Hacker setzen zunehmend KI ein

Analysten beobachteten einen anhaltenden Anstieg gängiger Bedrohungen, bei denen Command-and-Control-Infrastrukturen (C&C) zum Aufbau von Botnetzen genutzt werden, deren Anzahl und Komplexität zunehmen. Phishing ist nach wie vor die häufigste Taktik, mit der Angreifer sich Zugang zu Unternehmensnetzwerken verschaffen, doch das Security Operations Centre (SOC) verzeichnete zudem einen Anstieg des auf der Blacklist geführten schädlichen Datenverkehrs.

Dem Bericht zufolge entwickeln böswillige Akteure ihre Angriffsmuster weiter und starten betrügerische Kampagnen, die bisher wirksame Sicherheitskontrollen wie die Zwei-Faktor-Authentifizierung umgehen, wodurch Verteidiger gezwungen sind, zu reagieren und das Sicherheitsniveau anzuheben, um den Betrieb zu schützen. Im Jahr 2024 folgte ein erheblicher Teil der vom SOC neutralisierten Bedrohungen weiterhin dem seit 2022 am häufigsten beobachteten Angriffsvektor: Phishing. In diesem Zeitraum war jedoch ein deutlicher Anstieg einer fortgeschritteneren Form zu verzeichnen, die als „Reverse-Proxy-Phishing“ bekannt ist. Phishing ist eine klassische Methode, bei der Angreifer sich als legitime Einrichtungen (wie Banken oder Dienstleister) ausgeben, um Nutzer dazu zu verleiten, sensible Informationen wie Anmeldedaten oder Finanzdaten preiszugeben. Traditionelles Phishing stützt sich häufig auf gefälschte Websites oder betrügerische E-Mails, um Nutzerdaten zu erbeuten. „Reverse-Proxy-Phishing“.

Phishing ist eine klassische Methode, bei der Angreifer sich als legitime Einrichtungen (wie Banken oder Dienstleister) ausgeben, um Nutzer dazu zu verleiten, sensible Informationen wie Anmeldedaten oder Finanzdaten preiszugeben. Traditionelles Phishing stützt sich oft auf gefälschte Websites oder betrügerische E-Mails, um Nutzerdaten zu erfassen. Traditionelles Phishing stützt sich oft auf gefälschte Websites oder betrügerische E-Mails, um Nutzerdaten zu erfassen. »Reverse-Proxy-Phishing« hingegen ist eine ausgefeiltere Variante. Anstatt einfach nur eine gefälschte Website zu erstellen, richtet der Angreifer einen »Proxy« ein, der sich zwischen der legitimen Website und dem Opfer befindet. Dieser Proxy erfasst die Anmeldedaten des Nutzers und leitet sie in Echtzeit an die eigentliche Website weiter, sodass das Opfer den Eindruck hat, alles sei normal. Die Gefahr dieser Methode liegt darin, dass sie die Multi-Faktor-Authentifizierung (MFA) umgehen kann, die üblicherweise zum Schutz sensibler Systeme eingesetzt wird. Reverse-Proxy-Phishing ist eine Technik, die zum Diebstahl von Anmeldedaten oder zur Umgehung der Multi-Faktor-Authentifizierung eingesetzt wird. Sobald Angreifer Zugang zu einem Netzwerk erlangt haben, können sie eine C&C-Infrastruktur bereitstellen, um kompromittierte Systeme fernzusteuern. Dies könnte die Bildung von Botnets ermöglichen – große Netzwerke infizierter Geräte, die für böswillige Aktivitäten wie Distributed-Denial-of-Service-Angriffe (DDoS) genutzt werden. 

Im Jahr 2024 übernahm Marlink Diverto & Port IT für den wachsenden Geschäftsbereich Cybersicherheit. Welche Synergien erwarten Sie? 

Nicolas Furgé: Marlink hat die Ressourcen von Diverto und Port-IT mit den Cybersicherheitslösungen von Marlink zusammengeführt, um dem Wachstum von Cyberbedrohungen und dem steigenden Bedarf an Compliance gerecht zu werden. Diese Struktur verbindet das vorhandene Fachwissen bei Marlink mit den Kompetenzen, Ressourcen und der geografischen Präsenz aus der Übernahme von Diverto und Port-IT. Rund 150 Cybersicherheitsexperten werden sich darauf konzentrieren, die Lösungen zu entwickeln und bereitzustellen, die Kunden benötigen, um neue Cyberherausforderungen zu bewältigen.

Wie wappnen Sie sich und Ihre Systeme gegen Cyberangriffe? 

Furgé: Im Idealfall sollten Eigentümer und Betreiber mit einem leeren Blatt Papier beginnen. Selbst wenn Sie bereits mehrere Schutzebenen (z. B. Antiviren-, Endpunkt- oder Netzwerksicherheitssoftware) eingesetzt haben, müssen Sie Ihre allgemeine Sicherheitslage verstehen, wo die Risiken liegen und wie die Bedrohungen aussehen. Das kann bedeuten, Schwachstellenanalysen und Penetrationstests durchzuführen, um zu verstehen, wo Ihre Sicherheit steht und wo sie hin muss. Wir betreiben ein Portfolio von Security Operations Centres, darunter eines, das speziell auf den maritimen Bereich ausgerichtet ist. Dieses unterstützt die proaktive Erkennung von Bedrohungen sowie defensive Lösungen für Netzwerke und schützt Ressourcen bis hinunter auf die Ebene einzelner Benutzer.

Steigt Ihrer Meinung nach das Cyberrisiko bei neuen Schiffen, da mehr digitale Technologie installiert werden kann, oder sinkt es, weil diese neuen Schiffe und ihre Technologien selbst besser vor Cyberangriffen geschützt sind?

Furgé: Man kann wohl sagen, dass der zunehmende Einsatz digitaler Technologie an Bord das Cyberrisiko erhöht. Die für die Nutzer verfügbare höhere Bandbreite und das damit verbundene höhere Datenverkehrsvolumen machen die Branche anfälliger. Dies gilt insbesondere für LEO-Internet, da die stärkere Nutzung durch die Besatzung naturgemäß das Risiko für Phishing- und Social-Engineering-Angriffe erhöht. Cybersicherheit für LEO-Internet wird als Teil der typischen hybriden Netzwerkkonfiguration umgesetzt, die wir für Reeder und Betreiber bereitstellen. Der im letzten Jahr von Marlink veröffentlichte Maritime SOC-Bericht stellte zudem fest, dass Hacker zunehmend KI einsetzen, um Ziele anzugreifen und die Zwei-Faktor-Authentifizierung zu umgehen, sodass sich Reeder auf erhöhte Risiken in der Zukunft einstellen müssen.

Welche Hausaufgaben haben Reeder? 

Furgé: Neben der Bewertung der Risiken und spezifischen Bedrohungen, denen sie ausgesetzt sind, müssen Reeder bedenken, dass die meisten Cybervorfälle ihre Ursachen im menschlichen Verhalten haben. Selbst die am besten konzipierten Systeme unterstützen die Nutzer zwar dabei, sicher und konsequent zu handeln, doch müssen Reeder in jedem Fall sicherstellen, dass die Besatzung geschult ist, um sich der Bedrohungen bewusst zu sein und zu verstehen, was sie tun muss, um sich selbst, ihre Kollegen und ihren Arbeitgeber vor Cyberbedrohungen zu schützen. Reeder müssen zudem verstehen, wie sie von den Vorschriften betroffen sind, die mit zunehmendem Cyberrisiko immer strenger werden. Die jüngste Vorschrift, IACS URE26, zielt darauf ab, Mindestanforderungen für die Cyber-Resilienz von Schiffen festzulegen. Sie ist für die Planung, den Bau, die Inbetriebnahme und die Betriebsdauer von Neubauten vorgesehen, doch ist es wahrscheinlich, dass gleichwertige Anforderungen in Zukunft auch auf bestehende Schiffe ausgedehnt werden. Die damit verbundene Anforderung URE27 zielt darauf ab, die Mindestanforderungen an die Sicherheitsfähigkeiten von Systemen und Ausrüstung festzulegen, damit diese als cyberresilient gelten, und richtet sich an Drittanbieter von Ausrüstung. Andere regionale Regelungen, von denen einige branchenspezifisch und andere allgemeinerer Natur sind, können bei Nichteinhaltung hohe Geldstrafen nach sich ziehen.

Fragen: Michael Meyer

Nicolas Furgé 

Präsident von Marlink Cyber

Dieser Artikel wurde am 24.04.2025 von HANSA – International Maritime Journal veröffentlicht