Strategien der Angreifer

Cyberkriminalität: Das Spiel mit dem Feuer

Obwohl eine lückenhafte Sicherheitsarchitektur in der unternehmenseigenen IT bekanntermaßen zu Millionenschäden führen kann, schwankt das Bewusstsein für die Thematik bei Führungskräften immer noch enorm. Ein Blick auf die aktuellen Bedrohungsszenarien zeigt, wie ausgefeilt die Strategien der Angreifer inzwischen sind.

  • Feuerspucker mit Brille

    Der Blick in die Praxis zeigt, dass Investitionen in die IT-Sicherheit keine einmalige Angelegenheit sein dürfen.

  • Clemens A. Schulz, Rohde & Schwarz

    „Emotet ist ein Türöffner. Ist der Trojaner einmal in einem Netzwerk installiert, können die Hacker völlig ungehindert weitere Schadprogramme nachladen.“ (Clemens A. Schulz, Rohde & Schwarz)

  • Christian Funk, Kaspersky

    „Ich muss meine Baseline kennen und wissen, wie meine Systeme und meine Sicherheitsarchitektur funktionieren, wenn alles in Ordnung ist.“ (Christian Funk, Kaspersky)

  • Michael Kleist, Cyberark

    „Jedes Unternehmen, also auch öffentliche Einrichtungen und Behörden, haben etwas, das für Angreifer von besonderem Wert sein kann.“ (Michael Kleist, Cyberark)

  • Daniel Werner, Nuvias

    „Für alle Sicherheitsbeauftragten bleibt es ein ständiges Wettrüsten, um gegen steigende Cyberbedrohungen gewappnet zu sein.“ (Daniel Werner, Nuvias)

Fachkräfte aus der IT-Branche haben es bekanntlich  schwer, ihre Vorgesetzten von neuen Investitionen zu überzeugen. Das gilt erst recht, wenn sich deren Nutzen nicht in konkrete KPIs wie Umsatz oder Effizienz übersetzen lässt, sondern weitestgehend abstrakt bleibt. Ein Problem, mit dem auch die Sicherheitsverantwortlichen aus den IT-Abteilungen immer wieder zu kämpfen haben, werden Investitionen in diesem Bereich doch von vielen eher als eine Art Versicherung verstanden. Im Gegensatz zu gewöhnlichen Hard- oder Software-Investitionen spüren die Führungskräfte nicht zwingend einen unmittelbaren Effekt auf die Unternehmensprozesse. Eine Problematik, die sich auch in aktuellen Studien widerspiegelt. So geben laut einer Umfrage von Bitdefender gerade einmal vier von einhundert deutschen IT-Sicherheitsexperten an, dass sie mit ihrer derzeitigen Ausstattung fortgeschrittene Angriffe erkennen und isolieren können. Die Führungsetagen tun sich laut der Studie aber nicht nur mit der Freigabe von Budgets schwer, sondern auch mit der eigenen Vorbildfunktion: Fast die Hälfte (44 Prozent) der deutschen Studienteilnehmer gab demnach an, dass das Topmanagement bestehende Regeln entweder aufweiche oder sogar komplett ignoriere.

Eine ernüchternde Bilanz, denn die Angreifer selbst arbeiten nahezu pausenlos an neuen Mitteln und Wegen, um sich Zugang zu großen Unternehmensnetzwerken zu verschaffen – oft mit Erfolg, wie auch die jüngere Vergangenheit immer wieder gezeigt hat. Das führt zu einer sehr unübersichtlichen Sicherheitslage, in deren Folge ständig auf neue Angriffsmuster reagiert werden muss. Verantwortliche sollten sich dementsprechend zunächst einmal darüber klar werden, wo die Prioritäten zu setzen sind. Wer hier nach einfachen Antworten sucht, wird laut Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky, allerdings enttäuscht: „Die Anforderungen sind je nach Betriebsgröße, Art des Betriebs und Branche unterschiedlich“, so seine Einschätzung. Hinsichtlich zielgerichteter Angriffe sei jedoch eine hochwertige und zeitnahe Informationslage bezüglich aktueller Bedrohungskampagnen – gemeinsam mit Services und Know-how zur schnellen Identifizierung der eingesetzten Schadsoftware – essenziell. Nur darüber können laut Funk eine schnelle Reaktion, die eine Infektion konzentriert auf allen Systemen eliminiert, gewährleistet und ein etwaiger Datenabfluss hin zu den Angreifern unterbunden werden.

