Die zunehmende Vernetzung unserer Gesellschaft erleichtert Hackern die Wege in Unternehmensnetzwerke. Online-Zahlungssysteme, offene Netzwerke oder Geräte am Point-of-Sale machen Unternehmen anfällig für fortschrittliche Cyberattacken und anhaltende Bedrohungen. Diese können aus den unterschiedlichsten Quellen stammen: von Hacktivisten, Cyberkriminellen, böswilligen Mitarbeitern oder auch Nationalstaaten. Durch schnelle und smarte Angriffe machen sie sich die größten Schätze von Unternehmen, ihre sensiblen Daten, zu eigen oder verschlüsseln diese sogar und starten dann Erpressungsversuche. Dabei bleiben sie von klassischer Sicherheits-Software meist unbemerkt.
- Platz 1: administrator
Der einfache "administrator" kommt in viele Systeme hinein ... - Platz 3: user1
Und sollte der Administrator nichts helfen, bleiben immer noch der einfache Nutzer... - Platz 4: admin
... und die Kurzform des Administrators. - Platz 5: alex
Alexander der Große hätte vielleicht seine Freude gehabt - genau wie bei den Hacker-Passwörten ist "alex" auch bei den Nutzernamen vorne mit dabei. - Platz 6: pos
Weil sich viele der Angriffe auf Point-of-Sale-Systeme (PoS) beziehen, kann man es ja mal versuchen ... - Platz 7: demo
Vielleicht existiert ja so etwas wie ein Musterzugang zu Demonstrationszwecken ... - Platz 8: db2admin
Der DB2 Administration Server der IBM lässt sich mit diesem Kommando verwalten. Kein Wunder also, dass dieser Nutzername in sämtlichen Hacker-Datenbanken auftaucht. - Platz 9: Admin
Wie gehabt. - Platz 10: sql
SQL ist eine Datenbanksprache unter anderem zum Bearbeiten von Datenbeständen. Viele Webserver arbeiten damit - also durchaus verständlich, warum dies auch ein beliebter Nutzername ist.
Spear-Phishing-Attacken und Social Engineering nutzen menschliche Schwächen gezielt aus, und setzen Security-Software daher schnell außer Gefecht. Selbst starker Perimeterschutz lässt sich so problemlos überwinden. Die Angreifer verlassen sich mittlerweile auf individuell zugeschnittene, sich verändernde Malware und umgehen damit, erkannt zu werden. Einmal im Netzwerk angekommen, nutzen sie Key-Logger und Passwort-Knacker, um sensible Daten ohne Spuren abzugreifen.
Foto: GlebStock - shutterstock.com
Vorbereitung ist alles
Es gibt verschiedene Möglichkeiten raffinierte Sicherheitsstrategien zu entwickeln und die Cyberattacken abzuschmettern. Eine davon ist, ungewöhnliche Aktivitäten in einem Netzwerk identifizieren. Zu diesen Aktivitäten zählt alles von der Norm Abweichende, beziehungsweise verdächtiges Verhalten von Nutzern, Rechnern oder IP-Adressen. Wer diese Deviationen und Ausreißer versteht, kann Sicherheitsbedrohungen besser erkennen und bekämpfen.
Wenn das Sicherheitsteam eines Unternehmens Maschinendaten und Logs aggregiert, kann sie Ausreißer sichtbar machen. Es hilft also sehr, diese unstrukturierten Maschinendaten zu sammeln. Schließlich enthalten diese alle Ereignisse aus Quellen wie Firewalls, Anti-Malware, Web- oder Email-Logs bis ins kleinste Detail. Werden die Maschinendaten mit einer Plattform indexiert und verfügbar gemacht, lassen sich die in ihnen enthaltenen Informationen entschlüsseln.
- Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen. - Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist. - ... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen. - Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren. - Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren. - Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement. - Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind. - Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden. - Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken. - Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Doch was mit den indexierten Daten anstellen? Werden die Daten miteinander korreliert und führt das IT-Team statistische Analysen durch - und das in Echtzeit - lassen sich einzelne Ereignisse miteinander verbinden und kleine Ungereimtheiten aufdecken. Diese können wiederum zu einer hochentwickelten Bedrohung führen, die sonst im Meer der Event-Daten untergegangen wäre. Da die Attacken von ihren Urhebern gestaltet werden, sehen sie stets anders aus und sind schwer als Bedrohung auszumachen.
Denken wir ein Krimineller
Deshalb müssen IT-Sicherheitsteams lernen, wie Cyberkriminelle zu denken und sorgfältig nach bestimmten Mustern Ausschau halten. Manchmal ist dies vergleichsweise einfach: Wenn alle Benutzer eines Systems konkrete Usernamen tragen - etwa nach dem Muster vorname.nachname - so ist es verdächtig, wenn jemand als "admin" eingeloggt ist. Schlägt außerdem die Malwarelösung an oder wandern unverschlüsselte Kreditkarteninformationen von eben diesem Rechner an einen anderen, so ist definitiv etwas faul.
