Security-Trends

Wie Kriminelle heute Unternehmen angreifen

20.09.2015 von Uli  Ries
Erfolgreiche Attacken auf Unternehmensnete beruhen nicht auf den Programmierkünsten der Schadsoftware-Autoren. Bevor Malware zum Einsatz kommt, nehmen die Angreifer in aller Regel ein leicht verführbares Ziel ins Visier: die Mitarbeiter eines Unternehmens.
  • Da die Technik immer sicherer wird, setzen Angreifer zunehmend aufs Social Engineering, um den "weichen Faktor Mensch" zu attackieren.
  • Für kleinere und mittlere Unternehmen kann die Cloud entscheidend zum Erhöhen der Sicherheit beitragen. Cloud-Security-Tools dürfen aber nicht zu komplex werden - sonst überfordern sie die Anwender.
  • Die Schulung der Mitarbeiter in Security-Fragen muss deutlich ausgebaut und verbessert werden.

Das Muster scheint stets gleich: Erst werden einzelne Mitarbeiter eines Unternehmens per Spear-Phishing ihrer Login-Daten für Dienste im Unternehmensnetz beraubt. Anschließend werden mittels dieser Daten dann Arbeitsstationen und vor allem Rechner infiziert. Selbst für letzteres ist nicht immer Malware nötig, wie das Führungsteam der IT-Sicherheitsberater von Crowdstrike in einem Vortrag erläuterte: Nach dem Datenklau hangeln sich die Angreifer beispielsweise mittels gängiger Windows-Tools durch das Netzwerk. Der Vorteil: Der Aufruf dieser auf den attackierten Maschinen vorinstallierten Werkzeuge lässt die Antivirensoftware kalt. In einem von Crowdstrike beobachteten Angriff nutzten die Kriminellen beispielsweise unter anderem die Windows Powershell, wmic, vssadmin oder netdom, um sich nach und nach Zugang zu diversen Servern zu beschaffen. Dieses Treiben bleibt dann unter dem Radar der Sicherheitssysteme.

Keine Malware nötig: Bei einem von Crowdstrike analysierten Angriff auf ein Unternehmensnetz kamen unter anderem die Windows Powershell und andere Windows-Tools zum Einsatz.
Foto: Crowdstrike

Alex Cox, leitender Mitarbeiter der Threat-Watch-Abteilung beim Verschlüsselungsspezialisten RSA, bestätigt, dass für den Einstieg ins Netzwerk zumeist Social Engineering verwendet wird. Neben dem Spear Phishing hat er auch verstärkt sogenannte Waterhole-Attacken gesehen. Dabei werden Webseiten infiziert, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren. Ein Besuch der Seite und ein nicht vollständig gepatchter Rechnern genügen, um die Maschine zu infizieren.

Security Trends 2015
1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.
Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.
2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt.
2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden.
3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich.
Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet.
4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar.
„Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten.
5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa.
Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen.
6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest.
Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen.
7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander.
Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor.
8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen.
In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen.
9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter.
Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden.
10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren.
Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.

Die dabei installierte Malware ist zum Absaugen der Daten nötig. Beispielsweise, um die Daten verschlüsselt per FTP nach außen zu transferieren. Per se ist das auch nichts Neues - aber es scheint immer noch zu funktionieren. Cox hat beobachtet, dass sowohl fertige Malware wie Poison Ivy oder Ghost zum Einsatz kommen. Aber auch eigens für den Angriff fabrizierte Schädlinge finden sich in der Praxis. Wenngleich diese im Vergleich zu ausgefuchster Online-Banking-Malware wie ZeuS oder Citadel vergleichsweise simpel gehalten ist und oft auch auf Verschleierungsmaßnahmen wie Packing verzichtet. Offenbar genügt eine so simple Malware, um die Aufgabe zu erledigen.

Nach dem Datenklau umgehen die Anwender die Passwort-Sperre und hangeln sich oft mit einfachen Windows-Tools durch das Netzwerk, um der Entdeckung zu entgehen.
Foto: GlebStock - shutterstock.com

Social Engineering maßgeschneidert

Zwar sehen Fachleute wie Alex Cox nach wie vor bekannte Mechanismen zum Einbruch in die Netze: Vermeintlich von Unternehmen wie Amazon, Apple (iTunes) oder Google (Google Mail) stammende E-Mails mit Password-Reset-Links oder Links zu gefälschten Login-Seiten. Die hierzu verwendeten E-Mails seien inzwischen weitgehend frei von Rechtschreibfehlern und die infizierten Seiten beim Waterholing Hand verlesen. Bevor auch nur eine einzige Phishing-Nachricht versandt würde, hätten die Angreifer zuvor meist E-Mail- oder Chat-Konversationen im Unternehmen mitverfolgt, um überzeugendere Nachrichten formulieren zu können. Dem Verizon Data Breach Report zufolge liegt die Erfolgsrate beim Spear-Phishing bei gut elf Prozent. Jede zehnte Nachricht führt also zum Erfolg.

James Lyne, Chef-Malwareforscher bei Sophos, sagt für die kommenden Jahre sogar noch eine weitere Professionalisierung der Social-Engineering-Angriffe voraus. Der Grund: Immer höhere Codequalität in Anwendungen und Betriebssystemen sowie Schutzmechanismen wie der seit Windows 8.1 Update 3 verfügbare Control Flow Guard. Sie machen das Finden und Missbrauchen von Schwachstellen in Software schwieriger, so dass sich Angreifer laut Lyne auf das weichere Ziel "Mensch" konzentrieren.

Der Antiviren-Experte berichtet von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht führte: Ihn erreichte vor einer tatsächlich stattfindenden Geschäftsreise eine E-Mail, die vermeintlich von einem Kollegen stammte. Der Inhalt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: Eine Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt. Das Word-Dokument hätte beim Öffnen mittels Makro die eigentliche Schadsoftware heruntergeladen, die dann - ganz ohne Exploit oder Admin-Rechte - die Maschine des Opfers übernommen hätte. Die Angreifer machten sich vor dem Versand der Spear-Phishing-Nachricht offensichtlich kundig, wo Lyne demnächst sein würde und mit wem er eventuell zusammenarbeitet.

Malware nicht zu verachten

Auch wenn bei Attacken auf Unternehmen die Social-Engineering-Komponenten eine wichtige Rolle spielen: Letztendlich muss auch immer Schadsoftware mit ins Spiel. Fachleute wie Lyne und Cox sagen zwar, dass die Qualität der Schädlinge oft nicht mit der von Banking-Malware mithalten kann. Aber sie sehen dennoch ausgefuchste Mechanismen. So weiß James Lyne von diversen Schädlingen, die über dynamisch verschlüsselte Kanäle (Command & Control) Kontakt halten zu ihrem "Mutterschiff". Hiermit hätten so gut wie alle Intrusion-Detection-Systeme in Unternehmen immense Probleme.

Und auch die Antiviren-Softwarehersteller hätten ihre liebe Mühe, da Analysen solcher Malware sehr aufwändig seien. Zum einen machen es die verschlüsselten Kanäle schwer. Zum anderen schützt sich die Malware selbst auch gegen die gängigen Analysemethoden der Malware-Forscher. Selbst absolute Profis könnten bei manchen Infektionen zwar den Befall feststellen - jedoch nicht, welche Daten abgeflossen sind.

Cloud: Problem oder Lösung?

Die Fachleute sind sich einig: Insbesondere für kleinere und mittlere Unternehmen kann die Cloud entscheidend zum Erhöhen der Sicherheit beitragen. Denn in aller Regel haben die Anbieter eigene IT-Sicherheitsmannschaften, deren Expertise über das hinausgeht, was bei den Kunden zu finden ist. Dazu kommt, dass Unternehmensnetze unter anderem auch deswegen leicht(er) angreifbar sind, weil allzu oft die gleichen Komponenten (Betriebssystem, Firewall, Antivirensoftware etc.) verwendet würde. Finden sich in diesen Bauteilen Lücken, können Angreifer quasi nach Anleitung in Netze auf der ganzen Welt eindringen. Bei Cloud-Providern finden sich keine derart homogenen Landschaften.

Alan Kessler gibt jedoch zu bedenken, dass Cloud-Kunden nicht nur auf die Zugriffsreche der eigenen, sondern auch die die der Administratoren beim Anbieter achten müssen. Zudem gilt: Verschlüsselungs-Keys dürfen niemals das Unternehmen des Kunden verlassen. Dann sei laut Kessler selbst ein US-Cloud-Anbieter in Ordnung. Denn die US-Regierung kann vom Provider dann auch mit Druck kein Material zum Entschlüsseln der Daten bekommen.

Die Cloud - Arbeitsplatz der Zukunft
Die Cloud - Arbeitsplatz der Zukunft
Dem Cloud Worker gehört die Zukunft. Unter dem Begriff "Workspace-as-a-Service" werden dem Marktforschungsunternehmen IDC zufolge künftig ein Großteil der Beschäftigten ihren Arbeitsplatz in der Cloud haben. Dazu sind aber folgende Technologie- und Denkstrukturen erforderlich.
Effizienter Informationsfluss
Der Arbeitsplatz der Zukunft wird vor allem durch Flexibilität gekennzeichnet sein: Informationen, Dateien und Dokumente müssen in Sekundenschnelle auffindbar und verfügbar sein – und zwar unabhängig vom Aufenthaltsort, der genutzten Hardware und der Anzahl der Mitarbeiter, wenn diese zum Beispiel in virtuellen Teams zusammenarbeiten.
Automatisiertes Dokumenten-Management
Der Wissensarbeiter von heute, der Inhalte schafft und Informationen teilt, ist auf eine effiziente Recherche angewiesen. Dies gelingt noch besser durch selbstlernende Systeme und automatisierte Abläufe wie die digitale Erfassung von Dokumenten, deren automatische Konvertierung, Indexierung, Datenextrahierung, Verteilung und Archivierung.
Cloud Working
Unter dem Motto „Workspace-as-a-Service" werden in Zukunft ganze IT-Arbeitsplätze in die Cloud verlegt.
Work-Life-Integration
Die Work-Life-Balance, die Arbeiten und Privatleben als voneinander getrennte Pole betrachtet, gehört der Vergangenheit an und wird zur Work-Life-Integration: die Arbeitszeit wird der individuellen Lebensphase angepasst, um auf diese Weise zum Beispiel Karriere und Familie besser miteinander vereinbaren zu können.

Grundsätzlich gelte bei der Auswahl eines Anbieters: Ist im eigenen Unternehmen nur wenig IT-Sicherheitsfachwissen vorhanden, dann sind SaaS (Software as a Service)-Provider die beste Wahl. Bare-Metal-Provider empfehlen sich nur für Fachleute. Zum Ermitteln des eigenen Risiko-Profils hat die Cloud Security Alliance (CSA) diverse Werkzeuge auf ihrer Webseite parat. Unternehmen mit hohem Risikoprofil sollten beispielsweise unbedingt ein eigenes Key-Management-System für ihre Cloud-Dienste einsetzen.

Die drohende Überforderung

Diese Werkzeuge könnten laut James Lyne viele kleinere Unternehmen jedoch überfordern. Insbesondere dann, wenn sie in Kontakt stünden mit großen Anbietern. Denn von außen sei es sehr schwer, deren Sicherheitskompetenz zu prüfen. Von daher empfiehlt auch Lyne, so viel wie möglich zu verschlüsseln. Nicht nur auf Dateisystemebene, sondern möglichst schon in der Anwendung. Wer selbst Anwendungen entwickelt, solle zum Verschlüsseln unbedingt auf fertige Frameworks zurückgreifen und sich aufgrund des komplexen Themas keinesfalls selbst daran versuchen.

James Lyne, Leiter der weltweiten Sicherheitsforschung bei Sophos, sieht Social Engineering als großes Problem für Unternehmen.
Foto: Uli Ries

Außerdem sehe der Malware-Spezialist einen Vorteil, wenn Kunden alle Schutzmechanismen aus einer Hand bezögen. Best-of-Breed sei nur für Konzerne handhabbar. Er empfiehlt kleineren und mittleren Unternehmen Lösungen, die sowohl auf den Endpunkten im Netzwerk, als auch auf dem Weg in die Cloud - und aus dieser zurück ins Unternehmensnetz - nach Gefahren und Anomalien suchen. Kombiniere man dies dann noch mit einem Dienstleister, der sich der Log-Analyse annimmt, ergebe sich ein wirksamer Schutzwall, so Lyne.

Beim Thema Datenbankverschlüsselung sehe es den Fachleuten zufolge leider nicht so rosig aus. Zwar würde seit Jahren an der homomorphen Verschlüsselung gearbeitet. Mit ihr lassen sich die Inhalte von Datenbanken in der Datenbank selbst verschlüsseln und beim Zugriff einer Anwendung wieder entschlüsseln. Noch befänden sich aber alle Anstrengungen im Entwicklungsstadium, kommerzielle Produkte seien noch keine in Sicht.

Abhilfe gegen den Datenklau

Angesichts des professionellen Vorgehens der Angreifer scheint es unausweichlich, dass ein Netzwerk kompromittiert wird. Und was dann? Laut Alan Kessler, President und CEO von Vormetric, hielten laut eines Reports über 50 Prozent der Befragten die bewährten Produkte für Data Breach Prevention- für hinreichend. Bislang würden sie laut Kessler hauptsächlich verwendet, um Auditoren glücklich zu machen. Inzwischen setzt sich die Erkenntnis durch, dass das Vermeiden von negativen Folgen, wie es solche Produkte ebenfalls böten, nach dem unvermeidlichen Einbruch wichtiger ist denn je. Laut Kessler sei ein vollständiges Absichern des Perimeters ohnehin utopisch. Daher müsse gelten: "Es ist leichter, die Lebensmittel im Haus vor dem Einbrecher zu verstecken, als das Haus hermetisch zu verrammeln."

Sinnvollerweise entscheidet eine Data Leakage Prevention (DLP)-Lösung pro Nutzer und Datensatz, welche Aktionen erlaubt und welche zu unterbinden sind. Zeitgleich kann man die Rechte von Administratoren beschneiden. Laut Kessler greifen die gängigen Lösungen auf das "Least Privilege"-Prinzip zurück. Dieses sei sowohl auf Betriebssystemebene (Filesystem), als auch in der Anwendung durch zu setzen.

Verizon DBIR 2014 - Neun Grundmuster
Diverse Fehler wie etwa das Senden einer E-Mail an den falschen Empfänger
Angriffe auf Web-Anwendungen
Crimeware (verschiedene Malware versucht, die Kontrolle über ein System zu erlangen)
Missbrauch durch Insider
physikalischer Diebstahl / Verlust
Denial of Service-Angriffe
Cyberspionage
Angriffe auf den Point of Sales
Skimming von Zahlungskarten

Zu diesem Pflichtprogramm kommt noch die Kür: das Überwachen der Zugriffe und das Erkennen von Anomalien. Weicht nach einem erfolgreichen Angriff das Verhaltensmuster einzelner Anwender oder Maschinen vom bisher gewohnten ab, schlägt die DLP-Lösung Alarm. Wurden zuvor Zugriffsrechte per Least Privilege vergeben, erleichtert dies das Erkennen von Anomalien und auch das zeitraubende Analysieren von Logfiles.

Technik - nur ein Teil der Lösung

Schutzmechanismen wie DLP sorgen aber keinesfalls für umfassenden Schutz. Sie mindern zwar das Risiko, kämpfen auf verlorenem Posten, wenn Kollege Mensch nicht ebenfalls auf der Hut ist. Und genau hier sehen die Fachleute in der Praxis die größten Lücken: Nur in wenigen Unternehmen sähen sie Aufklärungskampagnen, die Mitarbeiter - am besten fortlaufend - über neue Angriffsmaschen informieren würden. Ohne das Wissen, wie eine Spear-Phishing-Kampagne aussieht und welche Raffinesse dabei an den Tag gelegt wird, hätten Mitarbeiter gute Chancen, zu Opfern einer solchen Kampagne zu werden.

Gut gemacht: Eine vermeintlich vom Google Enterprise Support stammende, fehlerfrei formulierte Nachricht bringt ein infiziertes Attachment mit.
Foto: Cyren

Aber nicht nur die Kollegen in den Fachabteilungen benötigen Wissen. Auch die IT-Mitarbeiter selbst müssten laut RSA-Sprecher Alex Cox besser geschult werden. Denn ohne tiefgehendes Fachwissen seien moderne Schutzmechanismen gar nicht sinnvoll nutzbar. Auch fehle es so gut wie immer an der Expertise, die Wirkweise einer von der Software entdeckten Malware zu analysieren. Allzu oft würde zudem der Kardinalsfehler begangen: Das sofortige Säubern der infizierten Endgeräte. Damit nähmen sich Unternehmen laut Cox jegliche Chance, mehr über die Hintermänner beziehungsweise die erbeuteten Daten zu erfahren. Fehlt dieser Einblick, ist die nächste, noch wirksamere Spear-Phishing-Kampagne so gut wie sicher. Denn niemand im Unternehmen weiß, welche der eigenen Daten für die nächste Attacke missbraucht werden. (sh)