Titel - Ausgabe 10|2022

Cyberattacken: Es kann jeden treffen

Unternehmen rücken immer mehr in den Blick von organisierten Kriminellen. Bei Cyberangriffen wurden zuletzt vor allem Attacken auf Passwörter, Phishing und die Infizierung mit Schadsoftware bzw. Malware für die Unternehmen teuer – in jeweils jedem vierten Unternehmen (25 Prozent) ist ein entsprechender Schaden entstanden. Dahinter folgen DDoS-Attacken, um IT-Systeme lahmzulegen (21 Prozent), Ransomware-Attacken haben in zwölf Prozent der Unternehmen Schäden verursacht. Das sind Ergebnisse einer Studie im Auftrag des Digitalverbands Bitkom, für die mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden.
 
Auch oberfränkische Unternehmen sind bereits Opfer von Cyberattacken geworden, im August traf es auch die IHK-Organisation. Egal ob Konzern oder KMU – in Sicherheit wiegen darf sich kein Unternehmen, sagt IHK-Präsident Dr. Michael Waasner:
Mein dringender Appell: Vertagen Sie das Thema nicht. Sorgen Sie vor, härten Sie ihre Systeme und lassen Sie uns gemeinsam Oberfranken sicher gestalten.

Dr. Michael Waasner

Cybersicherheit als Messgröße

Informationen sind ein wesentliches Gut für Unternehmen und müssen daher angemessen geschützt werden. Die meisten Informationen werden heutzutage digital erstellt, gespeichert, transportiert und weiterverarbeitet. Moderne Geschäftsprozesse sind heute ohne IT-Unterstützung längst nicht mehr vorstellbar. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für eine Institution existenzbedrohend werden kann. Dabei ist ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen.
Cyber-Sicherheit kann und sollte als Messgröße (KPI) betrachtet werden und die eigene IT-Landschaft regelmäßig untersucht werden,

so Dr. Waasner.

„Bei Ransomware gilt: Viele Angriffe lassen sich abwehren, wenn Mitarbeitende sensibilisiert und entsprechende technische Vorkehrungen getroffen worden sind. Und wer Backups erstellt hat und über einen Notfallplan verfügt, bei dem richtet eine erfolgreiche Attacke zumindest nicht ganz so großen Schaden an“, so Peter Wilfahrt, Chief Digital Officer bei der IHK für Oberfranken Bayreuth. Er rät davon ab, Lösegeld zu zahlen – denn selbst dann sei nicht sicher, dass Opfer ihre Daten in einem brauchbaren Zustand zurückerhalten. Und: Die Täter wittern durch das „Erfolgserlebnis“ ihre Chance auch bei anderen Unternehmen.
 
Einen Anstieg gab es laut Bitkom beim sogenannten Social Engineering. Fast jedes zweite Unternehmen (48 Prozent) berichtet von entsprechenden Versuchen. Dabei wird vor allem und deutlich häufiger als in der Vergangenheit versucht, über das Telefon (38 Prozent, 2021: 27 Prozent) und über E-Mail (34 Prozent, 2021: 24 Prozent) an sensible Informationen zu gelangen. Sie können dann für Cyberattacken verwendet werden.

Kontinuierlicher Prozess

Um zu einem bedarfsgerechten Sicherheitsniveau für alle Geschäftsprozesse, Informationen und auch der IT-Systeme eines Unternehmens zu kommen, ist allerdings mehr als das bloße Anschaffen von Virenschutzprogrammen, Firewalls oder Datensicherungssystemen notwendig. Ein ganzheitliches Konzept ist wichtig. Dazu gehört vor allem ein funktionierendes und in das Unternehmen integriertes Sicherheitsmanagement. Informationssicherheitsmanagement (kurz ISMS) ist jener Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten soll. Dabei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf zu aktualisieren sind.

Wie werden Sie gehackt?

