Cybercrime reloaded: Anatomie einer Cyberattacke

Die Digitalisierung unseres Privatlebens und der Wirtschaft schreiten stetig voran. Smart Home, Industrie 4.0 und Internet of Things versprechen eine Zukunft, in der alles online und miteinander vernetzt ist: Webcams, Türschlösser, Babyphones in den eigenen vier Wänden, Fertigungsanlagen und Ersatzteillager im Berufsalltag. Die Kehrseite der Medaille: Das Risiko für Cyberangriffe steigt beinahe exponentiell. Ungesicherte Webcams, Steuerungen für Smart Homes oder Datenbanken mit Kundeninformationen sind immer noch eine leichte Beute für Cyberkriminelle, die mit professionellen Methoden nach amateurhaft gesicherten Geräten oder Netzwerken suchen.

Immer noch gelingt es Cyberkriminellen, über Phishing-Mails ihre Schadsoftware in PCs oder Netzwerke einzuschleusen. Nach wie vor fallen Menschen auf gefälschte Gewinnspielbenachrichtigungen herein oder klicken auf einen Link in einer Mail, der sie zum Passwort-Wechsel auffordert. In beiden Fällen fischen Kriminelle mit dieser simplen Methode Zugangsdaten und persönlichen Daten ab. Im Business-Kontext gehen Angreifer gezielter vor. Sie kundschaften im Vorfeld das Unternehmen und deren Mitarbeiter aus und sammeln Informationen. Dabei recherchieren sie etwa in Social-Media-Kanälen, welche Veranstaltungen ausgewählte Mitarbeiter besuchen. Auf Basis dieser Informationen versenden sie dann präparierte Phishing-Mails, die personalisiert sind und sich auf die Veranstaltung beziehen. Solche Mails einer sogenannten Spearphishing-Kampagne sind natürlich deutlich schwerer von echten Geschäftsmails zu unterscheiden, sodass Mitarbeiter eher geneigt sind, infizierte Anhänge öffnen und Zugangsdaten preisgeben oder Links anklicken, mit der sie Malware herunterladen.

Aber warum tun sich kleine und mittelständische Unternehmen so schwer mit der Abwehr von Cyberattacken? Eine oft gehörte Antwort: „Mein Unternehmen ist für Kriminelle kein attraktives Ziel.“ Es scheint leider so, dass viele Geschäftsführer oder Manager die Sicherheit des eigenen Unternehmens nicht ernst nehmen. Aber Cybercrime ist ein Massengeschäft. Angreifer suchen sich das leichteste Ziel unter vielen. Und so sind sie eine leichte Beute für Cyberkriminelle, weil sie die Basics für ihre IT-Sicherheit vernachlässigen. Immer wieder finden die Cyber-Defense-Spezialisten von G DATA leicht zu vermeidende Fehler:

• Die Antiviren-Lösung befindet sich noch im Auslieferungszustand ohne automatische Updates,
• Logdateien der Firewall bleiben ungelesen oder
• das Patch-Management nervt und wird abgeschaltet.

Darüber hinaus verhelfen auch ein schlechtes Asset Management und eine fehlende oder ungetestete Back-up-Strategie den Angreifern zu einem schnellen Erfolg.

IT-Sicherheit ist Management-Aufgabe. Es liegt in der Hand der Führungskräfte, die Strategie der IT-Sicherheit festzulegen und die Bedeutung dieses Themas auch bei allen Mitarbeitern zu verankern. Dafür müssen sie auch entsprechendes Budget bereitstellen, um etwa IT-Notfallpläne zu konzipieren oder eine Backup-Strategie umzusetzen. Apropos Backups: Sie sind im Schadensfall der letzte Rettungsanker für viele Unternehmen. So lässt sich der Schaden noch begrenzen, wenn doch einmal eine Ransomware das Netzwerk befallen und Daten verschlüsselt hat. Wie häufig Sie als Unternehmen Backups erstellen, hängt vom Einzelfall ab. Aber auch bei den IT-Budgets zögern viele Verantwortliche. Ihr Argument: „IT-Sicherheit generiert keinen Profit.“ Dabei sollten Sie sich als Führungskraft vielmehr die Frage stellen, wie lange Ihr Unternehmen im Schadensfall wirtschaftlich lebensfähig ist. Statt zu reagieren, müssen Unternehmen agieren. Dabei müssen sie nicht nur ihre IT-Sicherheitsmaßnahmen auf den Prüfstand stellen, sondern auch eine Business-Continuity-Startegie für den IT-Notfall realisieren.

Wie bei einem Wohnungseinbruch folgen die meisten Cyberattacken einem festen Muster. Zunächst spähen die Angreifer ihr Opfer aus und sammeln Informationen. Dazu analysieren sie die Netzwerkinfrastruktur und suchen gezielt nach offenen Ports oder Access Points. Gleichzeitig sammeln sie mit professionellen Analysetools Informationen zu aktiven Maschinen, Betriebssystemen und Services. So erfahren sie den aktuellen Patch-Status oder finden möglicherweise Lücken wie ein ungepatchtes Citrix-System oder einen noch aktiven Windows-7-Rechner. Auch Social-Media-Accounts werten die Kriminellen aus, um einen Angriffsweg in das fremde Netz zu finden. Die gefundenen Schwachstellen nutzen die Angreifer aus und schleusen den Schadcode direkt in das Zielsystem oder verschicken Mails mit Malware an Mitarbeiter des Opfers.

Dies alles passiert unbemerkt – ebenso wie die nächsten Schritte, in denen die Cyberkriminellen sukzessive die Kontrolle übernehmen. Dazu verbreiten sie die digitale Infektion immer weiter im Netzwerk und etablieren einen Rückkanal zu einem Command-and-Control-Server, mit dem sie ständig Informationen austauschen. Die Angreifer laden automatisiert einerseits neuen Schadcode nach, andererseits exfiltrieren sie die Daten aus dem Unternehmen und bereiten damit auch weitere Attacken gegen andere Unternehmen vor. Erst dann setzen sie zum finalen Schlag an und verschlüsseln das System beziehungsweise die wichtigsten Dateien. Dann werden die Bildschirme im Unternehmen schwarz und eine Lösegeldforderung erscheint. Die Erfahrungen zeigen, dass seit der Erstinfektion rund 180 Tage vergehen bis ein Schaden sichtbar ist. Allerdings beschleunigen Cyberkriminelle das Tempo – mit neuen Methoden und Tools vergehen in einigen Fällen zwischen Erstangriff und Verschlüsselung nur noch zehn Tage.

Übrigens: Ein besonderes Augenmerk richten die Angreifer auf die Backups beziehungsweise auf die Zerstörung aktueller Backups. Denn mit zerstörten Backups fehlt Firmen die letzte Verteidigung gegen die Angreifer. Die einzige Hoffnung ist dann, das geforderte Lösegeld zu zahlen. Unternehmen, die ihre Backups vom Netzwerk separiert haben, handeln weitsichtig und sind deutlich besser vor Cyberattacken geschützt. Allerdings nur dann, wenn sie die Backups erst nach einer grundlegenden Neueinrichtung des Systems inklusive einer detaillierten Analyse wieder einspielen.

Nach wie vor fallen einige Firmen zufällig einer Cyberattacke zum Opfer. Insbesondere dann, wenn Angreifer Ransomware-Kampagnen über E-Mails mit Emotet und Trickbot einsetzen. Dies geschieht meistens, wenn Mitarbeiter unvorsichtig sind und auf einfache Phishing-Mails hereinfallen. Der Trend geht allerdings eindeutig zu gezielten Angriffen.

Cyberkriminelle agieren trickreich, um in Unternehmensnetzwerke einzudringen. Und sollten sie auf hohe technische Hürden stoßen, suchen sie den Umweg über die Angestellten, um ihr Ziel zu erreichen. Social Engineering heißt diese Methode. Angreifer nutzen bewusst menschliche Verhaltensmuster wie Mitleid oder Hilfsbereitschaft aus oder setzen Unternehmenshierachien oder Autoritäten als Hebel ein. Aber auch vor psychlogischen Tricks machen sie keinen Halt, um sich Zutritt zum Rechenzentrum zu verschaffen. Mitarbeiter, die sich aktueller Cyberrisiken bewusst sind, handeln weitsichtig und helfen, Angriffe abzuwehren.

Wenn Sie sich als Unternehmen dem Thema IT-Sicherheit verweigern, handeln Sie fahrlässig und gefährden die Existenz des Unternehmens. Dabei können Sie das Risiko von Cyberattacken durch zahlreiche Maßnahmen deutlich reduzieren:

• Der aktuelle Status der technologischen IT-Schutzmaßnahmen lässt sich etwa durch einen Penetrationstest prüfen. Damit lassen sich mögliche Lücken in der IT-Sicherheit aufdecken und mit entsprechenden Maßnahmen schließen. Wichtig dabei ist: Dieser Test sollte regelmäßig stattfinden, da sie nur eine Momentaufnahme des aktuellen Status abbilden. Neue Geräte, Anwendungen oder Updates verändern den Status wieder.
• Auch die Erstellung eines Notfallplanes ist erforderlich, um im Worst Case handlungsfähig zu bleiben. Alle Angestellten sollten etwa ein kleines Detail wie die Telefonummer der internen IT kennen, um diese im Verdachtsfall umgehend zu informieren.
• Idealerweise führen Unternehmen regelmäßig Notfallübungen durch, um die Wirksamkeit des Plans zu prüfen oder Anpassungen vorzunehmen.
• Selbstverständlich gehören Firewall und Endpoint-Schutz zur grundlegenden Absicherung.
• Viel entscheidender ist aber eine Backup-Strategie sowie ein regelmäßiger Test, ob die Backups auch funktionsfähig sind.
• Passwörter sind ebenfalls ein wichtiger Baustein für die IT-Sicherheit. Insbesondere lange und komplexe Passwort-Phrasen sind besonders sicher. Der Vorteil dabei: Sichere Passwörter müssen nicht so häufig getauscht werden.
• Natürlich gehört auch die Schulung der Mitarbeiter über Cybergefahren in das Maßnahmenbündel. So lässt sich das Bewusstsein der Angestellten für die IT-Sicherheit schärfen, sodass sie künftig umsichtiger handeln.

Wer all diese Maßnahmen umsetzt, kommt allerdings nicht um eine Erhöhung des IT-Budgets herum. Aber: Mit dieser Investition sichern Verantwortliche langfristig das Überleben der eigenen Firma.

Auch im Jahr 2021 haben Firmen und Behörden Nachholbedarf bei der IT-Sicherheit. Daher müssen sie sich jetzt auf den Weg machen, um nicht den Anschluss zu verlieren. Dabei ist allen Beteiligten geholfen, wenn sie sich über ihre Erfahrungen austauschen. Von Best Practices profitieren alle, aber auch von Erfahrungsberichten von Worst Cases. Wer bewusst mit dem Thema IT-Sicherheit umgeht, kann sich deutlich sicherer fühlen.