Angriffsvektoren und wie Sie IT-Systeme wirksam dagegen schützen
Angriffsvektoren: Erklärung und Übersicht über die am häufigsten genutzten Einfallstore in IT-Systeme
Angriffsvektoren sind Ziele in IT-Systemen, auf die Angriffe verübt werden. Hierbei kommen verschiedene Vorgehensweisen und Techniken zum Einsatz. Mithilfe typischer Schwachstellen wollen Cyberkriminelle fremde Rechner oder Systeme kompromittieren beziehungsweise übernehmen. Meist setzen sie bei Cyberattacken mehrere Angriffsvektoren zeitgleich ein. Dabei versuchen sie manuell oder (teil-) automatisiert, Sicherheitslücken in IT-Systemen auszunutzen.
Angriffsvektoren sind zeitlos. Auch wenn sich die Vorgehensweisen und Methoden bei Cyberkriminellen immer wieder verändern, bleiben die eigentlichen Stoßrichtungen von Attacken die gleichen. Angriffsflächen bieten das Netzwerk, die Software sowie die IT-Peripherie. Die Nutzung von Angriffsvektoren für kriminelle Aktivitäten ist dabei nicht nur eine Sache für IT-Expert:innen. Durch die Nutzung von Exploits sind auch Laien ohne Spezialwissen in der Lage, die IT-Sicherheit in Unternehmen zu kompromittieren. Hier erfahren Sie, was Angriffsvektoren sind, wodurch sie sich von Angriffsmethoden unterscheiden und wie Sie möglichst viele potenzielle Sicherheitsrisiken loswerden.
Was ist ein Angriffsvektor?
Ein Vektor beschreibt allgemein betrachtet eine Zielrichtung. Entsprechend versteht man unter Angriffsvektoren im Bereich der IT-Sicherheit eine bestimmte Angriffsrichtung und Methode, mit der Hacker:innen illegalen Zugriff auf Systeme, Netzwerke, Anwendungen oder Accounts erlangen.
Infografik anzeigen
In Unternehmen gibt es unterschiedliche Angriffsvektoren.
Je mehr Angriffsvektoren Hacker:innen bei einem Zielsystem oder Netzwerk ins Visier nehmen, desto größer ist die Gefahr, dass Cyberangriffe erfolgreich verlaufen. Schlimmstenfalls geht die Kontrolle über das gesamte System verloren.
Dabei spielt die Verwundbarkeit der Angriffsflächen eine große Rolle. Diese häufig auch als Cyberangriffsfläche bezeichnete Größe steht für vorhandene Schwachstellen und Angriffsvektoren, die Cyberkriminelle ausnutzen können. Dabei bezieht sich die Fläche auf das Netzwerk, alle IT-Systeme, Anwendungen und Daten sowie Mitarbeiter:innen in einem Unternehmen oder Organisation. Auch angebundene Cloud-Dienste gehören dazu.
Je größer die Angriffsfläche ist, desto größer die Wahrscheinlichkeit, dass Cyberattacken erfolgreich verlaufen. Angreifer:innen benötigen in der Regel nur einen Angriffsvektor mit einer bestehenden Sicherheitslücke auszunutzen, um erfolgreich ein System kompromittieren zu können. Entsprechend wichtig ist es, dass Unternehmen alle bekannten Schwachstellen schließen. Weitere Informationen dazu zeigt der Fachbeitrag „Cyberkriminalität: So gelingt wirksamer Schutz für Ihr Unternehmen“.
Whitepaper: Cyber Security Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt: Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen Jetzt kostenlos downloaden
Angriffsvektoren über Exploits
Welche Möglichkeiten es gibt, Schwachstellen in Systemen auszunutzen, beschreiben sogenannte Exploits. Mit einer genauer Anleitung zur Vorgehensweise und speziellem Code oder Programmen ausgestattet, lösen Exploits in verwundbaren Systemen reproduzierbare Systemfehler aus. Häufig stehen diese in Verbindung mit Updateempfehlungen, um die beschriebenen Systemfehler aufzuzeigen und abzustellen.
Exploit-Toolkits sind so etwas wie ein Komplettpaket, das zur Beschreibung passende Tools und Programme enthält. Diese sollen gezielt Sicherheitslücken überprüfen und Mängel dokumentieren. Als Hilfsmittel für IT-Administratoren gedacht, stoßen diese Pakete jedoch auch bei Cyberkriminellen auf Interesse. Exploits sind somit eine stetige Informationsquelle, um neue Angriffsvektoren zu definieren.
Im Bereich der Cyberkriminalität führen auf Exploits basierende „Everything-as-a-Service-Modelle“ (XaaS) dafür, dass die Einstiegshürden für Hacker:innen auf ein Basislevel sinken. Ausgestattet mit einem Exploit ist es auch weniger versierten Anwender:innen möglich, die IT-Sicherheit von Unternehmen auf den Prüfstand zu stellen.
Unterschiedliche Angriffsvektoren im Überblick
Sicherheitsexpert:innen sprechen bei der Einschätzung einer möglicher Gefährdung für die IT-Sicherheit von der Angriffsfläche (englisch Attack Surface) eines Gerätes, einer Software oder auch einer gesamten IT-Infrastruktur. Je größer die Angriffsfläche, desto größer auch Zahl der möglichen Angriffsvektoren. Die klassischen Angriffsvektoren in alphabetischer Reihenfolge auf einen Blick:
Ausführung oder Installation von Malware über manipulierte E-Mail-Anhänge
Ausnutzen von Fehlern und Schwachstellen in Netzwerkprotokollen
Ausspähen von Zugangsdaten über Methoden des Social Engineerings
Einschleusen von Schadcode oder nicht autorisierter Software über USB-Sticks und andere mobile Datenträger
Erzeugen von Speicherüberläufen und Exception-Errors, um Schadcode auszuführen
Installation von Schadsoftware über manipulierte Update-Verfahren (Supply-Chain-Angriff)
Hacken von Benutzernamen und Passwörtern durch Trial-and-Error-Verfahren (Brute-Force-Angriffe)
Malwareinstallation über Webseiten und Links innerhalb von E-Mails oder Messenger-Nachrichten
Manipulation von Webseiten über Cross-Site-Scripting (XSS) und andere Verfahren
Unbefugter Zugang zu Systemen über unbekannte Schwachstellen (Zero-Day-Exploits)
Verlust von Zugangsdaten durch Phishing
Zu den einzelnen Angriffsvektoren gehören unterschiedliche Methoden, um aus Sicht der Angreifenden zum Ziel zu gelangen. Die wichtigsten davon zeigen die nachfolgenden Kurzbeschreibungen sowie unsere teils ausführlichen Beschreibungen hier im V-Hub:
Manipulierte Webseiten als Malware-Vektor
Nicht nur XSS ist in der Lage, Webseiten zu manipulieren. Meist fügen Hacker:innen JavaScript-Code über unterschiedliche Angriffsvektoren in die Webseiten ein. JavaScript-Code erlaubt Angreifer:innen beispielsweise, über Webformulare eingegebene Daten zu verändern und zweckentfremdet zu verarbeiten. Im harmlosesten Fall werden damit Adressdaten erbeutet, im schlimmsten Fall geraten so Abrechnungs- oder Kreditkartendaten in falsche Hände.
Soweit die kompromittierten Webseiten keine auffälligen Darstellungsfehler enthalten, können Anwender:innen ohne eine Prüfung des Quellcodes kaum erkennen, welche JavaScript-Programme im Hintergrund agieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat festgestellt, dass Cyberkriminelle in Verbindung mit Webseitenmanipulation häufig Top-Level-Domains (TLDs) wie beispielsweise .pw, und nutzen. Moderne IT-Sicherungssysteme in Unternehmen berücksichtigen diese Erkenntnisse und sperren verdächtige Bereiche im Vorfeld, damit es erst gar nicht zum Starten von Exploits über die externen Malware-Server kommt.
Wie Sie Malware erkennen und sich erfolgreich davor schützen, lesen Sie in unserem Beitrag „Malware erkennen und bekämpfen“.
Vodafone Cyber Security Services Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber Security-Elemente können Sie Ihre Cloud umfassend absichern: von DDoS-Mitigation über Managed Firewall bis hin zum Schutz der physikalischen Komponenten. Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern über die passenden Cyber Security-Lösungen. Jetzt kostenlos beraten lassen
Advanced Persistent Threats als Bedrohung der Unternehmensinfrastruktur
Advanced Persistent Threats (APTs) sind eine spezielle Form des Netzwerkangriffs. Haben Cyberkriminelle ein Netzwerk oder einen Server erfolgreich kompromittiert und Schadcode hinterlegt, halten die Angreifer:innen diese Infiltrierung möglichst lange verborgen. Zweck des Zugangs ist es in erster Linie, Daten zu stehlen und möglichst wenig Aufmerksamkeit zu erregen. Immer wieder werden unter anderem Behörden, Institute, Herstellungsbetriebe und Unternehmen der Finanzbranche Opfer von APT-Angriffen.
Nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellen APTs eine zunehmende Bedrohung für Unternehmen dar. Besonders gefährdet sind dabei nach Ansicht des BSI Firmen, die vertrauliche, geschäftskritische Informationen auf IT-Systemen verarbeiten oder dessen Erfolg von der Verfügbarkeit der IT-Systeme abhängt. Betriebs- und Geschäftsgeheimnisse, technologische Forschungs- und Entwicklungsergebnisse, Herstellungsverfahren oder unternehmenspolitische und operativ-betriebswirtschaftliche Entscheidungen sind das bevorzugte Ziel der Angreifer:innen.
Wie Sie solche verdeckten Angriffe auf Ihre Systeme erkennen und wie Sie sich vor ihnen schützen können, beschreibt unser Artikel zu Advanced Persistent Threats (APTs) hier im V-Hub.
