Schutz vor Cyberkriminalität

„Es ist ein ständiges Wettrüsten“

Daniel Werner, Regional Services Director Central bei der Nuvias Deutschland GmbH, erklärt im Interview, wie man sich vor aktuellen IT-Sicherheitsrisiken schützen kann.

Daniel Werner, Regional Services Director Central bei der Nuvias Deutschland GmbH

Laut Daniel Werner werden sogenannte TCP-Reflection-Angriffe immer beliebter bei den Angreifern.

ITM: Herr Werner, die digitalen Bedrohungsszenarien sind aktuell vielfältiger denn je und reichen von leichtfertigen Mitarbeitern über ausgefeilte Spionagetrojaner bis hin zu schweren Erpressungsversuchen. Wo sollten Sicherheitsverantwortliche ihre Prioritäten setzen?
Daniel Werner:
Die Cyberbedrohungen werden immer komplexer, aus diesem Grund wachsen auch die Anforderungen bei den IT-Sicherheitsverantwortlichen. Die Themen, die in diesem Zuge betrachtet werden müssen, sind vielfältig und reichen vom Anwender bis hin zu deren Endpoints. Ebenfalls müssen sich Unternehmen die Frage stellen, welche Dienste und Daten für Ihren Betriebsablauf wichtig sind, um somit die angemessenen präventiven Maßnahmen zu etablieren. Es ist ein ständiges Wettrüsten zwischen Cyberkriminellen und den IT-Sicherheitsverantwortlichen, um der rasant wachsenden Bedrohungslage etwas entgegenzusetzen. Eine Prioritätenbetrachtung nach Schema F kann derzeit sehr schwer zu Grunde gelegt werden, da die Priorisierungen abhängig von den jeweiligen Prozessen des Unternehmens sind. Man kann sich an einigen grundlegenden Maßnahmen orientieren, aber dann ist es wichtig, diese abhängig von den Unternehmensbedürfnissen zu priorisieren.

ITM: Im vergangenen Jahr wurde vermehrt von Flooding/TCP-Reflection-Angriffen berichtet. Was hat es mit diesen Attacken auf sich?
Werner:
Die sogenannten TCP-Reflection-Angriffe werden derzeit immer beliebter bei den Angreifern. Die Popularität wächst derzeit auch nur, da zuvor eine fälschliche Annahme existierte. Es wurde von den Angreifern aber erkannt, dass diese Methode effektiv genutzt werden kann und das ohne viel Aufwand. Der Ablauf so einer Attacke beruht auf dem senden manipulierter TCP-Syn-Pakete. Das TCP-Protokoll sendet auf ein SYN-Paket ein SYN-ACK an den Sender zurück. In diesem Fall wird aber die IP-Adresse vom Angreifer manipuliert und das vermeidliche Ziel mit unzähligen SYN-ACK-Paketen überflutet. Damit können Systeme unter immenser Last gebracht werden und ein Ausfall herbeigeführt werden.

ITM: Wie können sich Unternehmen vor solchen Angriffen schützen?
Werner:
Um Voraussetzungen zu schaffen, diesen Angriffen entgegen zu wirken bedingt es unterschiedlicher Herangehensweisen. Aber auch hier ist kein hundertprozentiger Schutz gewährleistet. Die Maßnahmen, die zu Abwehr von solchen Angriffen beitragen, sind ein stetiges überwachen der Netzwerkaktivitäten und sorgen dafür, dass die System Patches auf den neusten Stand gehalten werden. Es ist ebenfalls zu empfehlen, mit einem mehrstufigen Sicherheitskonzept zu arbeiten und Systeme einzusetzen, die Funktionen wie Anti-Spoofing, Intrusion Prevention System und Intrusion Detection System beinhalten. 

ITM: Zuletzt sind immer häufiger öffentliche Einrichtungen und Behörden ins Visier von Cyberkriminellen geraten – was erhoffen sich die Angreifer von solchen Attacken?
Werner:
Cyberangriffe dienen den Angreifern, um an sensible Daten zu gelangen und oder den öffentlichen Betrieb zu stören. Da es durch das Internet schwer ist, die wahre Person zu ermitteln, sind diese Methoden sehr effektiv, um an Daten zu kommen und mit diesen Geld zu machen. Da es bekannt ist, dass die Kommunen sensible Daten vorhalten, werden diese Einrichtung auch immer mehr zum Ziel der Angreifer.

ITM: Neben der öffentlichen Verwaltung bleibt die hiesige Wirtschaft das bevorzugte Ziel von Cyberkriminellen. So warnte der Verfassungsschutz vor einer akuten Bedrohung durch WinNTI. Wie hoch ist für größere Unternehmen die Wahrscheinlichkeit, ins Visier dieser Gruppe zu geraten?
Werner:
Es gibt von verschiedenen Stellen Annahmen, dass es sich um eine Hackergruppe aus China handeln soll. Wenn man in diesem Zuge betrachtet, welche Firmen bereits ins Visier dieser Hackergruppe geraten sind, kann man daraus ableiten, dass es um Wirtschaftsspionage geht. Daher liegt die Annahme nahe, dass die Angreifer das gleiche Muster weiterführen werden, um an sensible Daten zu gelangen.

ITM: Welche Maßnahmen müssen bei einer Infizierung eingeleitet werden?
Werner:
Es wurde vom Verfassungsschutz eine 19-seitige Analyse erstellt, welche auch einen technischen Abschnitt enthält. Darin wird das Verhalten von WinNTI beschrieben und auch Handlungsmaßnahmen aufgezeigt.

ITM: Welche Rolle spielt Emotet für die aktuelle Bedrohungslage? Geht von der Gruppe derzeit eine akute Gefahr für Großunternehmen und Konzerne aus?
Werner:
Auch diese Cyberattacke reiht sich in das Bedrohungsmuster der heutigen Zeit mit ein und ist ebenfalls so sensibel zu betrachten, wie all die anderen existierenden Cyberattacken. Das Ziel, welches in allen Fällen verfolgt wird, stellt eine Spionage und ebenfalls den Datendiebstahl dar. Diese Angriffsmuster zielen auf die Daten und deren Schädigung ab und sind daher auch eine ständige Bedrohung.

ITM: Welche aufkommenden Bedrohungen können Unternehmen jetzt schon antizipieren und in ihrer Abwehrstrategie berücksichtigen?
Werner:
Für alle Sicherheitsbeauftragten bleibt es ein ständiges Wettrüsten, um den steigenden Cyberbedrohungen gewappnet zu sein. Man kann nur jedem Sicherheitsverantwortlichen ans Herz legen, seine Infrastruktur und dessen Anwender zu sensibilisieren und auf einen aktuellen Stand zu halten.

Bildquelle: Nuvias Deutschland GmbH

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok