Unternehmen leiden zunehmend unter größeren kriminellen Angriffen übers Web, oft ohne diese zu erkennen. Meist sind es systematische, auf Wiederholung ausgelegte und komplexe Angriffsmuster. Über lange Zeiträume werden Daten und Dokumente missbraucht oder verfälscht und so Leistungen, Produkte oder Informationen erschlichen.
Foto: IIra2studio - shutterstock.com
Um die Taten zu verbergen, greift der Täter oder die Tätergruppe zu zahlreichen Scheinidentitäten, seien es erfundene Personen, Unternehmen, Adressen oder Webseiten. Typische Aktionen solcher Netzwerke: Mehrere untereinander augenscheinlich nicht vernetzte Webseiten vertreiben neben authentischen Produkten auch Fälschungen. Auf Auktionsmarktplätzen bieten offenbar unterschiedliche Verkäufer auffallend günstige Artikel an.
Solche kriminellen Netzwerke können sich wie Spinnenweben um das Unternehmen legen und es, lange unbemerkt, nachhaltig schädigen. Die angegriffenen Unternehmen haben nur eine Chance, diese zu identifizieren, sofern sie deren Strukturen durchschauen und nicht von Einzeltaten ausgehen.
Betroffen sind in erster Linie internationale Konzerne. Durch ihre verzweigte Unternehmensstruktur über viele Landesgrenzen hinweg bieten sie zahlreiche Angriffspunkte. Besonders Unternehmen aus der Versicherungswirtschaft, aus IT und Hightech, der Pharmaindustrie und Markenhersteller der Textilbranche sind geeignete Opfer. Sie bieten wertvolle und schwer nachzuahmende Produkte beziehungsweise Leistungen an, die sich gut transportieren und global verkaufen lassen. Aber auch größere Mittelständler werden zunehmend zum Opfer krimineller Netzwerke, zum Beispiel branchenführende Zulieferer für die Autoindustrie. Denn auch solche "Hidden Champions" bieten sehr gefragte und schützenswerte Waren an.
- Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor. - Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln. - Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet. - Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren. - Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin. - Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind. - Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren. - Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin. - Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
Erster Schritt: Die Gefahr richtig einstufen
Wie können Unternehmen diese Netzwerke erkennen? Wichtig für eine angemessene Reaktion ist es zunächst, die Gefahr richtig einzustufen. Wenn sich bei einem Vorfall alle Recherchen lediglich auf die Einzeltat beziehen, ohne einen Netzwerk-Angriff zu erwägen, werden auch verhältnismäßig geringe Ressourcen für diesen Fall bereitgestellt.
Ganz anders werden Unternehmen reagieren, die in der Lage sind, den einzelnen Vorfall aufgrund ihres Wissens mit anderen in Beziehung zu setzen. Sie werden den Fall völlig anders priorisieren, weil die vermuteten Verluste für das Unternehmen ungleich höher angesetzt werden. Ebenso wichtig ist es, die entstehenden Kosten für Ermittlungen richtig zu kanalisieren und die Mittel zielgerichtet einzusetzen. Von Bedeutung ist das Erkennen eines Netzwerkes auch, weil die Strafverfolgung aufgrund der höheren Relevanz des Falls konsequenter sein wird als bei einer Einzeltat.
Der Aufwand: Daten zentral sammeln und pflegen
Um ein mögliches Netzwerk zu entdecken, sollten alle unternehmensweit relevanten Informationen zentral erfasst und gespeichert werden. In einer Datenbank können - unter Berücksichtigung der Anforderungen des Datenschutzes - alle fragwürdigen Vorfälle, Personen und Unternehmen sowie deren Beziehungen untereinander gesammelt werden. Oft existieren in Großkonzernen solche Datensammlungen in Sicherheits-, Markenschutz- oder Rechtsabteilungen, überwiegend dezentral. Sofern diese Informationen aktuell und abteilungsübergreifend gepflegt werden, können neue Angriffe bereits bekannten zugeordnet und mögliche Netzwerke schnell erkannt werden.
Beispielsweise lassen sich Zusammenhänge zwischen Identitäten ermitteln: Verschiedene Webseiten, die zum Beispiel mit "whois privacy" geschützt sind, können mittels eines "Website-Fingerprint" miteinander in Verbindung gebracht werden. Auch eine einfache forensische Analyse der gesicherten öffentlichen Website-Daten und Dateien wie beispielsweise Fotos mit GPS und anderen Metadaten und andere Informationen kann bisher unbekannte Zusammenhänge zu vorhandenen Informationen hervorbringen.
- Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. - 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. - 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. - 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. - 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. - 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. - 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
Diese konsequente und vollständige Datenerfassung verdächtiger Personen, Vorfälle und Unternehmen ist unter umsetzbarer Berücksichtigung des Datenschutzes nicht nur erlaubt, sondern eine Pflicht. Es gibt zwar keine eindeutige gesetzliche Verpflichtung, aber die Ausstrahlungswirkung von AktG, GmbHG, HGB, KonTraG und so weiter sowie den für viele Unternehmen ja auch relevanten internationalen Bestimmungen wie FCPA, UK Bribary Act ist deutlich genug. Demnach ist die Geschäftsleitung dafür verantwortlich, dass erforderliche, zumutbare und angemessene Maßnahmen ergriffen werden, um drohende Schäden frühzeitig zu erkennen und abzuwenden.
Schnittstellen zwischen Internet und realer Welt prüfen
Wenn ein Angriff durch eine Linkanalyse als möglicher Teil eines Netzwerkes eingestuft wurde, gilt es, in einer sehr detaillierten Analyse alle Zusammenhänge herauszufinden und alle "losen Enden" zusammenzufügen, bis sich das Bild des Netzwerkes vervollständigt hat. Besonderes Augenmerk sollte auf alle Schnittstellen gelegt werden, an denen die Internetwelt in die reale übergeht. Beispielweise sind im Netz angegebene Firmendaten wie Adressen und Telefonnummern oder die Betreiber von Internetangeboten durch Recherchen vor Ort zu überprüfen. Die relevanten Informationen müssen dann in der Datenbank erfasst und analysiert werden.
Wichtig ist, dass die Analysen schnell vorgenommen und Beweise rechtssicher gesammelt werden, denn oftmals existieren fragwürdige Verkaufsangebote im Internet nur für wenige Tage oder Stunden. Vorgetäuschte Identitäten werden kurz nach dem Vorfall wieder aufgelöst.
Informationen aus unterschiedlichen Quellen erfassen und auswerten
Die Menge der heute öffentlich zugängigen Informationen ist dank des Internet so groß, dass eine einzelne Suche bereits oft schon zu einer Masse an Informationen führt. Um diese unstrukturierten Daten möglichst zielorientiert nutzen und auch Abgleiche mit vorherigen Analysen oder vorhandenen Fallinformationen erstellen zu können, sollten sie in eine zentrale Intelligence-Plattform einfließen. Beispiele sind hierfür die IBM-Lösung i2 oder die Palantir-Plattform. Mit einer solchen Intelligence-Plattform lassen sich nach der Datenerfassung beziehungsweise dem Import sehr große Datenmengen aus vielfältigen Quellen sehr schnell analysieren. Auch komplexe Suchanfragen können gespeichert und jederzeit und automatisch wieder ausgeführt werden.
- Die besten Systemhäuser für IT-Security
In unserer jährlichen Umfrage zur Zufriedenheit der Anwender mit ihren Systemhäusern wurden rund 800 Security-Projekte bewertet. Hier finden Sie die fünf Systemhäuser mit den besten Durchschnittsnoten (Note eins - sehr gut; Note sechs - sehr schlecht). - Platz 10: IT-on.NET
Note: 1,53 - Platz 10: pdv-systeme Sachsen
Note: 1,53 - Platz 9: SVA System Vertrieb Alexander
Note: 1,52 - Platz 8: MR Datentechnik
Note: 1,46 - Platz 7: Dextra Data
Note: 1,44 - Platz 6: dualutions
Note: 1,42 - Platz 5: IT-Haus
Note: 1,36 - Platz 4: Schneider & Wulf
Note: 1,35 - Platz 3: Interface Systems
Note: 1,22 - Platz 2: Krämer IT
Note: 1,19 - Platz 1: Systemhaus Cramer
Note: 1,18
Hieraus können unterschiedliche Analysen erstellt werden, wie zum Beispiel zu Domains und Websites, Linkanalysen zur Identifizierung von Schlüsselpersonen und -Organisationen oder Investigative Due Diligence zu Firmen und Personen. Die Analyse-Ergebnisse lassen sich vielfältig verwenden, etwa bei zivil- und strafrechtlichen Auseinandersetzungen. Eine durchdachte Investition in eine solche Lösung unterstützt damit die Konzernsicherheit direkt beim Schutz der Unternehmenswerte. Wichtig ist aber eine maßgeschneiderte Lösung, die die Bedürfnisse des Unternehmens passgenau erfüllt und keine "out-of-the box" Lösung. (bw)