Schutz vor Netzwerkangriffen
Schutz vor Netzwerkangriffen
Kaspersky Internet Security schützt Ihren Computer vor Netzwerkangriffen.
Bei einem Netzwerkangriff wird versucht, in das Betriebssystem eines Remote-Computers einzudringen. Netzwerkangriffe haben zum Ziel, das Betriebssystem zu übernehmen, das Betriebssystem zum Absturz zu bringen oder Zugriff auf sensible Informationen zu erhalten.
Unter Netzwerkangriffen werden schädliche Aktivitäten verstanden, die entweder von Kriminellen direkt ausgeführt werden (beispielsweise Scannen von Ports oder Auslesen von Kennwörtern) oder durch Schadsoftware erfolgen, die auf dem angegriffenen Computer installiert wurde (beispielsweise Übertragung sensibler Informationen an die Angreifer). Zu der Schadsoftware, die für Netzwerkangriffe eingesetzt wird, gehören bestimmte trojanische Programme, Tools für DoS-Angriffe, schädliche Skripte und Netzwürmer.
Netzwerkangriffe lassen sich bedingt in folgende Kategorien unterteilen:
Scannen von Ports. Netzwerkangriffe dieser Art dienen gewöhnlich zur Vorbereitung von gefährlicheren Angriffen. Ein Angreifer scannt UDP-/TCP-Ports, die auf dem angegriffenen Computer von Netzwerkdiensten verwendetet werden, und stellt fest, ob der angegriffene Computer für gefährlichere Netzwerkattacken anfällig ist. Mit Port-Scans kann der Angreifer ermitteln, welches Betriebssystem auf dem angegriffenen Computer installiert ist, um dann relevante Netzwerkangriffe einzusetzen.
DoS-Angriffe oder Netzwerkangriffe, die zur Dienstverweigerung führen. Solche Netzwerkangriffe destabilisieren das angegriffene Betriebssystem oder setzen es vollständig außer Gefecht. Als wichtigste Typen von DoS-Angriffen gelten: Übertragung von speziellen Netzwerkpaketen an einen Remote-Computer, die vom Zielcomputer nicht erwartet werden und im angegriffenen Betriebssystem zu Störungen oder zum Absturz führen. An einen Remote-Computer werden innerhalb eines kurzen Zeitraums sehr viele Netzwerkpakete geschickt. Der angegriffene Computer setzt seine gesamten Ressourcen für die Verarbeitung der bösartigen Netzwerkpakete ein und kann deshalb seine eigentlichen Funktionen nicht mehr ausführen.
Invasions-Netzwerkangriffe. Diese Netzwerkangriffe haben die "Übernahme" des Betriebssystems auf dem angegriffenen Computer zum Ziel. Dies ist die gefährlichste Art von Netzwerkangriffen, da der Angreifer bei erfolgreichem Angriff das Betriebssystem vollständig kontrollieren kann. Solche Netzwerkangriffe werden von Kriminellen verwendet, um vertrauliche Daten aus einem Remote-Computer zu stehlen (beispielsweise Bankkartennummern und Kennwörter) oder um den Remote-Computer heimlich für bösartige Zwecke zu nutzen (beispielsweise um von einem gekaperten Computer aus Angriffe auf andere Computer auszuführen).
Schutz vor Netzwerkangriffen aktivieren/deaktivieren
Klicken Sie in der Menüleiste auf das Programmsymbol. Wählen Sie im eingeblendeten Menü den Punkt Einstellungen aus. Das Programmkonfigurationsfenster wird geöffnet. Aktivieren/deaktivieren Sie auf der Registerkarte Schutz im Abschnitt Schutz vor Netzwerkangriffen das Kontrollkästchen Schutz vor Netzwerkangriffen aktivieren . Der Schutz vor Netzwerkangriffen kann auch im Schutz-Center aktiviert werden. Wenn der Computerschutz deaktiviert wird oder Schutzkomponenten ausgeschaltet werden, steigt das Infektionsrisiko für Ihren Computer erheblich. Deshalb informiert das Schutz-Center darüber, wenn der Schutz deaktiviert ist.
Wichtig: Wenn Sie den Schutz vor Netzwerkangriffen deaktiviert haben, wird die Komponente nach einem Neustart von Kaspersky Internet Security oder nach einem Neustart des Betriebssystems nicht mehr automatisch gestartet. In diesem Fall müssen Sie den Schutz vor Netzwerkangriffen manuell wieder aktivieren.
Wenn Kaspersky Internet Security eine gefährliche Netzwerkaktivität erkennt, wird die IP-Adresse des angreifenden Computers automatisch auf die Liste der blockierten Computer gesetzt. Eine Ausnahme gilt nur für angreifende Computer, die auf der Liste der vertrauenswürdigen Computer stehen.
Liste für blockierte Computer ändern
Klicken Sie in der Menüleiste auf das Programmsymbol. Wählen Sie im eingeblendeten Menü den Punkt Einstellungen aus. Das Programmkonfigurationsfenster wird geöffnet. Aktivieren Sie auf der Registerkarte Schutz im Abschnitt Schutz vor Netzwerkangriffen das Kontrollkästchen Schutz vor Netzwerkangriffen aktivieren . Klicken Sie auf Ausnahmen . Das folgende Fenster enthält eine Liste der vertrauenswürdigen Computer und eine Liste der blockierten Computer. Öffnen Sie die Registerkarte Blockierte Computer . Wenn Sie sicher sind, dass der blockierte Computer keine Bedrohung darstellt, wählen Sie in der Liste die IP-Adresse des Computers aus und klicken Sie auf Freigeben . Ein Bestätigungsdialog wird geöffnet. Wählen Sie im Bestätigungsdialog eine der folgenden Varianten aus: Wenn Sie den Computer entsperren möchten, klicken Sie auf Freigeben . Kaspersky Internet Security entsperrt die IP-Adresse.
. Wenn Sie möchten, dass Kaspersky Internet Security die ausgewählte IP-Adresse künftig nicht mehr blockiert, klicken Sie auf Freigeben und zu Ausnahmen hinzufügen . Kaspersky Internet Security entsperrt die IP-Adresse und fügt sie zur Liste der vertrauenswürdigen Computer hinzu. Klicken Sie auf Speichern , um die Änderungen zu speichern.
Sie können eine Liste mit vertrauenswürdigen Computern erstellen und ändern. Die IP-Adressen dieser Computer werden von Kaspersky Internet Security auch dann nicht automatisch blockiert, wenn eine gefährliche Netzwerkaktivität dieses Computers erkannt wurde.
Liste für vertrauenswürdige Computer ändern
Klicken Sie in der Menüleiste auf das Programmsymbol. Wählen Sie im eingeblendeten Menü den Punkt Einstellungen aus. Das Programmkonfigurationsfenster wird geöffnet. Aktivieren Sie auf der Registerkarte Schutz im Abschnitt Schutz vor Netzwerkangriffen das Kontrollkästchen Schutz vor Netzwerkangriffen aktivieren . Klicken Sie auf Ausnahmen . Das folgende Fenster enthält eine Liste der vertrauenswürdigen Computer und eine Liste der blockierten Computer. Öffnen Sie die Registerkarte Ausnahmen . Passen Sie die Liste für vertrauenswürdige Computer an: Um eine IP-Adresse zur Liste für vertrauenswürdige Computer hinzuzufügen: Klicken Sie auf die Schaltfläche Tagen Sie im eingeblendeten Feld die IP-Adresse des vertrauenswürdigen Computers ein.
Um eine IP-Adresse aus der Liste für vertrauenswürdige Computer zu löschen: Wählen Sie eine IP-Adresse aus der Liste aus. Klicken Sie auf die Schaltfläche
Um eine IP-Adresse in der Liste für vertrauenswürdige Computer zu ändern: Wählen Sie eine IP-Adresse aus der Liste aus. Klicken Sie auf Ändern . Ändern Sie die IP-Adresse.
Klicken Sie auf Speichern , um die Änderungen zu speichern.
Wenn ein Netzwerkangriff erkannt wurde, zeichnet Kaspersky Internet Security Informationen über den Angriff in einem Bericht auf.
Bericht für den Schutz vor Netzwerkangriffen anzeigen
Öffnen Sie das Pulldown-Menü Schutz . Wählen Sie im Pulldown-Menü den Punkt Berichte aus. Das Berichtsfenster von Kaspersky Internet Security wird geöffnet. Öffnen Sie die Registerkarte Schutz vor Netzwerkangriffen . Hinweis: Wenn der Schutz vor Netzwerkangriffen fehlerhaft beendet wurde, überprüfen Sie den Bericht und versuchen Sie, die Komponente neu zu starten. Falls das Problem nicht gelöst wurde, können Sie sich an den Technischen Support von Kaspersky Lab wenden.