DDoS-Angriffe schränken System-Verfügbarkeit ein
Ein DDoS-Angriff oder Distributed-Denial-of-Service-Angriff ist eine verteilte Attacke auf Dienste oder Server – beispielsweise eine Webseite oder auf Datenbanken. Er besteht meist aus mehreren einzelnen Angriffen der Art „Denial-of-Service (DoS)“. Sie fluten dabei einzelne Ports von Routern, Servern oder Services mit Anfragen so lange, bis die Dienste oder Rechner nicht mehr oder nur noch stark eingeschränkt verfügbar sind.
Der Schutz vor DDoS-Angriffen in Unternehmen ist eine Sache für Expert:innen. Es gibt eine ganze Palette von Möglichkeiten, um bei akuten Angriffen zu reagieren und Gegenmaßnahmen einzuleiten. Eine Möglichkeit ist es, Server und Dienste in die Cloud zu verlegen. Dadurch bleibt die IT-Infrastruktur für Angreifer:innen weitgehend verdeckt. Durch die Auslagerung in die Cloud findet in der Regel auch eine automatische Lastregulierung statt, die eine Überforderung der Systeme verhindert. In der Folge bleiben die Backend-Infrastruktur und internetbasierte Dienste verfügbar, auch wenn es zu einem DDoS-Angriff kommt.
Einen ebenfalls effektiven Schutz bietet die DDoS-Mitigation. Sie leitet den Datenverkehr auf ein sogenanntes Scrubbing-Center um. Es bereinigt alle Daten und leitet diese erst im unkritischen Zustand an den eigentlichen Ziel-Server weiter. Diese Vorgehensweise schützt Webservices und andere IP-Dienste vor Angriffen.
Social Engineering: Ausnutzung der Schwachstelle Mensch
Social Engineering betrachten viele IT-Sicherheitsexpert:innen als die größte permanente Bedrohung für die Sicherheitssysteme eines Unternehmens. Dabei nutzen Cyberkriminelle den Faktor Mensch als vermeintlich schwächstes Glied der Sicherheitskette aus, um illegalen Zugang zu Daten und Systemen zu bekommen. Das Sensibilisieren von Mitarbeiter:innen für die Risiken von Cyberangriffen zählt daher zu den wichtigen Aufgaben im Bereich IT-Sicherheit.
Die Methoden des Social Engineerings sind vielfältig, und häufig haben die Täter:innen detailliertes Wissen über das Unternehmen, um Opfern in Sicherheit zu wiegen. Je vertrauter die Ansprache, desto höher die Bereitschaft, offen Log-in-Daten zu kommunizieren, Überweisungen zu tätigen oder Schadsoftware im Firmennetzwerk zu installieren.
Die bekannteste Form des Social Engineering ist die Phishing-Attacke. Diese hat das Ziel, dass die Empfänger:innen einer Phishing-Mail eine Datei oder einen Link innerhalb einer E-Mail öffnen. Gelingt das, installiert sich ohne entsprechende weitere Sicherheitsmechanismen meist eine Schadsoftware. In der Regel handelt es sich dabei um so genannte Trojaner, die dann selbst weitere Malware nachladen und sich im Netzwerk verbreiten können. Eine weitere Variante ist das Umleiten des Klicks auf gefälschte Webseiten, um beispielsweise Zugangsdaten oder Kreditkarteninformationen abzufragen.
Mehr zum Thema erfahren Sie in unserem Artikel zu „Social Engineering“ an anderer Stelle hier im V-Hub.
Mobiler Virenschutz für Mitarbeiter:innen Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz. Ohne Installation, direkt im Netz
Schützt von Viren und Pishing
Automatisch auf dem neusten Stand Jetzt informieren
Der Supply-Chain-Angriff getarnt als Software-Update
Supply-Chain-Angriffe sind eine recht neue Art von Bedrohung. Angreifer:innen versuchen dabei, auf Quellcodes von Build- und Update-Prozessen zuzugreifen und dort eigene Codefragmente und Prozesse zu installieren. Wird das entsprechende Update dann ausgerollt, installieren die Anwender:innen mit dem legalen Code auch die untergeschobene Malware. Die Basis von Supply-Chain-Angriffen sind:
manipulierte Softwareerstellungstools
kompromittierte und manipulierte Updateprozesse
gestohlene Signaturzertifikate, über die sich Identitäten fälschen lassen
in Hardware- oder Firmwarekomponenten veränderter Code
vorinstallierte Schadsoftware auf Geräten
Erschwerend kommt hinzu, dass die Verteilung der Malware über das geschädigte Unternehmen erfolgt. Neben dem eigentlichen Schaden durch die Kompromittierung der eigenen Systeme und der IT-Sicherheit kommen dann noch ein möglicher Imageverlust und unabsehbare Folgeschäden bei den Update-Empfänger:innen hinzu. Beliebte Plattform zur Platzierung von Supply-Chain-Angriffen sind App-Stores und Download-Plattformen. Mehr über Supply-Chain-Angriffe zeigt unser Handy-Virenschutz-Beitrag.