An eine Prioritätsbetrachtung nach Schema F glaubt auch Daniel Werner, Regional Services Director Central bei Nuvias, nicht. Führungskräfte müssten sich viel mehr die Frage stellen, welche Dienste und Daten für ihren Betriebsablauf wichtig sind, um somit die angemessenen präventiven Maßnahmen zu etablieren. Nichtsdestotrotz könne man sich an einigen grundlegenden Maßnahmen orientieren, darunter etwa Anwenderschulungen, Endpunktschutz vor Zero-Day-Bedrohungen sowie gewissenhaftes Patch-, Identity- und Access-Management.

Michael Kleist, Regional Director DACH bei Cyberark, betont derweil den Stellenwert eines proaktiven Ansatzes bei der IT-Sicherheit: „Auf organisatorischer Ebene bedeutet das zunächst einmal, die Mitarbeiter im Sicherheitsbereich so fortzubilden, dass sie wie ein Angreifer denken und durch diese Herangehensweise potenzielle Sicherheitslücken identifizieren, bevor diese von Dritten mit böswilligen Absichten entdeckt werden.“ Aus dieser proaktiven Perspektive heraus sei die Beschäftigung eines „Red Teams“ ein erster Schritt, um einen Cyberangriff zu simulieren. Diese sogenannten „ethischen Hacker“ nutzen laut Kleist entdeckte Schwachstellen, um in Unternehmenssysteme und -netzwerke einzudringen. Dort bleiben sie so lange wie möglich unentdeckt, um herauszufinden, welche möglichen Schäden bei einem echten Angriff angerichtet werden können. „Unternehmen können so nicht nur feststellen, wie effektiv ihre bisher getroffenen Einzelmaßnahmen sind, sondern auch wie anfällig sie im Gesamtsystem für einen Angriff sind“, so der Sicherheitsexperte. Unternehmen müssten von vornherein wissen, wie sich ein Angriff auswirken könnte und benötigten als Antwort auf solche Angriffe einen Incident-Response-Maßnahmenplan.

Dies ist ein Artikel aus unserer Print-Ausgabe 3/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Der Feind liest mit

Je nach Branche stellt neben klassischer Ransomware auch spezielle Spionage-Software eine akute Bedrohung für größere Unternehmen dar. So sind bei vielen Unternehmen etwa Infiltrationsversuche der WinNTI-Gruppe besonders gefürchtet. Die gleichnamige Schadsoftware wird von einer unbekannten – mutmaßlich chinesischen – Bande genutzt, um möglichst unauffällig Betriebsgeheimnisse auszuspähen. Spuren der Software wurden bereits bei führenden DAX-Unternehmen wie Bayer, Siemens oder Thyssenkrupp gefunden. Das Bundesamt für Verfassungsschutz geht nach eigenen Angaben sogar von einer dauerhaften Bedrohung für die deutsche Wirtschaft durch die Gruppe aus.

Severin Rast, Director IT Security Consulting bei Infodas, glaubt, dass das Gefahrenpotenzial für hiesige Wirtschaftsakteure eng mit individuellen Faktoren wie der Größe, Branche und den speziellen Eigenschaften eines Unternehmens verknüpft ist. Sich mit spezifischen Maßnahmen gegen diese konkrete Malware schützen zu wollen, greife jedoch zu kurz: „Morgen kann eine neue Variante, möglicherweise nur mit einer einzigen Zeile veränderten Codes, in Umlauf sein, gegen die eine Maßnahme nicht mehr wirkt.” Wichtig sei, dass es im Unternehmen jemanden gebe, der mit Blick auf die aktuellen Bedrohungen informiert ist und die potenziellen Gefahren versteht.

So oder so: Eine Infiltration durch WinNTI ist auch für Profis eine sehr anspruchsvolle Herausforderung. „Die Akteure arbeiten mit eigener Schadsoftware oder frei verfügbarer Software, wie sie oftmals zur Administration oder zum Pentesting eingesetzt wird”, erklärt Christian Funk. Über bestimmte Merkmale der Software ließen sich Attacken aber dieser Gruppe zuordnen. Severin Rast betont, dass für die Erkennung einer potenziellen Infizierung das Verständnis des firmeneigenen Netzwerkes eine wichtige Rolle spielt: „Ich muss meine Baseline kennen und wissen, wie meine Systeme und meine Sicherheitsarchitektur funktionieren, wenn alles in Ordnung ist”, erklärt der Experte.

Goldene Regeln für den Wirtschaftsschutz

Sicherheit gehört in die Chefetage Sicherheitsbewusste Mitarbeiter sind der beste Schutz. Die Chefetage sollte hier mit gutem Beispiel voran gehen.Prioritäten setzenNicht alle Informationen und Werte eines Unternehmens können in gleichem Maße geschützt werden. Unternehmen sollten Prioritäten setzen und sich auf ihre „Kronjuwelen“ konzentrieren.Sich helfen lassenDer Markt an Sicherheitsdienstleistern ist groß und bietet für jede Art von Unternehmen passende Services und Produkte an.Schweigen ist nicht immer GoldSchweigen ist meist eine schlechte Alternative. Im Ernstfall helfen neben IT-Sicherheitsdienstleistern auch die Sicherheitsbehörden.Sicherheit als RoutineUnternehmen müssen vorbeugen und ein robustes IT-Sicherheitsmanagement aufbauen, aktuell halten und engagiert betreiben.

Quelle: Bitkom „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt“

Unheilvolles Zusammenspiel

Während die Folgeschäden der digitalen Wirtschaftsspionage erst viele Jahre später sichtbar werden können, schlägt der finanzielle Schaden einer Ransomware-Attacke in den meisten Fällen immer noch unvermittelt und hart zu Buche. Die Angreifer lassen sich dementsprechend immer wieder neue Wege einfallen, um sich Zugriff auf die Systeme zu verschaffen. So werden laut des „McAfee Labs Threats Report” vom August 2019 vermehrt Infektionen über Remote Access Points wie beispielsweise das Remote Desktop Protocol (RDP) verzeichnet. Das Netzwerkprotokoll wird für den Fernzugriff auf Windows-Computer genutzt und gilt als besonders anfällig für Attacken von außen. Angreifer können ihre Schadsoftware über diese Schwachstelle auch ohne das Zutun von Dritten einschleusen. Für die anschließende Verschlüsselung der Daten werden laut der Studie vor allem drei Ransomware-Familien genutzt: Dharma, Gandcrab und Ryuk. Letztere wird wiederum gerne über den Trojaner Emotet nachgeladen – eine fatale Kombination, die bei den betroffenen Unternehmen in der Vergangenheit immer wieder großen Schaden anrichten konnte. Insgesamt 705 Bitcoin sollen laut den Sicherheitsforschern von Crowdstrike mit der noch jungen Schadsoftware erbeutet worden sein. Das entspricht je nach aktuellem Kurs (Stand: 02. März 2020) mehr als 5,49 Mio. Euro.

