Insider-Portal

Das Insider Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie: Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen
Intel Inside®. Leistungsstarke Cloud-Services Outside.
Dell Lösungen powered by Intel®

 

Angriffe auf die eigene IT – die beliebtesten Methoden der Hacker 2014 und 2015

Sven Janssen leitet seit Februar 2015 die Bereiche Network Security und Channel der Dell Software GmbH in Deutschland. Er ist seit Juli 2006 Country Manager Germany bei SonicWALL und verantwortet damit sämtliche Vertriebs- und Channelaktivitäten für Deutschland. Vor seiner Zeit bei SonicWALL war er von 1999 bis 2004 bei Symantec tätig. Nach einer Position im ChannelMarketing betreute er als Enterprise Partner Account Manager in den Regionen Nord und West namhafte Enterprise VARs.

Cyberangriffe sind bei jeder Art der Internetnutzung heutzutage allgegenwärtig. Der damit voraussichtlich angerichtete Schaden steht im engen Zusammenhang mit der Größe eines Unternehmens - je größer das Unternehmen, desto größer ist der zu erwartende Schaden. Laut den Sicherheitsexperten von Kaspersky Lab müssen deutsche Großunternehmen nach einer Cyberattacke mit durchschnittlichen Folgekosten von 360.000 Euro rechnen. Bei mittelständischen Unternehmen können das bis zu 41.000 Euro pro erfolgreicher Cyberattacke sein - was durchaus mal das Firmen-Aus bedeuten kann.

Foto: Dell

Die Spitzenreiter der Cybergefahren sind laut einer Kaspersky-Umfrage Spam, Malware und Phishing. Die drei Bedrohungen bauen häufig aufeinander auf. Dabei spielt es keine Rolle, ob man privat daheim vor seinem PC sitzt, unterwegs mit dem Smartphone seine E-Mails checkt oder im Büro am PC arbeitet.

Die Funktionsweisen der drei Attacken-Arten sind:

  • Spam: Ziel hierbei ist es, per E-Mail den Adressaten dazu zu bewegen, eine in der elektronischen Nachricht als Anhang platzierte Datei zu öffnen oder einen Link anzuklicken. Mit Texten wie Mahnungen, Telefonrechnungen, Aufforderung zur Überprüfung der Kontodaten oder zum Prüfen der Zugangsdaten bei Paypal, Amazon oder eBay wird an das "gute Gewissen" des Empfängers appelliert.

  • Malware: Hat das Opfer die Datei oder den Link in der Spam-Nachricht angeklickt, installiert sich eine Software, die nichts Gutes im Schilde führt: die Malware. Vermutlich merkt der Anwender nichts davon. Dennoch hat haben die Cyberkriminellen das Computersystem komplett in der Hand und kann damit machen, was sie wollen. Malware kann auch in Folge von Sicherheitslücken im Webbrowser oder PDF-Readern den Weg auf den Computer finden.

  • Phishing: Nach erfolgreicher Installation hat die Malware dem Angreifer Tür und Tor Ihres PCs geöffnet. Nun kann sie mit dem Abfischen von Zugangs und Kontodaten - dem Phishing - beginnen. Dazu manipuliert die Software zum Beispiel die Art und Weise, wie Domain-Namen wie "www.bank.de" in IP-Adressen umgesetzt werden und leitet den Anwender auf eine Seite, die genau wie die seiner Bank aussieht, aber nicht ist. Gibt er dort seine Login-Daten ein, werden die abgefischt und - völlig unbemerkt vom Anwender - zu den Cyberkriminellen verschickt.

Detaillierter geht das aktuelle E-Book "Security Threat Report" auf die im vergangenem Jahr häufigsten cyberkriminellen Aktivitäten ein. Der von Dell erstellte Report zeigt, dass Unternehmen hauptsächlich acht Arten von Bedrohungen aus dem Internet ausgesetzt waren und auch weiterhin sind. Die wichtigsten Ergebnisse sind:

  • Es gab 2014 eine Welle von Malware-Attacken und Angriffe auf Point of Sales (POS - Verkaufsstellen, die eine bargeldlose Bezahlweise akzeptieren).

  • Die Angriffe auf mit Secure Socket Layer (SSL) und Transport Layer Security (TLS) verschlüsselten Internetverkehr stiegen dramatisch an.

  • Es fand eine Verdopplung der Angriffe auf Steuer-, Regelungs- und Überwachungssysteme (SCADA) statt, die übers Internet erreichbar sind (beispielsweise Systeme in Industrieanlagen und Verkehrsleitsysteme).

Alle Daten für diesen Report lieferte das Dell Global Response Intelligence Defense (GRID) Network. Dabei kann das GRID-Netzwerk auf die folgenden Informationsquellen zurückgreifen:

  • mehr als eine Million Erfassungssysteme für IT-Sicherheitsverletzungen in mehr als 200 Ländern

  • Honeypot-Ergebnisse aus dem Dell-Center für IT-Bedrohungen

  • Malware-/IP-Analyse aus den Daten von Zehntausenden von Firewalls und E-Mail-Sicherheitseinrichtungen rund um den Globus

  • Analyse gemeinsamer Bedrohungen von mehr als 50 Industriebranchen und Forschungseinrichtungen

  • Erkenntnisse freiberuflicher Sicherheitsexperten

  • Spam-Alarme von Millionen Computer-Nutzern, deren IT mit einem Dell Sonic Wall E-Mail-Security-System geschützt sind.

So konnten beispielweise 1,7 Billionen IPS-Attacken und 4,2 Milliarden Malware-Angriffe blockiert werden. Insgesamt wurden im Jahr 2014 rund 37 Millionen Malware-Varianten sichergestellt. Gegenüber dem Jahr 2013 ist das fast die doppelte Anzahl (19,5 Millionen). Anders ausgedrückt bedeutet das, dass im Jahr 2014 jeden Tag doppelt so viele Angriffe auf IT-Systeme erfolgten als noch im Jahr davor.

Auch wenn die Ergebnisse der Untersuchung und die Entwicklung bedrohlich erscheinen, gibt es genügend Techniken, sein System komplett abzusichern. Je nach Angriffsart gibt es passende Techniken, um sich schützen:

1. Anstieg von POS Malware-Varianten und Angriffe auf die Infrastruktur von Bezahlsystemen

Besonders hart traf es im vergangenen Jahr den Einzelhandel in der USA, vor allem die großen Einzelhandelsketten wie die Baumarktkette Home Depot, der Discount-Einzelhändler Target, Michaels Stores und die Einzelhandelskette für Bürobedarf Staples. Kreditkartenbetrüger machten diese Unternehmen allesamt zur Zielscheibe ihrer kriminellen Energie. Die Opfer waren viele Millionen Verbraucher, deren gestohlene Identität für betrügerische Einkäufe verwendet wurde. So wurden zunächst bei der Einzelhändlerkette Target 40 Millionen Kreditkartennummern gestohlen. Ein paar Monate später traf es Home Depot mit 56 Millionen gestohlenen Kreditkartennummern. Bei Home Depot und bei Michaels erfolgten die Angriffe sogar über mehrere Monate, bevor sie überhaupt entdeckt wurden.

Dell konnte die POS-Angriffe sehr gut bei Kunden erkennen, die mit einem SonicWall System geschützt waren. Die Bilanz im Jahr 2014 war, dass Dell dreimal mehr Gegenmaßnahmen für POS-Malware bereitgestellt hat als in 2013.

Die Erkenntnis daraus ist: Hier läuft etwas total schief. Denn wie kann es sein, dass in einer modernen Einzelhandels-Umgebung, in der die Einhaltung der Payment Card Industry (PCI) Standards Pflicht ist, so etwas passiert? Zu vermuten ist, dass Mitarbeiter schlecht ausgebildet sind, Firewall-Richtlinien missachtet werden oder gar Verletzungen von Sicherheitsrichtlinien innerhalb des Unternehmens wie die Erteilung unerlaubte Benutzerberechtigungen Gründe dafür sind.

»
Statistik: Umsatz im bargeldlosen Zahlungsverkehr in Deutschland in den Jahren 2009 bis 2013 (in Milliarden Euro) | Statista

2. Viele Unternehmen waren Angriffen durch SSL/TLS verschlüsselten Datenverkehr ausgesetzt

Finanzinstitute und andere Unternehmen nutzen seit vielen Jahren das HTTPS-Protokoll, um sensible Daten sicher zu übertragen. Dieser Praxis folgen auch Google, Facebook und Twitter, um die Privatsphäre und Sicherheit ihrer Nutzer zu gewährleisten. Dell konnte in 2014 einen stetigen Anstieg der HTTPS-Verbindungen beobachten. Während die Anzahl der HTTPS-Verbindungen im Januar 2014 noch bei 182 Milliarden lag, waren es ein Jahr später im Januar 2015 bereits 382 Milliarden. Die Zahl steigt kontinuierlich. Im März 2015 konnte Dell 437 Milliarden HTTPS-Verbindungen feststellen.

Zwar bietet diese Verschlüsselung viele Vorteile, aber sie kann auch von Hackern genutzt werden, um ihr Unwesen zu treiben. Denn über verschlüsselte Verbindungen wird es möglich, Schadsoftware beispielsweise vor Unternehmensfirewalls zu verstecken. So ist es im Jahr 2014 Hackern gelungen, vier Tage lang pro Stunde rund 27 Millionen Nutzer in Europa mit Malware zu verseuchen. Das Prinzip dabei war simpel: Es gelang auf der News-Seite von Yahoo eine verseuchte Banner-Werbung zu platzieren, die die Schadsoftware enthielt und beim Anklicken diese auf dem PC des Nutzers kopierte und ausführte. Da Yahoo seine Webseite verschlüsselt, konnte diese Malware ungehindert die Firewall passieren.

Das Erkennen solcher Bedrohungen ist nicht so einfach. Trotzdem können sich Unternehmen gegen Bedrohungen im verschlüsselten Datenverkehr schützen, indem sie Mechanismen zur Analyse des SSL-Datenverkehrs integrieren.

3. Sprunghafter Anstieg der Angriffe auf SCADA-Systeme

Die moderne Industrie setzt seit vielen Jahren SCADA-Systeme zur Überwachung, Steuer- und Regelung von Prozessabläufen ein. SCADA steht für "Supervisory Control and Data Acquisition". Prinzipiell sind das Computersysteme mit Software, die speziell für industrielle Prozesse entwickelt wird. Diese Systeme sind zumeist über das Internet miteinander vernetzt. Kriminelle versuchen diese Systeme zu übernehmen, um anschließend Staaten zu erpressen und mit der Zerstörung der Industrieanlagen zu drohen.

So haben die IT-Experten des Unternehmens Dell im Vergleich zum Jahr 2013 für das Jahr 2014 einen drastischen Anstieg der Angriffe auf SCADA-System festgestellt:

  • Während im Januar 2012 weltweit 91.676 Angriffe auf SCADA-Systeme registriert wurden, waren es ein Jahr später bereits 163.228 Angriffe. Noch ein Jahr später, im Januar 2014, belief sich die Anzahl der festgestellten Angriffe auf 675.186.

  • Die meisten Angriffe davon betrafen die Länder Finnland, Großbritannien und USA, da die SCADA-Systeme in diesen Ländern am besten per Internet erreichbar sind. In Finnland konnte Dell 202.322 SCADA-Attacken erkennen, 69.656 in Großbritannien und 51.258 in der USA.

  • Die dabei am meisten angewendeten Methoden für die Attacken (25 Prozent), nutzten Schwachstellen aus wie "Buffer overflow".

Es gibt viele verschiedene Methoden, um sich in lebenswichtige Versorgungs- und Industrieanlagen (SCADA-Systeme) einzuhacken.
Es gibt viele verschiedene Methoden, um sich in lebenswichtige Versorgungs- und Industrieanlagen (SCADA-Systeme) einzuhacken.
Foto: Dell

Allerdings muss man hier von einer hohen Dunkelziffer ausgehen. Denn die meisten SCADA-Attacken werden von den betroffenen Unternehmen nicht kommuniziert. Um solchen Angriffen vorbeugend entgegenzuwirken, empfiehlt Dell:

  • Es gilt sicherzustellen, dass Soft- und Hardware auf den aktuellen Stand sind. Meist werden SCADA-Systeme installiert, aber lange Zeit nicht aktualisiert. Erfolgt dann im Laufe der Zeit eine Verbindung mit dem Internet, besteht eine erhöhte Gefahr eines Angriffs auf das SCADA-System und damit auf den laufenden Industrie-Prozess.

  • Es dürfen nur bekannte IP-Adressen im Netzwerk mit dem SCADA-System kommunizieren können.

  • Sämtliche Zugriffsmöglichkeiten auf das SCADA-System müssen auf das absolute notwendige Maß begrenzt werden (kontrollierter Zugriff via USB, Bluetooth deaktivieren).

  • Wenn ein Angriff auf ein SCADA-System festgestellt wurde, sollte das dokumentiert und weitergegeben werden. Das hilft, weiter Angriffe zu verhindern und das System sicherer zu machen.

Das monatliche Aufkommen an Attacken auf SCADA-Systeme ist beachtlich hoch.
Das monatliche Aufkommen an Attacken auf SCADA-Systeme ist beachtlich hoch.
Foto: Dell

4. Verbesserte Sicherheit für Unternehmen: Die Zwei-Faktor-Authentifizierung

Im Jahr 2014 gab es einen regelrechten Boom des Identitätsdiebstahls. So wurden beispielsweise verstärkt Daten von Kreditkarten gestohlen und diese auf dem Schwarzmarkt gewinnbringend verkauft. Die Finanzinstitute sahen sich aufgrund hoher Verluste gezwungen, etwas dagegen zu unternehmen und setzten auf die Zwei-Faktor-Authentifizierung (englisch: two-factor authentification oder kurz 2FA).

Das Prinzip dahinter ist, dass zur Authentifizierung Name und Passwort alleine nicht genügen. Die Bank sendet an die bei der Registrierung angegebene Mobilfunknummer per SMS einen Vergleichscode. Dabei ist der gesendete Vergleichscode nur eine kurze Zeit gültig. In Kombination mit Name, Passwort und Vergleichscode kann nun ein Zugriff auf die Bankdaten erfolgen. Ein typisches Beispiel dafür ist der Prozess für finanzielle Überweisungen beim Online-Banking.

Für die Sicherheit im Unternehmen sind neben einer Mehr-Faktor-Identifizierung noch weitere Maßnahmen wichtig:

  • Alle Mitarbeiter nutzen für die unterschiedlichen Online-Services jeweils unterschiedliche Passwörter. Passwort-Management-Tools erhöhen hier die Akzeptanz.

  • Der Verlust eines mobilen Geräts muss sofort und detailliert dem Verantwortlichen im Unternehmen mitgeteilt werden.

  • Alle Mitarbeiter müssen ausführlich über grundsätzliche Sicherheitsmaßnahmen informiert sein.

5. Malware für Smartphone mit dem Betriebssystem Android

Die steigende Verbreitung von Smartphones führte dazu, dass cyberkriminelle Elemente diese Plattform stärker für ihre Zwecke ausnutzen. Ab dem Jahr 2014 konnte man feststellen, dass Malware für Smartphones sich in ihren Zielen immer mehr an den von Desktop-PCs her bekannten anlehnen. So entstand im vergangenen Jahr eine Vielzahl von Android-Schadsoftware mit Funktionen, die die vom PC her bekannte Ransomware nachahmten. Ransomware dient zur Erpressung von Geld. Der Trick dabei ist, dass die Schadsoftware Daten verschlüsselt oder den Zugriff darauf verhindert. Gegen Zahlung eines geforderten Geldbetrages bekommt man (wenn man Glück hat) den Schlüssel, um wieder an die Daten zu gelangen.

