Informieren Sie sich über die Arten von Angriffen und Bedrohungen.
GARTNER® THREAT EXPOSURE RESEARCHEin Cyberangriff – auch als Cybersecurity-Angriff bezeichnet – ist jede Form böswilliger Aktivität, die auf IT-Systeme abzielt, bzw. die Angreifer oder Bedrohungsakteure, die unbefugten Zugriff auf Systeme und Daten erlangen.
In der Regel versuchen Kriminelle, mit einem Angriff finanziellen Gewinn zu erzielen. In anderen Fällen geht es jedoch darum, den Betrieb zu stören, indem der Zugang zu IT-Systemen gesperrt wird. Bedrohungsakteure können alle sein, von einer einzelnen Person, die versucht, gestohlene Zugangsdaten zu erhalten und sie als Lösegeld zu erpressen, bis hin zu einem staatlich geförderten Kontingent, das Operationen auf ausländischem Boden stören will.
Was auch immer die Beweggründe sind, die meisten IT-Netzwerke - und die Menschen, die sie warten - werden im Laufe ihres Lebens in irgendeiner Form von Angriffen betroffen sein und müssen darauf vorbereitet sein.
Bevor wir uns mit den spezifischen Typen von Cyberangriffen befassen, wollen wir zunächst einige der Motivationen besprechen, die dazu führen, dass Bedrohungsakteure versuchen, in einer Sicherheitsorganisation Chaos anzurichten.
Diese Kategorie umfasst die Bemühungen von Bedrohungsakteuren, von böswilligen Angriffen zu profitieren. Dies können Aktionen sein wie direkter Diebstahl, Verwendung gestohlener Kreditkarteninformationen, Dark-Web-Marktplätze für Informationen, die durch Datenschutzverletzungen erlangt wurden, oder sogar das Kapern von Computerressourcen für Aktivitäten wie Kryptojacking zum Mining von Kryptowährungen.
Zu dieser Kategorie zählen Versuche, den Betrieb von Organisationen durch Angriffe auf deren IT- und OT-Infrastruktur zu stören, um diese zu beschädigen, vorübergehend lahmzulegen oder Lösegeld zu erpressen.
Zu dieser Kategorie gehören von staatlichen Stellen unterstützte Cyberangriffe, die Teil umfassenderer Geheimdienst- und/oder Militäraktivitäten sind. Dazu können Aktionen wie das Ausspionieren einer ausländischen Regierung gehören, um vertrauliche Daten zu stehlen und sich dadurch strategische oder finanzielle Vorteile zu verschaffen.
Laut der Cybersecurity & Infrastructure Security Agency (CISA) umfasst diese Kategorie:
Oft gibt es erhebliche Überschneidungen zwischen diesen Top-Level-Kategorien. Beispielsweise übergeben staatliche Agenten häufig neu erlangte Dokumente oder entdeckte Schwachstellen an Cyberkriminelle, damit diese diese für Schadsoftware, Ransomware und andere Cyberangriffe nutzen können.
Wenn ein Krimineller versucht, eine Organisation zu hacken, wird er nichts Neuartiges ausprobieren, es sei denn, es ist unbedingt nötig. Sie greifen auf gängige Hacking-Techniken zurück, die als äußerst effektiv gelten, wie etwa Malware oder Phishing.
Ganz gleich, ob Sie die neuesten Schlagzeilen zum Thema Datendiebstahl verstehen oder einen Vorfall in Ihrem eigenen Unternehmen analysieren möchten: Es ist hilfreich, die verschiedenen Angriffsmethoden im Internet zu verstehen.
Unter Malware versteht man verschiedene Formen schädlicher Software, beispielsweise Viren und Ransomware. Sobald Sie Malware in Ihrem Computer haben, kann sie allen möglichen Schaden auslösen, angefangen bei der Kontrolle über Ihren Rechner und der Überwachung Ihrer Handlungen und Tastatureingaben bis zur stillen Weiterleitung aller Arten vertraulicher Daten von Ihrem Computer oder aus Ihrem Netzwerk an die Schaltstelle des Angreifers.
