Was ist ein Cyberangriff? IBM
Wie Cyberkriminalität können auch Cyberangriffe mit Cyberkriegsführung oder Cyberterrorismus, wie z. B. Hacktivisten, in Verbindung gebracht werden. Anders gesagt, kann es unterschiedliche Motivationen geben. Diese Motivationen fallen in drei Hauptkategorien: kriminell, politisch und persönlich.
Kriminell motivierte Angreifer streben nach finanziellem Gewinn durch Diebstahl von Geldmitteln, Daten oder durch Unterbrechung der Geschäftsabläufe. Persönlich motivierte Angreifer, wie verärgerte aktuelle oder ehemalige Mitarbeiter, versuchen ebenfalls, Geld, Daten oder eine Chance zur Störung eines Unternehmenssystems zu bekommen. Sie trachten jedoch in erster Linie nach Vergeltung. Sozialpolitisch motivierte Angreifer möchten Aufmerksamkeit für ihre Sache erregen. Aus diesem Grund machen sie ihre Angriffe der Öffentlichkeit bekannt – dies wird auch als Hacktivismus bezeichnet.
Andere Motivationen für Cyberangriffe sind z. B. Spionage oder Bespitzelung, um sich einen unfairen Vorteil gegenüber der Konkurrenz zu verschaffen, und intellektuelle Herausforderung.
Was bei einem Cyberangriff passiert
Das vergangene Jahr war geprägt von einer außergewöhnlich großen Anzahl folgenschwerer Cyberangriffe. Bereits im Januar machte der Angriff auf den Ölzulieferer Oiltanking Schlagzeilen. Im Februar folgte ein Cyberangriff der Hackergruppe Lapsus$ auf den südkoreanischen Elektronikkonzern Samsung, bei dem vertrauliche Daten erbeutet wurden. Schließlich gelang es Angreifern den hessischen IT-Dienstleister Count+Care GmBH durch einen Ransomware-Angriff schwer zu treffen wodurch auch kritische Infrastrukturen betroffen waren und eine Reihe weitreichender Folgen in Gang gesetzt wurde.
Diese drei Beispiele stehen exemplarisch für unzählige Angriffe, mit denen sich Unternehmen täglich konfrontiert sehen. Interessant ist es deshalb genauer zu beleuchten, wer die Täter und was ihre Motive sind und wie man sich als Unternehmen erfolgreich absichert
Wer sind die Angreifer und was ist ihr Ziel?
Im Großen und Ganzen kann man die Angreifer in zwei Kategorien unterteilen:
Profitorientierte und unabhängige Gruppierungen oder Einzeltäter Staatlich sanktionierte Akteure
Erstere – wie beispielsweise Lapsus§ – sind mit weniger Mitteln und einer loseren Organisationsstruktur ausgestattet, wohingegen die Gruppe der staatlich geförderten oder gar von staatlichen Stellen beauftragten Hacker meist über eine straffe Struktur und schier unbegrenzte Mittel verfügen. So werden der Hackergruppe Hafnium enge Verbindungen zur chinesischen Regierung nachgesagt, was durch ihr Vorgehen und die Auswahl ihrer Ziele unterstrichen wird.
Auch beim Ziel ihrer Cyberattacken unterscheiden sie sich zum Teil deutlich voneinander. Berufskriminelle sind zum allergrößten Teil nur am schnellen Profit interessiert. Staatliche Hacker hingegen haben einen langen Atem und können es sich erlauben, ihre Angriffe minutiös zu planen und bei Bedarf auch lange versteckt auf der Lauer zu liegen, bis sich ein opportuner Moment ergibt oder sie Anweisungen von ihrer politischen Obrigkeit erhalten. Disruption und Spionage sind hier die treibenden Motive.
Wen nehmen die Hacker ins Visier und nach welchen Kriterien werden die Ziele ausgewählt?
Die eingehende Unterscheidung der Täter und ihrer Motive gewährt bereits einen ersten, wichtigen Ansatzpunkt für die nun folgenden Unterscheidungen. Da private Hackerkollektive fast ausschließlich von monetären Interessen getrieben werden, folgt die Auswahl ihrer Ziele einer nüchternen Kosten-Nutzen Abwägung. Je einfacher es ist, in ein System einzudringen und je größer oder wertvoller die dort befindlichen Datenschätze sind, umso wahrscheinlicher gerät diese Organisation ins Fadenkreuz der Cyberkriminellen. Ein weiterer Aspekt ist der durch einen Hack verursachte Leidensdruck für das Opfer. Je schmerzhafter die Behinderung oder der Ausfall des Tagesgeschäfts für das Opfer – und alle von ihm abhängige Betroffene – ist, desto größer ist die Wahrscheinlichkeit, dass den Forderungen der Täter entsprochen wird.
Staatliche Hacker hingegen wählen ihre Ziele nur nach Rücksprache mit oder einer expliziten Direktive von ihren Vorgesetzten aus dem Staatsapparat aus. Sie sind vor allem auf sensible Informationen und Zugänge mit großer Tragweite aus und werden nicht von finanziellen Motiven getrieben. Staatsgeheimnisse, Informationen zu Schlüsseltechnologien oder der Zugriff auf die kritische Infrastruktur eines Landes sind die vornehmlichen Ziele dieser Akteure.
Ein Ziel wird nicht danach ausgewählt, wie einfach der Zugang zur IT-Infrastruktur zu erlangen oder wie schnell ein Angriff durchzuführen ist. Die geduldige und versteckte Vorgehensweise von Staatshackern sieht man deutlich am Microsoft Exchange-Server-Hack von Hafnium. Diese lagen lange Zeit auf der Lauer und nahmen vor allem Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen ins Visier und waren vornehmlich an deren interner Kommunikation interessiert.
Wie gehen die Angreifer vor?
Bei den genutzten Angriffstechniken privat organisierter sowie staatlich sanktionierter Hacker gibt es einige Überschneidungen, aber auch signifikante Unterschiede.
Wie zuvor beschrieben, folgen private Cyberkriminelle einem ökonomischen Diktat. Aus diesem Grunde gehen sie meist den Weg des geringsten Widerstands und streuen ihre Angriffe nach dem Gießkannenprinzip breit gefächert aus. Anschließend konzentrieren sie sich auf diejenigen Ziele, die ihnen ins Netz gegangen sind. Sie nutzen daher in der Regel günstige und einfach zu skalierende Angriffstechniken, wie beispielsweise den massenhaften Versand von E-Mails mit Schadsoftware im Anhang oder kompromittierten Links im Textfeld. Klickt ein Mitarbeiter erst einmal auf den schädlichen Inhalt, folgt meist ein Nachladen verschiedenster Schadprogramme, die laterale Bewegungen in der IT-Infrastruktur des Opfers ermöglichen. Nach eingehender Auskundschaftung der Ressourcen folgt in der Regel eine Verschlüsselung der Daten mittels Ransomware mit anschließender Lösegeldforderung.
Staatliche Hacker sind weder durch zeitliche, personelle noch durch finanzielle Ressourcen limitiert. Zwar nutzen sie gelegentlich auch skalier- und streubare Methoden. Je nach Ziel und Beschaffenheit der dort im Einsatz befindlichen Cyberabwehr kommen hier auch häufig raffiniertere und komplexere Angriffstechniken – wie beispielsweise das Social Engineering – zum Einsatz. Dabei wird gezielt ein Mitarbeiter oder Funktionär mit weitreichenden Zugriffsrechten ausgewählt und zunächst einmal beobachtet. Daraufhin wird versucht, die Zielperson mit aufwändigen Täuschungen zur Herausgabe von Zugangsdaten oder Installation von Schadsoftware zu bewegen. Das können gefälschte Absender sein, oder täuschend echt nachgebaute Anmeldemasken zum Zielsystem.
Ist der Zugang erst einmal erlangt, folgt eine lange Periode der Spionage und das versteckte Nachladen weiterer Schadprogramme. Geheimnisse sowie die digitale Kommunikation von Interna sind dabei die begehrtesten Ziele. Erst wenn sich abzeichnet, dass man von den Sicherheitsverantwortlichen seines Opfers entdeckt wurde oder der sich der perfekte Zeitpunkt für eine Disruption ergibt, wird die gesamte Wucht der Vorarbeit in Bewegung gesetzt. In diesem Moment, in dem die Tarnung dahin ist, wird versucht eine maximale Schadenswirkung zu entfalten. Daten werden unwiederbringlich gelöscht und für das Opfer schädliche Informationen veröffentlicht.
Ausufernde Nutzerprivilegien ermöglichen Lateral Movement
Eine der häufigsten Nachlässigkeiten der IT-Sicherheitsstrategie von Unternehmen ist, dass Zugriffsrechte und Privilegien der Mitarbeiter nicht streng genug kontrolliert und reduziert werden. Der Grund dafür ist durchaus nachvollziehbar: Immenser manueller Aufwand für die chronisch unterbesetzten IT-Abteilungen.
So ist es keine Seltenheit, dass ein langjähriger Mitarbeiter im Laufe seiner Betriebszugehörigkeit verschiedene Stationen im Unternehmen durchläuft. Mit jeder Beförderung und mit jeder neuen Rolle häuft er immer mehr Berechtigungen innerhalb seiner digitalen Identität an. Immer wieder verfangen sich solche „dicken Fische“ im Netz der großflächig gestreuten Cyberattacken. Die Übernahme eines Firmenzugangs mit weitreichenden, über viele Systeme verteilten Zugriffsrechten ist für Cyberkriminelle der Jackpot und für das betroffene Unternehmen der GAU.
Denn mit nur einem Zufallstreffer können sich die Cyberkriminellen lateral durch alle Ecken der IT-Infrastruktur bewegen und somit maximalen Schaden verursachen. Ein häufiger Angriffsvektor für die Erbeutung von Zugangsdaten ist beispielsweise die Auslesung von Zugangsdaten aus dem Windows-Zwischenspeicher mittels Credential Dumpers. Beste Beispiel hierfür ist das Open-Source-Tool Mimikatz, das 2017 rund 75 Prozent aller Ukrainischen Windows-Rechner befallen hatte. Dabei reicht bereits ein befallener Rechner, um ein gesamtes Unternehmensnetzwerk zu kompromittieren.
Deshalb sollten Unternehmen ihre Nutzerprivilegien durch automatisierte Lösungen laufend überprüfen und diese bei Bedarf unmittelbar zurechtstutzen. Zero Trust ist hierbei eine geeignete Strategie, ebenso wie das Prinzip Usage of Least Privilege, also eine generelle Rechte-Sparsamkeit für digitale Identitäten. Denn eine Anmeldung mit erbeuteten Zugangsdaten kann nicht immer zweifelsfrei als unberechtigter Zugriff identifiziert werden. Im Gegensatz zu aggressiveren Angriffstechniken erfolgt ein solcher Login sehr leise und erlaubt dem Angreifer viel Zeit, um sich unbemerkt in der IT-Infrastruktur seines Opfers umzusehen und womöglich weitere Schadprogramme an den Sicherheitsvorkehrungen vorbeizuschleusen.
Wie kann man sich am besten schützen?
Gegen den Großteil der Angriffe hilft es bereits, die Grundregeln der Cyberhygiene zu befolgen:
Regelmäßige Updates aller digitalen Assets, die mit dem Firmennetz verbunden sind
Identifikation und Echtzeit-Übersicht über alle Endgeräte im Firmennetz
Regelmäßige Mitarbeiterschulungen zur aktuellen Cyber-Gefahrenlage
Sensibilisierung aller interner wie externer Akteure, die Zugänge zur firmeneigenen IT-Infrastruktur besitzen
Technische Maßnahmen zum Schutz digitaler Identitäten (MFA etc.)
Regelmäßige Prüfung der Zugriffsrechte und deren Notwendigkeit
Vorhalten einer ausreichend besetzten und gut ausgestatteten IT-Abteilung
Ein weiterer entscheidender und oftmals vernachlässigter Bereich der IT-Sicherheit ist der sparsame und laufend kontrollierte Umgang mit Zugriffsrechten. Wie zuvor bereits gesagt, suchen sich Cyberkriminelle gerne das schwächste Glied in der Kette heraus, um einen Fuß in die IT-Infrastruktur der Zielorganisation zu bekommen. Gerade Mitarbeiter mit langer Betriebszugehörigkeit oder wechselnden Stationen im Unternehmen sammeln über die Jahre immer mehr Berechtigungen auf ihrem Account an. Wenn diese nicht regelmäßig kontrolliert und auf ihre Notwendigkeit hin überprüft werden, eröffnet man Angreifern weitreichende Möglichkeiten sich durch viele schützenswerte Systeme hinweg bewegen und auf sensible Daten zugreifen zu können.
Fazit
Wer sich gegen den Großteil der Cyberbedrohungen absichern will, ist bereits mit einer verantwortungsvollen Befolgung der Cyberhygiene gut aufgestellt. Die Essenz ist dabei mit vier Worten gut auf den Punkt zu bringen: Übersicht, Kontrolle, Aktualisierung und Sensibilisierung. Wer kommerziellen Hackern alle Grundbausteine der IT-Sicherheit in den Weg legt, kann deren – meist ungezielte – Angriffsversuche fast vollumfänglich im Keim ersticken. Einen staatlich initiierten Angriffsversuch abzuwehren ist deutlich schwerer. Doch auch Staats-Hacker nutzen zunächst die einfacheren Angriffswege über bekannte Sicherheitslücken, bevor sie die schweren Geschütze auffahren.
IT-Sicherheit: Zahl und Auswirkungen von Cyberangriffen nehmen zu
Die Gefahr von Cyberattacken wird von Unternehmen unterschätzt, wie eine Studie von A.T. Kearney zeigt. Global wird der Schaden durch Cyberattacken auf 400 Milliarden bis 2,2 Billionen US-Dollar geschätzt, plus Imageschäden und Vertrauensverluste. Künftig sollen die Zahl und das Ausmaß von Cyberattacken zunehmen. Zur Risikominimierung sollte die Informationssicherheit ganzheitlich in den fünf Dimensionen Strategie, Organisation, Prozesse, Technologie und Kultur angegangen werden.
Verantwortung für Informationssicherheitsrisiken liegt bei Geschäftsführung
Informationssicherheitsrisiken sind Geschäftsrisiken. Damit liegt die Verantwortung für diese Risiken nicht bei der IT-Abteilung oder dem CIO, sondern bei der Geschäftsführung. Das muss den Unternehmen klar sein.
Imageschäden und Vertrauensverluste lassen sich nicht beziffern
Die Methoden von Cyberattacken ändern sich ständig, das Risiko und die Folgekosten unzureichender Sicherheitsmaßnahmen steigen. Die Vorhersage der nächsten Cyberattacke ist so schwierig wie die des nächsten Erdbebens, aber es werden einige Trends deutlich. Pro Jahr kosten erfolgreiche Angriffe auf der ganzen Welt schätzungsweise zwischen 400 Milliarden und 2,2 Billionen US-Dollar, was dem Bruttoinlandsprodukt von Österreich nahe kommt. Langfristige Folgen wie Imageschäden und Vertrauensverlust lassen sich kaum angemessen beziffern.
Wachsende Digitalisierung führt zu mehr Cyberattacken
Die wachsende Digitalisierung und die damit verbundenen unvermeidlichen Sicherheitsverletzungen führen zu häufigeren und schwerwiegenderen Cyberattacken. Trends sind dabei vor allem globale Überwachung, gezielte Schwächung von Informationssicherheitstechnologie, Attack-as-a-Service-Angebote (AaaS), massive Angriffe auf Infrastrukturen und industrielle Steuerungssysteme. Dazu kommt Erpressung, bei der die Angreifer drohen, einen glaubhaft gemachten Schaden deutlich zu verschlimmern bis zur Zahlung des „Lösegelds“.
Entdeckung eines Angriffs dauert im Schnitt 243 Tage
Die Aktionen vieler Unternehmen sind zu langsam, um mit der Entwicklung der Angriffe auf Augenhöre zu bleiben. Sobald die Systeme eines Unternehmens einmal infiziert sind, kann die Wiedererlangung der Kontrolle Monate dauern. Bis zur Entdeckung eines Angriffs dauert es nach Schätzungen im Schnitt 243 Tage. Das gibt den Hackern viel Zeit, interessante Daten zu suchen und das ganze Unternehmen zu infiltrieren. Bei einem deutschen Stahlwerk führte ein Angriff zu großem physischen Schaden an einem Hochofen.
Informationssicherheit auch Frage der nationalen Sicherheit
Infrastrukturbetreiber aus den Bereichen Telekommunikation, Finanzen, Verkehr, Gesundheit oder Energieversorgung sind in ähnlicher Gefahr. Durch die Frage, was bei einem Vertrauensverlust der Bürger in diese Bereiche passiert, wird die Diskussion um Informationssicherheit eine Frage der nationalen Sicherheit und bezüglich des Schutzes persönlicher Daten vor Überwachung auch eine Frage der Demokratie. Daher befasst sich auch der Gesetzgeber mit diesen Fragestellungen. Trotzdem wird man sich derartige öffentlichkeitswirksame Angriffe und ihre angenehmen Folgen gewöhnen müssen.
Sicherheitsstrategie muss eng mit Unternehmensstrategie verbunden sein
Unternehmen, die in Sachen Informationssicherheit als Vorbild dienen, sprechen zur Risikominimierung immer wieder die Bereiche Strategie, Organisation, Prozesse, Technologie und Kultur an. Nur selten resultieren Sicherheitsprobleme aus Fehlern in nur einem dieser Bereiche, vielmehr nutzen Hacker eine Kombination verschiedener Schwachstellen. Für die Minimierung des Sicherheitsrisikos ist eine eng mit der Unternehmensstrategie verknüpfte Sicherheitsstrategie nötig, ausgewogene organisatorische Rahmenbedingungen für die Bewältigung schwieriger Entscheidungen, mit durchdachten und erprobten Prozessen zur Bewertung und Bearbeitung von Risiken, dem effizienten Einsatz von Technik und einer starken Unternehmenskultur, für die Informationssicherheit ein Wertbeitrag und eine gemeinsame Aufgabe der Gesamtorganisation ist.
