Ein sicheres Netzwerk hat nichts mit Bauchgefühl zu tun
19.10.2017 von Torsten Harengel
Aktuell liegen wohl die Hacker um eine Nasenlänge vorn, wenn es um die Vorherrschaft in der IT-Security geht. Und der Wettlauf zwischen Cyberkriminellen und Unternehmen geht munter weiter. Mit dateiloser Malware oder Destruction of Service (DeOS) stehen weitere Praktiken bereit.
Unterschützter Bauch nach oben = Sicherheit. Das kann auch schnell mal schief gehen. Foto: merkulovstudio - shutterstock.com
Es gibt also viel zu tun für Security-Verantwortliche, um die Netzwerkstruktur zukunftsfähig abzusichern und den Abstand zwischen Angreifer und Verteidiger nicht zu groß werden zu lassen. Doch der Vorsprung könnte noch weiter anwachsen. Denn laut dem aktuellen Cisco Midyear Cybersecurity Report (MCR) stehen so genannte Destruction of Service (DeOS)-Angriffe in den Startlöchern. Diese können Backups und Sicherheitsnetze von Unternehmen zerstören. Ebenfalls sehr gefährlich ist "dateilose Malware". Diese liegt nicht auf der Festplatte, sondern im flüchtigen Speicher. Da ein Neustart die Malware zunächst oberflächlich löscht, ist sie für den Anwender schwer zu erkennen.
Und mit Ransomware as a Service (RaaS) lagern Cyberkriminelle Angriffsmuster neuerdings sogar an Externe aus. Dritte brauchen so keine umfangreichen IT-Kenntnisse mehr, um Angriffe durchzuführen und die Urheber des Angriffscodes profitieren durch eine Art Provision für erfolgreiche Angriffe. Aber auch das klassische Phishing wird ständig weiterentwickelt: In Zukunft verleiten wohl immer mehr RaaS (BEC)-Angriffe über eine offiziell aussehende E-Mail Mitarbeiter dazu, Geld an Angreifer zu überweisen.
Crimeware-as-a-service: Darknet-Hits
Botnetze Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.
Browser Exploit Packs In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.
Phishing-Toolkits Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.
Ransomware Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
Ein ständiges Hinterherhecheln
Diese wachsende Vielfalt immer intelligenterer und gezielterer Angriffe verleitet Unternehmen dazu, auf jede neue Gefahr mit einer neuen Sicherheitslösung zu antworten. Aufgrund dieser aktionistischen Einzelmaßnahmen setzen sie gemäß der Studie schon jetzt meist 25 bis 50 verschiedene Sicherheitslösungen ein, manche sogar über 100.
Dabei vergessen sie häufig, dass durch die Lösungsvielfalt Sicherheitslücken zwischen den verschiedenen Anwendungen entstehen. Zudem erhöht dies deutlich den Aufwand für Pflege und Wartung. Denn jede Sicherheitslösung muss ständig aktualisiert und verwaltet werden. Dies führt schnell zu einer Überlastung der zuständigen Mitarbeiter, die dann den Überblick verlieren. Neben ungepatchten Systemen können nichtbeachtete Warnmeldungen die Folge sein.
Eine Auslagerung an einen Security-Dienstleister löst das Problem nur halb, denn auch dieser kann aufgrund der vielen verschiedenen Managementlösungen Schwachstellen oder Angriffe übersehen. Und jede neue Gefahr und neue Sicherheitslösung erhöht das Problem, bis der Zoo an "Security-Lösungen" nicht mehr zu bewältigen ist. Somit hecheln Unternehmen den Angreifern immer nur hinterher und stopfen einzelne Lücken, anstatt übergreifende Abwehrmechanismen zu implementieren.
Der entscheidende Schritt voraus
Damit sie im Wettlauf wieder aufholen und die Hacker sogar überholen können, sehen manche Hersteller einen solch umfassenden Ansatz aber als notwendig an. Dieser kann dabei nur in der Konsolidierung und Automatisierung der eigenen Systemlandschaft liegen. Nur eine einheitliche Übersicht über alle Aktivitäten im Netzwerk, die über Software-Automatismen ausgewertet werden, ermöglicht eine lückenlose Erkennung von Angriffen und verdächtigen Aktivitäten.
Zielgerichtete Angriffe auf die IT-Infrastruktur sehen die Umfrageteilnehmer über alle Unternehmensgrößen hinweg als das höchste Sicherheitsrisiko für ihr Unternehmen an. Foto: Cisco
Das kann durch einen konsolidierten, automatisierten Netzwerkansatz gelingen, auf dessen Basis das Netzwerk intuitiver agiert - mithilfe von Software-Defined Access. Intuition bedeutet in diesem Zusammenhang die weitgehende Automatisierung von Konfiguration, Provisionierung und Fehlerbehebung. So müssen IT-Administratoren keine Routineaufgaben mehr durchführen, sondern können über zentrale Management-Dashboards die gewünschten Einstellungen wählen. Das Netzwerk setzt dann eigenständig die angegebenen Richtlinien durch und segmentiert Netzwerke, um den Zugang für Nutzer, Geräte und Objekte konsistent zu steuern. Zudem nutzt ein solcher Netzwerkansatz maschinelles Lernen für Predictive Analytics, Business Intelligence und die Analyse der Verkehrsmuster von Metadaten, um Signaturen bekannter Gefahren selbst in verschlüsseltem Traffic zu entdecken.
Intuition im Netzwerk ist somit ein wichtiger Baustein, um im Wettrennen mit den Hackern Schritt halten zu können - und bestenfalls sogar eine Nasenlänge voraus zu sein.
Ransomware-Opfer: Die Ziele der Hacker
Notfall- und Rettungsdienste Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.
Der Durchschnittsuser Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.
Unternehmen Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.
Strafverfolgungs- und Regierungsinstitutionen Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.
Gesundheitswesen Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.
Bildungseinrichtungen Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.
Religiöse Institutionen Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.
Finanzwesen Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.