Aus dem Umfeld, den Medi­en oder durch eige­ne Erfah­rung bekommt man inzwi­schen nahe­zu täg­lich neue Infor­ma­tio­nen von Cyber­an­grif­fen. Diese kön­nen unter­schied­li­cher Form sein, sind aber in allen Fäl­len für die Unter­neh­men äußerst schäd­lich und teuer. Ob es Daten­leaks, ver­schlüs­sel­te Daten­spei­cher oder aus­spio­nier­te Unter­neh­mens­da­ten sind, die Vari­an­ten sind unzäh­lig und betref­fen alle die IT-Sicher­heit von Unternehmen.

Wir möch­ten inner­halb unse­res Blog­ar­ti­kels auf eini­ge Begrif­fe aus dem Bereich Cyber­an­grif­fe ein­ge­hen, die offi­zi­ell beim Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik gelis­tet sind.

IT-Sicher­heit Gefahr 1: Ransomware

Defi­ni­ti­on: Das Wort Ran­som­wa­re, bestehend aus der Wort­kom­bi­na­ti­on ran­som = “Löse­geld” und ware = Abkür­zung für Soft­ware, defi­niert eine Form der Schad­soft­ware. Mit­tels die­ser wird der Zugriff auf Gerä­te gesperrt bzw. die dar­auf ent­hal­te­nen Daten ver­schlüs­selt. Dar­auf­fol­gend wird vom betrof­fe­nen Opfer Löse­geld für die Instand­set­zung der Daten verlangt.

Die gebräuch­lichs­ten Vari­an­ten von Ran­som­wa­re sind folgende:

  1. Spam

Sicher­lich die bekann­tes­te Art von Ran­so­me­wa­re. Bei die­ser Sorte von Angrif­fen wird mit­tels pro­fes­sio­nel­lem Social Engi­nee­ring der Benut­zer zum Öff­nen von E‑Mail-Anhän­gen bewegt. Häu­fig wer­den angeb­li­che Rech­nun­gen, Bestell­be­stä­ti­gun­gen, Paket­emp­fangs­be­stä­ti­gun­gen etc. unter Ver­wen­dung von ech­ten Fir­men­na­men und ‑adres­sen sowie der per­fek­ten Nach­ah­mung von den tat­säch­li­chen Fir­men-E-Mails versendet.

Die Anhän­ger müs­sen in den meis­ten Fäl­len run­ter­ge­la­den wer­den und mit die­sem Down­load holt man sich die Schad­soft­ware ins Unternehmensnetzwerk.

  1. Drive-By Infek­tio­nen mit­tels Exploit-Kits

Unter dem Begriff Exploit ver­steht man in der Infor­ma­ti­ons­tech­nik ein Pro­gramm, eine Soft­ware oder eine Befehls­se­quenz, das bzw. die einen Feh­ler oder eine Schwach­stel­le aus­nutzt. Die Schwach­stel­le befin­det sich zumeist in der Soft­ware, Hard­ware oder ande­ren elek­tro­ni­schen Gerä­ten. Der Angriff ist dar­auf aus­ge­rich­tet, dass bei den betrof­fe­nen Sys­te­men ein bestimm­tes Ver­hal­ten aus­ge­löst wird.

Diese Ver­hal­ten umfasst oft­mals das Über­neh­men der Kon­trol­le über ein Sys­tem, das Gewäh­ren von Admi­nis­tra­ti­ons­rech­ten für einen Angrei­fer oder das Star­ten von Denial-of-Service-Angriffen.

Die Exploit-Kits(Sammlung von Exploits) wer­den meist auf kom­pro­mit­tier­ten Web­sei­ten oder Wer­be­ban­nern ver­brei­tet. Danach wird die jewei­li­ge Schad­soft­ware, z.B. Ran­som­wa­re nachgeladen.

  1. Schwach­stel­len in Servern

Ein ande­res Ein­gangs­tor für Cyber­an­grif­fe ist ein Ser­ver, den das Opfer selbst bereit­ge­stellt hat, und der über das Inter­net erreich­bar ist. In die­sem Fall kön­nen Angrei­fer durch Aus­nut­zung von Schwach­stel­len oder durch Erra­ten zu ein­fa­cher Pass­wör­ter in die­ses Sys­tem eindringen.

Die Wahr­schein­lich­keit mit­tels Brute-Force Angrif­fen oder Cre­den­ti­al Stuf­fing das Sys­tem zu kom­pro­mit­tie­ren ist durch ver­öf­fent­lich­te Zugangs­da­ten in der Ver­gan­gen­heit erhöht worden.

