Cyberangriffe

Attacken, die sträflich unterschätzt werden

15.05.2018 von Jan Mentel
Bisherige Sicherheitskonzepte von Unternehmen gegen Cyberkriminalität sind nicht ausgereift, um komplexe Infrastrukturen zu schützen. Immer noch bieten Unternehmen und Institutionen den Cyber-Kriminellen große Einfallstore, um in deren Systeme und Infrastrukturen einzudringen.

Die jüngsten Vorfälle von Cyberkriminaliät haben gezeigt, dass selbst Regierungsnetze nicht sicher vor Angriffen sind. Grundsätzlich sollten diese noch besser gesichert sein als normale Unternehmensnetzwerke, doch professionellen Hackern ist es in der Vergangenheit häufiger gelungen auch in diese Systeme vorzudringen. Bereits 2015 ist der Bundestag Opfer eines Angriffes geworden.

Nicht nur in Regierungsnetzen gibt es Einfallstore. Unternehmen werden zunehmend zum Ziel von Hackern vor dem Hintergrund von Industriespionage. Die bisherigen Maßnahmen gegen diese Angriffe sind definitiv noch nicht ausreichend und präventiv gestaltet. Ziel eines jeden Unternehmens sollte es sein zu agieren statt zu reagieren. Denn in den meisten Fällen werden Unternehmen durch Angriffe rigoros überrascht, wenn sie es überhaupt mitbekommen. Firewalls helfen vor diesem Hintergrund nur bedingt die eigenen Systeme zu schützen. Denn vor allem komplexe Infrastrukturen sind nur mit einem großen Sicherheitsaufwand, einer Vielzahl an Maßnahmen und sicherheitsrelevanten Technologien zu schützen. Auch der Faktor Mensch spielt eine wichtige Rolle. Denn die meisten Systeme hängen am Internet, wo die eigenen Mitarbeiter auf Mails antworten müssen oder Anhänge öffnen müssen.

Cyberattacken sind de facto die Bedrohung unserer heutigen Zeit. Das steigende Volumen des Daten-Grades und die Offenheit der Netze birgt Gefahren, denn im Unternehmensalltag benutzt heutzutage jeder Smartphones, Tablets, Computer und andere vernetzte Geräte. All diese Geräte sind mit dem Internet verbunden und somit potenzielle Einfallstore für Angreifer, um in das gesamte Unternehmensnetzwerk einzudringen. Für die Führungsebene stellt sich die Frage, welche Bedrohungsszenarien gibt es, welche Schäden die eigene Organisation zu erwarten hat und wie sich Unternehmen schützen können? Mit 220 Mio. verdächtigen Aktivitäten, die laut NATO täglich auf den Netzen stattfinden, brauchen die Entscheider oft noch bessere Informationen zur Gefahr und den Arten, die Cyberangriffe mit sich bringen.

Die aktuelle Bedrohungslage - Diese Angriffsarten beschäftigen die Unternehmen

Derzeit hat die IT-Sicherheit nur eine geringe Wahrnehmung in den Unternehmen. Der hohe Vernetzungsgrad und der gleichzeitige Austausch von unternehmenskritischen Daten über das Internet bietet Cyber-Kriminellen ein größeres Potenzial als je zuvor. Dies ist ein großes Problem, auf das sich Unternehmen heute, sowie auch zukünftig immer mehr einstellen müssen. Denn vor allem Daten aus den F&E-, Marketing-, Personal- und Finanzabteilungen sind heiß begehrt. Demnach haben es Cyberkriminelle besonders auf Kunden- und Mitarbeiterdaten, Bilanzen oder gar Zugänge zu Bankkonten abgesehen.

Doch mit welchen Angriffsarten versuchen Cyberkriminelle in die Systeme von Unternehmen zu kommen? Eine Liste über die Arten von Angriffen soll Unternehmensentscheidern einen Überblick geben, mit welchen Attacken Sie rechnen sollten:

Liste der Angriffsarten von Cyber-Attacken
Foto: Crisp Research AG, 2018

Diese Angriffsarten definieren sich durch unterschiedliche Angriffsvektoren und Typ-Familien, mit denen Cyberkriminelle versuchen, in die Unternehmensnetze oder auf die Infrastrukturen einzudringen. Diese Angriffsvektoren sind Kombinationen von Angriffswegen und -techniken, mit denen sich ein Cyberkrimineller Zugang zu IT-Systemen verschafft.

Unter diese Angriffsvektoren fallen zum Beispiel Spam-Versuche, die mittels unerwünschten Nachrichten, die massenhaft und ungezielt per E-Mail oder anderen Kommunikationswegen, versendet werden. Diese Nachrichten enthalten neben unerwünschten Werbehinweisen vor allem Links zu verseuchten Webseiten bzw. Anhängen. Vor diesem Hintergrund werden Spam-Mails auch für Phishing-Angriffe genutzt.

Neben den geläufigen Spam-Mails versuchen Cyberkriminelle vor allem mit gezielten Angriffen Schwachstellen innerhalb der Unternehmens-Server ausfindig zu machen, denn wenn Systeme nur mit mangelhaften Firewalls bestückt sind, ist es für Hacker oft nur ein leichtes Spiel.

Auch Drive by Exploit Kits sind ein wichtiges Instrument von Cyberkriminellen. Mit diesem Angriffsvektor versuchen Cyberkriminelle mittels einer automatisierten Ausnutzung, Sicherheitslücken auf einem Computer ausfindig zu machen. Dabei werden vor allem User beobachtet, die sich auf einer Webseite befinden. Der Hacker versucht ohne weitere Benutzerinteraktion Schwachstellen im Webbrowser, in Zusatzprogrammen des Browsers (Plugins) oder im Betriebssystem des Users ausfindig zu machen und auszunutzen, um Schadsoftware unbemerkt auf dem Computer des Users einzupflanzen.

Top 10: Diese Mitarbeiter gefährden Ihre IT-Sicherheit
10. Die Charity-Organisation
9. Der Cloud-Manager
8. Der befristet Beschäftigte
7. Der externe Partner
6. Der Social Media Manager
5. Der neue IT-Entscheider
4. Der Ex-Mitarbeiter
3. Der Security-Berater
2. Die Assistenz der Geschäftsleitung
1. Der CEO

Ausmaß für Unternehmen - Der Schaden kann enorm sein

Ist das eigene Unternehmen Opfer eines Angriffes geworden, ist das konkrete Schadensausmaß erheblich davon abhängig, welche technischen und organisatorischen Maßnahmen (TOMs) getroffen worden sind, um möglicherweise den Angriff präventiv oder detektiv verhindern zu können. Auch wenn Präventivmaßnahmen den Angriff nicht verhindern konnten, können aber im Falle eines Angriffs Detektionsmaßnahmen sowie eine schnelle Reaktion der Security-Organisation für eine Begrenzung des Schadens sorgen.

Doch was sind typische Schäden, die Unternehmen in Folge eines Cyberangriffes zu erwarten haben?

Neben den monetären Aspekten, in Form von Schadensersatz und Imageschäden, die die Unternehmen betreffen, ist vor allem Industriespionage ein großes Thema. Demnach können dies Eigenschäden sein, bei denen Folgen eines Cyberangriffes den Ausfall von der Produktion oder Dienstleistungen bedeutet und so hohe Kosten durch Beeinträchtigungen oder Produktionsunterbrechungen entstehen.

Zudem kommen erschwerend Image- oder Reputationsschäden für Unternehmen hinzu. Im Falle eines Angriffs büßen Unternehmen oftmals ein hohes Ansehen bei Kunden ein und müssen möglicherweise neues Budget für Werbekampagnen einplanen, um ihr Image wieder aufzupolieren.

Auch kommen in der Regel Schadensersatzzahlungen auf die Unternehmen zu, bei denen auf Grund eines Angriffes gesetzliche oder vertragliche Pflichten gegenüber Dritten verletzt wurden. Besonders bei Systemen und Infrastrukturen, die eine Vielzahl an unternehmenskritischen Daten gelagert haben, können diese Schadensersatzzahlungen sehr hoch ausfallen.

Roundtable Managed Security Services
Lutz Feldgen, Lead Consultant bei Computacenter
„IT-Security überfordert viele Unternehmen, während die Angriffe gleichzeitig immer ausgefeilter werden und einen höheren Impact haben. Und der Fachkräftemangel kommt noch dazu. Den Firmen fehlt das Know-how. Jedes Unternehmen steht woanders, die vorhandenen Managed-Security-Services-Angebote passen oft nicht hundertprozentig zum Bedarf. Daher ergänzt Computacenter solche Services mit eigenen Leistungen zu einem passenden Gesamtpaket, wenn sie nicht vollständig selbst erbracht werden.“
Holger Hartwig, Sales Manager Cloud Infrastructure Services bei Capgemini
„Mancher IT-Leiter ist richtig begeistert, wenn wir mit einer Phishing-Kampagne aufzeigen, was in dem Unternehmen zu holen ist!“
Alexander Haugk, Product Manager bei der baramundi software
„Die Beratung im Vorfeld und die Unterstützung bei der Ausschreibung werden immer wichtiger. Allerdings: Auch große Unternehmen wissen oft nicht, welche Applikationen sie haben und wie ihre Umgebungen aussehen.“
Thomas Kirsten, Head of Sales Germany bei RadarServices
“Die real existierende Praxis ist oft frustrierend. Manche Firmen haben zwar einen IT-Sicherheits-Chef, aber der ist unter dem IT-Leiter angesiedelt. Er hat keine Stimme.“
Martin Mangold, Head of Cloud Operations bei Drivelock
“Wer Managed Security Services verkaufen will, der muss detailliert mit dem Anwender abklären, was das Unternehmen braucht. Das ist schwierig, wenn die Entscheider ihre IT-Landschaft nicht kennen. Deswegen können so viele Firmen auch nicht beschreiben, was sie brauchen!“
Markus Müssig, Senior Security Architect bei Microfocus
„Die Qualität mehrwertiger IT Security Services wie beispielsweise Security Incident Monitoring hängt zwingend von der Verfügbarkeit der Business Informationen für den Analysten ab. Diese können den IT-Security Dienstleistern nur selten in digital abrufbarer Form – ob manuell oder automatisiert – bereitgestellt werden, weil sie nicht verfügbar sind oder Sicherheitsrichtlinien im Wege stehen.“
Patrick Schraut, VP Consulting Europe bei NTT Security (Germany)
„Ich habe noch nie Managed Security gesehen, der Begriff ist falsch. Man kann Devices managen, nicht aber Sicherheit.“
Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure DACH
„Ich frage die Anwender: Wie lang brauchen Sie, um festzustellen, dass sie gehackt wurden? Im Schnitt liege die Frist bei hundert Tagen. Das muss man reduzieren!“

Mittel gegen Hackerangriffe - Maßnahmen zur Vorbeugung

Zu den allgemeinen Best Practices für Unternehmen gehört eine Vielzahl präventiver, detektiver und reaktiver TOMs, die eine Infektion durch Cyberangriffe zu verhindern wissen bzw. das Risiko vor Angriffen minimieren. Diese Maßnahmen sind vor allem vor dem Hintergrund der Zahl gezielter Bedrohungsszenarien brandaktuell.

Präventivmaßnahmen dienen vor allem dazu, die eigenen Systeme und Infrastrukturen vor den oben genannten Angriffsvektoren zu schützen. Darunter fallen Schutzmaßnahmen von Client-Systemen, die das Ausführen von Script-Dateien untersagen und Schutz auf Mail-Servern, durch Blocken oder Quarantäne, garantieren. Zudem können verschiedene Patch-Management-Anwendungen, die auf Client-Systemen laufen, vor Drive-by-Attacken schützen. Auch der sichere Einsatz von Webservern reduziert die Angriffsfläche deutlich.

Zudem zählen zu Präventivmaßnahmen ausgeklügelte Datensicherheitskonzepte und Backups, die im Falle eines Angriffes trotzdem die Verfügbarkeit der Daten sicherstellen.

Eine weitere wichtige Rolle spielt die Sensibilisierung der Mitarbeiter. Durch Schulungen und Kampagnen kann Awareness geschaffen werden und die eigenen Mitarbeiter wissen selbst wie sie für IT-Sicherheit sorgen können und was im Falle einer Spam-Mail oder eines Social Engineer-Angriffes zu tun ist.

Darüber hinaus dienen sichere Administratorkonten, eine genaue Definition von Datentypen, die auf Servern liegen dürfen, und Firewalls ebenso zum Schutz vor Infektionen.

Neben den Präventivmaßnahmen können vor allem auch Detektionsmaßnahmen (z.B. Intrusion Detection mit automatischer Benachrichtigung der relevanten Personen) vonnöten sein, um im Falle eines Angriffes unter anderem Logdaten auszuwerten, die die Größe des Angriffs feststellen können und darüber hinaus Wege identifizieren können, wie diese Angriffe in das Unternehmen gelangt sind.

Auch können regelmäßige Netzwerküberwachungen Schnittstellen zwischen Server und Netzübergang kontrollieren und mögliche Angriffe blocken.

Falls es jedoch zu einem Angriff kommt, der sämtliche Präventivmaßnahmen umgehen konnte, sollte die Security-Organisation schnell handeln. Dies können verschiedene Technologien sein, die als primäres Ziel haben eingetretenen Schaden zu verhindern, die Isolation der Infrastrukturen und Systeme zu garantieren sowie einen Normalbetrieb zu sichern. Dabei ist festzuhalten, dass eine Kombination aus präventiven und reaktiven Maßnahmen dafür sorgen, dass die angegriffenen Systeme standhalten. Also keine “entweder/oder Entscheidung” - sondern erst durch diese Kombination entsteht ein hohes Sicherheitslevel innerhalb der Unternehmen, welches Angriffe erkennt und im Falle des Angriffes, bei denen Präventaitvmaßnahmen umgangen worden sind, schnell reagiert und versucht Angriffe zu neutralisieren und auch schnell einen Report / Protokoll an die eigene Security-Organisation senden kann. Diese Technologien können sein:

Eine weitere Maßnahme gegen Cyberangriffe kann es zudem sein, als Unternehmen selbst die Hacker zu beauftragen, um ihre Systeme anzugreifen. Ziel der unternehmenseigenen Hacker ist es, die Lücken der Systeme zu finden, bevor andere diese ausnutzen können. Verschiedene Dienstleister bieten in diesem Kontext ihre Ressourcen an und unterstützen Unternehmen darin, die Sicherheitslücken zu schließen. Denn in vielen Unternehmen fehlte jahrelang das Bewusstsein und die Kompetenz, um angemessen auf die Bedrohung aus dem Internet zu reagieren.

Zum Video: Attacken, die sträflich unterschätzt werden

Fazit

Eine Vielzahl von IT-Entscheidern und CISOs weiß heute noch nicht, welche Strategie die richtige ist, um Cyberangriffen zu begegnen bzw. welche Maßnahmen und Technologien dagegen einzusetzen sind. Um grundsätzlich das Mindset und den IT-Sicherheits-Gedanken im Unternehmen voranzutreiben, sollten IT-Sicherheit und Datenschutz von der Basis aus gelebt werden und an jedem Arbeitsplatz das Risiko von Cyberangriffen minimiert und im Systementwurf berücksichtigt werden. Wann immer neue Systeme gebaut werden, von Beginn an Sicherheit und Datenschutz denken (security by design, privacy by design). Somit werden Infrastrukturen von Grund auf mit einem gewissen Sicherheits-Impact versehen. Vor diesem Hintergrund können vor allem externe Dienstleister mit ihrer Expertise Unternehmen unterstützen und als Sparringspartner zur Seite stehen.

In den nächsten Publikationen zum Thema Cyberkriminalität wird die Weiterentwicklung von zukünftigen Bedrohungsszenarien dargestellt, wie sich Unternehmen darauf vorbereiten sollten und wie IoT-Devices, Infrastruktur, Netzwerke und die Kommunikation davon betroffen sind.

Mehr zum Thema:

Angriffsvektor Führungskraft

Industrie-Konzerne stehen im Fokus von Hackern

Ein Jahr danach - WannaCry immer noch gefährlich

Warum Unternehmen weiter Antiviren-Software brauchen