Angreifer verwenden eine Vielzahl von Methoden, um Malware in Ihren Computer einzuschleusen, aber irgendwann muss der Benutzer eine Aktion durchführen, um die Malware zu installieren. Hierzu kann beispielsweise das Anklicken eines Links zum Herunterladen einer Datei oder das Öffnen eines E-Mail-Anhangs gehören, der harmlos aussehen mag (wie ein Dokument oder eine PDF-Datei), in Wirklichkeit aber ein verstecktes Installationsprogramm für Schadsoftware enthält.
Ransomware ist eine Form von Schadsoftware, die Daten auf infizierten IT-Systemen verschlüsselt. Es wird ein Lösegeld im Austausch für einen Code gefordert, der – hoffentlich – das infizierte System entschlüsselt. Die Lösegeldzahlung erfolgt in der Regel per Bitcoin an eine anonyme Adresse.
Adware ist eine Art von Schadsoftware, die auf den Geräten der Endbenutzer unerwünschte Werbung anzeigt, um Einnahmen von Werbetreibenden zu erzielen. Er wird oft auf den Geräten der Benutzer installiert, nachdem diese dazu verleitet wurden, auf einen Link zu klicken. Anschließend zeigt die Adware die Anzeigen an und simuliert Benutzerklicks, um den Werbetreibenden vorzutäuschen, dass legitime Benutzer mit ihren Anzeigen interagieren. Für diese Klicks bezahlen sie dann die Cyberkriminellen.
Crypto-Jacking ist eine Art von Schadsoftware, die die Ressourcen infizierter IT-Systeme nutzt, um nach Kryptowährungen zu „schürfen“. Dadurch werden die Rechenressourcen des angegriffenen Systems gestohlen, indem es unter hoher Auslastung läuft, um Einnahmen für die Remote-Angreifer zu generieren. Sie verdienen dann Geld durch den Verkauf der auf dem infizierten System generierten Kryptowährungen.
Bei einem Phishing-Angriff schickt ein Angreifer Ihnen vielleicht eine E-Mail zu, die von jemandem zu stammen scheint, dem Sie vertrauen, wie Ihrem Chef oder einem Unternehmen, mit dem Sie zusammenarbeiten. Die E-Mail scheint legitim zu sein und enthält ein dringliches Anliegen (z. B. wurde ein Betrugsversuch in Ihrem Konto erkannt). In der E-Mail befindet sich möglicherweise ein Anhang zum Öffnen oder ein Link zum Anklicken.
Durch Öffnen des bösartigen Anhangs installieren Sie Malware auf Ihrem Computer. Wenn Sie den Link anklicken, gelangen Sie möglicherweise auf eine legitim aussehende Website, die Sie zum Einloggen auffordert, um auf die wichtige Datei zuzugreifen – aber bei dieser Website handelt es sich tatsächlich um eine Falle, die bei der Anmeldung Ihre Zugangsdaten erfasst.
Spear-Phishing ist eine sehr gezielte Variante des Phishings, bei der eine gefälschte E-Mail oder Nachricht einer vermeintlich wichtigen Person verwendet wird, um eine Person innerhalb derselben Organisation oder einer Partnerorganisation auszutricksen. Bei Spear-Phishing-Versuchen wird die zusätzliche Authentizität des Absenders – wenn auch die eines Betrügers – ausgenutzt, um Personen dazu zu verleiten, Informationen preiszugeben, die sie nicht preisgeben sollten.
Ein Structured Query Language-Injection-Angriff zielt speziell auf Server ab, auf denen wichtige Website- und Servicedaten gespeichert sind. Dabei wird Schadcode verwendet, um den Server dazu zu bringen, Informationen preiszugeben, die er normalerweise nicht preisgeben würde. SQL ist eine Programmiersprache zur Kommunikation mit Datenbanken und kann zum Speichern privater Kundeninformationen wie Kreditkartennummern, Benutzernamen und Passwörtern (Anmeldeinformationen) oder anderer persönlich identifizierbarer Informationen (PII) verwendet werden – alles verlockende und lukrative Ziele für einen Angreifer.
Bei Cross-Site-Scripting-Angriffen (XSS) wird ebenfalls Schadcode in eine Website eingeschleust. In diesem Fall wird jedoch nicht die Website selbst angegriffen. Stattdessen wird der Schadcode erst beim Besuch der angegriffenen Website im Browser des Benutzers ausgeführt und zielt dort direkt auf den Besucher ab.
Eine der gängigsten Methoden für einen XSS-Angriff durch einen Angreifer besteht darin, Schadcode in einen Kommentar oder ein Skript einzuschleusen, das automatisch ausgeführt werden könnte.
Botnetze sind weitverbreitete Gruppen von Geräten, die von Cyberkriminellen kompromittiert und gekapert werden. Die Bedrohungsakteure nutzen sie, um IT-Systeme mit verteilten DoS-Angriffen oder anderen Angriffsarten anzugreifen.
Denial-of-Service-Angriffe (DoS) überfluten eine Website mit mehr Datenverkehr, als sie bewältigen kann. Dadurch wird der Server der Website überlastet und es wird nahezu unmöglich, den Besuchern Inhalte bereitzustellen. Es ist möglich, dass ein Denial-of-Service-Angriff auch aus nicht böswilligen Gründen erfolgt. Dies geschieht beispielsweise, wenn ein großes Nachrichtenereignis ans Licht kommt und die Webseite einer Nachrichtenorganisation durch den Datenverkehr von Personen überlastet ist, die mehr über die Story erfahren möchten.
Zu einem Man-In-The-Middle-Angriff (MITM) kommt es, wenn Cyberkriminelle den Netzwerkverkehr zwischen IT-Systemen abfangen und verändern. Beim MITM-Angriff werden sowohl Absender als auch Empfänger im Netzwerk imitiert. Ziel ist es, beide Seiten dazu zu verleiten, unverschlüsselte Daten zu senden, die der Angreifer abfängt und für weitere Angriffe oder finanziellen Gewinn verwenden kann.
Beim Session Hijacking kapert ein Angreifer eine Sitzung, indem er die eindeutige - und private - Sitzungs-ID abfängt und sich als der Computer ausgibt, der eine Anfrage stellt. So kann er sich als ahnungsloser Benutzer anmelden und Zugang zu nicht autorisierten Informationen auf dem Webserver erhalten. Wenn bei einer Internetsitzung alles wie vorgesehen verläuft, sollten die Webserver auf Ihre verschiedenen Anfragen reagieren, indem sie Ihnen die Informationen übermitteln, auf die Sie zugreifen möchten.
Die Wiederverwendung von Anmeldeinformationen liegt vor, wenn jemand dieselben Anmeldeinformationen auf mehreren Websites verwendet. Es kann das Leben im Moment einfacher machen, kann den Benutzer aber später heimsuchen. Obwohl bewährte Sicherheitsmethoden allgemein die Verwendung eindeutiger Passwörter für alle Anwendungen und Websites empfehlen, verwenden viele Benutzer ihre Passwörter immer wieder. Angreifer machen sich diese Tatsache gerne zunutze und können die wiederverwendeten Passwörter in kompromittierte Anmeldeinformationen umwandeln.
Nicht alle Cyberbedrohungen stammen aus externen Quellen. Daten und andere sensible Informationen wie Anmeldedaten können aus dem Inneren von Unternehmen durchsickern. Dies kann durch böswillige Aktivitäten des Personals oder – häufiger – durch eine unbeabsichtigte Aktion geschehen. Ein Beispiel für einen solchen Fehler könnte das Senden einer E-Mail mit einem unverschlüsselten Anhang an den falschen Empfänger sein.
Wir könnten Tausende von Taktiken und Tipps zur Verhinderung von Cyberangriffen durchgehen, aber schauen wir uns das Ganze einmal genauer an und werfen einen Blick auf einige wichtige Beispiele:
Klären Sie Ihre Mitarbeiter über die Gefahren von Phishing auf und befähigen Sie sie, Phishing-Versuche zu erkennen und zu melden. Zu dieser Art der Schulung gehört das Versenden simulierter Phishing-Kampagnen per E-Mail an die Mitarbeiter, das Überwachen der Ergebnisse, das Intensivieren der Schulung und die Verbesserung der Simulationsergebnisse. Darüber hinaus sind fortlaufende Schulungen der Mitarbeiter zum Thema Sicherheitsbewusstsein unerlässlich, damit sie wissen, wie sie die neuesten Versionen verdächtiger E-Mails, Nachrichten oder Websites erkennen.
Alle auf Servern oder Geräten gespeicherten und über das Netzwerk übertragenen Daten sollten verschlüsselt sein. Sollte ein Angreifer Zugriff auf die Daten erhalten oder diese abfangen, sollten diese durch eine starke Verschlüsselung unlesbar gemacht werden.
Nutzen Sie Nutzer- und Entitätsverhaltensanalysen (User and Entity Behavior Analytics, UBA), um eine Grundlage für normale Aktivitäten in Ihrem Netzwerk zu erstellen. Überwachen Sie dann, wie Administrator- und Serice-Konten verwendet werden, welche Benutzer unzulässigerweise Anmeldeinformationen weitergeben und ob ein Angreifer sich bereits von der anfänglichen Netzwerkkompromittierung ausbreitet, um sich zu bewegen und andere Systeme zu infiltrieren.
Die Implementierung der Multi-Faktor-Authentifizierung (MFA) für alle Systeme ist eine wichtige Best Practice. Das Anforderung einer zusätzlichen Information in Kombination mit einem Benutzernamen und einem Passwort schützt die Systeme, wenn die Anmeldedaten für Cyberkriminelle zugänglich sind. Zusätzliche Token, spezifische Geräteanforderungen und biometrische Daten sind Beispiele für MFA, die beim Anmelden bei IT-Systemen genutzt werden können.
Erstellen Sie einen Drei-Punkte-Plan zur Verhinderung von Ransomware-Angriffen. Hierzu gehört die Minimierung der Angriffsfläche, die Milderung potenzieller Auswirkungen nach der Erkennung einer Gefährdung und die Nachbesprechung, um vorhandene Planlücken zu ermitteln. Von dort aus können Teams Systeme neu aufbauen, Endpunkte unter Quarantäne stellen, Anmeldeinformationen ändern und kompromittierte Konten sperren.
Endbenutzer sind häufige Ziele für Cyberkriminelle, sowohl auf ihren Geräten als auch durch Social-Engineering-Angriffe. Auf allen Endbenutzergeräten sollte eine Endpoint Security-Schutzsoftware installiert sein. Dies sollte in ein umfassenderes SIEM-Tool (Security Information and Event Management) integriert werden, das eine unternehmensweite Überwachung und Analyse von Bedrohungen ermöglicht.
Führen Sie eine Filterrichtlinie ein, durch die externe Daten durchgelassen werden. Dadurch können schädliche Skripte abgefangen werden, bevor sie zum Problem werden können. Dies führt zur Erstellung einer umfassenderen Inhaltssicherheitsrichtlinie, die eine Liste vertrauenswürdiger Quellen nutzen kann, die auf Ihre Webanwendungen zugreifen können.
Erstellen Sie einen zentralen Hub, der alle Funktionen der Sicherheitsorganisation mit Wissen und Daten zu den Bedrohungen mit höchster Priorität versorgt. Unternehmen verlassen sich bei der Skalierung eines Threat Intelligence-Programms in hohem Maße auf die Automatisierung, indem sie Sicherheitsgeräten und -prozessen kontinuierlich Daten zuführen, ohne dass ein menschliches Eingreifen erforderlich ist.
Täuschungstechnologien implementieren „Dummy“-Anwendungen, Datenbanken und andere IT-Systeme in ein Netzwerk. Cyberangreifer, die die externen Firewalls durchbrechen, werden getäuscht und glauben, sie hätten Zugriff auf interne Systeme. In Wirklichkeit sind die Dummy-Systeme als Honeypots gedacht, um es den Sicherheitsteams zu ermöglichen, die Aktivitäten des Angreifers zu überwachen und Daten zu sammeln, ohne die Produktionssysteme zu gefährden.
Viele Geschäftsaktivitäten werden heute über Laptops, Smartphones und Tablets abgewickelt. Außerdem nutzen viele Menschen Laptops für ihre Arbeit. Aufgrund der mobilen Natur all dieser Geräte besteht ein hohes Risiko, dass sie verloren gehen und/oder gestohlen werden. Alle Mobilgeräte (einschließlich Laptops) sollten in einer Mobile Device Management (MDM)-Lösung registriert und verwaltet werden. Bei Verlust oder Diebstahl eines Geräts können die Daten schnell gelöscht werden, so dass unbefugte Benutzer nicht auf die Daten zugreifen können.