Brute-Force-Angriffe: Mit Versuch und Irrtum zum Erfolg
Bei Brute-Force-Angriffen nutzen Cyberkriminelle Toolkits und Wörterlisten, um passende Zugangsdaten durch Ausprobieren herauszufinden. Passwortlisten der am häufigsten verwendeten Zugangsdaten und Lieblingspasswörter können Interessierte problemlos über IT-Security-Foren oder über das Darknet beziehen. Dabei leisten diese Listen nicht nur Cyberkriminellen gute Dienste, sondern sind auch die Basis zur Absicherung von Netzwerken durch IT-Sicherheitsexpert:innen und -Administrator:innen.
Führt die Trial-and-Error-Methode („Versuch und Irrtum“) nicht zum Erfolg, gibt es eine ganze Palette von weiteren Hackingtools. Diese setzen beispielsweise automatisiert unterschiedliche Buchstabenkombinationen ein, um zum Ziel zu gelangen. Im schlimmsten Fall können Kriminelle mit einer funktionierenden Kombination aus E-Mail-Adresse und Passwort die komplette Identität der Opfer nutzen, um damit beispielsweise Straftaten zu begehen. Doch Identitätsdiebstahl ist nur eine mögliche Gefahr. Sobald Cyberkriminelle funktionierende Zugangsdaten ermittelt haben, können sie Zugriff auf alle Arten von Konten erhalten. Nicht selten ändern die Täter:innen direkt nach der erfolgreichen Brute-Force-Attacke die Zugangsdaten, um Zeit zu gewinnen und Gegenmaßnahmen zu erschweren.
Schutz vor Brute-Force-Angriffen bietet hierbei die so genannte Zwei-Faktor-Authentifizierung. Dadurch haben Hacker:innen selbst mit geknacktem Passwort keine Chance auf Erfolg, da eine zweite, unabhängige Zugangssperre den Zugriff verwehrt. Die Zwei-Faktor-Authentifizierung ist eine ergänzende Sicherheitsmaßnahme zum Schutz von Berechtigungsverfahren und Benutzerkonten, die inzwischen in vielen Bereichen wie dem Online-Banking oder Einkauf im Internet zum Standard gehören.
Mit welchen Methoden Sie Brute-Force-Angriffen auf die Spur kommen können, erklärt der Beitrag zum Thema Brute-Force-Angriffe im V-Hub.
Risiken durch Cross-Site-Scripting auf Webseiten
Cross-Site-Scripting (XSS) ist eine der am häufigsten genutzten Angriffsmethoden im Internet. Durch eine Sicherheitslücke auf dem Client beziehungsweise Server oder Webserver bringen Angreifer:innen Schadcode in eine vermeintlich sichere Umgebung.
Die Angriffsmethode nutzt dabei vorwiegen die Skriptsprache JavaScript. Je nach Angriffsvektor dienen manchmal auch Programmiersprachen wie Java, Ajax, Flash, Groovy oder PHP dazu, XSS-Attacken zu starten. Diese Angriffe sind immer dann erfolgreich, wenn Webanwendungen entgegengenommene Daten nicht ausreichend prüfen. Für Anwender:innen ist es äußerlich kaum erkennbar, wenn auf Webseiten vorhandener Schadcode die eingegeben Daten manipuliert, umleitet oder kopiert.
In vielen Fällen ist es auch nicht die Webseite selbst, die der Manipulation unterliegt. Stattdessen ist der separat in Datenbanken gehaltene Content kompromittiert, über den Seiten dynamisch aufgebaut werden. Oft nutzen Cyberkriminelle schlecht geschützte Foren auf Webservern, um den Schadcode zu transportieren. Schon das Anklicken eines manipulierten Links kann dazu führen, dass Browser clientseitig ein JavaScript starten, welches dann wiederum Malware nachlädt und ausführt.
Wie Sie sich und Ihr Unternehmen vor Cross-Site-Scripting schützen, erfahren Sie in unserem XSS-Artikel hier im V-Hub.
Zero-Day-Exploits: Wenn Hacker:innen unerkannte Sicherheitslücken ausnutzen
Zero-Day-Exploits sind Programme, die bislang unbekannte Schwachstellen ab dem Tag der Veröffentlichung einer Software ausnutzen. Dementsprechend hat der Hersteller bisher null Tage (Zero Days) Zeit, um sein Betriebssystem und dessen Nutzer:innen durch Updates abzusichern.
Doch wie sollen Unternehmen sich vor einer unbekannten Gefahr schützen? Einige Anbieter von Sicherheitslösungen haben Verfahren entwickelt, die gegen bisher unbekannte Sicherheitslücken einen Basisschutz bieten. Dabei analysieren diese Schutzsysteme bestimmte von unterschiedlichen Angriffsvektoren benutzte Prozesse und Vorgehensweisen und vergleichen diese mit dem aktuellen Netzwerk- und Systemstatus. Tauchen Ähnlichkeiten auf, schlagen die entsprechenden Systeme Alarm.