Dell SonicWall entdeckte den ersten Schädling dieser Art für Android-Geräte im Mai 2014. Dabei handelte es sich um die Schadsoftware "AndroidLocker", der eine angebliche Warnung des FBI wegen des Anschauens, Speicherns und Verbreitens von pornografischen Inhalten auf dem Bildschirm anzeigt. Das Mobilgerät wird zeitgleich gesperrt und kann nicht mehr benutzt werden. Danach ist der Hinweis zu lesen, dass das Gerät gegen die Zahlung einer Gebühr wieder entsperrt wird.

Nur wenige Wochen später erfolgte eine weitere Angriffswelle, dieses Mal durch die Schadsoftware "Simplelocker". Er unterscheidet sich zu "AndroidLocker" durch zwei Eigenschaften:

  • Es wurden alle Dateien verschlüsselt, die sich auch auf SD-Cards befinden.

  • Zur Steuerung, Kontrolle und Kommunikation wurde das anonyme Netzwerk "Tor" genutzt. Es war die erste Android-Malware, die eine komplette Dateiverschlüsselung auf dem Mobilgerät herstellte und zur Kommunikation für die Wiederherstellung das Tor-Netzwerk nutzte, um sich selbst gegen Verfolgung abzusichern.

Innerhalb kürzester Zeit folgten weitere Schadprogramme, meist Trojaner zum Ausspionieren von Passwörter und Bankdaten. Mittlerweile ist ein Trend für Schadsoftware auf Android-System zu erkennen, der in Form von Apps neben den Smartphones und Tablet-PCs auch Wearables, TV-Geräte und andere Android-Geräte als Ziel hat. Die Möglichkeit, solche Geräte mit Smartphones, Laptops und Desktop-PCs zu paaren, eröffnet Hackern ein noch größeres Spielfeld für ihre kriminellen Handlungen.

Foto: Dell

6. Digitale Währungen sind willkommene Ziele

Zu den bekannten digitalen Zahlungsmitteln im Internet gehört Bitcoin. Die Mt. Gox Co. Ltd. gehörte einst zu den bedeutendsten Bitcoin-Tauschhändlern - bis bei ihnen im Februar 2014 plötzlich das Licht ausging. Die Webseite von Mt. Gox zeigte nur noch leere Seiten und alle Twitterfeeds waren gelöscht. Als sich die Aufregung gelegt hatte, stellte das Unternehmen fest, dass rund 850.000 Bitcoins im Wert von 450 Millionen Dollar anscheinend gestohlen wurden. Zwar konnten später etwa 200.000 Bitcoins wiederhergestellt werden, aber Mt. Gox konnte sich von diesem Schlag nicht mehr erholen. Das Unternehmen sah sich dazu gezwungen, seine Geschäftstätigkeit aufzugeben und zu schließen.

Im gleichen Jahr traf es auch Bitcoin-Tauschhändler wie Flexcoin und Poloniex. Während der Diebstahl traditioneller Währung Spuren hinterlässt, weil das Geld auf ein anderes Bankkonto transferiert werden muss, hinterlässt der Diebstahl digitaler Währung keine Spuren. Derzeit wird die Anzahl der Bitcoin-Akzeptanzstellen auf 140.000 geschätzt. Daraus lässt sich schließen, dass der Diebstahl von Bitcoins auch zukünftig weitergehen und für das Jahr 2015 ansteigen wird.

»
Statistik: Anzahl der sich im Umlauf befindlichen Bitcoins (BTC) von November 2012 bis Januar 2015 (in Millionen) | Statista

7. Router und Heimnetzwerke als Gehilfen für DDoS-Attacken

Auch DDoS-Attacken auf das Domain-Name-System (DNS) nahmen im Jahr 2014 deutlich zu. Etwa 5,3 Millionen verwundbare Internet-Router (in Deutschland allgemein als DSL-Router bekannt) wurden dafür allein im Februar 2014 genutzt. Der in der USA ansässige Anbieter für DNS- und DHCP-Server Nominum schätzt, dass bei etwa 24 Millionen Routern die DNS-Proxies offen sind und für zukünftige DDoS-Attacken genutzt werden können.

Da DDoS-Attacken relativ einfach durchführen lassen, sind diese beliebt und werden wahrscheinlich in Zukunft weiter zunehmen. Über den privaten Router wird das Angriffsziel maskiert, was es dem ISP (Internet Service Provider) erschwert, die Spur der Attacke zu verfolgen.

So waren im März 2014 an einer einzigen Attacke 300.000 Router aus Privathaushalten beteiligt. Bei all diesen Routern waren administrative Zugriffe per Internet möglich. Private und geschäftliche Nutzer, die für ihren Internetzugang Endkunden-Router nutzen, sollten daher einige wichtige Schritte beachten:

  • Immer ein eignes Passwort für den Zugang zum Router festlegen und niemals das vom Hersteller vorgegebene Passwort nutzen.

  • Prüfen Sie regelmäßig, ob es eine aktuellere als die derzeit genutzte Firmware für das verwendete Router-Modell gibt. Besuchen Sie dafür die Hersteller-Webseite und aktivieren Sie - wenn möglich - eine automatische Benachrichtigung für Firmware-Updates.

  • Deaktivieren Sie die Funktion "Remote-Management over the Internet" sowie alle weiteren Möglichkeiten, Zugriff per Internet zu Ihrem Router zu bekommen.

  • Verwenden Sie möglichst keine vorgegebenen Bereiche der IP-Adressen für das LAN.

  • Vergessen Sie niemals, sich von einer Router-Sitzung (bspw. Konfiguration) am Ende abzumelden.

  • Überprüfen Sie regelmäßig die DNS-Einstellungen des Routers auf eventuelle Änderungen, die Sie nicht selbst vorgenommen haben.

  • Wenn möglich, nutzen Sie eine SSL-Verbindung, um auf das Web-Interface des Routers zuzugreifen.

Foto: Dell

8. Autos und deren Bordsysteme als mögliche Ziele für Attacken

Der Markt für Autos mit Internet-Anschluss ist zwar noch klein, erlebt derzeit aber einen Aufschwung. Mit einem sprunghaften Anstieg ist im Moment zwar nicht zu rechnen, aber in Zukunft könnten cyberkriminelle Elemente hier eine neue Spielwiese für sich entdecken.

So zeigt die Vergangenheit und auch die Gegenwart: Sobald sich eine IT-Technologie bei einer genügend großen Zielgruppe am Markt etabliert, stürzen sich die Hacker & Co. mit ihrer kriminellen Energie darauf. Sobald die Anzahl von Autos mit Internetanschluss groß genug ist, wird sich dieses Spiel wiederholen. Einfach wird es für Hacker alleine schon dadurch, dass damit zu rechnen ist, dass die Dashboards der Autos mit Geräten bestückt sind, die mit Apple- oder Android-Betriebssysteme arbeiten.

Apples iOS basiertes CarPlay und Googles Konkurrenzprodukt Android Auto Standard sind gute Beispiele und ebnen den Weg der Autohersteller für eine einfache und anspruchsvolle Fahrzeug-Konnektivität. Genauso wie es bei Smartphones mit Malware begonnen hat und dort Desktop-Varianten imitiert wurden, sind Angriffe auf zukünftige Fahrzeuge keine Utopie.

Wie sehen Ihre Erfahrungen bei Angriffen auf die eigene IT aus? Dell besitzt eine eigene Abteilung, die einen kompletten Sicherheitscheck Ihres Unternehmens vornehmen kann. Sprechen Sie uns an und vereinbaren Sie einen Termin.

Für noch mehr Informationen laden sich den kompletten Dell Security Threat Report herunter.

Weitere Informationen: