Es gibt nichts zu beschönigen, die Zahl krimineller Angriffe auf Unternehmen steigt kontinuierlich und ebenso die Schadenssummen, die durch die Cyber-Attacken verursacht werden. Letztere sogar sprunghaft: im vergangenen Jahr konnte hierbei ein Rekordwert von 223 Milliarden Euro verzeichnet werden. Problematisch mittlerweile auch, dass es nicht nur alle Branchen trifft, sondern dass in zunehmendem Maße der Mittelstand im Fokus der Angreifer steht.
Genutzt werden hierfür primär sechs Angriffsvektoren, um Unternehmen auf unterschiedliche Art und Weise zu schaden – von Wirtschaftsspionage, Sabotage bis hin zur Erpressung. Wie Angreifer dabei vorgehen, werden wir Ihnen im Rahmen der nächsten Blogbeiträge vorstellen. Im ersten Beitrag erläutert Patrizio Ziino, Prokurist bei HEGO IT, warum Cyberkriminelle ihre Phishing- und DDoS-Angriffe so erfolgreich umsetzen können.
Frage: Es heißt, Mitarbeiter stehen oftmals im Visier – wie gehen Angreifer dabei vor und was ist deren Motivation?
PZ: Bei diesen Angriffen geht es in erster Linie um das Einschleusen von intelligenter Malware – hauptsächlich über IT-Endgeräte der Mitarbeiter. Damit können die Angreifer – neben vielfältiger weiterer Schadfunktionen – Informationen auf den Endgeräten ausspähen wie beispielsweise Passwörter oder einen Zugriff auf Unternehmensnetzwerke erlangen.
Ihr Ziel erreichen die Angreifer mit relativ trivialen Methoden. Etwa durch professionelle Manipulation oder Täuschung der Mitarbeiter, dem sogenannten Social Engineering. Hier gibt es vielfältige Möglichkeiten – beispielsweise das Verwenden bekannter E-Mail-Adressen von Kollegen respektive aus dem Bekanntenkreis des anvisierten Opfers oder ein Ausnutzen von Vorlieben, die sich leicht über soziale Netzwerke ermitteln lassen. Von daher ist es sehr zu empfehlen, insgesamt bei der Herausgabe von Informationen selektiv vorzugehen, denn bereits die Abwesenheitsnotiz in einer E-Mail kann Cyberkriminellen die Grundlage für ihren Angriff liefern.
Im Endeffekt steckt hinter all dem die Absicht, einen Nutzer dazu zu verleiten, eine Handlung auszuführen. Also entweder auf den Anhang einer E-Mail zu klicken oder auf einen Link in der E-Mail, der auf eine Webseite weiterleitet, die logischerweise infiltriert ist. Die Intention dahinter ist in beiden Fällen, dadurch einen Prozess zu starten, der das Installieren einer Schadsoftware ermöglicht. Ersteres ließ sich lange Zeit erfolgreich über recht simple Phishing-E-Mails erreichen. Da diese Methode jedoch bereits sehr oft eingesetzt wurde, ist ein Großteil der Nutzer mittlerweile dahingehend mehr sensibilisiert – folglich werden die Angriffsmechanismen seitens der Cyberkriminellen sukzessive verfeinert, zum Beispiel durch noch zielgenauere Personalisierung, also unter anderem mit Spear-Phishing.
Frage: Wie können Webseiten kompromittiert werden und welches Ziel steckt dahinter?
PZ: Über die Kompromittierung von Webseiten ist es sowohl möglich, Informationen wie Zugangsdaten von Nutzern abzugreifen als auch – durch Drive-by-Downloads – Schadsoftware auf deren Endgeräte zu schleusen. Dabei spielt es den Kriminellen in die Hände, dass manche Unternehmen ihre Internetauftritte oft über mehrere Monate nicht aktualisieren. Denn dementsprechend werden auch die aktuellen Sicherheits-Updates nicht installiert. Über die bekannten Schwachstellen der überwiegend genutzten Weblog-Software ist es für Angreifer somit ein Leichtes in das Backend einer Webseite einzudringen, um dann beispielsweise Links einzufügen, die zu einer geklonten Phishing-Webseite führen. Auf diesem Wege wird es dann möglich, die gewünschten Informationen, zum Beispiel Passwörter oder Kontonummern, abzufragen. Die Implementierung einer Schadsoftware im Backend eröffnet des Weiteren auch die Option, die Endgeräte von Besuchern der Webseite zu infizieren.
Auch hier finden Cyberkriminelle immer neue Möglichkeiten, um ihre Ziele zu erreichen – aktuell werden CAPTCHAs mit Malware infiziert. Das zeigt, dass die Angreifer nicht ausschließlich auf Phishing-E-Mails setzen, um Nutzer dazu zu verleiten, auf kompromittierte Webseiten zu gehen und macht deutlich, wie wichtig es für Unternehmen ist, sich kontinuierlich mit den Angriffsvektoren auseinanderzusetzen, um ihr angemessenes Schutzniveau aufrechterhalten zu können.
Frage: Welche Absicht verfolgt ein Angreifer mit einem DDoS-Angriff – Sabotage oder Erpressung?
PZ: Im Prinzip beides – die Strategie ist jeweils absolut identisch. Für diesen Angriff wird ein IT-System – etwa ein Webserver – ganz gezielt mit einer großen Anzahl von dedizierten Anfragen überflutet, wodurch die verfügbaren Ressourcen – wie Bandbreite oder CPU – komplett ausgereizt werden, was zur Lahmlegung des attackierten IT-Systems führt. Erfolgreich realisieren lässt sich dies in der Regel unter Einsatz von Botnetzen, deren Bots die Schadfunktion „DDoS“ aktiviert haben, sowie weiteren Verstärkungsmechanismen. Dadurch ist es letztendlich möglich, zum Beispiel ganz gezielt bestimmte IT-Dienste außer Betrieb zu setzen.
Doch auch wenn die Vorgehensweise immer gleich ist, können die Motive der Cyberkriminellen sehr unterschiedlich sein: Denkbar ist, dass auf diesem Wege ein IT-Dienst – etwa das Buchungssystem für ein Konzert oder Fußballspiel – für eine definierte Zeit zum Stillstand gebracht werden soll, um so den Kartenverkauf zu verhindern, oder eben ganz allgemein einen Konkurrenten zu schädigen. Aber ebenso ist es möglich, dass der Angriff beziehungsweise eine entsprechende Androhung mit der Absicht erfolgt, ein Unternehmen zu erpressen – also um eine bestimmte Summe verlangen zu können, damit der DDoS-Angriff gestoppt oder gar nicht erst durchgeführt wird.
Frage: Besteht die Gefahr, dass die Art des Angriffs zukünftig zunehmen wird?
PZ: Ja – diese Gefahr besteht tatsächlich, das können wir auch beobachten. Allein aufgrund der stetig steigenden Anzahl von IoT-Geräten. Denn diese können sehr gut für DDoS-Attacken ausgenutzt werden, da sie meistens nur unzureichend geschützt sind. Von daher ist es für die Cyberkriminellen das reinste Kinderspiel diverse Endgeräte wie Überwachungskameras oder Smartwatches mit Malware zu infizieren und diese dann für ihre DDoS-Angriffe einzusetzen.
Das mögliche Ausmaß des Bedrohungspotentials zeigte sich bereits 2020 durch einen DDoS-Angriff von 2,3 Terabit pro Sekunde (TBit/s) auf Amazon, unter anderem mittels IoT-Botnetzen. Aus diesem Grund müssen sich Unternehmen darauf mit On-Site-Robustheitsmaßnahmen oder Off-Site-Dienstleistungsmodellen vorbereiten, um nicht auf diese Weise erpressbar zu sein.