Moderne Unternehmen sind Kämpfer auf dem Cyber-Schlachtfeld. Sie müssen ihre Linien mit doppelter Anstrengung halten, da sie gleichzeitig neue und gute alte Angriffe abwehren müssen. Intelligente Technologien wie künstliche Intelligenz, Blockchain und das Internet der Dinge bieten Cyberkriminellen alternative Angriffskanäle für Unternehmen und neue Möglichkeiten zur Tarnung bösartiger Aktivitäten. Gleichzeitig entwickeln sich bekannte Angriffsarten ständig weiter und werden dadurch schwieriger aufzudecken und zu neutralisieren.
Offizielle Statistiken über Cyberangriffe ändern sich schnell. Wenn man sich jedoch die Daten der vergangenen Jahre ansieht, kann man leicht erkennen, welche Angriffswellen in einem bestimmten Zeitraum aufgetreten sind. So war 2017 beispielsweise das Jahr der verheerenden WannaCry- und Petya/Not Petya-Malware-Kampagnen. 2018 wird als das Jahr der massiven, von Facebook übersehenen Datenschutzverletzungen in die Chroniken der Cybersicherheit eingehen.
Im Jahr 2019 registrierten Sicherheitsexperten einen atemberaubenden Anstieg von 2.000 % bei Vorfällen im Bereich der operativen Technologien (OT). Der neueste X-Force Threat Intelligence Index 2020 von IBM zeigt, dass es häufiger zu aggressiven Angriffen auf industrielle Kontrollsysteme (ICS) kommt. Cyberkriminelle nutzen bekannte Schwachstellen in der ICS-Hardware aus und wählen Brute-Forcing als Hauptmethode, um in die Software solcher Systeme einzudringen.
Es gibt jedoch verschiedene Arten von Angriffen, die ständig registriert werden. Es liegt in der Verantwortung der Unternehmen, darauf vorbereitet zu sein, wenn sie auftreten, entweder aus eigener Kraft oder indem sie sich an Cybersicherheitsberatungsdienste wenden.
Gängige Cyberangriffe und Grundprinzipien der Cybersicherheit in Unternehmen
Lassen Sie uns in die wichtigsten Konzepte der Cybersicherheit in Unternehmen eintauchen, indem wir die gängigsten Arten von Angriffen und ihre wirksamsten Gegenmaßnahmen analysieren.
Brute-Force- und Credential-Stuffing-Angriffe
Brute-Force ist eine einfache Art von Cyberangriff durch Ausprobieren und Ausprobieren. Mit Brute-Force-Techniken versuchen Hacker, an wertvolle Daten heranzukommen, indem sie die Passwörter oder Verschlüsselungscodes der Opfer knacken. Websites mit eingebauten Benutzerautorisierungs- und E-Mail-Diensten sind die attraktivsten Ziele für Angreifer, die Wörterbuchangriffe durchführen, um aktive Passwörter abzugreifen und zu knacken. Ein umgekehrter Brute-Force-Angriff ist eine alternative Angriffsmethode, bei der ein Angreifer ein Passwort gegen mehrere Benutzernamen ausprobiert.
Da das manuelle Ausprobieren von Tausenden von Passwörtern zu viel Zeit und Aufwand erfordert, verwenden Hacker spezielle Tools, um den Prozess zu automatisieren. Dadurch können sie massive Brute-Forcing-Angriffe auf große Netzwerke organisieren.
Brute-Force-Angriffe können der IT-Infrastruktur von Unternehmen großen Schaden zufügen und zu erheblichen Datenlecks führen. Glücklicherweise sind sie durch die Kaskaden von abnormalen An- und Abmeldungen auch recht leicht zu erkennen.
Die OWASP Foundation bietet mehrere Techniken an, um Brute-Force-Angriffe abzuwehren. Zeitverzögerungen zwischen aufeinanderfolgenden Anmeldeversuchen, komplexe Antworten auf erfolglose Anmeldungen, automatisch gesperrte Konten nach fehlgeschlagenen Anmeldungen und CAPTCHAs sind nur einige mögliche Maßnahmen, um Brute-Force-Angriffe zu unterbinden. Unternehmen sollten außerdem schwache und häufig verwendete Passwörter verbieten und ihre Mitarbeiter darin schulen, niemals alte Passwörter wiederzuverwenden oder Variationen davon zu erstellen, und eine Software zur Passwortverschlüsselung einsetzen.