  1. Unge­schütz­te Fernzugänge

Bei die­ser Art scan­nen die Täter das Inter­net aktiv nach Sys­te­men, die Fern­zu­gän­ge ins Inter­net anbie­ten, wie bei­spiels­wei­se Micro­soft Remo­te Desktop(RDP). Wird eine sol­che Ver­bin­dung gefun­den, füh­ren die Täter dort Brute-Force Angrif­fe durch, um das Pass­wort zu ermit­teln. Erfolgt der Login wird die ent­spre­chen­de Schad­soft­ware installiert.

Ein Bei­spiel aus der Praxis:

Das Schad­pro­gramm Emo­tet stellt laut BSI einen mög­li­chen Angriffs­vek­tor dar. Diese Schad­soft­ware kann Kon­takt­be­zie­hun­gen aus Mail-Post­fä­chern aus­le­sen und dar­auf basie­rend auto­ma­ti­siert sehr authen­ti­sche Spam-Mails versenden.

Es zeich­net sich durch einen hohen Ver­brei­tungs­grad und eine glei­cher­ma­ßen hohe Erfolgs­quo­te bei der Infi­zie­rung von Unter­neh­mens­netz­wer­ken aus. So hat diese Schad­pro­gramm bereits zu hohen Schä­den bei Betrof­fe­nen in Wirt­schaft und Ver­wal­tung geführt.

 
IT-Sicher­heit Gefahr 2: Social Engineering

Social Engi­nee­ring, auch “sozia­le Mani­pu­la­ti­on”, beschreibt den Ver­such von Cyber­kri­mi­nel­len die Hilfs­be­reit­schaft, das Ver­trau­en, die Angst oder den Respekt vor Auto­ri­tät des Opfers aus­zu­nut­zen. Auf diese Weise wer­den Betrof­fe­ne dazu ver­lei­tet ver­trau­li­che Infor­ma­tio­nen preis­zu­ge­ben, Sicher­heits­funk­tio­nen aus­zu­he­beln, Über­wei­sun­gen zu täti­gen oder Schad­soft­ware auf dem pri­va­ten Gerät oder einem Com­pu­ter im Fir­men­netz­werk zu installieren.

Die Täter nut­zen bei ihren Betrugs­ver­su­chen das Vor­täu­schen ihrer Iden­ti­tät bzw. ihrer Absicht, um die Opfer in die Falle zu locken. Bekannt sind fol­gen­de Maschen:

  • Täter gibt sich als Admi­nis­tra­tor aus und benö­tigt das Passwort
  • Täter gibt sich als Mit­ar­bei­ter eines Unter­neh­mens wie Pay­pal, Face­book oder Tele­kom­mu­ni­ka­ti­ons­dienst­leis­ter aus und erfragt Anmel­de-/Kon­to­in­for­ma­tio­nen
  • Phis­hing: Täter sen­det Mails, die dem Ori­gi­nal sehr ähn­lich sind, mit einem fin­gier­ten Link, der zum Drauf­kli­cken verleitet
    • Dabei gelangt das Opfer meist auf eine gefälsch­te Ziel­sei­te, bei der es Pass­wör­ter bzw. Anmel­de­infor­ma­tio­nen ein­ge­ben soll
  • Spear-Phis­hing: Spe­zi­el­le Form des Phis­hings, bei dem nach vor­aus­ge­gan­ge­ner Recher­che nur eine klei­ne Grup­pe oder ein­zel­ne Per­so­nen ange­schrie­ben werden
  • CEO-Fraud: Mani­pu­la­ti­on von Ent­schei­dungs­trä­ger zur Ver­an­las­sung von Zah­lun­gen hoher Geld­be­trä­ge im Auf­trag des Top-Managements
 
IT-Sicher­heit Gefahr 3: Advan­ced Per­sis­tent Threat

Von APT spricht man in der Wirt­schaft, wenn Betriebs-und Geschäfts­ge­heim­nis­se, wie bei­spiels­wei­se tech­no­lo­gi­sche For­schungs- und Ent­wick­lungs­er­geb­nis­se, Her­stel­lungs­ver­fah­ren oder unter­neh­mens­po­li­ti­sche und ope­ra­tiv-betriebs­wirt­schaft­li­che Ent­schei­dun­gen wie Fusio­nen oder Ver­käu­fe im Fokus der Angrei­fer stehen.

Diese Angrei­fer sind meist staat­lich gesteu­ert und grei­fen gezielt das Netz oder Sys­tem eines Unter­neh­mens an. Dabei gibt es keine kla­ren Kri­te­ri­en, wer ange­grif­fen wird und wer nicht.

Zu den Opfern gehö­ren neben bekann­ten Groß­un­ter­neh­men auch Bera­tungs­un­ter­neh­men, Anwalts­kanz­lei­en und soge­nann­te Hid­den Cham­pi­ons aus dem KMU-Bereich.

 
IT-Sicher­heit Gefahr 4: Malware

Der Begriff Mal­wa­re wird häu­fig syn­onym zu Schad­funk­ti­on, Schad­pro­gramm und Schad­soft­ware ver­wen­det. Es bezeich­net Soft­ware, die mit dem Ziel ent­wi­ckelt wurde, uner­wünsch­te und meist schäd­li­che Funk­tio­nen auf einem IT-Sys­tem ohne Wis­sen des Benut­zers auszuführen.

Die Schad­soft­ware ist grund­sätz­lich auf allen Betriebs­sys­te­men und IT-Sys­te­men lauf­fä­hig. Das heiß, dass neben klas­si­schen IT-Sys­te­men wie Cli­ents und Ser­vern, auch mobi­le Gerä­te wie Smart­phone, Rou­ter oder Indus­trie­an­la­ge, die sich im Netz­werk befin­den, befal­len wer­den können.

Die Ein­falls­to­re auf klas­si­schen IT-Sys­tem sind neben E‑Mail-Anhän­gen, mani­pu­lier­te Web­sei­ten oder Daten­trä­gern oft auch offe­ne Netz­schnitt­stel­len, feh­ler­haf­te Kon­fi­gu­ra­tio­nen und Softwareschwachstellen.

 
IT-Sicher­heit Gefahr 5: DoS – Deni­al of Service

Deni­al of Ser­vice beschreibt, wenn Diens­te, die über das Inter­net erreich­bar sein soll­ten, nicht mehr ver­füg­bar sind. Die Nicht-Ver­füg­bar­keit kann neben phy­si­schen Ursa­chen auch durch unge­woll­te Über­las­tung oder einen mut­wil­li­gen Angriff her­vor­ge­ru­fen werden.

Mit­hil­fe von Bot­net­zen, die gleich­zei­tig auf das Ziel los­ge­las­sen wer­den, wird ver­sucht den betrof­fe­nen Dienst zu atta­ckie­ren. Dies führt auf­grund der enor­men Anfra­ge­men­ge zu sehr lang­sa­men Reak­ti­ons­zei­ten. Die Diens­te oder Web­sei­ten des Hos­tes sind in die­sem Fall für legi­ti­me Nut­zer, wenn über­haupt, nur mit star­ken Ver­zö­ge­run­gen erreich­bar. Dies bezeich­net man dann als DDoS – Dis­tri­bu­ted Deni­al of Service.

 
IT-Sicher­heit Gefahr 6: Botnetze

Ein Bot bezeich­net in der Fach­spra­che ein Pro­gramm, das fern­ge­steu­ert auf einem Com­pu­ter­sys­tem arbei­tet. Wenn nun meh­re­re Sys­te­me sich mit Bots infi­zie­ren und per Fern­steue­rung zusam­men­ge­schlos­sen wer­den, um für bestimm­te Aktio­nen gebraucht zu wer­den, spricht man von Botnetzen.

Neben klas­si­schen PCs kön­nen auch ande­re Gerä­te, die Inter­net­zu­gang haben, wie bei­spiels­wei­se Smart­phones, Tablets, Weara­bles sowie Web­cams oder Rou­ter durch Bots gefähr­det werden.

In einem nächs­ten Blog­ar­ti­kel wer­den wir auf mög­li­che Schutz­maß­nah­men für die unter­schied­li­chen Gefah­ren­quel­len ein­ge­hen. Im unten fol­gend­ne Video geht Vanes­sa Schmeer von unse­rem Part­ner Secu­r­e­point auf mensch­li­che Acht­sam­keit gegen­über IT-Bedro­hun­gen ein. Denn nur die Kom­bi­na­ti­on aus tech­ni­schen Lösun­gen und mensch­li­cher Acht­sam­keit führt bei  der IT-Sicher­heit zum Ziel.

Soll­ten Sie bis dahin bereits Fra­gen haben, zögern Sie nicht uns zu kon­tak­tie­ren, bei­spiels­wei­se über unse­ren Chat oder hier per Mail oder Tele­fon. Ansons­ten wün­schen wir viel Spaß beim Video.

Quel­le: Bun­des­amt für Sicher­heit in der Informationstechnik