Eine solche Konstellation ist in der Praxis bereits vorgekommen. Mit dem Wissen darüber ist es möglich, eine Vorgehensweise zu entwickeln, mit dem sich ein solcher Datenmissbrauch verhindern lässt. Diese Erkenntnisse lassen sich zugleich für eine historische Analyse nutzen. Mit ihr kann herausgefunden werden, ob weitere Rechner sich mit der externen IP-Adresse des Controll and Command Server verbunden haben.
Andere Unternehmen nutzen das Potenzial von Big Data für die gezielte Abwehr von Spear-Phishing-Angriffen. Dazu werden sämtliche Webseiten, die Angestellte besuchen anonymisiert in einer Datenbank gesammelt. Auch die Domainnamen von E-Mails, die die Firma erreichen, lassen sich auf diese Weise erfassen. In einer dritten Datenbank landen sämtliche Services und die Namen von ausführbaren Dateien, die auf den verschiedenen Unternehmensrechnern laufen.
- Cloud Storage
Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent. - Hotspot USA
Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent. - Dotcom-Phishing
Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent). - Mehr Geld
Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat. - Einweg-E-Mail-Accounts
Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken. - Goldesel-as-a-Service
Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.
Auch hier kann durch die geschickte Verknüpfung von Daten ein Angriff verhindert werden. So kam in einem kürzlich aufgeklärten Fall am Tag der Attacke eine E-Mail von einer Domain, mit der nie zuvor Kontakt aufgenommen worden war. Nahezu zeitgleich besuchte der Empfänger dieser E-Mail eine Webseite, die ebenfalls noch nie zuvor aufgerufen wurde. Da zur gleichen Zeit auch noch eine Datei ausgeführt wurde, die ebenfalls nicht in das typische Muster passte, konnte der Angriff ganz klar identifiziert und rechtzeitig abgewehrt werden.
Die Grenzen von SIEM
Es ist also die geschickte Verknüpfung von Daten aus unterschiedlichen Quellen, die zu den interessanten Ergebnissen führt und den Datenklau verhindert. Etwas Ähnliches versprechen Lösungen der Kategorie Security Information and Event Maangement (SIEM). Allerdings können diese Systeme die anfallenden Datenmassen nicht aggregieren und korrelieren. Zudem sind ihnen durch die starren Strukturen von SQL-Datenbanken und den Beschränkungen der Appliance-Hardware strickte Grenzen gesetzt. Auch in Sachen Flexibilität bei Suche und Reporting überzeugen diese Systeme nicht und scheitern bei komplexeren Korrelationen und Analysen. Diese Einschränkungen gelten erst recht, wenn es um vielschichte Angriffe auf mehreren Ebenen geht, bei denen zum Beispiel auch Punkte wie Social Engineering eine Rolle spielen.
Big-Data-Security-Plattformen dagegen können solche Bedrohungen sehr früh erkennen. So sind diese Systeme mühelos in der Lage, 100 Terabyte Daten pro Tag aus allen Arten von Systemen zu konsolidieren und zu verarbeiten. Dabei gibt es keine Limits wie bei SQL oder anderen unflexiblen Standards. Zudem sind schnelle Suchen in Echtzeit möglich und mit Hilfe von komplexen statistischen und mathematischen Operationen können Anomalien und Abweichungen sehr schnell erfasst werden. Diese Systeme lassen sich außerdem unkompliziert horizontal skalieren und um weitere Lösungen zur Indexierung erweitern. Außerdem laufen sie auf jedem handelsüblichen PC oder in der Cloud.
Analyseplattformen dieser Art werden darüber hinaus mittlerweile auch in vielen verwandten Bereichen genutzt. So können sie in der forensischen Untersuchung bei IT-Vorfällen helfen und kommen bei der Betrugserkennung und Verfolgung zum Einsatz. Mit all den historischen Daten in diesen Plattformen ist eine Wiederverwendung außerhalb des Sicherheitsbereichs für Zwecke im IT-Betrieb sowie im Applikationsmanagement eine logische Schlussfolgerung.
Das Thema Big Data spielt künftig also auch auf dem Gebiet der Sicherheit eine immer größere Rolle. Die intelligente Verknüpfung von Informationen und die schnelle, flexible Auswertung ermöglichen wertvolle Einblicke in komplexe IT-Systeme. Somit lassen sich Angriffe wirkungsvoll abwehren und IT-Anwendungen können noch besser abgesichert werden. (sh)