Eine der Abwandlungen von Brute-Force-Angriffen sind Credential-Stuffing-Angriffe, die in den letzten Jahren stark zugenommen haben. Angesichts der Tatsache, dass Benutzer in der Regel dieselben Anmeldedaten in mehreren Anwendungen verwenden, nutzen Hacker kompromittierte Anmeldedaten, die sie unrechtmäßig bei einer Datenverletzung erlangt haben, um eine Kontoübernahme (ATO) durchzuführen.
Die ersten Ausbrüche von Credential Stuffing wurden 2018 gemeldet, als Sicherheitsexperten mehr als 115 Millionen Versuche registrierten, gestohlene Anmeldedaten pro Tag zu verwenden. Im Jahr 2019 bestätigte Boost Mobile, ein virtuelles Mobilfunknetz im Besitz von Sprint mit mehr als 15 Millionen aktiven Nutzern, dass Hacker über die offizielle Website von Boost Mobile durch Credential Stuffing Kundenkonten manipulieren konnten.
Betrachtet man die Zukunft von Big Data im Allgemeinen und bedenkt, dass die Zahl der gestohlenen sensiblen Daten, die im Dark Web gehandelt werden, zunehmen wird, wird das Risiko des Credential Stuffing in den nächsten Jahren nur wachsen.
DDoS-Angriffe
Ein verteilter Denial-of-Service-Angriff (DDoS) ist eine der größten Bedrohungen für die Cybersicherheit von Unternehmen. DDoS steht für eine Reihe von böswilligen Aktivitäten, die darauf abzielen, den normalen Betrieb eines Servers, Dienstes oder Netzwerks zu stören, indem sie diese mit einer Flut von Datenpaketen erschöpfen. Bei einem Hackerangriff wird ein Ziel für normale Benutzer unerreichbar, während böswillige Akteure die Kontrolle darüber übernehmen, um das Netzwerk weiter zu verseuchen, die Unternehmensinfrastruktur außer Betrieb zu setzen oder vertrauliche Daten zu stehlen.
Typischerweise beginnt ein DDoS-Angriff mit einer ausgenutzten Schwachstelle, die es Hackern ermöglicht, die Kontrolle über einen bestimmten Computer oder ein Netzwerkgerät zu erlangen, das als Zombie oder Bot bezeichnet wird. Ein Zombie spürt dann andere anfällige Systeme auf und infiziert sie, so dass die Hacker ein Botnetz oder ein verseuchtes Netzwerk aufbauen können. Danach kann ein Angreifer den Botnet-Verkehr nutzen, um das ausgewählte Ziel zu überfluten.
DDoS-Fluten können überwältigend sein. Einer der bekanntesten DDoS-Angriffe wurde im Februar 2018 registriert, als GitHub mit einem unglaublichen Spitzenverkehr von 1,35 TBps konfrontiert wurde.
Abhängig vom Ziel gibt es drei Haupttypen von DDoS-Angriffen:
- Netzwerk-zentrierte (volumetrische) Angriffe
- Protokoll-Angriffe
- Angriffe auf der Anwendungsebene
DDoS-Angriffe sind gefährlich, weil sie das Ziel oft zusammen mit angeschlossenen Netzen und Systemen treffen. So kann ein DDoS-Angriff nicht nur eine Organisation, sondern auch deren Dienstanbieter gefährden.
Vergleicht man die Aktivitäten von DDoS-Angreifern in den Jahren 2018 und 2019, zeigt Kaspersky, dass nicht nur die Anzahl der DDoS-Angriffe zugenommen hat, sondern auch deren Dauer. Das bedeutet, dass Cyberkriminelle mehr Möglichkeiten haben, die Vermögenswerte und den Betrieb von Unternehmen ernsthaft zu schädigen.
Es ist zu erwähnen, dass das IoT eines der wichtigsten Ziele und Kanäle für moderne DDoS-Angreifer ist. Die IoT-Geschichte macht deutlich, dass die zahlreichen Versuche von Regierungen und Unternehmen, die IoT-Implementierungen zu sichern, bisher keine Durchbrüche gebracht haben. Aus diesem Grund werden vernetzte Umgebungen und IoT-Geräte definitiv attraktive Ziele für Cyberkriminelle weltweit bleiben.
Um die Risiken zu minimieren, sollten Unternehmen ihre Anstrengungen auf die Beseitigung von Netzwerkschwachstellen richten, die böswillige Nutzer anziehen können. Um eine ständige Kontrolle über den Netzwerkverkehr zu behalten, lohnt es sich, entsprechende Sicherheitslösungen für Unternehmen zu implementieren, um die Übertragung unerwünschter Pakete zu verhindern, die Interaktion von Benutzern mit unsicheren Diensten zu vereiteln und verdächtigen Datenverkehr zu blockieren. Durch die Einrichtung von Netzwerküberwachungs-Tools und die Durchführung von Software-Sicherheitstests können Unternehmen ihre Netzwerkaktivitäten überwachen und im Falle eines DDoS sofort Gegenmaßnahmen ergreifen.
Malware-Angriffe
Viren, Würmer, Trojanische Pferde und Wiper sind nur einige Arten von Malware, die ein Zielsystem infizieren können und es Hackern ermöglichen, sensible Daten zu stehlen, zentrale Computerfunktionen zu stören und die Aktivitäten der Benutzer heimlich zu überwachen.
Ransomware ist eine weitere Malware-Variante, die in den letzten Jahren besonders beliebt geworden ist. Indem sie in ein Zielsystem eindringen und Ransomware verbreiten, verschlüsseln die Angreifer Daten und bieten an, sie nach Zahlung eines Lösegelds zu entschlüsseln.
Einmal gestartet, ist Malware fast unmöglich zu stoppen, daher ist es für Unternehmen immer besser, eine Infektion zu verhindern, als sie auszurotten. Massive Angriffe in der Vergangenheit haben gezeigt, dass Unternehmen oft die Grundprinzipien der Unternehmenssicherheit vernachlässigen, was zu schrecklichen Ergebnissen führt.
Der berüchtigte WannaCry-Ransomware-Angriff im Mai 2017 wurde zum katastrophalsten Cyberangriff aller Zeiten. Sie betraf fast 200.000 Computer in 150 Ländern und verursachte einen Gesamtschaden von 8 Milliarden US-Dollar. Überraschenderweise war dieser katastrophale Schaden nicht das Ergebnis schlechter oder fehlender Gegenmaßnahmen. Die Ransomware verbreitete sich über eine bekannte Sicherheitslücke in älteren Versionen von Microsoft Windows. Obwohl das Unternehmen vor dem Angriff die notwendigen Sicherheits-Patches veröffentlichte, haben die betroffenen Unternehmen die Updates nicht eingespielt und einfach ihre veralteten Betriebssysteme weiter benutzt.
Mit der Entwicklung von Ransomware ändern sich auch die Techniken der Hacker. Die Cyberkriminellen wählen ihre Ziele nicht nur sorgfältiger aus, sondern setzen auch höhere Lösegelder fest und erhöhen die Risiken.
Für Travelex, einen britischen Währungsumtauschdienst, begann das Jahr 2020 mit einer dunklen Note. Die Hacker, die hinter dem jüngsten REvil-Angriff (auch bekannt als Sodinokibi) stecken, forderten nicht nur eine beispiellose Zahlung von 6 Millionen Dollar, sondern drohten dem Unternehmen auch, alle gestohlenen sensiblen Daten zu verkaufen. Während sich das Unternehmen noch von dem Angriff erholt, haben Sicherheitsexperten bereits erklärt, dass die Drohung, gestohlene Daten nicht nur zu verschlüsseln, sondern auch zu verkaufen, ein neuer Trend des Jahres ist.
Injektionsangriffe
Injektionsangriffe bedeuten, dass ein Hacker bösartigen Code in ein Programm oder einen Computer injiziert und Remote-Befehle ausführt, um bösartige Aktivitäten durchzuführen. Es gibt verschiedene Arten von Injektionen, darunter blinde XPath-Injektion, XPath-Injektion, Pufferüberlauf, LDAP-Injektion, OS-Befehlsausführung, SSI-Injektion, blinde SQL-Injektion und SQL-Injektion, kurz SQLi. Im letzteren Fall injiziert ein Angreifer Befehle, die eine Datenbank lesen oder verändern und die Bedeutung der ursprünglichen SQL-Abfrage verändern können.
Nach dem Bericht "Web Attacks and Gaming Abuse" von Akamai machen SQLi-Angriffe und Local File Inclusion (LFI)-Angriffe 89,8 % aller Web-App-Angriffe aus.
SQL-Angriffe sind so weit verbreitet, weil die Schwachstellen, die SQL-Injection ermöglichen, weit verbreitet sind. Erschwerend kommt hinzu, dass das Ziel selbst äußerst attraktiv ist: Datenbanken enthalten eine Menge potenziell lukrativer Daten.
SQLi-Angriffe sind nicht nur weit verbreitet, sondern auch gefährlich. Indem er sich Zugang zu einer Datenbank verschafft, kann ein Hacker nicht nur deren normalen Betrieb verändern, sondern auch Identitäten stehlen, Daten löschen, ihre Integrität beeinträchtigen oder große Datensätze vollständig zerstören. Darüber hinaus kann ein Angreifer durch SQLi privilegierte Benutzerrechte, z. B. die eines Datenbankadministrators, erlangen, was den mit der Datenbank verbundenen Diensten und Betriebssystemen noch mehr Schaden zufügen kann.
Das OWASP Cheat Sheet enthält mehrere Methoden zur Abwehr von Injektionsangriffen. Datenbankentwickler sollten darauf achten, wie sie Datenbankabfragen schreiben. Es wird dringend empfohlen, parametrisierte Abfragen mit Bindungsvariablen anstelle von dynamischen Abfragen zu erstellen. Außerdem können Entwickler gespeicherte Prozeduren ohne unsichere dynamische SQL-Generierung verwenden.
Die Validierung von White-List-Eingaben (Neugestaltung von Abfragen) und die Eliminierung von Benutzereingaben sind zwei weitere Techniken, um eine Datenbank SQLi-sicher zu machen. Die Begrenzung der Anzahl privilegierter Benutzer mit umfassenden Verwaltungsrechten ist eine weitere Maßnahme, um zu verhindern, dass böswillige Benutzer die Kontrolle über eine Datenbank erlangen.
Soziale Technik
Social Engineering beinhaltet psychologische Manipulation, um Benutzer dazu zu bringen, vertrauliche Informationen wie Telefonnummern, Adressen, Kreditkartendaten usw. preiszugeben. Social Engineering kann für den Systemzugang genutzt werden. Manchmal ist es auch der einfachste Weg, in die komplexe Sicherheitsinfrastruktur einer großen Organisation einzudringen.
Social Engineering wird häufig als erster Schritt für Hacker verwendet, um das ausgewählte Ziel zu erkunden, geheime Informationen zu sammeln oder bösartige Software zu verbreiten, indem die Unachtsamkeit der Mitarbeiter ausgenutzt wird. Es gibt eine Vielzahl von Social-Engineering-Techniken, mit denen böswillige Akteure ihre Aktivitäten erfolgreich durchführen können. Baiting, Vishing, Honey Trap, Watering Hole, Pretexting, Quid Pro Quo, Tailgating, Phishing und Whaling sind beliebte Methoden, um die Cybersicherheit von Unternehmen durch Interaktion mit verschiedenen Benutzergruppen zu gefährden.
Der X-Force Threat Intelligence Index 2020 von IBM zeigt, dass Phishing nach wie vor der am häufigsten genutzte Angriffsvektor ist, der es Hackern ermöglicht, in Unternehmensnetzwerke einzudringen, um den Bereich ihrer bösartigen Aktivitäten weiter zu verbreiten.
Der Data Breach Investigations Report 2019 von Verizon bestätigt, dass Phishing besonders erfolgreich ist, wenn es auf mobile Geräte angewendet wird. Die Eigenschaften von Smartphones, wie relativ kleine Bildschirme und die Einstellungen des mobilen Betriebssystems, erlauben es den Nutzern nicht, die E-Mails, die sie erhalten, und die Webseiten, mit denen sie arbeiten, gründlich zu überprüfen.
Schlimmer noch: Selbst Unternehmen, die sich an die Grundprinzipien der Unternehmenssicherheit halten, sind nicht vor Social Engineering geschützt, wenn die Mitarbeiter nicht wachsam genug sind oder bereit sind, Unternehmensdaten preiszugeben. Regelmäßige Sicherheitsschulungen können dazu beitragen, den Mitarbeitern beizubringen, wie sie mit verdächtigen Geräten und E-Mail-Anhängen umgehen und wie sie getarnte Hacker erkennen können. Außerdem sollten Sicherheitsfilter vorhanden sein, um das Risiko zu verringern, dass Mitarbeiter infizierte E-Mails öffnen.
Erweiterte persistente Bedrohung
Advanced Persistent Threat (APT) ist eine der gefährlichsten Arten von Cyberangriffen, da sie sehr schwer zu erkennen ist. Bei dieser Art von Angriffen dringt ein bösartiger Benutzer in ein Netzwerk ein und verankert sich dort über einen langen Zeitraum. Im Gegensatz zu anderen Arten von Angriffen richten APTs selten großen Schaden an der Infrastruktur eines Unternehmens an. Stattdessen gibt sich ein Angreifer große Mühe, unbemerkt zu bleiben, um so viele wertvolle Daten wie möglich zu stehlen.
Der State of Industrial Cybersecurity 2019 von ARC Advisory Group und Kaspersky belegt, dass APTs zu den größten Sicherheitsproblemen von Unternehmen gehören.
Der Carbanak-Angriff ist einer der größten registrierten APT-Angriffe auf Banken weltweit. Die Carbanak-Bande begann ihre Aktivitäten Ende 2013 und schaffte es in fünf Jahren gezielter Aktivitäten, mehr als 1 Milliarde US-Dollar von über 100 Finanzinstituten in 40 Ländern zu stehlen. Der Anführer der Bande wurde erst im März 2018 nach einer groß angelegten, von mehreren Ländern gemeinsam durchgeführten Untersuchung verhaftet.
Das Beispiel des Carbanak-Angriffs zeigt, wie raffiniert Hacker sein können und wie schwierig es sein kann, sie zu stoppen. Auf Unternehmensebene kann eine etablierte Strategie für Unternehmensnetzwerken-verwaltung, die eine umfassende Netzwerküberwachung und eine außergewöhnliche Wachsamkeit der Sicherheitsexperten sowie der Datenbank- und Systemadministratoren ermöglicht, das einzige Mittel gegen eine APT sein. Ungewöhnliche An- und Abmeldungen, Hintertüren, durch die Hacker in ein Netzwerk ein- und aussteigen können, unerwartete Datenspeicherungen, gezieltes Spear-Phishing und Whaling-Kampagnen können Anzeichen für einen laufenden APT-Angriff sein.
Welche Branchen sind gefährdet?
Nach der jüngsten Studie des Ponemon Institute und IBM hat sich die Zahl der verletzten Datensätze über alle Branchen hinweg im Jahr 2019 im Vergleich zu 2018 fast verdreifacht und belief sich auf 8,5 Milliarden, wobei die durchschnittlichen Kosten einer Datenverletzung 3,9 Millionen Dollar betrugen. In den USA stiegen die durchschnittlichen Gesamtkosten einer Datenschutzverletzung in der Region von 3,54 Millionen US-Dollar im Jahr 2006 auf 8,19 Millionen US-Dollar im Jahr 2019.