Man-in-the-Middle-Angriff als heimliche Bedrohung
„Man in the Middle“ wäre vermutlich auch ein passender Titel für einen Film Noir. Im IT-Bereich bezeichnet man damit eine ebenfalls meist spannend inszenierte kriminelle Attacke auf Kommunikationsvorgänge im Internet. Diese Attacke hat das Ziel, Kommunikation abzufangen und Daten wie beispielsweise Passwörter zu erbeuten. Angriffe vom „Man in the Middle“ (MITM) bleiben für Anwender:innen meist unbemerkt.
Die Teilnahme einer „unbekannten dritten Person“ in der Kommunikation ist meist nur auf Netzwerk- und Serverebene zu erkennen. Es gibt lediglich Hinweise im Verhalten des Rechners, die auf einen MITM-Angriff hindeuten können. Bei längeren Ladezeiten für Webseiten und HTTPS-Adressen (verschlüsselte Seiten), die plötzlich auf HTTP (unverschlüsselt) wechseln, sollten Mitarbeiter:innen misstrauisch werden. Treten die genannten Effekte auf, sollte die IT-Administration informiert werden, um weitere Prüfungen vorzunehmen.
So schwer ein MITM-Angriff auch zu erkennen ist: Welche Möglichkeiten es gibt, sich vor „dem Mann in der Mitte“ zu schützen, zeigt unser MITM-Beitrag im V-Hub.
Enterprise Mobility Management Verlorene oder gestohlene Geräte ganz einfach aus der Ferne löschen, Daten und Apps aus der Ferne aufspielen und alles von zentraler Stelle aus verwalten: Das und mehr bietet Enterprise Mobility Management. Zentrale Geräteverwaltung
Besserer Datenschutz
Individuelle Konfiguration Jetzt mehr erfahren
10 Schritte zum Schutz für Unternehmen gegen Angriffsvektoren
Angriffsvektoren und Begriffe wie „Angriffsvektoren im Cybercrime“ hören sich gefährlich an, und können das auch sein. Letztendlich entpuppen sich Angriffsvektoren aber als reguläre Sicherheitsrisiken in leicht anderer Verpackung. Diese gilt es zu bekämpfen, wobei alle bekannten Regeln zur Verbesserung der IT-Sicherheit im Unternehmen hilfreich sind. Die Top 10 der Schwachpunkte im IT-Security-Bereich auf einen Blick:
Verzicht auf Multifaktor- oder auch Zwei-Faktor-Authentifizierung: Die konsequente Umsetzung würde die Übernahme von Accounts und Zugängen erheblich erschweren.
Die konsequente Umsetzung würde die Übernahme von Accounts und Zugängen erheblich erschweren. Falsche gesetzte Berechtigungen und Fehler in Zugriffskontrolllisten: Mängel und Nachlässigkeiten in der Administration erleichtern es Unbefugten, Zugriff auf Dokumente und Systembereiche zu bekommen.
Mängel und Nachlässigkeiten in der Administration erleichtern es Unbefugten, Zugriff auf Dokumente und Systembereiche zu bekommen. Veraltete Systemversionen, nicht gepatchte Software: Werden bekannte Sicherheitslücken und Schwachstellen nicht zeitnah geschlossen, ist es einfach, bekannte Schwachstellen auszunutzen.
Werden bekannte Sicherheitslücken und Schwachstellen nicht zeitnah geschlossen, ist es einfach, bekannte Schwachstellen auszunutzen. Verwendung von Standard-Benutzernamen und Herstellerkennwörtern: Viele Software- und Hardwareprodukte werden mit einheitlichen Zugangsdaten ab Werk ausgeliefert, die keinerlei Schutz bieten.
Viele Software- und Hardwareprodukte werden mit einheitlichen Zugangsdaten ab Werk ausgeliefert, die keinerlei Schutz bieten. Remote-Dienste wie beispielsweise virtuelle Netzwerke (VPNs) sind häufig nur unzureichend gegen unbefugten Zugriff geschützt: Dies erleichtert Cyberkriminellen den Zugriff auf Remote-Dienste.
Dies erleichtert Cyberkriminellen den Zugriff auf Remote-Dienste. Zu schwache Passwortrichtlinien: Bei zu schwachen Passwortrichtlinien erlangen Cyberkriminelle mit Brute-Force-Angriffen und anderen Methoden sehr schnell Zugriff auf Netzwerke und Systeme.
Bei zu schwachen Passwortrichtlinien erlangen Cyberkriminelle mit Brute-Force-Angriffen und anderen Methoden sehr schnell Zugriff auf Netzwerke und Systeme. Falsch konfigurierte Cloud-Dienste: Falsche oder unzureichende Konfigurationen erleichtern den Datendiebstahl.
Falsche oder unzureichende Konfigurationen erleichtern den Datendiebstahl. Offene Ports und fehlerhaft konfigurierte Services mit Internetzugang: Dies ist eine sehr häufig anzutreffende Schwachstelle. Durch Scanning-Tools ist es leicht, offene Ports zu ermitteln. Diese sind dann beliebte Ansatzpunkte für Angriffsvektoren.
Dies ist eine sehr häufig anzutreffende Schwachstelle. Durch Scanning-Tools ist es leicht, offene Ports zu ermitteln. Diese sind dann beliebte Ansatzpunkte für Angriffsvektoren. Mangelnde Aufmerksamkeit gegenüber Phishing-Attacken: Durch das unbedachte Aktivieren von E-Mail-Anhänge und manipulierten Links in E-Mails ist es leicht, Computersysteme und Netzwerke mit Malware zu infizieren.
Durch das unbedachte Aktivieren von E-Mail-Anhänge und manipulierten Links in E-Mails ist es leicht, Computersysteme und Netzwerke mit Malware zu infizieren. Lockere Zugriffsregeln innerhalb von Netzwerken: Dadurch können Cyberkriminelle leicht Skripte starten und so Angriffe auf Netzwerke und einzelne Rechnersysteme durchführen. Automatisch geführte Cyberattacken und Penetrationtests decken schnell Schwachstellen auf und öffnen Cyberkriminellen Wege ins Netzwerk. Mehr zum Thema Penetrationtests zeigt unser Pentest-Artikel hier im V-Hub.
Angriffsvektoren – das Wichtigste in Kürze
Viele Angriffe von Cyberkriminellen sind ungerichtet. Sie nutzen lediglich bekannte Lücken in Netzwerken, Betriebssystemen und Anwendungsprogrammen aus, um erfolgreich über sogenannte Angriffsvektoren unerlaubten Zugriff zu bekommen. Je schlechter ein IT-System geschützt ist, desto mehr Angriffsvektoren können Ziel von Cyberattacken werden. Gerade bei Zufallsattacken sorgt die Beachtung der oben aufgelisteten Hinweise zusammen mit einer geeigneten Sicherheitslösung für ein deutlich höhreres Maß an IT-Sicherheit in Ihrem Unternehmen.
Wurde Ihr Unternehmen bereits Opfer eines Angriffs auf dessen IT? Mit welchen Maßnahmen schützen Sie sich und Ihre Netzwerke? Wir freuen uns auf Ihren Kommentar.
Zahlreiche Fälle von digitaler Erpressung in deutschen Behörden
Als die Hacker kamen, sah Ernst Walter nur noch "Buchstabensalat". So erzählt es der geschäftsführende Beamte der kleinen Gemeinde Kammeltal im Landkreis Günzburg. Anfang April hatten Hacker Server verschlüsselt und wollten die Gemeinde offenbar erpressen. Daten gegen Geld.
Die Gemeinde erstattete Anzeige bei der örtlichen Polizei, nach 45 Minuten war die Kriminalpolizei im Rathaus. Doch die konnte wenig ausrichten, bis heute hat die Gemeinde keinen Zugriff auf viele Daten. Sie arbeitet mit einem Backup.
Behörden haben keinen Überblick über Hackerangriffe
"Ransomware" nennt man die Schadprogramme, die Kriminelle bei dieser Form der digitalen Erpressung einsetzen. Meistens werden sie über E-Mails verbreitet. Weltweit fließen Lösegelder in Millionenhöhe. Das Bundeskriminalamt (BKA) nennt Ransomware "die Bedrohung" für Unternehmen und öffentliche Einrichtungen. So steht es im jährlichen "Bundeslagebild Cybercrime" des BKA.
Trotzdem gibt es deutschlandweit bislang keinen genauen Überblick, wie stark die öffentliche Verwaltung von diesen Angriffen betroffen ist. Auch die Bundesregierung hat keine Kenntnis über die Zahl der Fälle, wie das Bundesinnenministerium auf Anfrage bestätigt. Eine generelle Meldepflicht für Ransomware-Angriffe gibt es bislang nicht.
Recherchen von BR und Zeit Online geben jetzt einen Eindruck von der Dimension des Problems. In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen und öffentlichen Stellen zu Verschlüsselungen von IT-Systemen gekommen. Das geht aus einer Umfrage von BR und Zeit Online unter den Innenministerien der Länder und des Bundes hervor. Die Gesamtzahl könnte jedoch deutlich höher liegen, denn mehrere Länder wie Nordrhein-Westfalen, Berlin und Hessen machten keine konkreten Angaben.
Landtage, Ministerien und Kommunen betroffen
Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Dem Bundesinnenministerium ist außerdem ein Fall innerhalb der Bundesverwaltung bekannt geworden, bei dem es zur Verschlüsselung eines Servers gekommen ist. Immer wieder trifft es zudem Kommunalverwaltungen: Großstädte wie Frankfurt am Main, mittelgroße Städte wie Neustadt am Rübenberge in Niedersachsen oder auch kleine Gemeinden wie eben Kammeltal.
In Bayern kümmert sich seit 2017 das Landesamt für Sicherheit in der Informationstechnik (LSI) um den Schutz vor Ransomware-Angriffen im bayerischen Behördennetz. Seit Gründung des LSI gab es in den angeschlossenen Behörden keine solchen Vorfälle mehr. In den Jahren zuvor hatten es Hacker geschafft, eine Vielzahl von Rechnern im Geschäftsbereich mehrerer Staatsministerien zu verschlüsseln. Betroffen waren Finanz-, Innen- und Kultusministerium. Wie viele Kommunalverwaltungen in Bayern mit Ransomware angegriffen wurden, ist unklar. Das LSI macht hierzu keine konkreten Angaben und verweist auf die Vertraulichkeit der Zusammenarbeit mit den Gemeinden.
