Ransomware, Social Engineering & Co: Vor diesen Cyberattacken müssen sich Unternehmen schützen

Erinnern Sie sich noch an WannaCry, Petya und GoldenEye, die Erpressungstrojaner, die 2016 und 2017 die Runde machten und Behörden in ganz Europa lahmlegten? Ransomware gehört zu den bevorzugten Techniken von Hackern weltweit. Aber nicht nur Erpressungssoftware, auch Brute-Force-Attacken, Social Engineering oder Zero Day Exploits gehören zur Toolbox der Angreifer aus dem Netz.

Sie verstehen nur noch Bahnhof? Genau deshalb haben wir diesen Artikel geschrieben. Cyberattacke ist nicht gleich Cyberattacke. Es gibt für Hacker unzählige verschiedene Möglichkeiten, an geheime Daten zu bekommen. Heißt im Umkehrschluss: Wenn Sie Ihre Daten absichern wollen, müssen Sie verstehen, welche Mittel und Methoden die Angreifer nutzen.

Nicht zuletzt, seit Anfang 2018 der Angriff auf das Datennetz der Bundesverwaltung bekannt wurde, ist Cybersicherheit wieder in aller Munde. Hier verschafften sich die Hacker wohl über Microsoft Outlook Zugang – ein E-Mail-Programm, das so weit verbreitet ist wie Sand am Meer. Über eine E-Mail mit infiziertem Anhang gelang es den Angreifern, in das Netzwerk einzudringen.

Die Fachwelt beurteilt die Attacke inzwischen als nur punktuell erfolgreich, aber immerhin: Da hat sich jemand – und es ist bis heute nicht eindeutig geklärt, wer das war – Zugang zur internen Kommunikation der Bundesregierung verschafft. Wenn die Bundesregierung schon nicht zu 100% abgesichert ist, wie sieht das dann in Ihrem Unternehmen aus?

Vorhang auf für die wichtigsten Typen von Cyberattacke – denn nur wenn Sie in der Lage sind einzuschätzen, aus welcher Richtung die Gefahr kommt, können Sie Ihr Sicherheitsbudget an der richtigen Stelle investieren.

 

Login-Attacken

Das Prinzip dieser Angriffsart ist es, die Login-Daten des Opfers zu erraten und sich auf diese Weise Zugang zu diversen Accounts zu verschaffen. Wohl die wichtigste Angriffsart in dieser Kategorie sind sogenannte Brute-Force-Attacken. Übersetzt heißt das so viel wie “Angriffe mit roher Gewalt”.

Dabei versuchen die Hacker, Benutzernamen und Passwort des Opfers zu erraten. Nun testen sie aber nicht manuell durch, welche Kombinationen Erfolg zeigen, sondern benutzen dafür sogenannte Bots: Programme, die solche Angriffe automatisiert ausführen. Diese spüren Webseiten und Anwendungen mit Mängeln in der Sicherheitsarchitektur auf und testen dann in kürzester Zeit tausende von Passwörtern und Nutzernamen, bis sie ins System eingedrungen sind. Das infizieren sie dann zum Beispiel mit Malware, um Spam-Mails zu verschicken, das Botnet zu vergrößern oder Daten aus Datenbanken zu stehlen (aber dazu gleich mehr).

Wie schützt man sich also vor Brute-Force-Angriffen? Ein erster Ansatzpunkt ist ein sicheres Passwort. Heißt: mindestens 12 Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Je komplizierter das Passwort, desto schwieriger ist es zu knacken, wie dieses Rechenbeispiel zeigt. Eine Zwei-Faktor-Authentifizierung, effektives Blacklisting und eine Beschränkung der Anzahl ungültiger Logins helfen zusätzlich. Ach ja, und: Sehen Sie zu, dass der Login-Name Ihres Admins nicht “admin” lautet.

 

Malware

Bei Malware handelt es sich um schadhafte Software, die der Nutzer versehentlich auf seinem Rechner installiert, etwa indem er auf einen Link in einer Phishing-Mail klickt oder eine gefährliche Webseite besucht. Absichern können Sie sich dagegen also vor allem durch gründlich geschulte Mitarbeiter, die genau das nicht tun. Außerdem raten wir dringend zu regelmäßigen und umfassenden Backups, um betroffene Systeme wiederherstellen zu können.

Bei der Software selber kann es sich um alles mögliche handeln, darunter auch sogenannte Ransomware, die Daten auf dem infizierten Computer verschlüsselt und nur gegen eine Zahlung an den Hacker wieder freigibt. Das Lösegeld zu zahlen ist allerdings wirklich nur der allerletzte verzweifelte Ausweg, wenn die Daten auch durch Backups nicht wiederhergestellt werden können – was in der Regel möglich sein sollte.

Malware kann neben Erpressung aber auch allerhand anderen Schaden anrichten, zum Beispiel Passwörter ausspionieren, unbemerkt vertrauliche Daten an den Hacker übertragen (Stichwort Spyware) oder als Hintertürchen für weitere Angriffe dienen.

Dass man sich einen Virus einfangen könnte, ist die größte Angst unbedarfter User seit der Erfindung des Internets. Inzwischen ist deshalb eigentlich jedem bekannt, dass man nicht mehr auf Links in E-Mails von fremden Absendern klickt. Leider sind Hacker inzwischen dazu in der Lage, sehr überzeugende E-Mails zu schreiben.

 

Womit wir beim nächsten Punkt wären:

 

Social Engineering

Bestimmt haben Sie auch schon einmal vom nigerianischen Prinzen gehört, der angeblich im Exil festsitzt und nun Ihre Hilfe braucht, um Millionen Dollar aus seinem Heimatland zu retten. Mittlerweile glaubt niemand mehr an seine Existenz, und Spam dieser Art ist heute vor allem Anlass zu großer Erheiterung.

Solche Attacken nennt man Phishing: Die Angreifer verschicken ihre Mail an zigtausende potenzielle Opfer, werfen das Netz also möglichst weit aus. Irgendein gutgläubiger Tropf wird sich schon darin verfangen. Wer sich schon einmal grundlegend mit Cyber-Security auseinandergesetzt hat, fällt darauf in der Regel nicht mehr hinein.

Das Prinzip dahinter (sich als jemand anders auszugeben und ein bestimmtes Anliegen vorzubringen) wird aber bis heute eingesetzt, und zwar in wesentlich ausgefeilterer Form: Social Engineering. Dabei geht es nicht mehr darum, das Netz möglichst weit auszuwerfen, sondern den Köder am Angelhaken so überzeugend wie möglich für einen bestimmten Fisch zu machen.

Der Angreifer sammelt also so viele Daten über sein Opfer, wie es geht. Dann nimmt er Kontakt auf und gibt sich als jemand anders aus, zum Beispiel als der Geschäftsführer des eigenen Unternehmens. Die zuvor gesammelten Daten machen es ihm einfach, das Opfer von der Legitimität seiner Anfrage zu überzeugen.

Ein Beispiel aus der Praxis

Attacken dieser Art nutzen Gutgläubigkeit und Hilfsbereitschaft aus – oft aber auch die Tatsache, dass Menschen einfach zu viele Informationen über sich im Netz preisgeben. Am besten illustriert das ein Beispiel aus der Praxis. Björn Schwabe, Chef-Programmierer bei UWORK.X, ist nämlich ehemaliger Berufs-Hacker – heißt: Unternehmen konnten seine Firma anheuern, um sich als Feuerprobe für die eigenen Sicherheitsvorkehrungen gezielt hacken zu lassen.

Bei einem dieser Projekte entdeckte Schwabe auf der Suche nach Schwachstellen bei LinkedIn das Profil eines Junior-IT-Administrator des Unternehmens. Der junge Mitarbeiter hatte dort alle Software aufgelistet, mit der er bereits Erfahrungen vorweisen konnte. Dumm nur, dass er bisher nur bei einem einzigen Unternehmen gearbeitet hatte, nämlich demjenigen, das Schwabe und sein Team gerade zu hacken versuchten.

Damit war also ziemlich genau bekannt, welche Software dort zum Einsatz kam. Die Recherche nach deren Schwachstellen war schnell erledigt. Mit diesen Informationen konstruierten Schwabe und das Team eine Phishing-Mail, in der sie sich als System-Admin des betreffenden Unternehmens ausgaben und sämtliche Mitarbeiter darüber informierten, dass sie sich bitte nach einer Aktualisierung am System alle einmal neu anmelden müssten. Die Mail leitete die Angestellten jedoch zu einer gefälschten Login-Seite, wo Schwabe die Login-Daten der gutgläubigen Angestellten abgreifen konnte.

Auch E-Mails, in denen der Geschäftsführer einen Mitarbeiter der Buchhaltung anweist, in einer dringenden vertraulichen Angelegenheit größere Geldsummen auf ein Konto zu überweisen, fallen in die Kategorie Social Engineering. Sie können sich vorstellen, dass bei solchen Angriffen, wenn sie erfolgreich sind, horrende Mengen Geld verloren gehen.

Der Mensch selber ist eben immer noch einer der größten Risikofaktoren. Machen Sie Ihre Mitarbeiter also auf die Gefahren aufmerksam und verankern Sie ein gesundes Misstrauen gegenüber solchen Anweisungen in der Sicherheitskultur Ihres Unternehmens. Und, noch viel besser: Benutzen Sie ein Mailprogramm, bei dem nur authentifizierte Kontakte Sie anschreiben können.

