.). Satelliten usw.), die zunehmende Nutzung von Lieferketten-Ökosystemen (ungeschützt oder mit mangelhafter Cybersicherheit), Satelliten-/Basisstationsnetze (mit Zero-Day-Schwachstellen), das Metaverse aller Art und insbesondere das industrielle (mit mangelhaftem Schutz, in dem unerprobte Technologien wie digitale Zwillinge, virtuelle, erweiterte und eingeschränkte Realität, mobile, stationäre und Haushaltsroboter, Roboter für das Gesundheitswesen, die Pflege von Kranken und Kindern sowie KI, ML, DL, NLP, tiefe/konvolutionelle neuronale Netze, synthetische Medien usw. zum Einsatz kommen) usw. Der Schlüssel zu all dem ist nicht, dass es funktionieren soll (der Kommentar mancher mittelmäßiger/unerfahrener Entwickler lautet: „Hauptsache schnell, und wenn die Cybersicherheit versagt, patchen sie es eben, sobald sie es merken.“ Das ist nicht nur leichtsinnig, sondern sieht auch nie gut aus. Ein weiterer bedauerlicher Spruch lautet: „Hauptsache, es funktioniert und ist schnell, egal wie und mit welcher Software es gemacht wird.“ Der Schlüssel zum Erfolg liegt in der Implementierung von Cybersicherheit auf höchstem Niveau, einem mehrschichtigen Schutzkonzept, hoher Reife und ausgeprägter Cyberresilienz. Dies erfordert mehrere internationale und nationale Zertifizierungen (ausgestellt von akkreditierten/unabhängigen Zertifizierungsstellen). Produkte, Dienstleistungen, Unternehmen usw. müssen nach verschiedenen internationalen/spanischen Standards wie ISO/IEC 27001:2022 (ISMS), ISO 23247 (Digitale Zwillinge), ISO 27701 (Datenschutzmanagement), NIST/SP 800-46, ISO/IEC 27002:2022, ISO/SAE 21434 (Fahrzeuge), UNECE/R155 (Fahrzeuge) und IEC 62443-4-2/UNE 17025 (UNE = Spanische Vereinigung für Normung) mehrfach zertifiziert sein. AENOR ist von der ENAC (Nationale Akkreditierungsstelle) akkreditiert, die Einhaltung der spanischen Norm ENS:2022 (ENS = Nationales Sicherheitssystem) zu bescheinigen. Die ENAC hat APPLUS+CERTIFICATION die Akkreditierung nach ISO 20000:2018 erteilt. AENOR hat Accenture die ENS-Zertifizierung verliehen. AENOR hat Countercraft die ISO-27001-Zertifizierung verliehen. AENOR hat GMR Canarias zwei Zertifizierungen ausgestellt: eine für die Einhaltung der ENS-Norm und eine weitere für die Implementierung der Norm UNE-ISO/IEC 27001. Das CCN (Nationales Kryptologisches Zentrum) hat bestimmte Microsoft-Produkte sowie funktionale Sicherheitsprozesse wie ISO 26262 zertifiziert. ICSA Laboratories zertifiziert Cybersicherheitslösungen von Technologieanbietern. Die Carnegie Mellon University bietet die offizielle CERT-Akkreditierung (Computer Emergency Response Team) an usw. Darüber hinaus muss, und dies ist von entscheidender Bedeutung, das Niveau der Cybersicherheit (von Produkten, Dienstleistungen, Unternehmen usw.) durch Kennzeichnungen und Siegel akkreditierter/unabhängiger Stellen spezifiziert werden und einem hohen Niveau entsprechen (z. B. gemäß Common Criteria mit dem Sicherheitslevel EAL-7). SIL-4 ist das höchste Sicherheitsniveau im Eisenbahnsektor und basiert auf Standards wie EN 50126/50128/50129 usw. SIL-2 ist nicht das höchste Sicherheitsniveau gemäß EN ICS 62061. ENAC und CCN haben das JTSEC-Labor als Common-Criteria-Labor akkreditiert. Das Unternehmen FACEPHI hat die PINAKES-Zertifizierung zur Verbesserung der Bankensicherheit durch digitale Identitätsprüfung erhalten; es ist Teil der Lieferkette des Interbank Cooperation Center und berichtet an die spanische Zentralbank. Das Audit-Team von Internet Security Auditors hat MAFRE mit der PCI-DSS-Zertifizierung (Payment Card Industry Security Standards) ausgezeichnet.

f2-wIdentifizierung von schädlichen Handlungen und Verhaltensweisen im Rahmen von Cyberangriffen.
Was beinhaltet ein Cyberangriff und wie ist seine operative Dynamik? Cyberangriffe operieren durch ein Zusammenspiel verschiedener Strategien, Taktiken, Techniken, Aktionen, Verhaltensweisen, Verfahren, Funktionen usw., wie beispielsweise: Aufklärung, die das Suchen, Identifizieren und Auswählen von Cyberangriffszielen, das Beobachten der Schwachstellen des Ziels sowie aktive und passive Aufklärung umfasst (dazu gehören Werkzeuge und Techniken zur Suche im Web, in sozialen Netzwerken, Foren und im Darknet, der Einsatz von Cookie-Capture-Tools, Webbrowser-Trackern, Sniffern, Cookies usw.); Bewaffnung, die sich mit vorbereitenden Aktivitäten zur Schaffung der notwendigen Infrastruktur für den Cyberangriff befasst; und Durchführung, die alle Techniken umfasst, die sich aus der Übertragung eines bewaffneten Objekts (oder einer offensiven Cyberwaffe) in die Zielumgebung ergeben. Social Engineering umfasst alle Techniken, die darauf abzielen, Menschen zu gefährlichen und unsicheren Handlungen zu verleiten (z. B. das Öffnen eines infizierten E-Mail-Anhangs oder das Anschließen eines unbekannten USB-Sticks an einen PC, ohne zu wissen, dass dieser infiziert ist). Es nutzt psychologische, psychiatrische und Desinformationsmethoden, um zu täuschen, zu überzeugen, kognitive Beeinträchtigungen hervorzurufen und das Denkvermögen zu trüben. Reverse Engineering ermöglicht es Cyberkriminellen/Malware, Dateien nach vertraulichen Daten wie Passwörtern, Schlüsseln, Geheimnissen, Schwachstellen usw. zu durchsuchen. Diese Taktik dekodiert Programme, um den ursprünglichen Quellcode zu finden. Sie ermöglicht die Extraktion von Quellcode aus ausführbaren Dateien, verarbeiteten Dateien, assemblierten Dateien usw. Ziel ist es, wichtige geheime Informationen aus Softwareprogrammen, Apps/APIs, fest codierten Passwörtern usw. zu gewinnen, wo sich Schlüssel befinden. Dadurch können Angreifer Schwachstellen und Fehler entdecken, um Exploits gegen Softwaretools zu generieren und den Malware-/Cyberangriff voranzutreiben. Reverse Engineering bezeichnet das „Umkehren“ von ausführbaren Dateien, d. h. das Kompilieren von Quellprogrammen in verschiedenen Programmiersprachen, Assemblersprache oder anderen Kodierungen, um die ursprünglichen, dekodierten Programme zu erhalten und so nützliche Geheimnisse, Schwachstellen usw. aufzudecken. Exploitation umfasst alle Techniken, die darauf abzielen, Schwachstellen in Systemen auszunutzen, die unter anderem die Ausführung von Code ermöglichen. Persistenz beinhaltet alle Techniken, die jeglichen Zugriff, jede Aktion oder Änderung an einem System ermöglichen und einem Cyberangreifer/einer Malware eine dauerhafte Präsenz verschaffen. Die Umgehung von Abwehrmechanismen umfasst alle Techniken, mit denen ein Cyberangreifer die Erkennung umgehen oder andere Arten von Abwehrmechanismen durch steganografische Verschleierung/Mimikry umgehen kann. Die Installation beinhaltet das Hinzufügen von Dateien und ausführbarem Code, wie z. B. eines RAT (Remote Access Trojan), der für den Cyberangreifer/die Malware notwendig ist, um die Kontrolle über das Gerät, den Rechner, das System usw. des Opfers zu behalten. Die Malware wird auf dem Ziel (Gerät, System usw.) installiert. Damit die Schadsoftware ein System infizieren kann, muss sie möglicherweise vom Opfer ausgeführt werden. C&C (Command & Control) umfasst alle Techniken, die es Cyberangreifern ermöglichen, mit Systemen zu kommunizieren, die sie innerhalb eines Zielnetzwerks oder ihrer Domänen kontrollieren (z. B. die Server des Angreifers, die für das schnelle Knacken von Passwörtern vorbereitet sind). Pivoting ermöglicht es dem Angreifer, Datenverkehr über das kontrollierte System zu anderen, nicht direkt zugänglichen Systemen zu tunneln. Discovery umfasst alle Techniken, die es dem Angreifer/der Schadsoftware ermöglichen, Informationen über ein System und dessen Netzwerkumgebung zu erlangen. Privilege Escalation umfasst alle Techniken/Verfahren, die es einem Cyberangreifer/einer Schadsoftware ermöglichen, höhere Berechtigungen auf einem System oder Netzwerk zu erlangen. Execution umfasst alle Techniken, die es einem Cyberangreifer/einer Schadsoftware ermöglichen, von ihm/ihr kontrollierten Code auf einem lokalen oder entfernten System auszuführen. Credential Access umfasst alle Techniken, die es einem Cyberangreifer/einer Schadsoftware ermöglichen, Zugriff auf oder Kontrolle über Domänensysteme, Dienste oder Anmeldeinformationen zu erlangen. Laterale Bewegung umfasst alle Techniken/Verfahren, die es einem Cyberangreifer/einer Schadsoftware ermöglichen, horizontal auf andere entfernte Systeme zuzugreifen und diese zu kontrollieren. Die Datenerfassung umfasst alle Techniken, die ein Cyberangreifer/eine Schadsoftware einsetzt, um Daten aus einem Zielnetzwerk vor der Exfiltration zu identifizieren und zu sammeln; die Exfiltration umfasst alle Techniken, die es einem Cyberangreifer/einer Schadsoftware ermöglichen oder dabei helfen, Daten/Informationen aus einem Zielnetzwerk/Gerät zu extrahieren/zu erfassen, zu beeinträchtigen, zu zerstören, zu stören oder zu manipulieren; die Auswirkungen umfassen alle Techniken, die es einem Cyberangreifer/einer Schadsoftware ermöglichen, Zieldaten oder -systeme zu manipulieren, zu stören oder zu zerstören; und die Ziele umfassen alle soziotechnischen, sozioökonomischen und geopolitischen Ziele eines Cyberangriffs, die zur Erreichung eines übergeordneten strategischen Ziels verfolgt werden usw.

f3-wArchitekturen von Cyberangriffen.
Betrachten wir einige Architekturen von Cyberangriffen anhand ihrer Phasen:
(A) Cyberangriffsmuster basierend auf Architektur A1, genannt „Kerberoasting“. Ein Angreifer fordert mit Benutzer X ein Kerberos-Serviceticket (TGS) von einem kompromittierten Rechner an. Anschließend liest er dieses TGS aus dem Speicher des Opferrechners aus, knackt die Anmeldeinformationen des Dienstes und erlangt schließlich das Passwort für das Dienstkonto, um auf den Server (z. B. MSSQL) zuzugreifen und schädliche Aktionen durchzuführen. Architektur A1 umfasst die folgenden Phasen/Schritte: (1) Der Rechner des Opfers, auf dem sich Benutzer X befindet, führt eine LDAP-Suche auf dem Domänencontroller (DC) durch, um Domänenbenutzer mit SPN-Einträgen (Service Principle Name) zu finden. (2) Der Domänencontroller (DC) antwortet mit einer Liste der Benutzer (einschließlich Benutzer X). (3) Benutzer X fordert vom DC ein TGS-Ticket (Ticket-Granting-Service) für den SPN-Eintrag an. (4) Der Domänencontroller (DC) antwortet mit dem TGS-Ticket für den Datensatz, verschlüsselt mit dem Hash des „Dienstbenutzers“. (5) Der Cyberangreifer, der den Rechner des Opfers überwacht, sendet die gesammelten TGS-Tickets über einen Command-and-Control-Server (C&C) an einen seiner Server, um das Passwort mithilfe von Tools wie JTR (John the Ripper), Hashcat usw. zu knacken. (6) Der Server des Cyberangreifers antwortet mit dem geknackten Klartextpasswort des Dienstbenutzers. (7) Der Rechner des Opfers sendet eine Nachricht an den MSSQL-Server, auf dem ein Dienst für Benutzer X ausgeführt wird. (B) Cyberangriffsmuster basierend auf der A2-Architektur, genannt LotL (Living off the Land), dessen Prozessablauf aus folgenden Phasen besteht: (1) Ein schädlicher Link in einer Phishing-/Spam-E-Mail lädt eine infizierte ZIP-Datei herunter, die auf eine LNK-Datei verweist. Diese verwendet wmic.exe, um mehrere XLS-Dateien herunterzuladen. (2) Die endgültige XLS-Datei enthält JavaScript, das BitsAdmin.exe verwendet, um eine verschlüsselte Datei herunterzuladen. (3) Die verschlüsselte Nutzlast wird mit certutil.exe entschlüsselt, anschließend lädt regsvr32 die entschlüsselte DLL. (4) Die DLL-Datei lädt per reflexivem Laden eine weitere DLL, die wiederum eine dritte DLL-Datei – die finale Malware – injiziert. (C) Das auf der A3-Architektur basierende Cyberangriffsmuster umfasst folgende Phasen: (1) Die Vorbereitungsphase (Pre-Exploit) integriert alle Taktiken vor der Aktivierung des Exploits. Diese sind: (i) Aufklärung: Identifizierung eines Ziels; Gewinnung von Informationen zur Planung des Cyberangriffs; und Definition eines Plans zur Erreichung der gewünschten Ziele. (ii) Bewaffnung: Entwicklung oder Beschaffung einer Cyberwaffe (z. B. benutzerdefinierte Malware, Zero-Day-Exploits); und deren Bereitstellung in einer Form, die auf dem Zielgerät/-system/-netzwerk ausgeführt werden kann. (iii) Auslieferung: Die Cyberwaffe wird auf das Zielsystem übertragen (z. B. durch einen Lieferkettenangriff, Spear-Phishing, APIs usw.). (2) Die Aktivierung eines Exploits umfasst folgende Taktiken: Ausnutzung: Schwachstellen werden ausgenutzt und Schadsoftware auf dem Zielsystem installiert und aktiviert. (3) Die Phase nach der Ausnutzung umfasst alle Taktiken nach der Aktivierung des Exploits. Diese sind: (i) Kontrolle: Die anfänglichen Ziele werden verwaltet. Interne Aufklärung wird durchgeführt. Weitere Ziele werden festgelegt. (ii) Ausführung: Der Plan wird ausgeführt und die gewünschten Ziele werden erreicht (z. B. Datenfälschung, Denial-of-Service-Angriff, Exfiltration kritischer Daten usw.). (iii) Aufrechterhaltung: Eine langfristige Präsenz wird auf den Zielgeräten/-systemen/-netzwerken aufrechterhalten (z. B. durch dauerhaftes Löschen aller Spuren vorheriger Präsenz oder Aktivität). (D) Cyberangriffsmuster basierend auf der A4-Architektur, spezifiziert durch die folgenden Phasen/Stufen: (1) Einstiegspunkt: Das Opfer greift auf eine gekaperte Website zu (kein Klick erforderlich, um einen schädlichen Drive-by-Download in weniger als einer Sekunde zu starten). Vorhandene Schadsoftware wird unbemerkt heruntergeladen, und das Opfer bemerkt die Infektion nicht. Über 80 % der infizierten Webseiten sind legitime Webseiten. (2) Verbreitung. Die Malware leitet den Benutzer mithilfe von Fast-Flux-Techniken, die auf der Identifizierung der vom Opfer verwendeten Komponenten basieren (Windows, Linux, iOS Betriebssysteme usw.; Antivirensoftware; Browser wie Chrome, Safari usw.; Java usw.), auf einen Exploit-Server um. Es gibt Tausende von Malware-Verbreitungsagenten. (3) Ausnutzung. Exploit-Pakete versuchen, Sicherheitslücken im Betriebssystem, Webbrowser, Java, Mediaplayer, PDF-Reader, anderen Plugins usw. auszunutzen. (4) Infektion. Die Malware lädt eine schädliche Nutzlast herunter, die Daten stiehlt, verändert oder übernimmt; den Zugriff auf Ressourcen/Assets blockiert (DoS) (Ransomware verschlüsselt Daten, um Lösegeld zu fordern, oder löscht sie (mithilfe von „Wiping“-Technologie), um eine Wiederherstellung zu verhindern; Erpressung betreibt (Doxware-Malware extrahiert Daten, um zu drohen und Lösegeld zu fordern, um die Veröffentlichung von Geheimnissen zu verhindern); usw. (5) Ausführung. Die Schadsoftware kontaktiert unterstützende C&C-Server, um vertrauliche Informationen, Zugangsdaten, Kreditkarteninformationen usw. zu exfiltrieren oder das Opfer direkt bei Zahlungstransaktionen zu täuschen. (E) Das auf der A5-Architektur basierende Cyberangriffsmuster ist in folgende Phasen/Stufen unterteilt: (1) Aufklärung: Systeminformationen werden aktiv (mithilfe von Tools zur Systeminteraktion, z. B. offene Ports, Netzwerk-Mapping usw.) oder passiv (ohne direkte Interaktion mit dem System) gesammelt. Die Informationsbeschaffung erfolgt wie folgt: (i) Beschreibung der Ausgangsinformationen. (ii) Lokalisierung des Netzwerkbereichs. (iii) Überprüfung aktiver Rechner. (iv) Ermittlung offener Ports und Zugriffspunkte. (v) Erkennung von Betriebssystemen. (vi) Ermittlung von Diensten auf Ports. (vii) Erstellung eines Netzwerk-Mappings. Footprinting bezeichnet die systematische Erfassung von Informationen zum Sicherheitsprofil. Ein „Footprint“ beschreibt die Struktur und Topologie eines Systems und sammelt Informationen wie: Domainnamen, Netzwerkblöcke, Netzwerkdienste und -anwendungen, Architektur, IDS/IPS, IP-Adressen, Zugriffskontrollmechanismen, Telefonnummern, Kontaktadressen, Authentifizierungsmechanismen und Systemaufzählung. In dieser Vorbereitungsphase werden Informationen mithilfe verschiedener Methoden gesammelt (z. B. Müllsuche nach weggeworfenen sensiblen Informationen wie Quittungen, Vertragsdaten, verwendeten Technologien usw.), mithilfe von Gerätesuchmaschinen wie https://www.shodan.io und Google Hacking (eine Reihe von Techniken zum Hacken von Websites oder Servern mithilfe von Google-Suchoperatoren). Wir können Server mit einer Datei namens „password.txt“ (intitle: „index of“ „index of /“ password.txt), Online-Hardwaregeräte, ausgelesene Datenbanken mit Benutzernamen/Passwörtern, Benutzernamen/Passwörter von Website-Administratoren, Dateien/Nachrichten mit Benutzernamen, Serverversionen oder anfälligen Produkten usw. finden. (2) Scanning: Dies ermöglicht das aktive Testen auf ausnutzbare Schwachstellen. Es handelt sich um eine Erweiterung der aktiven Aufklärung zur Erkennung spezifischer Schwachstellen. Dabei können folgende Methoden eingesetzt werden: (i) Portscanner zur Identifizierung aktiver Dienste. Die erste Verteidigungslinie besteht im Filtern von Ports; allerdings kennt der Angreifer möglicherweise die Regeln. (ii) Schwachstellenscanner. Dem Angreifer genügt es, eine einzige Schwachstelle zu finden. Der Verteidiger muss Dutzende beheben. Selbst mit einem Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) kann der Angreifer in verschiedenen Phasen Umgehungstechniken anwenden. Tools wie Nmap werden zum Scannen von TCP/UDP-Ports verwendet. Fingerprinting ist ein wichtiger Aspekt des Scannens; es beinhaltet die Erkennung des Betriebssystems des Zielsystems und der darauf laufenden Anwendungen. Dies ermöglicht die Identifizierung von Angriffspunkten durch bekannte Schwachstellen im Betriebssystem und in den Anwendungen. Informationen zu Schwachstellen werden in folgenden Datenbanken veröffentlicht: (a) Common Vulnerabilities and Exposures (CVE, https://cve.mitre.org/about/, Suche nach Schwachstellen anhand des CVE-Namens oder Durchsuchen der US-CERT-Liste). (b) Nationale Schwachstellendatenbank (NVD, https://web.nvd.nist.gov/view/vuln/search), Suche nach US-Regierungsressourcen zu Schwachstellen. Tool zur Schwachstellenanalyse: OpenVAS; Cybersicherheits-Audit-Tool: Lynis. (3) Zugriff erlangen: Ermöglicht die Ausnutzung einer oder mehrerer Schwachstellen, um auf das System zuzugreifen. Es gibt vielfältige Möglichkeiten: (i) Angriffsvektor: Code-Injection – Art des Cyberangriffs: Pufferüberlauf, Virus, Malware. (ii) Angriffsvektor: Webbasiert – Art des Cyberangriffs: SQL-Injection (erfolgt auf einer mit einer Website verbundenen Datenbank, sodass der Angreifer eine Standard-SQL-Abfrage manipuliert. Fügt Malware in das Suchfeld der anfälligen Website ein, wodurch der Server wertvolle Informationen preisgeben kann; er kann auch Datenbanktabellen anzeigen, bearbeiten und löschen), XSS (Cross-Site-Scripting), CSRF (Cross-Site-Request-Forgery), Manipulation von Informationen. (iii) Angriffsvektor: Netzwerkbasiert – Art des Cyberangriffs: DoS (Denial of Service), DDoS (Verteilte Dienstverweigerung), Abfangen von Schlüsseln und sensiblen Daten mittels MITM-Angriff (Man-in-the-Middle), Diebstahl/Fälschung von Zugangsdaten. (iv) Angriffsvektor: Social Engineering – Art des Cyberangriffs: Phishing, Identitätsdiebstahl, Informationsbeschaffung. (v) Passwortangriffe mit Tools wie JTR (John The Riper) oder Johnny. (vi) Netzwerk-Spoofing-Tools ermöglichen das Ändern von IP- oder MAC-Adressen in PDUs (Protocol Data Units), z. B. dnschef, arpspoo, ettercap. (vii) Netzwerk-Sniffer ermöglichen die Überwachung von Netzwerkdaten, z. B. Wireshark, Tcpdump, Dsniff. (4) Aufrechterhaltung des Zugriffs: Ermöglicht dem Cyberangreifer/der Malware, auf dem System zu bleiben, um das langfristige Ziel des Cyberangriffs zu erreichen. Der Cyberangreifer kann die Ressourcen des Rechners nutzen, das System für weitere Cyberangriffe verwenden oder ein niedriges Entdeckungsprofil beibehalten, um das System zu erkunden. Der Cyberangreifer kann Folgendes installieren: (i) Eine Hintertür, um die Nutzung des Systems zu erleichtern. Zugriff (eine Hintertür, die ihren Shellcode in einen bestehenden Prozess einschleust). (ii) Trojaner zum Erlangen/Übertragen von Informationen. (iii) Rootkits zum Erlangen von Zugriff auf das Betriebssystem. (iv) Keylogger, Botnetze, Framegrabber. Zur Cyberabwehr/zum Schutz kann das Opfer Folgendes installieren: IDS/IPS, NG-FW, IAM, DLP, AV, Honeypots, Honeynets, mehrstufige Sandboxing usw. (5) Spuren verwischen/verdecken: Dies ermöglicht es dem Angreifer, Beweise für den Cyberangriff zu vernichten. Trojaner oder Rootkits können verwendet werden, um die Aktivitäten des Angreifers zu verwischen und zu verbergen, damit er weiterhin Zugriff hat und unentdeckt bleibt. Weitere Techniken umfassen: (i) Steganografie, die es ermöglicht, Daten in Bildern, Audio, Video usw. zu verstecken. (ii) Tunneling, das die Möglichkeit nutzt, ein Protokoll über ein anderes zu übertragen. Der freie Speicherplatz von TCP-Datenpaketen oder IP/TCP-Headern kann genutzt werden, um Informationen zu verbergen und einen Cyberangriff auf ein anderes System zu starten. Schutzmaßnahmen/Gegenmaßnahmen, die verwendet werden können Dazu gehören: Host- und/oder netzwerkbasierte IDS/IPS, Anti-Malware/NG-AV usw. (iii) Mimikry. Anpassung an den Hintergrund/die Umgebung.

Abschließende Überlegungen.
Seit 2012 wurden Tausende von Cyberangriffen auf alle Arten von Fahrzeugen (Pkw, Busse, Lkw, Transporter, Fahrzeugflotten) registriert. Ziel dieser Angriffe war es, die Fahrzeuge zu stehlen, sie fernzusteuern (Beschleunigen, Bremsen, Lenkblockieren in Kurven, Auslösen von Airbags, Öffnen von Türen, Starten und Fahren im Zombie-Modus usw.), persönliche Daten von Fahrer und Insassen, Kontakte, Mobilfunknachrichten, Standorte, Fotos und gefahrene Routen zu stehlen sowie Cyberangriffe auf die Privatsphäre und das Leben von Menschen, die Integrität der Fahrzeugsysteme usw. durchzuführen. Der Begriff MDM (Fehlinformation, Desinformation und Malinformation) setzt sich aus drei Elementen zusammen: Fehlinformation (falsche Informationen, die nicht schädlich sein sollen), Desinformation (falsche Informationen, die darauf abzielen, Menschen, Organisationen und Länder zu manipulieren, ihnen Schaden zuzufügen oder sie in chaotische und falsche Richtungen zu beeinflussen) und Malinformation (Informationen, die auf Wahrheit oder Halbwahrheiten beruhen, aber so übertrieben werden, dass sie täuschen und potenziell Schaden verursachen). Laut Kaspersky verschaffen sich Cyberangriffe typischerweise durch Ausnutzung von Sicherheitslücken, kompromittierten Konten und infizierten E-Mails Zugang. Die Ausnutzung von Open-Source-Anwendungen, die sowohl über interne Netzwerke als auch über das Internet zugänglich sind, hat sich jedoch zum häufigsten Angriffsvektor für das Eindringen in die Perimeter von Unternehmen entwickelt. Daten der Cavell Group zeigen, dass der Markt für Cloud-Kommunikation allein in Großbritannien 2,17 Milliarden Euro übersteigen wird (was ein erhebliches Potenzial für Cyberangriffe bietet). Laut dem Leet-Security Report 2022 sind 95 % der Unternehmen sehr besorgt über die Sicherheit ihrer Lieferkette. Die wichtigsten Bedenken betreffen: Datenschutzverletzungen (53,7 %), Kundendatenschutz (72,3 %), Serviceausfälle (66,5 %), Unternehmensdatenschutz (38,8 %), Sicherheit von Lieferanten und Drittanbietern (18,6 %), Unternehmenshaftung (20,2 %) und den Verlust von geistigem Eigentum (10,6 %). Laut Kaspersky halten sich Cyberkriminelle bzw. Schadsoftware typischerweise mehr als einen Monat im Netzwerk eines Unternehmens auf, bevor sie einen Cyberangriff starten (im Fall von Ransomware 2.0, um Daten zu exfiltrieren und zu verschlüsseln). Bei sogenannten Cryptojacking-Angriffen verschafft sich der Angreifer illegalen Zugriff auf den Computer des Opfers und zwingt ihn so zum Schürfen von Kryptowährungen. Bei Watering-Hole-Angriffen infiziert der Angreifer Websites, die von Gruppen von Opfern frequentiert werden, und infiziert dadurch deren Systeme. So erhält er illegalen Zugriff auf deren persönliche Daten und erlangt Fernzugriff auf die infizierten Computer. Ein Zero-Day-Angriff nutzt unbekannte Sicherheitslücken (Zero-Day-Schwachstellen) aus, um auf das Opfer (z. B. einen Satelliten) zuzugreifen und Schäden, Spionage, Fehlfunktionen usw. zu verursachen. Cyberangriffe mit einem Trigger-Effekt lösen eine Kettenreaktion aus, die, einmal in Gang gesetzt, alles infiziert, beeinträchtigt, kompromittiert und letztendlich zerstört. Laut IDC-Prognosen werden bis 2026 85 % der Unternehmen menschliches Fachwissen mit Technologien wie KI, ML (Maschinelles Lernen), NLP (Natürliche Sprachverarbeitung), Mustererkennung und Wissensgraphen kombinieren, um immer präzisere und kontextbezogene Erkenntnisse, Vorhersagen und Empfehlungen zu generieren. Dies soll die Vorhersagbarkeit im gesamten Unternehmen verbessern und die Produktivität und Effizienz der Mitarbeiter um 25 % steigern. Werden sie dabei auch die notwendigen Cybersicherheitsmaßnahmen auf hohem Niveau, Cyberresilienz, Zertifizierungen und von anerkannten und akkreditierten Stellen verifizierte Cybersicherheitskennzahlen implementieren?

LITERATURVERZEICHNIS.
- Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2022.
- Areitio, J. „Multidimensional and Multipolar Exploration of Offensive Malware“. Conectrónica Magazine. Nr. 253. November 2022.
- Areitio, J. „Early Cancellation by DAIM/MIAD of Singularities and Techniques Generating Insidious Cyberattacks“. Conectrónica Magazine. Nr. 255. Januar 2023.
- Batina, L., Bäck, T., Buhan, I. und Picek, S. „Security and Artificial Intelligence: A Crossdisciplinary Approach“. Springer. 2022.
- Mack, SD „The DevSecOps Playbook: Deliver Continuous Security at Speed“. Wiley. 2023.
– Wittkop, J. „Das Cybersecurity-Handbuch für moderne Unternehmen: Ein umfassender Leitfaden zur Verhinderung von Datenpannen und Cyberangriffen.“ Packt Publishing. 2022.
– Potter, M. „Wir sind alle Ziele: Wie abtrünnige Hacker den Cyberkrieg erfanden und ein Zeitalter des globalen Chaos auslösten.“ Hachette Books. 2023.
– Ustun, T. S. „Schutz von Stromnetzen in zukünftigen intelligenten Stromnetzen: Zuverlässiger Betrieb mit erneuerbaren Energien, Elektrofahrzeugen und dezentraler Erzeugung.“ Academic Press. 2023.
– Khojasteh, Y., Xu, H., Zolfaghari, S. „Risikomanagement in der Lieferkette: Strategien, Methoden und Anwendungen.“ Springer. 2022.