Cybercrime reloaded: Anatomie einer Cyberattacke

03.12.2020
G DATA Blog

Es kann jeden treffen: In einer immer stärker vernetzten Welt steigen auch die Gefahren für IT-Sicherheitsvorfälle. Und immer noch gehen Privatpersonen und Unternehmen allzu sorglos mit dem Schutz kritischer Daten und und dem eigenen Netzwerk oder dem der Firma um. Wie ein Angriff abläuft und mit welchen einfachen Maßnahmen er zu verhindern ist, erklärt Philipp Grüter, Security Consultant bei G DATA CyberDefense.

Die Digitalisierung unseres Privatlebens und der Wirtschaft schreiten stetig voran. Smart Home, Industrie 4.0 und Internet of Things versprechen eine Zukunft, in der alles online und miteinander vernetzt ist: Webcams, Türschlösser, Babyphones in den eigenen vier Wänden, Fertigungsanlagen und Ersatzteillager im Berufsalltag. Die Kehrseite der Medaille: Das Risiko für Cyberangriffe steigt beinahe exponentiell. Ungesicherte Webcams, Steuerungen für Smart Homes oder Datenbanken mit Kundeninformationen sind immer noch eine leichte Beute für Cyberkriminelle, die mit professionellen Methoden nach amateurhaft gesicherten Geräten oder Netzwerken suchen.

Mangelndes Bewusstsein für IT-Sicherheit, für sichere Passwörter oder fehlendes technisches Know-how machen es den Angreifern leicht, IT-Systeme zu infiltrieren. Sehr viele Unternehmen sind ein leichtes Opfer für Cyberkriminelle, weil sie nicht einmal die einfachsten Cybersecurity-Basics berücksichtigen.

Philipp Grüter

Security Consultant bei G DATA CyberDefense

Ein Klick reicht aus, um Netzwerke zu kompromitieren

Immer noch gelingt es Cyberkriminellen, über Phishing-Mails ihre Schadsoftware in PCs oder Netzwerke einzuschleusen. Nach wie vor fallen Menschen auf gefälschte Gewinnspielbenachrichtigungen herein oder klicken auf einen Link in einer Mail, der sie zum Passwort-Wechsel auffordert. In beiden Fällen fischen Kriminelle mit dieser simplen Methode Zugangsdaten und persönlichen Daten ab. Im Business-Kontext gehen Angreifer gezielter vor. Sie kundschaften im Vorfeld das Unternehmen und deren Mitarbeiter aus und sammeln Informationen. Dabei recherchieren sie etwa in Social-Media-Kanälen, welche Veranstaltungen ausgewählte Mitarbeiter besuchen. Auf Basis dieser Informationen versenden sie dann präparierte Phishing-Mails, die personalisiert sind und sich auf die Veranstaltung beziehen. Solche Mails einer sogenannten Spearphishing-Kampagne sind natürlich deutlich schwerer von echten Geschäftsmails zu unterscheiden, sodass Mitarbeiter eher geneigt sind, infizierte Anhänge öffnen und Zugangsdaten preisgeben oder Links anklicken, mit der sie Malware herunterladen.

Die Crux mit der Sicherheit

Aber warum tun sich kleine und mittelständische Unternehmen so schwer mit der Abwehr von Cyberattacken? Eine oft gehörte Antwort: „Mein Unternehmen ist für Kriminelle kein attraktives Ziel.“ Es scheint leider so, dass viele Geschäftsführer oder Manager die Sicherheit des eigenen Unternehmens nicht ernst nehmen. Aber Cybercrime ist ein Massengeschäft. Angreifer suchen sich das leichteste Ziel unter vielen. Und so sind sie eine leichte Beute für Cyberkriminelle, weil sie die Basics für ihre IT-Sicherheit vernachlässigen. Immer wieder finden die Cyber-Defense-Spezialisten von G DATA leicht zu vermeidende Fehler:

  • Die Antiviren-Lösung befindet sich noch im Auslieferungszustand ohne automatische Updates,
  • Logdateien der Firewall bleiben ungelesen oder
  • das Patch-Management nervt und wird abgeschaltet.

Darüber hinaus verhelfen auch ein schlechtes Asset Management und eine fehlende oder ungetestete Back-up-Strategie den Angreifern zu einem schnellen Erfolg.

Kein Backup? Kein Mitleid!

IT-Sicherheit ist Management-Aufgabe. Es liegt in der Hand der Führungskräfte, die Strategie der IT-Sicherheit festzulegen und die Bedeutung dieses Themas auch bei allen Mitarbeitern zu verankern. Dafür müssen sie auch entsprechendes Budget bereitstellen, um etwa IT-Notfallpläne zu konzipieren oder eine Backup-Strategie umzusetzen. Apropos Backups: Sie sind im Schadensfall der letzte Rettungsanker für viele Unternehmen. So lässt sich der Schaden noch begrenzen, wenn doch einmal eine Ransomware das Netzwerk befallen und Daten verschlüsselt hat. Wie häufig Sie als Unternehmen Backups erstellen, hängt vom Einzelfall ab. Aber auch bei den IT-Budgets zögern viele Verantwortliche. Ihr Argument: „IT-Sicherheit generiert keinen Profit.“ Dabei sollten Sie sich als Führungskraft vielmehr die Frage stellen, wie lange Ihr Unternehmen im Schadensfall wirtschaftlich lebensfähig ist. Statt zu reagieren, müssen Unternehmen agieren. Dabei müssen sie nicht nur ihre IT-Sicherheitsmaßnahmen auf den Prüfstand stellen, sondern auch eine Business-Continuity-Startegie für den IT-Notfall realisieren.

Anatomie eines Einbruchs

Wie bei einem Wohnungseinbruch folgen die meisten Cyberattacken einem festen Muster. Zunächst spähen die Angreifer ihr Opfer aus und sammeln Informationen. Dazu analysieren sie die Netzwerkinfrastruktur und suchen gezielt nach offenen Ports oder Access Points. Gleichzeitig sammeln sie mit professionellen Analysetools Informationen zu aktiven Maschinen, Betriebssystemen und Services. So erfahren sie den aktuellen Patch-Status oder finden möglicherweise Lücken wie ein ungepatchtes Citrix-System oder einen noch aktiven Windows-7-Rechner. Auch Social-Media-Accounts werten die Kriminellen aus, um einen Angriffsweg in das fremde Netz zu finden. Die gefundenen Schwachstellen nutzen die Angreifer aus und schleusen den Schadcode direkt in das Zielsystem oder verschicken Mails mit Malware an Mitarbeiter des Opfers.

Dies alles passiert unbemerkt – ebenso wie die nächsten Schritte, in denen die Cyberkriminellen sukzessive die Kontrolle übernehmen. Dazu verbreiten sie die digitale Infektion immer weiter im Netzwerk und etablieren einen Rückkanal zu einem Command-and-Control-Server, mit dem sie ständig Informationen austauschen. Die Angreifer laden automatisiert einerseits neuen Schadcode nach, andererseits exfiltrieren sie die Daten aus dem Unternehmen und bereiten damit auch weitere Attacken gegen andere Unternehmen vor. Erst dann setzen sie zum finalen Schlag an und verschlüsseln das System beziehungsweise die wichtigsten Dateien. Dann werden die Bildschirme im Unternehmen schwarz und eine Lösegeldforderung erscheint. Die Erfahrungen zeigen, dass seit der Erstinfektion rund 180 Tage vergehen bis ein Schaden sichtbar ist. Allerdings beschleunigen Cyberkriminelle das Tempo – mit neuen Methoden und Tools vergehen in einigen Fällen zwischen Erstangriff und Verschlüsselung nur noch zehn Tage.

Übrigens: Ein besonderes Augenmerk richten die Angreifer auf die Backups beziehungsweise auf die Zerstörung aktueller Backups. Denn mit zerstörten Backups fehlt Firmen die letzte Verteidigung gegen die Angreifer. Die einzige Hoffnung ist dann, das geforderte Lösegeld zu zahlen. Unternehmen, die ihre Backups vom Netzwerk separiert haben, handeln weitsichtig und sind deutlich besser vor Cyberattacken geschützt. Allerdings nur dann, wenn sie die Backups erst nach einer grundlegenden Neueinrichtung des Systems inklusive einer detaillierten Analyse wieder einspielen.

Zufall oder Absicht?

Nach wie vor fallen einige Firmen zufällig einer Cyberattacke zum Opfer. Insbesondere dann, wenn Angreifer Ransomware-Kampagnen über E-Mails mit Emotet und Trickbot einsetzen. Dies geschieht meistens, wenn Mitarbeiter unvorsichtig sind und auf einfache Phishing-Mails hereinfallen. Der Trend geht allerdings eindeutig zu gezielten Angriffen.