Die kommunalen Spitzenverbände haben keinen systematischen Überblick über die Zahl der Vorfälle. Der Deutsche Städte- und Gemeindebund sieht ein wachsendes Problem und fordert eine bessere Zusammenarbeit von Kommunen und Landesbehörden. "Es stellt sich die Frage, wie schnellstmöglich die notwendige Unterstützung zur Prävention von Ransomware-Angriffen in jede Kommune kommt", heißt es auf Anfrage von BR und Zeit Online.
Aufklärungskampagne und Meldepflicht gefordert
Die Linken-Abgeordnete Anke Domscheit-Berg kritisiert, die Bundesregierung habe keine klare Strategie gegen Ransomware-Angriffe. Sie fordert eine breit angelegte Aufklärungskampagne, um Behördenmitarbeiter für die Bedrohung zu sensibilisieren: "Auch ein einziger Angriff kann unfassbare Folgen haben und ganz viele Menschen auf einmal betreffen, wenn wir an kritische Infrastrukturen denken".
Zu kritischen Infrastrukturen zählen unter anderem Wasserwerke, große Krankenhäuser und die Lebensmittelindustrie. Sie müssen Hackerangriffe an den Bund melden. Kommunen und Landesverwaltungen müssen das bislang nicht. Grünen-Politiker Konstantin von Notz fordert deshalb eine Meldepflicht für Ransomware-Vorfälle: Informationen müssten gebündelt werden und ein Warnsystem implementiert werden. "All das gibt es so nicht. Und deswegen stehen wir so schlecht da", sagt von Notz im Interview mit BR und Zeit Online.
Das Bundesinnenministerium teilt mit, "sofern Länder Behörden des Bundes über Ransomware-Vorfälle in ihrer Zuständigkeit informieren wollen, steht ihnen das frei". Die Länder träfen in eigener Zuständigkeit Maßnahmen zur Abwehr von Ransomware-Angriffen auf Behörden der Landes- und Kommunalebene.
Martin Schallbruch von der European School of Management and Technology Berlin spricht hingegen im Interview mit BR und Zeit Online von einem "Flickenteppich" in den Ländern. Er fordert einheitliche Regeln für Länder und Kommunen und eine bessere Abstimmung zwischen Bund und Ländern.
Steuergelder für Erpresser
Tatsächlich sind die Angreifer mit ihren Erpressungsversuchen in manchen Fällen auch "erfolgreich". Das bedeutet: Steuergelder fließen an Cyberkriminelle. So soll das Staatstheater Stuttgart im Jahr 2019 15.000 Euro bezahlt haben, wie lokale Medien berichteten. IT-Sicherheitsexperten und Strafverfolgungsbehörden raten davon ab, Hacker zu bezahlen, doch oft genug besteht die Alternative darin, die Daten zu verlieren.
Einen Überblick über erfolgreiche Erpressungen gibt es nicht. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlten. Das Bundesinnenministerium teilt auf Anfrage mit, Lösegeldzahlungen öffentlicher Stellen seien nicht bekannt.
In Kammeltal hat man dem Erpressungsversuch auf Anraten der örtlichen Polizei nicht nachgegeben. Stattdessen habe man die IT-Sicherheit der kleinen Gemeinde verbessert.
Ein Cyber-Angriff und sein „Kollateralschaden“
Wie groß ist die Gefahr von Cyber-Attacken auf die kritische Infrastruktur? Diese Frage beschäftigt IT-Experten, Unternehmen und Behörden zwar schon länger. Aber nun hat sie durch Russlands Krieg gegen die Ukraine nochmal an Brisanz gewonnen. Das Nationale IT-Krisenreaktionszentrum ist aktiviert.
Tausende Windräder sind plötzlich nicht mehr steuerbar. Sie drehen sich zwar weiter, aber der Fernzugriff ist gestört. Das geschah am 24. Februar, dem Tag, als Russlands Truppen in die Ukraine einmarschierten. Eine Cyber-Attacke wurde schnell vermutet; es dauert jedoch oft einige Zeit, bis man das herausfindet. Inzwischen hat sich bestätigt, dass es sich um einen Hackerangriff auf den Satelliten Ka-Sat handelte. Und: Es war kein Angriff auf den Betreiber der betroffenen Windräder, sondern ein sogenannter Kollateralschaden. Die Netzbetreiber konnten die Windkraftanlagen weiterhin im Sinne der Netzstabilität steuern.
Der Vorfall schreckte Unternehmen, Behörden und Bürger gleichermaßen auf. Das Bundesamt für Scherheit in der Informationstechnik (BSI) sieht eine „erhöhte Bedrohungslage für Deutschland“ und konstatierte am 24. März: „Der Konflikt wird weiterhin von verschiedensten Formen von Cyber-Angriffen begleitet.“ Es könne nicht ausgeschlossen werden, dass es durch die digitalen Auseinandersetzungen zwischen Russland und der Ukraine zu Kollateralschäden auch in der deutschen Wirtschaft kommt. Unabhängig davon, so das BSI weiter, bleibt die „allgemeine Cyber-Bedrohungslage„ – durch Cyber-Crime, Fake-News, Desinformationen und andere Phänomene – weiterhin bestehen.
Die „Waffen“ der Hacker
Die geläufigsten Attacken sind sogenannte DDos-Angriffe, die Webseiten lahmlegen, das Einbringen einer Schadsoftware, welche die Daten in Computern löscht („Wiper“) und Ransomware-Angriffe. Letztere verschlüsseln die Daten auf dem Rechner. Dahinter stecken Cyberkriminelle, die für den Entschlüsselungscode Lösegeld fordern. Der Betreiber des Satelliten, das US-Unternehmen Viasat, informiert auf seiner Webseite über die technischen Hintergründe. Das BSI hat die Betreiber von kritischen Infrastrukturen (und andere Unternehmen) aufgerufen, ihre IT-Sicherheitsmaßnahmen zu erhöhen. Zur kritischen Infrastruktur gehören zum Beispiel die Strom- und Wasserversorger, der Lebensmittelhandel, das Gesundheits- und Transportwesen, Telekommunikation, Banken, Medien und Versicherungen.
Auch der Bundesverband zum Schutz Kritischer Infrastrukturen (BSKI) teilt mit, er „befürchtet zunehmende Cyber-Attacken aus Russland auch auf deutsche Unternehmen.“ Ihnen wird empfohlen, „sich gegen Cyberschäden zu wappnen und entsprechende Vorkehrungen zu treffen.“ Dazu gehöre, Notfallpläne zu überprüfen und Sicherheitskopien anzufertigen. Wie steht es also um die digitale Sicherheit bei Netzbetreibern, Energieversorgern, Wind- und Solarparks, Kraftwerken? „Es ist schwierig, die kritische Infrastruktur zu schützen“, sagte Thorsten Holz, Leiter der Forschungsgruppe zu systemnaher IT-Sicherheitsforschung, Helmholtz-Zentrum für Informationssicherheit (CISPA), in einem Pressegespräch. „Nicht nur in Deutschland, auch in jedem anderen Land.“ Angriffe seien grundsätzlich möglich; allerdings habe sich die Sicherheit hierzulande in letzter Zeit auch deutlich verbessert. Betreiber sind verpflichtet, ihre Anlagen nach dem Stand der Technik zu schützen und müssen Angriffsversuche an die Behörden melden.
„Bei Green Planet Energy ist die Verbesserung der IT-Sicherheit ein fortwährender Prozess, obwohl wir kritische Infrastrukturen in der Regel nicht direkt betreiben“, erklärt Kurt Mennerich, Bereichsleiter für IT und Datenmanagement bei Green Planet Energy. „Informationssicherheit und -Verfügbarkeit sind für uns als Unternehmen sehr wichtig. Dabei setzen wir auch immer wieder neue Technologien ein, um potenzielle Angriffe abwehren zu können.“
Dass Russland die Fähigkeit besitzt, durch digitale Angriffe auf Kraftwerke Stromausfälle zu verursachen, hat das Land bereits vor Jahren in der Ukraine bewiesen. Aufgrund der westlichen Sanktionen gegen den Aggressor im Kreml wäre es nicht unwahrscheinlich, dass es zu Vergeltungsaktionen in europäischen Staaten kommt. Insbesondere die zentralen Leitwarten der Übertragungsnetzbetreiber könnten im Fokus potenzieller Angriffe stehen, wenn es darum geht, maximalen Schaden anzurichten. Von dort aus wird sichergestellt, dass sich die Ein- und Ausspeisung von Strom im Gleichgewicht befindet und die Netzfrequenz bei 50 Hertz liegt.
Die Tatsache, dass bislang ein großer Cyberangriff ausgeblieben ist, sollte niemanden in falscher Sicherheit wiegen. Dass es weitere Versuche in diese Richtung geben wird, ist weniger die Frage, als wie gut es gelingen wird, diese abzuwehren.
Update 5. April 2022:
Auch Nordex wurde von einer Cyber-Attacke getroffen. Wie der Windturbinen-Hersteller aus Rostock mitteilte, gab es am 31. März 2022 einen gezielten Angriff auf das Unternehmen. Die Störung sei frühzeitig bemerkt worden „und Gegenmaßnahmen wurden umgehend gemäß entsprechender Krisen-Protokolle eingeleitet“, heißt es. Vorsorglich wurden „die IT-Systeme mehrerer Geschäftsbereiche an verschiedenen Standorten abgeschaltet.“ Und weiter: „Kunden, Mitarbeiter und andere Stakeholder können von der Abschaltung der IT-Systeme betroffen sein.“
