Abwehrstrategien für die IT-Security

Zügige Identifizierung von Schadsoftware

Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky, im Gespräch über Cyberkriminalität gegen öffentlichen Einrichtungen, aktuelle Angriffmuster und vieles mehr.

Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky

Cyberattacken werden laut Christian Funk zunehmend unter dem Einfluss externer Faktoren stehen und somit immer spezifischer zum Einsatz kommen.

ITM: Herr Funk, die digitalen Bedrohungsszenarien sind aktuell vielfältiger denn je und reichen von leichtfertigen Mitarbeitern über ausgefeilte Spionagetrojaner bis hin zu schweren Erpressungsversuchen. Wo sollten Sicherheitsverantwortliche ihre Prioritäten setzen?
Christian Funk: Darauf gibt es leider keine generelle Antwort. Denn die Anforderungen sind je nach Betriebsgröße, Art des Betriebs und Branche unterschiedlich. Hinsichtlich zielgerichteter Angriffe ist eine hochwertige und aktuelle Informationslage bezüglich aktueller Bedrohungskampagnen, gemeinsam mit Services und Know-how zur schnellen Identifizierung der eingesetzten Schadsoftware essenziell. Nur darüber kann eine schnelle Reaktion, die eine Infektion konzertiert auf allen Systemen eliminiert, gewährleistet und ein etwaiger Datenabflusses hin zu den Angreifern unterbunden werden.

ITM: Im vergangenen Jahr wurde vermehrt von Flooding-/TCP-Reflection-Angriffen berichtet. Was hat es mit diesen Attacken auf sich?
Funk: Diese Angriffe kommen aus dem Bereich der „Distributed Denial of Service“-Attacken (DDoS). Ziel dieser Angriffe ist es, legitime Anfragen auf Webressourcen durch massive Volumina künstlichen Verkehrs in Leere laufen zu lassen. Dadurch wird beispielweise der Ruf eines Anbieters indirekt geschädigt oder – im Falle eines Webshops – ein direkter Schaden provoziert, da in der Zeit des Angriffs keine Verkäufe getätigt werden können – die Webseite ist schließlich nicht erreichbar.

ITM: Wie können sich Unternehmen vor solchen Angriffen schützen?
Funk: Vor einfachen Flooding-Angriffen können entsprechende Maßnahmen am Gateway einer Infrastruktur schützen, da die Angriffsmuster relativ leicht zu erkennen und abzuwehren sind. Bei TCP- oder DNS-Reflection-Angriffen werden protokoll-inhärente Merkmale so ausgenutzt, dass durch das Verhältnis aus kleinen Anfragen hinsichtlich des Datenverkehrs der Angreifer eine wesentliche größere Antwort gegenübersteht. Damit entsteht eine Hebelwirkung, welche die Wirkung des Angriffs verstärkt. Häufig werden zusätzlich öffentliche Drittserver eingebunden; sich davor zu schützen, ist wesentlich schwieriger, aber möglich. Interessanterweise sind hier Standards in Protokollen zur Vermeidung mancher Angriffsarten bereits existent, jedoch seitens der Internetprovider nicht flächendeckend implementiert.

ITM: Zuletzt sind immer häufiger öffentliche Einrichtungen und Behörden ins Visier von Cyberkriminellen geraten – was erhoffen sich die Angreifer von solchen Attacken?
Funk: Cyberangriffe auf öffentliche Verwaltungen durch Ransomware (also Erpressersoftware) sind im Jahr 2019 weltweit um 60 Prozent gegenüber dem Vorjahr angestiegen, wie Kaspersky-Untersuchungen zeigen. Der Beweggrund ist in den allermeisten Fällen finanzieller Natur – Ausnahmen sind sogenannte Wiper, die als Ransomware getarnt auftreten können und die Daten vernichten. Ein bekanntes Beispiel dafür ist NotPetya. Von Wipern betroffene Rechner werden verschlüsselt, allerdings ohne einen Mechanismus zur Entschlüsselung vorzusehen – es handelt es sich um einen Akt der Sabotage. Diese sind jedoch glücklicherweise eher selten und, abgesehen von wenigen Ausnahmen, eher zielgerichteter Natur.

ITM: Neben der öffentlichen Verwaltung bleibt die hiesige Wirtschaft das bevorzugte Ziel von Cyberkriminellen. So warnte der Verfassungsschutz erst kürzlich vor einer akuten Bedrohung durch WinNTI. Wie hoch ist für größere Unternehmen die Wahrscheinlichkeit, ins Visier dieser Gruppe zu geraten?
Funk: Seit unserer Entdeckung im Jahr 2011 hat sich die Gruppe WinNTI, die sich früher auf das Hacken von Gaming-Unternehmen spezialisiert hatte, weiterentwickelt und verwendet Tools für zunehmend komplexere Angriffe. Über die Jahre wurden immer weitere Branchen angegriffen: Pharma, Chemie, Industrie, aber auch Aktivisten wurden bereits Opfer – das macht sie nur schwer berechenbar.