 

Technisch basierte Angriffe

Diese Angriffe zielen auf die technische Infrastruktur ab. Die Hacker verschaffen sich zum Beispiel Einlass in die Datenbank oder nutzen Schwachstellen wie veraltete Software. Unterm Strich gibt es eine ganze Reihe von verschiedenen Angriffstypen, die technisch basiert ablaufen:

Exploits

Greift der Hacker gezielt eine Schwachstelle in der Software an, spricht man von Vulnerability Exploits. Besonders schlimm sind sogenannte Zero Day Exploits: Dabei nutzt der Hacker eine Sicherheitslücke aus, die dem Hersteller der Software noch gar nicht bekannt ist.

DDoS-Attacken

DDoS steht für Distributed Denial of Service. Dabei versuchen Hacker eine Webseite oder ein System mit so vielen Anfragen überlasten, dass es zu einem Zusammenbruch kommt. Damit solche Unmengen an Anfragen überhaupt generiert werden können, benutzen Hacker dafür Botnets: Netzwerke aus infizierten Computern, die unter ihrer Kontrolle stehen. Hier ist also bereits Malware im Spiel, die dem Hacker ein Hintertürchen in unzählige Systeme offen hält.

Injections

Oft gelingt es Hackern, über eine Schwachstelle in einer Software zusätzlichen Code einzuschleusen. Der Nutzer führt dann also eine modifizierte Version der Software aus, die – oft unbemerkt – gewaltigen Schaden anrichten kann.

Eine spezielle Angriffsmethode sind dabei sogenannte SQL-Injections. Ihr Ziel sind oft Webseiten oder Web-Anwendungen, die auf einer Datenbank basieren. Dabei wird der Schadcode direkt von der Datenbank ausgeführt, ohne dass er vom Server geprüft wird. Der Schadcode gelangt zum Beispiel über ein unsicheres Kontaktformular zur Datenbank. Hier gibt der Hacker den Code ein und schickt das Formular ab. Es reicht nun die Eingabe an den Server weiter, so wie es auch die “normalen” Daten übergeben hätte. Der Server erkennt die Eingabe aber als Code und führt ihn aus. Damit kann sich der Hacker zum Beispiel Zugang zu den Daten in einer Datenbank verschafft.

Unsichere Formulare sind übrigens bald kein Problem mehr: Wir entwickeln bei UWORK.X für unsere Kunden gerade eine Möglichkeit, ein hochsicheres Ende-zu-Ende-verschlüsseltes Kontaktformular in eine Webseite einzubauen.

Cross Site Scripting (XSS)

Bei SQL-Injections findet der Angriff auf Web-Anwendungen serverseitig statt. Sogenanntes Cross Site Scripting spielt sich dagegen clientseitig ab, also direkt beim Nutzer. Hier schleust der Hacker Schadcode in eine Webseite ein und manipuliert dadurch zum Beispiel ein Formular. Der Nutzer füllt das Formular aus und schickt es ab in der Erwartung, seine Daten würden beim vertrauenswürdigen Webseitenanbieter landen. Stattdessen wird aber der schadhafte Code in seinem Browser ausgeführt und das ausgefüllte Formular landet beim Hacker. Dieser erhält dadurch Einsicht in sensible Daten des Opfers – zum Beispiel Login-Daten oder Zahlungsdaten.

Sich gegen technisch basierte Angriffe abzusichern, ist nicht einfach. Installieren Sie unbedingt immer neue Updates des Herstellers, denn darin sind in der Regel Sicherheitspatches enthalten, und rufen Sie auch Ihre Mitarbeiter dazu auf. Einer Studie zufolge ignorieren viele Angestellte Pop-ups, die sie von Updates informieren – das kann teuer werden. Überzeugen Sie sich außerdem davon, dass die Software, die Sie einsetzen, in Sachen Sicherheit höchsten Ansprüchen genügt.

 

Und nun?

Grundsätzlich gilt: Security is not a feature. It is a process. Sie brauchen eine Sicherheitskultur, in der es klar ist, dass die Mitarbeiter Sicherheitsvorkehrungen treffen und jeder Schritt abgesichert ist. Das fängt bei den Passwörtern an und hört bei der verschlüsselten Kommunikation nicht auf, die bei jeder Mail, ja sogar jeder Chat-Nachricht selbstverständlich sein sollte.

Dabei helfen Programme wie UWORK.X, bei denen sich die Sicherheitsmaßnahmen unauffällig in ganz alltägliche Workflows einfügt. Auf diese Weise können Ihre Angestellten weiterarbeiten wie bisher – nur wesentlich besser abgesichert.

Nach dem Angriff auf die Bundesregierung sollten Sie übrigens zuerst einmal in Erfahrung bringen, ob auch bei Ihnen Microsoft Outlook eingesetzt wird. Wenn ja: Es gibt da ja sichere Alternativen.

 

Sie wollen zum Thema Datensicherheit immer auf dem neusten Stand bleiben? Liken Sie unsere Facebook-Seite!