Auch wenn kein Unternehmen vor Cyberkriminalität gefeit ist, gibt es doch Branchen und Geschäftsbereiche, die in der Regel die größte Aufmerksamkeit der Hacker auf sich ziehen. Während der Finanzsektor nach wie vor das attraktivste Ziel für Hacker ist, wurden Organisationen im Einzelhandel, in den Medien und im Bildungswesen im vergangenen Jahr wesentlich häufiger angegriffen.
Gleichzeitig bleibt das Gesundheitswesen führend, was die Kosten eines gestohlenen Datensatzes angeht. Branchen, die schwächeren Vorschriften unterliegen (z. B. der öffentliche Sektor, der Einzelhandel, die Medien usw.), haben traditionell wesentlich geringere Kosten für eine Datenschutzverletzung zu tragen als stark regulierte Branchen wie das Gesundheitswesen und Finanzdienstleistungen.
Der ganzheitliche Ansatz für die Cybersicherheit von Unternehmen ist die einzige Lösung
Die Hacker werden von Tag zu Tag schlauer. Unternehmen sind heute sowohl mit kurzen, aggressiven Angriffen als auch mit langfristigen, ausgeklügelten Kampagnen konfrontiert, die mehrere Vektoren und Phasen umfassen.
Wie können sich Unternehmen also vor Hackern schützen? Der Aufbau einer robusten Sicherheitsarchitektur für Unternehmen und deren Verknüpfung mit automatisierten Sicherheitstools und Governance-Plänen ist der effektivste Weg für Unternehmen, sich von Cyber-Problemen fernzuhalten.
Grundlagen der Sicherheit beachten
Traditionelle Sicherheitsmaßnahmen wie Antiviren-Software, Firewalls, Passwort-Manager, Web-Gateways und in der Cloud gehostete Mirrors erscheinen banal, sind aber für ein Unternehmen unerlässlich, um die ersten Angriffe von Angreifern zu erkennen und zu entschärfen. Durch rechtzeitige Updates und Patches können Unternehmen außerdem verhindern, dass ihre IT-Umgebungen angreifbar werden. Regelmäßige Sicherheitsschulungen sind ein Muss, um den Mitarbeitern beizubringen, dass sie bei verdächtigen Aktivitäten auf ihren Arbeitsplätzen wachsam bleiben müssen.
Erweiterte Sicherheitssoftware
Neben den Standard-Sicherheitsmaßnahmen können Unternehmen auch entsprechende Sicherheitslösungen einsetzen, die den Sicherheitsexperten helfen, einen umfassenden Überblick über ihr IT-Ökosystem zu erhalten. Je nach den Besonderheiten und Bedürfnissen eines Unternehmens können sie sich auf User and Entity Behaviour Analytics (UEBA), Data Loss Prevention (DLP), Identity and Access Management (IAM), Security Information and Event Management (SIEM), Threat Intelligence und andere sicherheitsrelevante Systeme verlassen. Der Hauptvorteil von Sicherheitssystemen besteht darin, dass sie eine vernetzte Umgebung kontinuierlich überwachen, was für die datengestützte Entscheidungsfindung von entscheidender Bedeutung ist und es Unternehmen ermöglicht, auf der Grundlage genauer Statistiken die effektivsten Sicherheitsmaßnahmen zu ergreifen.
Sicherheitstests
Schließlich können Unternehmen Sicherheitstests sowohl als präventive als auch als reaktive Maßnahme durchführen. Einerseits helfen Sicherheitstests Unternehmen, bestehende Schwachstellen aufzudecken und zu beseitigen, bevor sie Angreifer anlocken. Andererseits können Netzwerksicherheits- und Softwaresicherheitstests Unternehmen dabei helfen, Angriffsvektoren zu definieren und die Wege der Angreifer zu analysieren, um sie so auf halbem Weg zu stoppen. Darüber hinaus können Penetrationstests bei weniger gefährdeten Organisationen jährlich und bei Organisationen mit höheren Cyber-Risiken zweimal im Jahr durchgeführt werden.