Laut Christian Funk ist das Risiko eines Befalls durch Emotet nach wie vor hoch. Eine gefährliche Besonderheit des Trojaners sei zudem, dass die Folgeinfektionen nach dem initialen Angriff verschieden ausfallen können: „Von einer Verschlüsselung, der Kompromittierung von Online Banking bis hin zur Spionage sind hier mehrere Szenarien möglich.“ 

Altbekannte Muster mit neuer Angriffskraft

Dem israelischen Sicherheitsunternehmen Radware zufolge soll im vergangenen Jahr ein erhöhtes Aufkommen von speziellen Denial-Of-Service-Attacken (DoS) zu beo-bachten gewesen sein. Demnach haben die Experten des Anbieters eine deutliche Zunahme von sogenannten TCP-Reflection-Angriffen identifiziert. Opfer sollen dabei vor allem Finanzdienstleister, Telekommunikationsunternehmen oder Glücksspielanbieter gewesen sein. Was es mit dieser Angriffsvariante im Detail auf sich hat, weiß Daniel Werner: „Der Ablauf so einer Attacke beruht auf dem Senden manipulierter TCP-SYN-Pakete. Das TCP-Protokoll sendet auf ein SYN-Paket ein SYN-ACK an den Sender zurück. In diesem Fall wird aber die IP-Adresse vom Angreifer manipuliert und das vermeindliche Ziel mit unzähligen SYN-ACK-Paketen überflutet. Damit können Systeme unter immense Last gebracht und ein Ausfall herbeigeführt werden.“ Besonders heikel ist laut Christian Funk die Tatsache, dass bei solchen Angriffen protokollinhärente Merkmale so ausgenutzt werden. Dadurch steht, bedingt durch das Verhältnis aus kleinen Angreiferanfragen hinsichtlich des Datenverkehrs, diesen eine wesentlich großere Antwort entgegen: „Damit entsteht eine Hebelwirkung, welche die Wirkung des Angriffs verstärkt. Häufig werden zusätzlich öffentliche Drittserver eingebunden; sich davor zu schützen, ist wesentlich schwieriger, aber möglich.“

Obwohl das Prinzip nicht neu ist, sieht Severin Rast mit Blick auf die steigende Verbreitung von IoT-Technologie eine erhöhte Brisanz solcher Methoden. Noch gebe es viel zu viele ungesicherte IoT-Geräte, die sehr einfach für solche Angriffe gekapert und in großen Bot-Netzen orchestriert werden könnten. „Je effizienter diese Technik wird, desto interessanter und lukrativer wird es für Kriminelle, solche Angriffe auch als Dienstleistung zu verkaufen  – siehe Crime as a service“, warnt der Experte zudem. Das gefährde nicht nur die Wirtschaft, sondern auch die individuelle Privatsphäre. Ein hundertprozentiger Schutz vor solchen Angriffen lässt sich nie garantieren, wie auch Daniel Werner betont. Die Mittel, die zu Abwehr solcher Aktivitäten beitragen, seien ein stetiges Überwachen der Netzwerkaktivitäten und ein gewissenhaftes Patch-Management. Darüber hinaus sei es ratsam, mit einem mehrstufigen Sicherheitskonzept zu arbeiten und Systeme einzusetzen, die Funktionen wie Anti-Spoofing, Intrusion Prevention System und Intrusion Detection System beinhalten.

Behörden im Visier

Neben vielen Wirtschaftsakteuren haben aktuell auch immer wieder öffentliche Institutionen mit hartnäckigen Attacken zu kämpfen. So musste etwa die Potsdamer Stadtverwaltung nach einem Cyberangriff im Januar die gesamte IT-Infrastruktur vom Netz nehmen.  Über eine Schwachstelle im System eines externen Software-Anbieters hatten unbekannte Angreifer versucht, Daten abzugreifen. Obwohl dieser Plan gescheitert sein soll, mussten Behördenmitarbeiter und Bürger in der Folge deutliche Einschränkungen hinnehmen: Die Kfz-Zulassungs- und Fahrerlaubnisbehörde musste ihren Betrieb einstellen, Anträge auf Reisepässe oder Personalausweise konnten nicht bearbeitet werden und der interne E-Mail-Verkehr kam zum Erliegen.

Die Motivation hinter solchen Angriffen ist laut Christian Funk in der Regel finanzieller Natur. Ausnahmen seien sogenannte Wiper, die als Ransomware getarnt auftreten können und auf die Vernichtung der Daten aus sind: „Ein bekanntes Beispiel dafür ist Notpetya. Von Wipern betroffene Rechner werden verschlüsselt, allerdings ohne einen Mechanismus zur Entschlüsselung vorzusehen – es handelt es sich um einen Akt der Sabotage.“ Severin Rast glaubt, dass gerade bei kleineren Behörden die fehlende Optimierung von Abwehrstrategien eine wichtige Rolle spielt, was Angreifern wiederum viele Einfallstore bieten könne: „Damit sind sie willkommene Opfer, um Daten in Geiselhaft zu nehmen, Geld zu erpressen oder Informationen zu beschaffen.“

Gefährlicher Türöffner

 

Emotet wird vom „Bundesamt für Sicherheit in der Informationstechnik“ als „eine der größten Cyberbedrohungen der Welt“ bezeichnet. Und das aus gutem Grund. Denn Emotet ist ein Türöffner. Ist der Trojaner einmal in einem Netzwerk installiert, können die Hacker völlig ungehindert weitere Schadprogramme nachladen. Deswegen stellen Emotet-Angriffe eine ganz neue Qualität von Cyberverbrechen dar. Sie ermöglichen Verschlüsselungen, Erpressungen, Spionage-Angriffe oder die gesamte Kontrolle über ein Netzwerk. Das macht Emotet so prekär für die aktuelle Bedrohungslage.

Quelle: Clemens A. Schulz, Director Desktop Security, Rohde & Schwarz

Anhaltende Wachsamkeit gefragt

Der Blick in die Praxis zeigt, dass Investitionen in die IT-Sicherheit keine einmalige Angelegenheit sein dürfen. Der Schutz sensibler Daten und Infrastrukturen erfordert eine kontinuierliche Auseinandersetzung mit den aktuellen Bedrohungsszenarien, um auch zukünftige Gefahren rechtzeitig antizipieren zu können. Wie diese aussehen, kann niemand mit Gewissheit sagen. Michael Kleist warnt etwa vor neuen Angriffsmustern durch Non-Human-Applikationen wie Robotic Process Automations (RPA): „Unternehmen setzen Software Robots ein, ohne dabei allerdings auf eine Absicherung zu achten. Dieses zu unterlassen ist kritisch, denn RPA-Implementierungen erweitern die Angriffsfläche deutlich“, gibt er zu bedenken und ergänzt: „Software-Roboter automatisieren Geschäftsprozesse über verschiedenste Systeme hinweg und benötigen für den Zugriff jeweils Zugangsdaten, bei geschäftskritischen Daten oder Applikationen sogar privilegierte Rechte. Wenn Hacker oder Angreifer diese Rechte besitzen, können sie sich frei bewegen.“

Unternehmen, die Risiken dauerhaft minimieren wollen, sollten nach Einschätzung der Experten einen ganzheitlichen Ansatz zur Absicherung der eigenen Daten und Infrastrukturen wählen. „Wir könnten uns heute über Trends wie quantenresistente Verschlüsselung unterhalten oder darüber, welcher Zero Day Exploit aktuell im Darknet angeboten wird. Aber ist das morgen noch von Interesse?“, fragt Severin Rast. Vielmehr gehe es darum, sich die anhaltende Bedrohungslage durch die zunehmende Ausweitung der Vernetzung bewusst zu machen. „Durch das Internet der Dinge und eine fortschreitende technologische Entwicklung in Bezug auf Geschwindigkeit und Funktionalität können bereits vorhandene Bedrohungen eine Wucht entwickeln, die wir uns heute noch gar nicht vorstellen können“, so seine Einschätzung.

Bildquelle: Gettyimages/iStock / Rohde & Schwarz / Kaspersky / Cyberark / Nuvias

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok