Den illegalen Zugang zu einem Unternehmensnetzwerk gibt es bereits ab 500 Dollar. Roman Prinz, Country Manager von Check Point Software Technologies Österreich, im ITWelt.at-Interview. [...]
Check Point hat einen neuen Bericht zu Initial Access Brokern veröffentlicht. Was genau steckt hinter diesem Begriff?
Initial Access Broker – oder kurz IABs – sind eine bislang wenig beachtete, aber zentrale Figur im Cybercrime-Ökosystem. Sie brechen in Unternehmensnetzwerke ein und verkaufen diesen Zugang über Untergrundforen weiter – an Ransomware-Gruppen, staatliche Akteure oder andere Bedrohungsakteure. Man kann sie sich als Lieferkette des digitalen Verbrechens vorstellen: Sie selbst führen keine Angriffe aus, sondern ermöglichen sie. IABs infiltrieren also Netzwerke, Systeme oder Organisationen und verkaufen diesen unbefugten Zugang an andere böswillige Akteure. Anstatt den gesamten Cyberangriff auszuführen, konzentrieren sich IABs auf den ersten Einbruch und machen ihn, durch den Verkauf des Zugangs zu kompromittierten Systemen, zu Geld. Sie unterstützen Ransomware- Aktivitäten, insbesondere RaaS-Modelle, indem sie Angriffe rationalisieren und den Arbeitsaufwand zu Beginn reduzieren.
Welche Entwicklungen haben Sie in Ihrem neuen Bericht beobachtet?
Der „Initial Access Broker Report – März 2025“ basiert auf über zwei Jahren Forschung im Dark Web. Er wurde vom Check Point External Risk Management erstellt, der früheren Cyberint Plattform. Unsere Analyse zeigt, dass IABs strategischer und selektiver agieren als früher – und dabei deutlich gefährlicher werden. Besonders alarmierend: Der Markt wächst rasant. Allein 2024 ist die Anzahl der beobachteten Zugangsangebote in den zehn wichtigsten Zielländern um unfassbare 90 Prozent gestiegen!
Welche Länder und Unternehmens-Größen sind besonders betroffen?
Die USA bleiben mit 31 Prozent der Angebote das Hauptziel. Auffällig ist jedoch der Aufstieg von Frankreich und Brasilien – vermutlich, weil diese Länder ihre digitale Infrastruktur schnell ausbauen, dabei aber noch Schwächen im Bereich der Cyberabwehr aufweisen. Besonders häufig ins Visier geraten mittlere Unternehmen mit einem Jahresumsatz zwischen 5 und 50 Millionen US-Dollar. Diese machen inzwischen rund 60 Prozent aller Angebote aus – ein attraktiver „Sweet Spot“ für Angreifer: genug Umsatz, aber oft zu wenig Sicherheitsbudget.
Wie teuer ist ein solcher Zugang zum Unternehmensnetzwerk eigentlich?
Die Preisstruktur ist erschreckend niedrig. 86 Prozent der beobachteten Angebote kosten weniger als 3.000 US-Dollar – einige beginnen schon bei 500 Dollar. Dafür bekommt der Käufer oftmals Remote-Zugänge via RDP (Remote Desktop Protocol) oder VPN. Besonders beunruhigend: VPN-Zugänge haben inzwischen 33 Prozent der Angebote erreicht und nähern sich der klassischen RDP-Nutzung mit 55 Prozent an. Das zeigt, wie stark Angreifer auf hybride Arbeitsmodelle reagieren.
Was bedeutet das für die Sicherheitsstrategie von Unternehmen?
Organisationen müssen ihre Cybersecurity-Strategien dringend neu ausrichten – weg von rein reaktiven Schutzmaßnahmen, hin zu einem proaktiven Sicherheitsmodell. Das bedeutet: aggressives Patchen, eine konsequente Netzwerksegmentierung und die aktive Überwachung von Aktivitäten im Deep Web und Dark Web. Wer potenzielle Verkaufsangebote für den eigenen Zugang frühzeitig erkennt, kann Angriffe oft im Vorfeld verhindern.
Welche Fehler sehen Sie besonders häufig in Unternehmen, die Opfer von IABs werden?
Mehr als die Hälfte der kompromittierten Endpunkte nutzte ausschließlich Windows Defender – ohne zusätzliche Sicherheitslösungen. Das zeigt klar, dass ein Mangel an mehrschichtigem Endpoint-Schutz (layered endpoint protection) ein erhebliches Risiko darstellt. Hinzu kommen zu schwache Authentifizierungs-Methoden, veraltete Zugangsdaten und nicht überwachte Remote-Dienste.
Was empfehlen Sie Unternehmen konkret zum Schutz vor IABs?
Einige zentrale Maßnahmen sind aus unserer Sicht unverzichtbar:
- Multi-Faktor-Authentifizierung für alle externen Zugänge.
- Strikte Kontrolle und Überwachung exponierter Dienste wie RDP und VPN.
- Rasches Patchen identifizierter Schwachstellen.
- Einsatz moderner Endpoint Protection-Lösungen, die über Standardtools hinausgehen.
- Regelmäßige Prüfungen von Benutzerrechten und Anmeldeinformationen.
- Nutzung von Threat Intelligence, um Hinweise auf das eigene Unternehmen in Untergrundforen frühzeitig zu erkennen.
Be the first to comment