Die Kriminellen orientieren sich am Umsatz des Opfers und passen die Lösegeldforderung so an, dass die Existenz des Unternehmens nicht gefährdet ist. In diesen Fällen gehen die Angreifer sehr gezielt vor. Sie setzen nicht nur auf Handarbeit, um die Schadsoftware im Netzwerk zu platzieren und zu verbreiten, sondern gehen auch bei der Exfiltration und Verschlüsselung der Daten planmäßig vor, um Lösegeld zu erpressen.

Philipp Grüter

Unsichersicherheitsfaktor Mensch

Cyberkriminelle agieren trickreich, um in Unternehmensnetzwerke einzudringen. Und sollten sie auf hohe technische Hürden stoßen, suchen sie den Umweg über die Angestellten, um ihr Ziel zu erreichen. Social Engineering heißt diese Methode. Angreifer nutzen bewusst menschliche Verhaltensmuster wie Mitleid oder Hilfsbereitschaft aus oder setzen Unternehmenshierachien oder Autoritäten als Hebel ein. Aber auch vor psychlogischen Tricks machen sie keinen Halt, um sich Zutritt zum Rechenzentrum zu verschaffen. Mitarbeiter, die sich aktueller Cyberrisiken bewusst sind, handeln weitsichtig und helfen, Angriffe abzuwehren.

Drum schütze sich wer kann

Wenn Sie sich als Unternehmen dem Thema IT-Sicherheit verweigern, handeln Sie fahrlässig und gefährden die Existenz des Unternehmens. Dabei können Sie das Risiko von Cyberattacken durch zahlreiche Maßnahmen deutlich reduzieren:

  • Der aktuelle Status der technologischen IT-Schutzmaßnahmen lässt sich etwa durch einen Penetrationstest prüfen. Damit lassen sich mögliche Lücken in der IT-Sicherheit aufdecken und mit entsprechenden Maßnahmen schließen. Wichtig dabei ist: Dieser Test sollte regelmäßig stattfinden, da sie nur eine Momentaufnahme des aktuellen Status abbilden. Neue Geräte, Anwendungen oder Updates verändern den Status wieder.
  • Auch die Erstellung eines Notfallplanes ist erforderlich, um im Worst Case handlungsfähig zu bleiben. Alle Angestellten sollten etwa ein kleines Detail wie die Telefonummer der internen IT kennen, um diese im Verdachtsfall umgehend zu informieren.
  • Idealerweise führen Unternehmen regelmäßig Notfallübungen durch, um die Wirksamkeit des Plans zu prüfen oder Anpassungen vorzunehmen.
  • Selbstverständlich gehören Firewall und Endpoint-Schutz zur grundlegenden Absicherung.
  • Viel entscheidender ist aber eine Backup-Strategie sowie ein regelmäßiger Test, ob die Backups auch funktionsfähig sind.
  • Passwörter sind ebenfalls ein wichtiger Baustein für die IT-Sicherheit. Insbesondere lange und komplexe Passwort-Phrasen sind besonders sicher. Der Vorteil dabei: Sichere Passwörter müssen nicht so häufig getauscht werden.
  • Natürlich gehört auch die Schulung der Mitarbeiter über Cybergefahren in das Maßnahmenbündel. So lässt sich das Bewusstsein der Angestellten für die IT-Sicherheit schärfen, sodass sie künftig umsichtiger handeln.

Wer all diese Maßnahmen umsetzt, kommt allerdings nicht um eine Erhöhung des IT-Budgets herum. Aber: Mit dieser Investition sichern Verantwortliche langfristig das Überleben der eigenen Firma.

Fazit: Jetzt handeln und die IT-Sicherheit ganzheitlich angehen

Auch im Jahr 2021 haben Firmen und Behörden Nachholbedarf bei der IT-Sicherheit. Daher müssen sie sich jetzt auf den Weg machen, um nicht den Anschluss zu verlieren. Dabei ist allen Beteiligten geholfen, wenn sie sich über ihre Erfahrungen austauschen. Von Best Practices profitieren alle, aber auch von Erfahrungsberichten von Worst Cases. Wer bewusst mit dem Thema IT-Sicherheit umgeht, kann sich deutlich sicherer fühlen.

Stefan Karpenstein
Public Relations Manager

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar