Ein Jahresrückblick "State of the Internet"- Sicherheitsbericht
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
„State of the Internet“-
Sicherheitsbericht
Ein Jahresrückblick
Inhaltsverzeichnis 2 Mitteilung der Herausgeberin 3 Ein Jahresrückblick 15 Methodik 17 Zusätzliche Daten 21 Herausgeber- und Mitarbeiterverzeichnis
Mitteilung der Herausgeberin
Was für ein Jahr! Wenn Sie diese Zeilen lesen, haben wir es bis Dezember 2020 geschafft.
Die Tinte auf der Einleitung zum Jahr 2020 war noch nicht trocken, als wir unseren ersten Bericht wie
folgt eröffnet haben:
Im kommenden Jahr haben die Mitarbeiter, die den „State of the Internet“-
Sicherheitsbericht erstellen, wirklich nur einen Vorsatz – sich weiterzuentwickeln.
Dies ist eine interessante Aufgabe, weil wir nicht die einzigen sind, die sich
weiterentwickeln. Kriminelle entwickeln sich ebenfalls weiter und ihre Angriffe
werden täglich ambitionierter.“
Niemand hätte vorhersagen können, wie sehr sich die Welt in den kommenden Monaten „entwickeln“
würde.
Dieser Jahresrückblick ist unser Versuch, ein Jahr Revue passieren zu lassen, das mehr Kapitel als
eine Buchreihe mit dicken Bänden hat. Wir sehen uns die veröffentlichten und nicht veröffentlichten
Berichte an und untersuchen, wie COVID-19 nicht nur Internetsicherheit und Datentraffic beeinflusst
hat, sondern auch unser Team.
Die Zusammenarbeit mit diesem Team in den Zeiten einer Pandemie war wirklich unglaublich. Wir
hatten den Vorteil, dass wir schon vorher zusammen remote gearbeitet hatten, da das Team auf
Massachusetts, Indiana und Florida verteilt ist. So konnten wir relativ nahtlos zu einem „vollständigen
Remote-Team“ übergehen.
Das Team ist unglaublich, da wir wirklich für einander da waren, nicht nur als Kollegen, sondern auch
als Mitmenschen, die ebenfalls mit der Pandemie fertig werden mussten. Wir nahmen alle aktiv an
speziellen Tagen für psychische Gesundheit teil, und die Frage nach unserem Wohlbefinden wurde
fester Bestandteil unserer wöchentlichen Meetings.
Wir konnten einfach nicht so tun, als ob sich die Welt nicht verändern würde. Also haben wir auch
nicht so getan.
Der Abstand zwischen den einzelnen Veröffentlichungen spricht Bände. Der „State of the Internet“-
Sicherheitsbericht Band 6, Ausgabe 1 (Finanzdienstleistungen – Versuche einer feindlichen Übernahme)
wurde im Februar 2020 veröffentlicht, während die Veröffentlichung der Special Media Edition des
„State of the Internet“-Sicherheitsberichts erst im Juli 2020 erfolgte. Die Special Media Edition sollte
eigentlich im Rahmen unserer Teilnahme an der NAB Show im April veröffentlicht werden, die, wie so
viele andere Veranstaltungen, aufgrund des COVID-19-Lockdowns abgesagt wurde.
„Sicherheit ist Teamsache“ und „Treuepunkte zu verkaufen“ wurden im Abstand von etwa einem
Monat veröffentlicht. Wir haben hart gearbeitet und Flexibilität bewiesen, und es ist wirklich
erstaunlich, was das Team in diesem Jahr erreichen konnte.
Vielen Dank für Ihre Lektüre des „State of the Internet“-Sicherheitsberichts. COVID-19 hat uns
gezeigt, dass die Welt jetzt wirklich online ist – selbst wenn das vor 2020 nicht immer der Fall war.
Internetsicherheit ist heute ein wichtigeres Thema als je zuvor. Wir schließen nun das letzte Kapitel
dieses Jahres ab, müssen aber auch im kommenden Jahr 2021 weiterhin wachsam sein.
Bleiben Sie gesund!
Amanda Goedde
Managing Editor
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 2
Ein Jahresrückblick
Unser Jahr folgt nicht ganz dem Kalenderjahr. Was ist gruseliger als ein SSH-Krypto-Mining-
Ausgehend vom Jahresrückblick 2019 erinnern wir Wurm? Die Veröffentlichung des „State of the
uns an die wichtigsten von uns behandelten Themen, Internet“-Sicherheitsberichts Band 5, Ausgabe 5:
und zwar von Oktober 2019 bis Oktober 2020. Phishing – Am Haken fand an Halloween statt.
Oktober 2019 November 2019
Im Oktober war viel los – Larry Cashdollar hat sich Im November waren die Weihnachtseinkäufe voll
den Schutz der allgemeinen Internetcommunity im Gange und die Fake-Gruppe Cozy Bear trat
zur Aufgabe gemacht. Der Blogbeitrag zu mit erpresserischen DDoS-Angriffen auf den Plan.
Drupalgeddon2 von Cashdollar erinnerte uns daran, Mehrere Unternehmen meldeten den Eingang einer
dass nicht immer alles so ist, wie es scheint, da der E-Mail, in der eine Zahlung von ca. 17.500 US-Dollar
Angriffscode für Drupalgeddon2 in einer GIF-Datei in Bitcoin verlangt wurde. Wenn die Zahlung nicht
enthalten war. Das Einbetten von Code in eine vor Ablauf der Frist einginge, so die E-Mail, würde
Bilddatei ist zwar keine neue Angriffsmethode, kommt sich die Summe an jedem weiteren Tag, an dem die
aber nicht sehr häufig vor. Dank eines von Cashdollar Forderung nicht erfüllt wird, um 1 BTC erhöhen und
eingerichteten Honeypot konnten wir hautnah mehr zu ein gezielter DDoS-Angriff auf das Unternehmen
einem SSH-Krypto-Mining-Wurm erfahren. gestartet.
Die Steuererklärung war schon lange abgehakt,
als Or Katz eine detaillierte Untersuchung einer
Phishing-Kampagne durchführte, bei der die US-
amerikanische Steuerbehörde IRS imitiert wurde.
Die Kampagne erstreckte sich über 47 Tage auf
mindestens 289 verschiedene Domänen und
832 URLs. In jeder Instanz wurde bei mehr als
100.000 Opfern weltweit dieselbe gefälschte IRS-
Anmeldeseite verwendet.
„State of the Internet“-Sicherheitsbericht: Band 5, Ausgabe 5
Phishing: Am Haken
Im „State of the Internet“-Sicherheitsbericht, Band 5, Ausgabe 5: „Phishing – Am Haken“ ging es um
das langfristige gesellschaftlich begründete Problem, mit dem jede Branche zu kämpfen hat. Wenn Ihr
Unternehmen Aktivitäten über das Internet durchführt, war eines Ihrer Konten bestimmt schon einmal
Ziel eines Phishing-Versuchs. In diesem Bericht haben wir uns eingehender mit den verschiedenen Arten
von Phishing und bestimmten Trends befasst, die auf der Akamai-Plattform beobachtet wurden. Mehr als
60 % der von Akamai überwachten Phishing-Kits waren nur höchstens 20 Tage lang aktiv, was den kurzen
Lebenszyklus von Phishing-Kits unterstreicht. High Tech war die führende Branche für Phishing-Angriffe,
gefolgt von Finanzwesen, Online-Einzelhandel und Medien. In diesem Bericht wurde auch zum ersten Mal
erläutert, wie Akamai eigene Produkte einsetzt, um sich selbst zu schützen, vor allem vor Phishing-Angriffen.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 3
Dezember 2019 – Januar 2020
Zwischen Dezember und Januar scheint die Welt Die Menschen auf der ganzen Welt mussten mit
immer voller neuer Möglichkeiten. Gegen Ende ansehen, wie die australischen Waldbrände ca.
Dezember 2019 legten wir unsere Ziele für das 186.000 Quadratkilometer Fläche zerstörten.
anstehende Jahr sowie einen Veröffentlichungsplan Damals hatten wir noch keine Ahnung, dass ein
fest. Und als das Jahr dann anfing, waren wir voller geballtes Auftreten von Fällen angenommener
Tatendrang. schwerer Lungenentzündung an Silvester in Wuhan,
China, den Ablauf des Jahres 2020 entscheidend
Im Dezember warf Katz einen Blick zurück verändern würde.
auf den letzten Thanksgiving-Feiertag und
die Auswirkungen auf die Zugriffsmuster
während des Feiertags – im Hinblick auf
Unternehmensanwendungen wie E-Mail oder
andere SaaS-Plattformen.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 4
Februar 2020
„State of the Internet“-Sicherheitsbericht: Band 6, Ausgabe 1
Finanzdienstleistungen: Versuche
einer feindlichen Übernahme
Unser erster Bericht im Jahr 2020 konzentrierte sich auf Übernahmeversuche in der
Finanzdienstleistungsbranche. Da Geld oft das Hauptaugenmerk von Kriminellen ist, bot dieser Bericht
einen tiefgreifenden Einblick in Angriffe auf Webanwendungen, Credential Stuffing und andere Methoden,
die Cyberkriminelle für Angriffsversuche auf Finanzdienstleistungen verwenden. Aufgrund der breiten
Einführung und Nutzung von APIs konnten Kriminelle ihre Angriffe automatisieren. Aus diesem Grund ist die
Anzahl der Credential-Stuffing-Vorfälle im Jahresvergleich weiter angestiegen, und entsprechende Angriffe
stellen in allen Marktsegmenten ein konstantes Risiko dar.
Tägliche Angriffe auf Webanwendungen – Finanzdienstleistungen
Oktober 2019 – September 2020
100 Mio.
75 Mio.
Angriffe (Millionen)
09. Dez. 2019
50 Mio. 46.961.855
28. Sept. 2020
33.964.394
25 Mio.
28. Okt. 2019
13.493.861
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Angriffe insgesamt Angriffe auf die Finanzdienstleistungsbranche
Abb. 1: Automatisierung spielt bei konsequenten Angriffen auf die Finanzdienstleistungsbranche weiterhin eine große Rolle
Update Oktober 2020: Die Aktualisierung der Daten aus diesem Bericht zeigt, dass Automatisierung nach
wie vor zu konsequenten Angriffen auf Finanzdienstleistungen beiträgt. Wie das aktualisierte Diagramm in
Abbildung 1 zeigt, gab es täglich Millionen und Abermillionen Angriffe. Im September 2020 war mit mehr
als 33 Millionen Angriffen auf Webanwendungen ein starker Anstieg zu verzeichnen, da Kriminelle ihre
Bemühungen auf gängige Angriffspfade konzentrierten, darunter SQL Injection, Local File Inclusion und
Cross-Site Scripting.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 5
Danny Stern teilte seine Erfahrungen zu einem Unser Team hatte den „State of the Internet“ Special
Recruiting-Betrug und gab Empfehlungen dazu, Media Report fast abgeschlossen, als die Nachricht
wie man sich vor einem solchen Betrug schützen kam, dass die NAB Show im April abgesagt
kann. Dieser Beitrag kam gerade zu einer Zeit, würde. Wir beschlossen, die Veröffentlichung zu
als sich COVID-19 von einer Epidemie in eine verschieben, hauptsächlich deshalb, weil wir die
Pandemie verwandelte und die Arbeitsplätze vieler Aufnahme der Daten aus dem letzten Quartal
Menschen auf einmal nicht mehr so sicher waren. und der Auswirkungen von COVID-19 als wichtig
ansahen.
März 2020 Da viele große Projekte und Forschungsarbeiten
zunächst ausgesetzt wurden, nutzte das Team
Man weiß wirklich nicht, wo man anfangen soll ...
die Gelegenheit, um herauszufinden, wie dieses
Jahr angesichts der in einer globalen Pandemie
Am 11. März wurde COVID-19 offiziell von der
eingeschränkten Arbeitsmöglichkeiten aussehen
Weltgesundheitsorganisation (W.H.O.) zu einer
könnte. Noch wichtiger für uns war es aber, ein
Pandemie erklärt und am 13. März wurde in
Gleichgewicht zwischen Forschung, Verfassen
den USA der Notstand ausgerufen. Viele US-
von Berichten und der eigenen körperlichen und
Bundesstaaten führten umgehend einen Lockdown
geistigen Gesundheit zu finden.
ein, der ursprünglich nur zwei Wochen dauern
sollte. Unternehmen schlossen ihre Türen, Schulen
wurden geschlossen und in den Geschäften wurden
Toilettenpapier und Handdesinfektionsmittel knapp.
Das Jahr war äußerst stressig für mich und ich weiß, dass es anderen
genauso geht. Aber die Zusammenarbeit mit diesem Team war an
manchen Tagen der einzige Höhepunkt für mich. Zu wissen, dass
mich jemand unterstützt oder bei einem Tiefpunkt auffängt, hat
meine psychische Gesundheit im Verlauf des Jahres enorm gestärkt.“
Steve Ragan
Redakteur
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 6
April 2020
Während die Pandemie weltweit Auswirkungen „Wir sehen, dass der weltweite Internettraffic im
auf uns alle hatte, machten sich Kriminelle die vergangenen Monat um etwa 30 % zugenommen
Tatsache zunutze, dass die Menschen in dieser hat. Das ist etwa 10-mal mehr als sonst, was
Situation einen besonderen Bedarf an Bildung, bedeutet, dass der Anstieg des Internettraffics
vertrauenswürdigen Ressourcen und Informationen in den letzten Wochen so hoch war, wie
hatten. Katz beobachtete, wie Kriminelle Phishing- normalerweise in einem ganzen Jahr. Und das ganz
Kits recycelten und einfach auffrischten, um von der ohne Livestreaming von Sportveranstaltungen,
COVID-19-Krise zu profitieren. Außerdem verfolgte was vor COVID-19 immer wieder neue Rekorde
er einen speziellen Phishing-Betrug, der mit einem erreichte.“
Quiz aus drei Fragen auf die Bevölkerung in
Brasilien abzielte. Wir konnten eine Art Muster beobachten:
Fast unmittelbar nach Ankündigung weiterer
„Die Menschen haben Angst und sind auf Isolationsmaßnahmen kam es zu einem Anstieg
Informationen im Zusammenhang mit der Pandemie des Internettraffics. Nach ein paar Tagen bis hin
fixiert. Angst ist das wichtigste Element für Kriminelle, zu einer Woche normalisierte sich der Traffic. Er
die diese Betrugsmaschen durchführen, die nicht lag dann zwar immer noch etwas höher als sonst,
allein auf Phishing beschränkt sind“, so Katz. aber deutlich niedriger als die anfängliche Spitze.