ITM: Woran können Betroffene eine potentielle Infektion mit der Schadsoftware erkennen?
Funk: Die Auseinandersetzung mit einer Kompromittierung eines dieser Bedrohungsakteure ist ein komplexer Prozess. Die Akteure arbeiten mit eigener Schadsoftware oder frei verfügbarer Software, wie sie oftmals zur Administration oder zum Pentesting eingesetzt werden. Über bestimmte Merkmale dieser Software und ihrem Einsatz in ihrer Ausprägung, Konfiguration, hinterlassenen Artefakten auf betroffenen Systemen, sowie IP Adressen und Domains der Infrastruktur der Angreifer, lassen sich Angriffe auf diese Akteure zuordnen. Man spricht hier auch TTPs, Tactics, Techniques and Procedures – welche sich auch im Lauf der Zeit durchaus ändern können.

ITM: Welche Maßnahmen müssen bei einer Infizierung eingeleitet werden?
Funk: Nach einem Angriff müssen Unternehmen unter anderem die folgenden Fragestellungen klären:

  • Welche Geräte wurden infiziert? Können diese vom restlichen Netzwerk isoliert werden?
  • Welche Schadsoftware wurde konkret eingesetzt? Gibt es weitere maliziöse Dateien, die damit in Verbindung stehen?
  • Kann die Unternehmens-/Einrichtungsweite Infrastruktur nach bestimmten Schaddateien oder anderen Indikatoren geprüft werden oder gibt es möglicherweise tote Winkel?
  • Gibt es eine Verbindung der Schadsoftware nach außen? Welcher Art? Welche IPs/Domains stehen dahinter?
  • Wie wurde der Angriff initial gestartet?
  • Was war möglicherweise die Motivation der Angreifer?

Letztendlich muss der Fragenkatalog individuell für jede Systemlandschaft und für mehrere Angriffsszenarien gesondert gestaltet und ein Maßnahmenplan entsprechend erarbeitet werden. Im Idealfall liegt dieser als Notfallplan – vor einer Infektion – ab, damit im Fall des Falles schnell und pointiert reagiert werden kann. Wie eingangs erwähnt hilft Zugang zu hochwertiger und aktueller Threat Intelligence, ob aus öffentlicher oder kommerzieller Quelle, zu einer zielgenauen und raschen Reaktion in einem sicherheitsrelevanten Ereignis.

ITM: Welche Rolle spielt Emotet für die aktuelle Bedrohungslage? Geht von der Gruppe derzeit eine akute Gefahr für Großunternehmen und Konzerne aus?
Funk:
Emotet wird über große Spam-Kampagnen verteilt – nach dem Motto: viel hilft viel. Die Malware verschickt dazu authentisch aussehende E-Mails. Hierfür spioniert Emotet infizierte E-Mail-Inhalte aus und verschickt mit diesen Daten dann neue Spam-Nachrichten. Aufgrund der korrekten Namen und E-Mail-Adressen von Absender sowie Empfänger in Betreff, Anrede und Signatur wirken diese Mitteilungen für viele Nutzer authentisch – viele klicken also die schädlichen Links und Anhänge an. Eine gefährliche Besonderheit von Emotet ist, dass die Folgeinfektionen nach dem initialen Angriff verschieden ausfallen können. Von einer Verschlüsselung, Kompromittierung von Online Banking bis hin zur Spionage sind hier mehrere Szenarien möglich. Das akute Risiko eines Befalls durch Emotet ist nach wie vor hoch.

ITM: Welche aufkommenden Bedrohungen können Unternehmen jetzt schon antizipieren und in ihrer Abwehrstrategie berücksichtigen?
Funk: Cyberattacken werden zunehmend unter dem Einfluss externer Faktoren stehen und somit immer spezifischer zum Einsatz kommen. Unsere Vorhersagen für das Jahr 2020 sagen unter anderem zielgerichtete Ransomware-Angriffe, Infrastrukturangriffe und die Weiterentwicklung mobiler APT-Attacken voraus. Unternehmen sollten daher Zugriff auf aktuelle Bedrohungsfeeds haben, um Cyberbedrohungstrends zu kennen und sich entsprechend wappnen zu können.

Bildquelle: Kaspersky

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok