Sicherheit
22.08.2019
Angriff auf das Netzwerk
1. Teil: „Drei Cyberangriffstechniken, die Sie kennen sollten“

Drei Cyberangriffstechniken, die Sie kennen sollten

Enterprise SecurityEnterprise SecurityEnterprise Security
Den Rise / shutterstock.com
Angreifer infiltrieren Netzwerke auf die unterschiedlichsten Weisen: von Phishing über Brute Force bis hin zu Drive-by-Infektionen. Hier sind drei der gängigsten Techniken, die Hacker nutzen, um an Ihre vertraulichen Unternehmensdaten zu kommen.
  • Klaus Nemelka: Technical Evangelist bei Varonis Systems
    Quelle:
    Varonis
Der Beitrag wurde erstellt von Klaus Nemelka, Technical Evangelist bei Varonis Systems.

Technik 1: Angreifer nutzen Ihre Systeme gegen Sie.

Die erste Technik, die man beachten sollte, nutzt die Systeme der Opfer, um an deren Daten zu gelangen. Mit dem Internet verbundene Computer stellen Verbindungen zu anderen Rechnern her, und zwar jede Menge Verbindungen. Und jede dieser Verbindungen ist eine Möglichkeit, Daten oder Befehle zu verstecken. Diese Vielzahl macht es gleichzeitig auch sehr schwer, das Gute vom Schlechten zu trennen, legitime Kommunikation von schädlichem Verhalten. So nutzen Angreifer zwar auch Systeme wie Webmail und File-Sharing-Sites, haben jedoch noch weitere Möglichkeiten, Informationen „nach draußen“ zu schmuggeln. Sie können zum Beispiel Daten in Verbindungen wie Domain Name System (DNS)-Abfragen subtiler tarnen. Das dauert zwar relativ lange, da die Informationen in kleine Teile zerstückelt und mit den legitimen Informationen „mitgesendet“ werden, läuft aber meist unter dem Radar der Sicherheitsverantwortlichen. Und DNS wird jedes Mal genutzt, wenn Sie sich mit einem Standort oder Dienst im Internet namentlich verbinden, was in aller Regel recht häufig der Fall ist. Bevor man jetzt aber auf die Idee kommt, sämtliche Computer vom Internet zu trennen, sollte man sich bewusst sein, dass selbst diese radikale Maßnahme keine absolute Sicherheit gewährleistet: Angreifer haben mittlerweile sogar Möglichkeiten gefunden, in Netzwerke einzudringen, die nicht mit dem Internet verbunden sind.

Technik 2: Angreifer senden Mitarbeitern bösartige E-Mail-Anhänge, die so aussehen, als wären sie von anderen Mitarbeitern.

Angreifer leben davon, dass sie Ihre Mitarbeiter dazu bringen, auf Links zu klicken und Anhänge zu öffnen - und sie scheinen in dieser Disziplin immer besser zu werden. Die meisten Unternehmens-Homepages enthalten mittlerweile Namen, Positionen und Biografien von (höheren) Mitarbeitern und Führungskräften. Die entsprechenden E-Mail-Adressen sind leicht zu erraten, sobald ein Angreifer das in dem Unternehmen verwendete Format kennt, also beispielsweise Vorname-Punkt-Nachname oder Initiale-Nachname. Dies reicht schon aus, um eine eigene, gezielte Phishing-Kampagne zu starten.
Diese kann natürlich noch verfeinert werden, indem die Angreifer zusätzliche, öffentlich verfügbare Informationen im Internet sammeln. Facebook, LinkedIn, Twitter und Online-Foren bieten großartige Informationsquellen über Namen, Geburtsdaten, Vorlieben und Gewohnheiten. Im Grunde unterscheidet sich dies nicht wesentlich vom Verhalten engagierter Vertriebs- und Marketingmitarbeiter. Diese Informationen bilden die Grundlage für ein maßgeschneidertes Anschreiben inklusive Link oder Anhang - jeweils mit dem Ziel, bösartige Software zu installieren, die dem Angreifer die Kontrolle über den Computer ermöglichen. Und dieses Ziel wird häufig erreicht: Der 2019 Verizon "Data Breach Investigations Report" (DBIR) ergab, dass 90 Prozent der entdeckten Malware über E-Mails empfangen wurde.
Sobald ein Angreifer dann die Kontrolle über ein Konto hat, kann er damit bösartige Links und Anhänge an andere Mitarbeiter senden. Diese E-Mails werden noch mehr Mitarbeiter zum Klicken bringen, da sie den Absender ja vermeintlich kennen. Eine Multi-Faktor-Authentifizierung mag zwar etliche weniger versierte Hacker abschrecken, professionelle Angreifer haben jedoch auch hier bereits Wege gefunden, diese - etwa mittels Man-in-the-Middle-Attacken - auszuhebeln.
2. Teil: „Angriff auf Ihr Netzwerk ohne Software

Angriff auf Ihr Netzwerk ohne Software

Dies führt uns zur dritten Technik: Angreifer können auch neuere Antiviren- und Endpunkttechnologien umgehen, und haben gelernt, wie man ein Netzwerk infiltriert und Informationen stiehlt, ohne bösartige Software zu installieren. Angreifer nennen diesen Ansatz „vom Land leben“. Neuere Computer verfügen bereits über jede Menge vorinstallierter Programme, die Angreifer für ihre Zwecke missbrauchen können. Da der durchschnittliche Mitarbeiter Zugriff auf viele Systeme und Dateien hat, können Hacker mit einem einzigen Computer, einem einzigen Benutzerkonto und vorinstallierter Software viel Schaden anrichten. Durch die Ausführung von Standardbefehlen sind sie so beispielsweise in der Lage, nach wertvollen Inhalten zu suchen und die Daten dann per E-Mail an sich selbst zu senden.
Für den Fall, dass der Angreifer beim ersten Opfer nicht das findet, was er sucht, kann er von diesem Punkt aus andere Computer und Konten übernehmen, indem er andere schwache Passwörter errät oder „knackt“. Angreifer wissen im Allgemeinen, wo Benutzerkontoinformationen gespeichert sind (in der Regel im Active Directory) und wissen, wie sie die entsprechenden Schwachstellen ausnutzen können, um Kontoinformationen und Anmeldeinformationen zu sammeln - um dann schließlich zu ihrem Ziel zu gelangen.

Was kann man also tun?

Angreifer sind sehr geschickt darin, Computer und Konten zu übernehmen und sich unbemerkt in der Unternehmens-Infrastruktur zu bewegen. Aber obwohl man die Angreifer nicht kennt, ist es eigentlich klar, was sie wollen. Und dies sollte man zu seinem Vorteil nutzen.
Einige Angreifer sind darauf aus, Ihre Systemleistung zu nutzen, etwa durch das Schürfen von Kryptowährung oder um Sie zum Teil eines Botnets zu machen und auf diese Weise andere Angriffe zu starten. Aber in aller Regel sind die meisten - und gefährlichsten - Angriffe auf ein Ziel ausgelegt: Ihre Daten. Von denen gibt es in den Systemen jede Menge, sie sind wertvoll und lassen sich gut monetarisieren.
Deshalb ist es von größter Wichtigkeit, dass Sie Ihr geistiges Eigentum, Mitarbeiter- und Kundeninformationen, Gesundheitsdaten u.ä. finden, bevor die Angreifer es tun. Gerade diese Daten sind meist nicht (nur) dort, wo man sie vermutet, sondern liegen verteilt auf Mail- und Datenservern, Rechnern oder in der Cloud. Und verfügen zudem über zu weitreichende Zugriffsrechte. Dies zeigen auch die Ergebnisse des Datenrisiko-Reports 2019. Demnach sind durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich und in jedem zweiten Unternehmen können alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen.
Unternehmen (und deren Sicherheitsverantwortliche) müssen erkennen, welche Daten im Unternehmen besonders wertvoll und leicht zu stehlen sind - und es dann den Angreifern deutlich schwerer machen, an sie heranzukommen. Hierbei sollte zunächst der Zugriff eingeschränkt und überwacht werden, wer ihn nutzt. Man beginnt seine Sicherheitsstrategie somit mit dem Daten im Zentrum und bewegt sich dann „nach außen“: So ist es essenziell, den Datenzugriff zu beobachten, um ungewöhnliches Verhalten erkennen zu können. Dabei dürfen auch die Administratoren- und Servicekonten (die Programme ausführen) nicht vergessen werden. In einem weiteren Schritt „nach außen“ sollte man die Zugriffsaktivitäten in Kontext mit Aktivitäten an den Endpunkten und am Perimeter stellen. Auf diese Weise ergibt sich ein noch klareres Bild davon, was im Netzwerk vor sich geht. Je mehr Informationen dieser Art gebündelt werden, desto präziser werden die Warnungen und drohen nicht, irgendwo im Rauschen der Sicherheitsalarme unterzugehen.
Angreifer informieren sich über Ihre Mitarbeiter, über Ihre Verteidigungsmaßnahmen und überlegen sich, wie sie diese umgehen können. Sie bewegen sich in aller Regel leise, finden das, wonach sie suchen und entwenden es. Sie können diese Recherchen nicht verhindern. Sie können Sie ebenso wenig daran hindern, Ihre Verteidigungsmaßnahmen zu testen. Und auch wenn die Sicherheitslösungen stets besser werden, werden sie sie niemals zu 100 Prozent davon abhalten können, einen Endpunkt oder ein Konto zu übernehmen. Deshalb sollte man sich nicht vom Unvermeidlichen ablenken lassen: Angreifer werden es immer hinter den Perimeter schaffen. Drehen Sie die klassische Sicherheitsstrategie auf links und beginnen Sie deshalb mit dem Ziel der Angreifer, nicht mit dem äußersten Schutzwall: Machen Sie es ihnen schwieriger, an die Daten zu gelangen, und machen Sie es ihnen noch schwieriger, dies unentdeckt zu tun.

mehr zum Thema