Nur in den USA konnten wir dies nicht landesweit
beobachten, da die Isolationsmaßnahmen auf
Da immer mehr Menschen online waren, erinnerte
bundesstaatlicher Ebene entschieden wurden.
uns Martin McKeay zu diesem Zeitpunkt daran, dass
das Internet unter diesem erhöhten Datentraffic
nicht zusammenbrechen würde. Dazu Tom
Leighton, Chief Executive Officer bei Akamai:
Täglicher Datentraffic: Italien
März 2020 – September 2020
Abb. 2: Aktualisierte Daten aus dem Blogbeitrag von McKeay bis Ende September 2020
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 7
Täglicher Datentraffic: Polen
März 2020 – September 2020
Abb. 3: Aktualisierte Daten aus dem Blogbeitrag von McKeay bis September 2020
Update Oktober 2020: Wie in Abbildungen 2 und Im Hinblick auf andere Themen führte Larry
3 dargestellt, blieb das erhöhte Trafficvolumen das Cashdollar uns durch eine kurze Geschichte der
ganze Jahr über unverändert, da Unternehmen Rootable Docker Images und Elisa Gangemi rief
weltweit auf Remotezugriff und -verfügbarkeit uns ins Bewusstsein, dass es in der Forschung kein
umstiegen. Es gab ein paar Spitzen, aber meist Scheitern gibt, nur Lernmöglichkeiten.
entsprach das Trafficvolumen genau unseren
Erwartungen.
Ich hatte Pläne. Sie hatten Pläne. Wir alle hatten Pläne für 2020.
Die Fähigkeit, sich an neue Umstände anzupassen, ist in allen
Lebensbereichen wichtig, aber dieses Jahr mussten wir den
Anpassungsschalter auf Stufe 10 stellen. Und selbst das reichte nicht: Wir
fanden heraus, dass der Schalter im Notfall sogar bis Stufe 11 geht.“
Martin McKeay
Editorial Director
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 8
Mai 2020 McKeay schrieb auch über die 13. Ausgabe des
Verizon Data Breach Investigation Report, zu dem
Akamai in den letzten fünf Jahren beigetragen hat.
Eines der ersten Dinge, die im Mai bei uns
Die Zusammenarbeit und das Einbringen von Daten
ankamen? Mörderhornissen. Glücklicherweise
bieten allen Beteiligten Vorteile, da wir unsere
mussten wir dieses Thema nicht abhandeln.
Sichtweise erweitern und feststellen können, ob die
von uns beobachteten Trends auch bei anderen
Ein paar Tage nach den Medienberichten zu den Anbietern auftreten.
Mörderhornissen veröffentlichte Steve Ragan eine
eingehende Untersuchung dazu, wie Kriminelle ihre
Freizeit während der Isolation genutzt haben, um
ihre Credential-Stuffing-Angriffe zu aktualisieren. Juni 2020
Als die Welt ihre Türen zaghaft wieder öffnete,
... Remote-Arbeit wurde zur Norm. Damit stellte das Team einen praktischen Plan für den Rest
begann ein Anstieg des Remotezugriffs auf des Jahres auf.
Anwendungen und Services, da immer mehr
Menschen ihre tagtäglichen Aufgaben über Cashdollar fand außerdem heraus, dass eine
das Internet erledigten. Doch viele von ihnen Malware namens Stealthworker, die auf Windows
nahmen beim Zugriff auf ihre bevorzugten und Linux-Systeme abzielt, in einem seiner
Anwendungen, Spiele oder webbasierten Honeypots installiert worden war. „Die Malware
Services in Kauf, dass Nutzerfreundlichkeit wurde in Golang entwickelt, und nach erfolgreicher
und einfacher Zugriff oft auf Kosten der
Infizierung eines Systems werden weitere Ziele
Sicherheit gehen. Dadurch wurde eine
untersucht, um die Infektion per Brute-Force-
Angriffsfläche geschaffen, die Kriminelle ohne
zu zögern ausnutzten.“ Angriff fortzusetzen. Mit Stealthworker lassen sich
Brute-Force-Angriffe auf eine Reihe beliebter
Webservices und Plattformen durchführen,
Credential Stuffing ist seit über einem Jahr einer darunter cPanel/WHM, WordPress, Drupal, Joomla,
unserer Hauptschwerpunkte, da es sich um OpenCart, Magento, MySQL, PostgreSQL, Brixt,
ein Problem handelt, das Unternehmen aller SSH und FTP“, schrieb Cashdollar, bevor er die
Größenordnungen betrifft. Die beste Verteidigung? Forschungsergebnisse näher darlegte.
Ein Passwortmanager und eindeutige Passwörter.
In diesem Fall wird ausnahmsweise einmal vom
Recycling abgeraten.
Die Aufnahme in ein neues Team während einer globalen Pandemie
wäre normalerweise ein zusätzlicher Stressfaktor gewesen, aber bei
DIESEM Team war es für mich genau das Gegenteil. Ich wurde herzlich
aufgenommen, konnte mich trotzdem um mich selbst und um meine
Familie kümmern und habe in nur wenigen Monaten bereits viel
gelernt. Ich freue mich schon darauf, was das nächste Jahr bringt!“
Chelsea Tuttle
Data Scientist
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 9Juli 2020
„State of the Internet“-Sicherheitsbericht: Band 6, Ausgabe 1
Credential Stuffing
in der Medienbranche
Nach einer dreimonatigen Verzögerung und einer Neufassung wurde der „State of the Internet“ Special Media
Report: „Credential Stuffing in der Medienbranche“ endlich veröffentlicht. Dieser Bericht funktioniert wie eine
Zeitkapsel, wobei der Großteil des ursprünglichen Berichts noch aktuell ist. Wir haben die Daten aber entsprechend
aktualisiert, um den derzeitigen Stand der Internetnutzung und der beobachteten Bedrohungen aufzuzeigen.
Tägliche Versuche des Missbrauchs von Anmeldedaten – Medienbranche
Oktober 2019 – September 2020
Schädliche Anmeldeversuche (Millionen)
300 Mio.
200 Mio.
100 Mio.
08. Mai 2020
54.345.569 18. Juli 2020
40.622.983
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Anmeldungen gesamt Anmeldungen in der Medienbranche
Abb. 4: Aktualisierte Credential-Stuffing-Angriffe auf die Medienbranche bis September 2020
Update Oktober 2020: Technisch gesehen umfasst Abbildung 4 das zweite Update dieses Berichts. Wie zuvor
sehen wir einen stetigen Strom von Angriffen auf die Videomedienbranche, der sich bis Ende des 2. Quartals
erhöht und bis Ende des 3. Quartals andauert. Die Spitzen und Einbrüche entsprechen den Erwartungen, da
Kriminelle ihre Listen mit Anmeldedaten weiter durcharbeiteten.
Gegen Ende August 2020 wurde einer der größten Darknet-Marketplace-Sites (Empire) offline geschaltet. Die
Ursache hierfür ist nach wie vor unbekannt, aber die Verkäufer haben sich auf andere Marketplace-Sites verteilt,
was Anfang September zu einem Rückgang von Credential-Stuffing-Angriffen führte. Der erneute Anstieg bei
diesen Angriffen lässt sich auf eine Flut von kostenlosen Listen mit Anmeldedaten zurückführen, mit denen
Kriminelle ihren Ruf und ihre Legitimität bei kriminellen Kunden aufbauen wollten. Zum Zeitpunkt dieses Berichts
waren Credential-Stuffing-Angriffe auf die Medienbranche mit Schwerpunkt auf Kontoübernahmen mit mehreren
zehn Millionen Angriffen pro Tag weiterhin konstant.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 10Wie bereits erwähnt, ist Credential Stuffing
August 2020
unabhängig von der Branche ein Problem für alle
Unternehmen. Sorgen Sie also dafür, dass alle Im August verfolgte das Security Intelligence
verwendeten Passwörter eindeutig sind! Response Team (SIRT) von Akamai
Lösegeldforderungen per DDoS-Angriff durch
Recycelte Passwörter sind nicht die einzige Kriminelle, die angeblich zu Armada Collective und
Bedrohung, der wir uns im Juli gewidmet haben. Fancy Bear gehörten.
Or Katz hat sich erneut mit den „vergessenen“
Phishing-Angriffen beschäftigt und ein Quiz mit Kommt Ihnen das bekannt vor? Gut möglich, weil
drei Fragen entwickelt. Die Endnutzer müssen die es sich um die Neuauflage eines alten Skripts
Quizfragen beantworten und erhalten im Gegenzug mit neuen Akteuren handelt. Der erste Kontakt
einen „Preis“, was häufig zum Diebstahl persönlicher beginnt mit einer Droh-E-Mail, die vor einem
Informationen führt. anstehenden DDoS-Angriff auf das Unternehmen
warnt, wenn kein Lösegeld in Bitcoin gezahlt wird.
Im Rahmen dieser Untersuchung verfolgte Katz Der Wortlaut des Erpressungsschreibens ähnelt
zwischen Juli 2019 und Mai 2020 1.161 Websites, den bei früheren Kampagnen in den Medien
auf denen Phishing-Toolkits gehostet wurden, die veröffentlichten Schreiben und auch der letzten
auf 130 Marken abzielten und mehr als 5 Millionen DDoS-Erpressungskampagne, die Akamai im
Opfer hatten. November 2019 dokumentiert hat.
Dieses Jahr hat mir bewusst gemacht, wie wichtig das Team ist, zu
dem ich gehöre. Teil eines sehr intelligenten Teams zu sein, das
wirklich hart arbeitet, ist großartig. Aber Teil eines sehr intelligenten
Teams zu sein, das wirklich hart arbeitet UND sich um das psychische
und physische Wohlbefinden der anderen kümmert, macht wirklich
einen Unterschied.“
Amanda Goedde
Managing Editor
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 11September 2020
„State of the Internet“-Sicherheitsbericht: Band 6, Ausgabe 2
Gaming – Sicherheit ist Teamsache
Es hat lange gedauert, aber im September wurde der „State of the Internet“-
Sicherheitsbericht, Ausgabe 6, Band 2: „Gaming – Sicherheit ist Teamsache“ endlich
veröffentlicht. Dieser Bericht unterschied sich dadurch von allen bisher veröffentlichten, dass er sich an
Gamer und Personen außerhalb des Sicherheitsbereichs richtet. Gemeinsam mit DreamHack, einem
Unternehmen für digitale Veranstaltungen, haben wir eine Umfrage erstellt, um einen Einblick zu erhalten,
was Gamer über die aktuelle Sicherheitslage in der Gaming-Branche denken. In der Regel haben wir es
beim Reporting nicht mit Umfragedaten zu tun, aber wir wollten verstehen, wie Gamer das Thema Sicherheit
sehen und wie dies mit der Art der täglich auf Gaming-Unternehmen verübten Angriffe zusammenhängt.
Im Kern sind die anfälligsten und am häufigsten angegriffenen Elemente der Gaming-Branche die Gamer
selbst. Der Faktor Mensch ist immer am schwierigsten zu kontrollieren und zu sichern, daher ist diese
Erkenntnis keine Überraschung. Mehr als die Hälfte der regelmäßigen Spieler gab an, dass ihre Konten
schon einmal kompromittiert wurden – aber nur ein Fünftel von ihnen macht sich Sorgen um solche Dinge.
Tägliche Versuche des Missbrauchs von Anmeldedaten – Gaming
Oktober 2019 – September 2020
Schädliche Anmeldeversuche (Millionen)
300 Mio.
200 Mio.
100 Mio.
11. Apr. 2020
07. Okt. 2019 76.497.876 04. Juli 2020
85.846.516 54.959.055
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Anmeldungen gesamt Anmeldungen in der Gaming-Branche
Abb. 5: Update zu den täglichen Versuchen des Missbrauchs von Anmeldedaten in der Gaming-Branche, bis September 2020
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 12Update Oktober 2020: Die Angriffsmuster in der Gaming-Branche spiegelten die in der Videomedienbranche
wider. Der Höchstwert lag im Juli bei 55 Millionen, anschließend fielen die Zahlen mit dem Verschwinden von
Empire aber rapide ab. Der Angriffsverlauf ist in Abbildung 5 dargestellt.
Der Zusammenbruch des Darknet-Marketplace war für Kriminelle, die sich auf Gaming-Anmeldedaten
konzentrieren, ein schwerer Schlag. Sie mussten jetzt einen neuen Verkaufsort für ihre Datensammlungen finden.
Als sie sich Anfang September jedoch neu aufgestellt hatten, wurden die separaten Angebote für Gaming-Titel
und Gaming-Plattformen zusammengelegt und als allgemeine bzw. gezielte Sammlungen angeboten. Diese
Veränderung führte zu einem sprunghaften Anstieg der Angriffe, die im Oktober noch weiter zunahmen, da
Kriminelle auf das Feiertagsgeschäft mit vielen neuen Gaming-Plattformen und Gaming-Titeln abzielten.
Da viele im „State of the Internet“-Team Gamer sind, bot dieser Bericht einen relevanten Einblick in eine Welt, die
viele von uns gut kannten. Insbesondere, da wir und andere auf der ganzen Welt mithilfe von Gaming ein Gefühl
von Kameradschaft und Community aufbauen konnten, das uns durch die COVID-19-Isolationsmaßnahmen
abhandengekommen war.
Oktober 2020 geblieben ist. Ein anderes Teammitglied hat einen
offenen Brief an seine Eltern geschrieben und
Wissen Sie was? Die Mörderhornissen sind wieder darin erläutert, warum man unbedingt komplexe
da. Forscher haben im Bundesstaat Washington ein Passwörter verwenden und an einem sicheren
ganzes Nest gefunden. Ort aufbewahren sollte (Passwörter zu recyceln ist
wirklich keine gute Idee). Nick Caron hat in nur drei
Außerdem war „National Cybersecurity Awareness Schritten erklärt, wie sich die Sicherheit zu Hause
Month“ und unsere Forscher und Teammitglieder gewährleisten lässt. Hieu Vuong erzählte die Story,
im Team für Informationssicherheit haben sich wie ihr Bruder fast
näher mit einem der vielen Aspekte zum Thema
Sicherheit beschäftigt, die uns alle betreffen. auf einen COVID-19-Phishing-Betrug hereinfiel, und
nannte die besten Informationsquellen für diese Art
Cashdollar blickte 20 Jahre zurück und erzählte von Betrug. Eric Kobrin zeigte auf, dass Zombies
uns von seinem ersten CVE. Gleichzeitig beschrieb nicht nur in Horrorfilmen vorkommen, sondern auch
er, was sich seitdem geändert hat und was gleich in Form Ihrer veralteten IoT-Geräte auftreten können.
Der „State of the Internet“-Sicherheitsbericht: Band 6, Ausgabe 3
Treuepunkte zu verkaufen – Betrug
im Einzelhandel und Gastgewerbe
wurde ebenfalls veröffentlicht. In diesem Bericht geht es wieder um Credential Stuffing und das Ausnutzen
persönlicher Informationen. Er zeigt genauer, wie die umfangreichen Treueprogramme dieser Branchen zum
Ziel für Kriminelle wurden, die sich schnell und einfach bereichern wollten.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 13Versuch macht klug, oder so ähnlich heißt es doch. Niemand von
uns ahnte, dass es uns gelingen würde, während einer globalen
Pandemie Dutzende Blogbeiträge und mehrere Ausgaben unseres
Berichts zu veröffentlichen.“
Martin McKeay
Editorial Director
Ausblick
Es war ein wahnsinniges Jahr, für uns alle und in jeder Branche.
Wenn uns dieses Jahr etwas gelehrt hat, dann, dass unser Leben zwar im Augenblick etwas unsicherer
geworden ist, wir aber damit umgehen können. Doch die Teams und die Menschen, mit denen Sie täglich zu
tun haben, können Ihnen eine gewisse Sicherheit geben.
Da 2020 nun bald vorbei ist, wollen wir uns einen Moment Zeit nehmen, um zu würdigen, wo wir stehen. Wir
haben viel gelernt, nicht nur, wie Angreifer Angst und Unsicherheit nutzen, um Chaos zu schaffen, sondern
auch, wie eine remote vernetzte und digitale Welt funktionieren könnte und kann.
Die Lernkurve war äußerst steil, da Schulen, Unternehmen und die allgemeine Bevölkerung immer weniger
von Angesicht zu Angesicht und immer mehr über den Bildschirm interagiert haben. Außerdem sind
Wohnhäuser jetzt gleichzeitig Büros, Schulen, Aktivitätszentren und mehr, sodass man lernen musste, neue
Grenzen zu setzen.
Wir alle lernen dabei gemeinsam.
Und die beiden wichtigsten Erkenntnisse dieses Jahres sind: Hände waschen und Passwörter nicht
wiederholt verwenden.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 14Methodik
Allgemeine
Hinweise
Die Daten in allen Abschnitten beziehen sich Die Warnungen bedeuten nicht, dass die
auf denselben Zeitraum von 12 Monaten, vom Kompromittierung erfolgreich war. Obwohl
1. Oktober 2019 bis zum 30. September 2020. diese Produkte ein hohes Maß an Anpassung
Der Großteil dieses Berichts wurde direkt aus ermöglichen, haben wir die hier dargestellten
früheren Berichten dieses Jahres entnommen. Daten auf eine Weise erfasst, bei der keine
Lesen Sie die einzelnen Berichte, um detaillierte nutzerdefinierten Konfigurationen der geschützten
Informationen darüber zu erhalten, wie jeder Ressourcen berücksichtigt werden.
Bericht zusammengestellt wurde.
Die Daten wurden aus Cloud Security Intelligence
(CSI) gewonnen, einem internen Tool zur Speicherung
und Analyse von Sicherheitsereignissen, die auf
Angriffe auf Webanwendungen der Akamai Intelligent Edge Platform erkannt
Diese Daten beschreiben Warnungen auf wurden. Hierbei handelt es sich um ein Netzwerk
Anwendungsebene, die von Kona Site Defender von ca. 300.000 Servern an 4.000 Standorten in
und Web Application Protector generiert werden. 1.400 Netzwerken und 135 Ländern. Diese Daten
Die Produkte lösen diese Warnungen aus, wenn sie werden in Petabyte pro Monat gemessen und von
innerhalb einer Anfrage an eine geschützte Website unserem Sicherheitsteam verwendet, um Angriffe zu
oder Anwendung eine schädliche Payload erkennen. untersuchen, schädliches Verhalten aufzudecken und
zusätzliche Informationen in die Lösungen von Akamai
einzuspeisen.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 15Missbrauch von Anmeldedaten DDoS
Versuche, Anmeldedaten zu missbrauchen, wurden Prolexic Routed schützt Unternehmen vor DDoS-
als fehlgeschlagene Anmeldeversuche für Konten Angriffen, indem der Netzwerktraffic über
identifiziert, bei denen eine E‑Mail-Adresse als Scrubbing-Center von Akamai umgeleitet und nur
Nutzername verwendet wird. Wir verwenden zwei unbedenklicher Datentraffic weitergeleitet wird.
Algorithmen, um zwischen Missbrauchsversuchen Experten im Security Operations Center (SOC)
und echten Nutzern zu unterscheiden, die sich nur von Akamai legen proaktive Abwehrmechanismen
vertippen. Der erste ist eine einfache volumetrische so an, dass Angriffe sofort erkannt und gestoppt
Regel, die die Anzahl der fehlgeschlagenen werden. Außerdem führen sie eine Live-Analyse des
Anmeldeversuche für eine bestimmte Adresse verbleibenden Datentraffics durch, um bei Bedarf
zählt. Dieser Vorgang unterscheidet sich insofern weitere Abwehrmaßnahmen einzusetzen.
von dem, was ein einzelnes Unternehmen ermitteln
könnte, als dass Akamai Daten über Hunderte von DDoS-Angriffe werden je nach gewähltem
Unternehmen hinweg korreliert. Bereitstellungsmodell – Always-On oder On-
Demand – entweder vom SOC oder vom
Der zweite Algorithmus verwendet Daten aus Unternehmen selbst erkannt. Das SOC zeichnet
unseren Bot-Erkennungsservices, um Missbrauch jedoch Daten für alle abgewehrten Angriffe auf.
von Anmeldedaten durch bekannte Botnets und Ähnlich wie beim Traffic von Webanwendungen
Tools zu identifizieren. Mit einem gut konfigurierten wird die Quelle anhand der Quelle des IP-Traffics
Botnet kann eine volumetrische Erkennung vor dem Akamai-Netzwerk bestimmt.
vermieden werden, indem der Traffic auf viele Ziele
verteilt wird. Erreicht wird dies beispielsweise durch
Ausweichtechniken wie eine große Anzahl von
Systemen im Scan oder durch Verteilen des Traffics
auf einen bestimmten Zeitraum.
Diese Daten wurden auch aus dem CSI-Repository
entnommen.
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 16Zusätzliche Daten
Tägliche Versuche des Missbrauchs von Anmeldedaten – Handel
Oktober 2019 – September 2020
Schädliche Anmeldeversuche (Millionen)
300 Mio.
31. Juli 2020
248.238.296
15. Juni 2020
229.552.603
200 Mio.
100 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Anmeldungen gesamt Anmeldungen in der Handelsbranche
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 17Tägliche Versuche des Missbrauchs von Anmeldedaten – Finanzdienstleistungen
Oktober 2019 – September 2020
Schädliche Anmeldeversuche (Millionen)
300 Mio.
200 Mio.
100 Mio.
09. Feb. 2020 14. Mai 2020
44.919.500 47.698.955 27. Sept. 2020
36.501.722
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Anmeldungen gesamt Anmeldungen in der Finanzdienstleistungsbranche
Tägliche Versuche des Missbrauchs von Anmeldedaten
Oktober 2019 – September 2020
17. Aug. 2020
365.181.101
08. Mai 2020
334.204.497
Schädliche Anmeldeversuche (Millionen)
300 Mio.
200 Mio.
100 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Tägliche Anmeldungen 7-Tage-Durchschnitt
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 18Tägliche Angriffe auf Webanwendungen – Handel
Oktober 2019 – September 2020
100 Mio.
75 Mio.
Angriffe (Millionen)
50 Mio.
15. Aug. 2020
33.349.919
01. Juni 2020
25.290.368
25 Mio.
16. Nov. 2019
17.118.283
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Angriffe insgesamt Angriffe auf die Handelsbranche
Tägliche Angriffe auf Webanwendungen – Gaming
Oktober 2019 – September 2020
100 Mio.
75 Mio.
Angriffe (Millionen)
50 Mio.
25 Mio.
11. Juli 2020
14.631.618
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Angriffe insgesamt Angriffe auf die Gaming-Branche
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 19Tägliche Angriffe auf Webanwendungen – Medienbranche
Oktober 2019 – September 2020
100 Mio.
75 Mio.
Angriffe (Millionen)
50 Mio.
25 Mio.
20. Aug. 2020
5.150.760
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Angriffe insgesamt Angriffe auf die Medienbranche
Tägliche Angriffe auf Webanwendungen
Oktober 2019 – September 2020
100 Mio.
09. Dez. 2019
94.982.919
75 Mio.
Angriffe (Millionen)
28. Sept. 2020
17. Okt. 2019 53.635.511
50.341.758
50 Mio. 15. Aug. 2020
43.337.230
25 Mio.
0 Mio.
Okt. 19 Nov. 19 Dez. 19 Jan. 20 Feb. 20 März 20 Apr. 20 Mai 20 Juni 20 Juli 20 Aug. 20 Sept. 20 Okt. 20
Tägliche Angriffe 7-Tage-Durchschnitt
„State of the Internet“-Sicherheitsbericht 2020: Ein Jahresrückblick: Band 6, Ausgabe 4 20Herausgeber- und Mitarbeiterverzeichnis
Mitwirkende am „State of the Internet“-Sicherheitsbericht
Redaktionsteam
Martin McKeay Steve Ragan
Editorial Director Senior Technical Writer, Editor
Amanda Goedde Chelsea Tuttle
Senior Technical Writer, Managing Editor Data Scientist
Marketing
Georgina Morales Hampe Murali Venukumar
Project Management, Creative Program Management, Marketing
Weitere „State of the Internet“-Sicherheitsberichte
Lesen Sie vorherige Ausgaben und informieren Sie sich über bevorstehende Veröffentlichungen der
renommierten „State of the Internet“-Sicherheitsberichte von Akamai. akamai.com/soti
Weitere Informationen zur Bedrohungsforschung bei Akamai
Halten Sie sich unter diesem Link zu neuesten Threat-Intelligence-Analysen, Sicherheitsberichten und
Cybersicherheitsforschung auf dem Laufenden. akamai.com/threatresearch
Greifen Sie auf Daten aus diesem Bericht zu
Zeigen Sie qualitativ hochwertige Versionen der Diagramme und Grafiken an, auf die in diesem Bericht
verwiesen wird. Diese Bilder können kostenlos verwendet und referenziert werden, vorausgesetzt,
Akamai wird ordnungsgemäß als Quelle genannt und das Akamai-Logo wird beibehalten.
akamai.com/sotidata
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom
Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende
Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-Architekturen zu optimieren.
Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und Anwendungen und liefert herausragende
Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und
Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum
weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, blogs.akamai.com oder auf Twitter unter
@Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: 12/20.
21Sie können auch lesen