Es herrscht ein Ungleichgewicht zwischen Angreifern und Verteidigern. Dieses Dilemma wird dadurch begünstigt, dass Sie sich 24/7 verteidigen müssen, während sich ein Angreifer den Tatzeitpunkt selbst aussuchen kann. Sie müssen alle Assets und Lücken abdichten, während dem Angreifenden eine Schwachstelle bereits ausreicht. Sie müssen allen Datenverkehr überwachen, während sich ein Cyber-Krimineller tarnen und täuschen kann und zu allem Überfluss halten sich diese Kriminellen auch nicht an gesetzliche Vorgaben.

Falls Sie im Visier einer Cyberkriminellen Organisation landen, dann werden Sie vorerst nur auskundschaftet. Über Pressemitteilungen, Social Media, Business Netzwerke, Image- und Recruitingvideos werden dann zu Verrätern sensibler Information. Es kann helfen zu wissen, welche IT-Fachleute Sie gerade suchen oder wie ein Ausweis von Mitarbeitenden aussieht. All diese öffentlichen Informationen (OSINT) können in einer Phishing-Kampagne gegen Sie verwenden werden. Auch der Kanal, ob Video, SMS oder Email ist offen.

Ist der Angriff vorbereitet, dann kann eine Nachricht und ein Klick auf einen falschen Anhang genügen. Und der Angreifende geht vom Mensch (wie bisher) auf die Technik über.

Ist die Firewall umgangen, weil die Verbindung aus der Phishing-Trickserie nach außen geöffnet wird, nistet sich der Cbyer-Angreifer erstmal auf dem System ein. Danach wird die IT-Landschaft ausgekundschaftet, ob weitere Systeme übernommen, sensible Daten identifiziert, Rechte ausgeweitet und ein klares Bild verschafft werden kann.
Oft wird es nach dieser Phase versucht Daten zu übertragen und aus dem Unternehmensnetzwerk zum Angreifer zu kopieren.
Ist auch das erfolgreich, dann droht der Tag X.
Der Tag X, an dem die Systeme verschlüsselt werden und der Betrieb still steht. Die meisten Unternehmen merken erst jetzt, dass ein Angreifender über Woche oder gar Monate im eigenen Netzwerk war. Mit teils desaströsen Folgen.

Aber was nun?
Über Forensiker und ein professionelles Incident Response Team, muss der Notfallplan abgearbeteitet werden. Es gilt festzustellen, wie der Angreifer sich Zugang erschleichen konnte, welche Systeme im Fokus standen, welche Daten betroffen sind und wie eine Wiederherstellung aussieht. Auch Behörden, Polizei und Datenschutzaufsicht, müssen jetzt informiert werden.
Bitte treffen Sie eine Vorsorge, dass Sie ihre Mitarbeitendem zu einer Art menschlichen Abwehr ausbilden, die versuchte Vorstöße erkennen und melden. Zudem muss Ihre IT-Landschaft gehärtet und Schwachstellen beseitigt oder isoliert werden.

Wie startet ein Cyber-Angriff?

Für die richtige Abwehr eines Cyber-Angriffs hilft es aus der Perspektive eines Angreifers vorzugehen. Es werden dabei zwei Angriffsarten unterschieden: der breitgefächerte Angriff, bei dem automatisiert möglichst viele attackiert werden. Oder einer zielgerichteten, fortgeschrittenen und anhaltenden Bedrohung (Advanced Persistent Threat, APT). Der Unterschied zwischen beiden ist vereinfacht, dass im ersten im Gießkannen-Prinzip möglichst viel Schadsoftware verteilt wird und das Unternehmen erst nach einer Infektion näher betrachtet wird, während bei einer zielgerichteten Attacke ein konkretes Angriffsziel identifiziert und danach attackiert wird.

Die häufigste Angriffsart und wirtschaftlich verheerende ist Ransomware. Dabei handelt es sich um bösartige Software, die sich Zugang zu sensiblen Informationen in einem System verschafft, diese Informationen, das System oder die Laufwerke verschlüsselt, so dass der Benutzer keinen Zugriff darauf hat, und dann ein Lösegeld für die Entschlüsselung oder Freigabe der Daten verlangt.

Ransomware ist in der Regel Teil eines Phishing-Angriffs. Die Angreifer verbreiten die Ransomware über Downloads, E-Mail-Anhänge, Dateien, usw. Sobald auf die Ransomware-Datei zugegriffen wird, verschlüsselt sie sofort die Dateien, Ordner oder sogar die gesamten Laufwerke. Es ist nicht möglich, das System zu entschlüsseln, ohne den Schlüssel zu haben. Nicht sicher ist, ob der Angreifer den Schlüssel nach der Auszahlung des Lösegelds zur Verfügung stellt. Professionelle und fortgeschrittene Angreifer sehen sich nach der ersten Infiltration (das erste Ausführen des Schadcodes) im Unternehmensnetzwerk um. Das als lateral movement bezeichnete Vorgehen bedeutet dabei, dass alle Geräte im eigenen Netzwerk abgetastet, auf Schwachstellen und wertvolle Informationen getestet werden. Können diese Systeme vom Angreifer übernommen werden, ist die nachfolgende Verschlüsselung desaströs, da essenzielle IT-Systeme des Unternehmens lahmgelegt werden.

Bei zielgerichteten Angriffen wird zuerst Aufklärungsarbeit betrieben. Dafür werden öffentlich zugängliche Informationen recherchiert. Die gesammelten Informationen werden dann für die Vorbereitung eines zielgerichteten Angriffs genutzt. Oft werden veröffentlichte Unternehmenszugänge gesucht, Mitarbeitende auf Business-Netzwerken ausgeforscht und soziale Medien durchsucht.

Beispielsweise können bekannte Login-Kombinationen, wie E-Mail-Adressen und Passwörter über Dienste wie haveibeenpwned.com ausgelesen werden. Findet man dort ein Login-Paar, dann kann man dieses gegen das Unternehmen ausprobieren und beispielsweise den Zugang zum E-Mailkonto testen oder bekommen.

Business-Netzwerke wie LinkedIn oder XING werden danach genutzt, um weitere Daten zu erheben. Zum einen können weitere Login-Konten herausgefunden werden. Unternehmenskonten folgen meist einem Namensschema wie nachname@firmenname.de oder vorname.nachname@firmenname.de. Findet man Mitarbeitende online, dann kann man diese Zugänge auflisten und mit Passwortlisten durchtesten. Bei Erfolg, wird die Identität dieses Mitarbeiters übernommen.

Business-Netzwerke verraten aber auch welche Systeme eingesetzt werden. Findet man Stellenausschreibungen oder Mitarbeitende mit speziellen IT-Kenntnissen, dann kann man Informationen über die Unternehmens-IT ableiten. Gibt es beispielsweise AWS-Spezialisten, dann kann von einem Einsatz der Amazon Cloud ausgegangen werden. Diese Daten sind für sich erst mal nicht schädlich, können aber für einen gezielten Angriff auf diesen Mitarbeitenden genutzt werden.

Zusätzlich können exponierte IT-Systeme über spezielle Suchmaschinen gefunden werden. Über Shodan ( shodan.io) oder DNSDumpster ( dnsdumpster.com) können diese eingesehen, später auf Schwachstellen getestet und angegriffen werden.

Es gibt auch noch weitere Angriffsarten, die für die richtige Abwehr betrachtet werden sollten:

Malware: Malware ist jede bösartige Software, jedes Skript oder jeder Code, der auf einem IKT-System ausgeführt wird und den Zustand verändert oder eine Funktion ausführt, ohne dass der Besitzer dem zugestimmt hat. Beispielsweise Viren, Würmer, trojanische Pferde, Spyware, Rootkits, Key Logger, Backdoors, Ransomware.
Verteidigung: Virenschutzprogramme und umfassende Filtersysteme

DDoS: Ein DDoS-Angriff zielt darauf ab, einen Computer oder eine Netzwerkressource für die vorgesehenen Benutzer unzugänglich zu machen, wie Systemausfall, Nichtverfügbarkeit von Diensten oder eine überfordernde Ressourcenauslastung.
Verteidigung: Lastenverteilung, Firewalls und Filtersysteme

Hacking: Unter Hacking versteht man alle Versuche, absichtlich und unbefugt auf Informationsbestände zuzugreifen oder diese zu schädigen. Meist werden exponierte Applikationen über das Internet angegriffen. Ziele können die Internetseite, der Webshop oder auch erreichbare Spezialsysteme sein und bspw. Brute Force oder SQL-Injection attackiert.
Verteidigung: Firewalls und Intrusion Detection Systeme

Fehler: Fehler umfasst im weitesten Sinne alles, was falsch oder versehentlich gemacht wird, z.B. Auslassungen, Fehlkonfigurationen, Programmierfehler.
Verteidigung: Qualitätssicherung und Qualifizierung

Missbrauch: Missbrauch ist die missbräuchliche Verwendung anvertrauter Unternehmensressourcen oder -privilegien zu einem beliebigen Zweck oder auf eine Weise, die nicht der eigentlichen Absicht entspricht. Wie administrativer Missbrauch, Verstöße gegen die Nutzungsrichtlinien, Nutzung nicht genehmigter Ressourcen.
Verteidigung: Qualitätssicherung und Qualifizierung

Sozial: Soziale Taktiken nutzen Täuschung, Manipulation, Einschüchterung und Belästigung, um das menschliche Element oder die Benutzer von Informationsressourcen auszunutzen. Phishing, Nachahmung, auch Video- und Voice-Pishing, Spam.
Verteidigung: Prävention durch Sensibilisierung und Qualifizierung

Physisch: Der Begriff „physisch“ umfasst jeden Verlust von IT-Infrastruktur. Dazu gehören der Verlust oder Diebstahl von Geräten, Festplatten, Laptops.
Verteidigung: Verschlüsselung

Phishing

Phishing ist eine Form der Internetkriminalität, bei der die Opfer per E-Mail, Telefon oder SMS von einer Person kontaktiert werden, die sich als seriöse Institution oder Person ausgibt, um sie zur Weitergabe sensibler Daten wie persönlicher Daten, Bank- und Kreditkartendaten, Passwörter usw. zu verleiten. Die Angreifer nutzen E-Mails, soziale Medien, Instant Messaging und SMS, um die Opfer dazu zu verleiten, sensible Daten preiszugeben oder bösartige URLs aufzurufen, um ihre Systeme zu kompromittieren.

Die Nachrichten werden so verfasst, dass sie die Aufmerksamkeit des Benutzers erregen, menschliche Verhaltensweisen wie Neugier, Schuldgefühle usw. ausnutzen und den Opfern vorschlagen, eine bestimmte Website zu besuchen oder auf einen Link zu klicken, um weitere Daten zu erhalten.

Phishing-Nachrichten, die darauf abzielen, Informationen über den Benutzer zu sammeln, erzeugen meist ein Gefühl der Dringlichkeit und versuchen, das Opfer dazu zu bringen, sensible Daten preiszugeben, um eine Situation zu lösen, die sich ohne das Eingreifen des Opfers verschlimmern könnte. Ein prominentes Beispiel ist die Masche „CEO-Fraud“. Dabei wird die Identität der Geschäftsleitung übernommen und Druck auf Mitarbeitende ausgeübt. Oft wird so eine Zahlung auf das Bankkonto der Betrüger veranlasst, während der gutgläubige Arbeitnehmer vermeintlich nur den Anweisungen seines Chefs folgt.

Die Angreifer nutzen echt aussehende Internetadressen. Auch verkürzte oder eingebettete Links werden verwendet, um die Opfer auf eine bösartige Adresse umzuleiten, die Schadcodes enthalten oder ein Klon legitimer Websites sein kann. In vielen Fällen sind der tatsächliche Link und der visuelle Link in der E-Mail unterschiedlich. Die E-Mail enthält einen Hyperlink, der zu einer anderen Webadresse als der in der E-Mail angegebenen führt, wenn Sie mit der Maus darüberfahren.

Phishing-E-Mails haben in der Regel eine verlockende Betreffzeile, die den Empfänger glauben lässt, dass die E-Mail von einer vertrauenswürdigen Quelle stammt. In der Regel kopieren sie Inhalte wie Texte, Logos, Bilder und Stile, die auf der legitimen Website verwendet werden, um sie echt aussehen zu lassen.
Wenn jemand auf die Links in der Phishing-Mail klickt, öffnet sich manchmal eine ähnliche Webseite wie die, die Sie erwarten. Die Kopien sind heutzutage so exakt, dass man leicht in die Falle tappen kann und seine Anmeldedaten preisgibt. Mit den so erschlichenen Zugangsdaten können die Kriminellen die Identität des Mitarbeitenden übernehmen und auf all die Daten zugreifen, die auch der Mitarbeitende sehen würde. Der erste Schritt ins Unternehmen ist gemacht und von dort kann sich ein Angreifer dann weiter ausbreiten.

Vishing ist die Sprachversion des Phishings. „V“ steht für Stimme (Voice), aber ansonsten ist der Betrugsversuch derselbe. Der Kriminelle benutzt das Telefon, um sein Opfer zur Herausgabe wertvoller Informationen zu verleiten. Ein Krimineller könnte einen Angestellten anrufen und sich als Mitarbeiter oder Bankangestellter ausgeben, um persönlichen Daten zu erfahren. Der Kriminelle könnte das Opfer dazu bringen, Anmeldedaten oder andere Informationen preiszugeben, die dazu verwendet werden könnten, das Unternehmen oder seine Mitarbeiter anzugreifen.

Spear Phishing ist ein E-Mail- oder elektronischer Kommunikationsbetrug, der auf eine bestimmte Person, Organisation oder ein Unternehmen abzielt.

Mitarbeitende sollten auf diese Art von Angriffen vorbereitet werden. Diese wertvolle Prävention hilft Unternehmen kein leichtgläubiges Opfer zu werden. Es gibt zahlreiche Anbieter und Systeme, die Mitarbeitenden gefälschte E-Mails zusenden und die Reaktion testen. Wird fälschlicherweise geklickt, dann wird dem Mitarbeitenden statt einer Malware ein Erklärvideo präsentiert. Eine solche Sensibilisierung sollte dauerhaft als Prozess verankert werden und keine einmalige Kampagne sein. So werden wertvollen Informationen dauerhaft geschützt.

White Hacking: der Crash-Test Ihrer IT-Systeme

Jedes Auto muss im Produktionsprozess Crash-Tests bestehen. Kein Auto-Nutzer würde sich auf das Versprechen eines „sicheren Gefährts“ verlassen. Den gleichen Maßstab sollten wir an unsere IT-Landschaft anlegen. Bevor eine Anwendung in den Produktionsbetrieb übergeht, bevor Netzwerke erweitert werden, bevor ein Standort an das Intranet angeschlossen wird, muss ein Perimeter- und Penetrations-Test vorgenommen werden – also ein Test möglichst aller Systembestandteile und Anwendungen eines Netzwerks sowie der Trennlinien – Perimeter – zwischen lokalen und öffentlichen Netzwerken. Sie, Ihre IT-Experten oder externe sogenannte „Ethical Hacker“ untersuchen dabei jedes Gerät und jeden Service im Netzwerk. Die „Guten Hacker“ bleiben dabei so nah wie möglich an einem realistischen Szenario eines böswilligen Angriffs.

Der Aufwand für die technische Realisierung ist überschaubar. Wichtig ist die anschließende Risiko- und Businessanalyse. So sollte jede Anwendung, jeder Service, jedes Gerät (also jedes Asset) betrachtet werden:
  • Wird das Asset noch aktiv genutzt?
    - Falls nicht, dann unbedingt deaktivieren oder besser aus dem Netzwerk entfernen.
    - Falls ja, Aktualisierungen (Sicherheits-Patches) automatisch einspielen.
  • Ist ein Login für das Asset notwendig?
    - Falls ja, dann starke Passwörter oder Zertifikate/Schlüssel verwenden. 2-Faktor-Authentifizierung verpflichtend nutzen.
  • Handelt es sich ausschließlich um einen internen Dienst?
    - Falls ja, dann Verbindungen von außerhalb verbieten und ausschließlich vertrauenswürdige interne Adressen freigeben (Whitelisting).
  • Sind dynamische Inhalte für die Arbeit notwendig?
    - Falls nicht, dann dynamische Inhalte deaktivieren, dazu gehören JavaScript für Interaktion in PDF-Dateien und Makros für Office-Dokumente; selbige sollten nur für Power-User, statt unternehmensweit aktiviert werden.
  • Dürfen nur freigegebene Anwendungen genutzt werden?
    - Programme/Software dürfen nur über IT-Verantwortliche installiert werden. Wenn nur solche Software ausgeführt werden darf, wird eine Schatten-IT und Schadsoftware unterbunden. Dafür erlaubte Ausführpfade müssen in einer Richtlinie festgelegt werden.
  • Dürfen Treiber durch Nutzende selbst installiert werden?
    - Nach der ersten Einrichtung sollte die Installation von Treibern (v.a. für Tastaturen und Netzwerkgeräte) eingeschränkt werden. Das verhindert, dass infizierte USB-Sticks aktiviert werden können und sich als vermeintlicher Nutzer im System einnisten.
Mit diesen Maßnahmen stellen Sie sicher, dass die Angriffsoberfläche so gering wie möglich ist. Angreifer haben es dann schwer, verwundbare Einstiegspunkte zu finden.

„Cybersicherheit gehört in die Geschäftsleitung - nicht in die IT“

Drei Fragen an IT-Sicherheitsexperte Marco Di Filippo

Viele Studien malen immer das gleiche Bild: Zwei Drittel der Unternehmen waren bereits von einem Ransomware-Angriff betroffen, und die Kosten belaufen sich im Durchschnitt auf über 4,6 Millionen Euro pro Jahr. Davon entfallen nur 765.000 Euro auf Ransomware-Zahlungen, was die weitreichenden indirekten Kosten solcher Angriffe verdeutlicht. Die Ausbreitung schnell voranschreitender Cyberangriffe macht eine schnelle und klare Kommunikation zwischen Endbenutzern, Sicherheitsteams und der Geschäftsleitung erforderlich, sagt Marco Di Filippo, Experte für Cybersicherheit und Gründer von Whitelisthackers.

”OberFr4nk3n” ist nicht sicher

„123456“, „passwort“, „12345“ und „hallo“ sind die am häufigsten verwendeten Passwörter in Deutschland. Dass diese Passwörter nicht den empfohlenen Sicherheitsstandards entsprechen, dürfte kein Geheimnis sein. Jedoch kommt es immer wieder vor, dass Accounts / Konten von Dritten übernommen bzw. kompromittiert werden und damit großer Schaden angerichtet wird.

In unserem Alltag begegnen wir ständig Login-Masken, bei denen wir uns identifizieren müssen, um Bezahlvorgänge abzuschließen und Nachrichten über Soziale Media zu versenden. Da wir diesen Vorgang immer wieder absolvieren, ist es naheliegend, dass wir hierbei ein kurzes, leicht zu merkendes Passwort vergeben, denn wer soll das schon erraten? Nicht selten kommt dann eine Warnung per E-Mail, dass ein neuer Login-Vorgang auf einem Gerät, welches man selbst nicht kennt und besitzt, durchgeführt wurde und womöglich das Konto übernommen wurde.

Um das zu vermeiden wird empfohlen, komplexe, längere Passwörtern, bestehend aus mehreren Worten, Groß- und Kleinschreibung, Sonderzeichen und Zahlen zu verwenden. Hierbei ist zu beachten dass ein längeres Passwort gegenüber einem kürzeren komplexeren Passwort mehr Sicherheit bieten kann. Die Verwendung von Umlauten könnte hierbei auch zu einem sicherem Passwort beitragen.
Wichtig ist, bei jedem Konto ein individuelles Passwort zu verwenden. Sollte das Passwort durch eine Datenpanne veröffentlicht werden, muss hier nur einmal das Passwort neu vergeben werden.
Viele Internetkonten bieten einen zusätzlichen Schutz, auch 2-Faktor-Authentisierung (2FA) genannt, an, mit welchen man sich nach der Passworteingabe mit einem Einmalcode authentifizieren muss.

Kontakt

Peter Wilfahrt
Peter Wilfahrt
Chief Digital Officer
Ralph Buus
Ralph Buus
Digitalisierung/IT-Sicherheit