Um im Schutz-Center eine Gesamtstatistik für den Schutz vor Netzwerkangriffen anzuzeigen (Anzahl der blockierten Computer und Anzahl der Ereignisse seit dem letzten Start der Komponente Schutz vor Netzwerkangriffen), klicken Sie im rechten Bereich des Programmhauptfensters auf Details anzeigen.
Arten der erkennbaren Netzwerkangriffe
Arten der erkennbaren Netzwerkangriffe Heutzutage existiert einen Vielzahl unterschiedlicher Arten von Netzwerkangriffen. Diese Angriffe nutzen sowohl Schwachstellen des Betriebssystems, als auch installierte System- und Anwendungsprogramme aus. Um rechtzeitig für die Sicherheit des Computers zu sorgen, ist es wichtig zu wissen, welche Arten von Netzwerkangriffen ihm drohen können. Die bekannten Netzwerkangriffe lassen sich bedingt in drei große Gruppen unterteilen: Scannen von Ports – Diese Bedrohungsart stellt getrennt betrachtet keinen Angriff dar, sondern geht diesem voraus, weil sie eine der effektivsten Methoden ist, Informationen über einen Remote-Computer zu erhalten. Die Methode besteht darin, die von Netzwerkdiensten auf dem angegriffenen Computer verwendeten UDP/TCP-Ports zu scannen, um deren Status (geschlossene oder offene Ports) zu ermitteln. Das Scannen von Ports gibt Aufschluss darüber, welche Angriffstypen für ein bestimmtes System am meisten Erfolg versprechen. Außerdem verleihen die aus dem Scannen resultierenden Informationen (“Abdruck” des Systems) dem Angreifer eine Vorstellung vom Typ des Betriebssystems auf dem entfernten Computer. Dadurch lässt sich die Art der relevanten Angriffe weiter einkreisen und damit die zum Ausführen der Angriffe notwendige Zeit verkürzen. Außerdem können die für das Betriebssystem spezifischen Sicherheitslücken ausgenutzt werden.
DoS-Angriffe oder Angriffe, die zur Dienstverweigerung führen Das Ziel dieser Angriffe besteht darin, die Instabilität des angegriffenen Systems hervorzurufen oder es vollständig außer Gefecht zu setzen. Aufgrund solcher Angriffe können die betroffenen Informationsressourcen unzugänglich werden (z.B. gestörter Internetzugriff). Es gibt zwei Haupttypen von DoS-Angriffen: Es werden spezielle Pakete an den angegriffenen Computer geschickt, die dieser nicht erwartet. Die Folge ist eine Überlastung oder ein Systemabsturz. An den angegriffenen Computer wird innerhalb eines kurzen Zeitraums eine große Anzahl von Paketen geschickt, die dieser Computer nicht verarbeiten kann. Als Folge erschöpfen die Systemressourcen. Die folgenden Angriffe bieten gute Beispiele für diese Gruppe: Der Angriff Ping of death besteht im Senden eines ICMP-Pakets, dessen Größe den zulässigen Wert von 64 KB überschreitet. Dieser Angriff kann zum Absturz bestimmter Betriebssysteme führen. Bei dem Angriff Land wird an einen offenen Port Ihres Computers eine Anfrage auf Verbindungsherstellung mit sich selbst gesendet. Der Angriff führt im angegriffenen Computer zu einer Endlosschleife, was eine stark erhöhte Prozessorbelastung zur Folge hat und bei bestimmten Betriebssystemen zum Absturz führen kann. Bei dem Angriff ICMP Flood wird eine große Anzahl von ICMP-Paketen an Ihren Computer gesendet Da der Computer auf jedes eintreffende Paket reagieren muss, kommt es zu einer erheblichen Erhöhung der Prozessorauslastung. Bei dem Angriff SYN Flood wird eine große Menge von Verbindungsanfragen an Ihren Computer gesendet. Das System reserviert für jede dieser Verbindungen bestimmte Ressourcen, wodurch es seine Ressourcen vollständig verbraucht und nicht mehr auf andere Verbindungsversuche reagiert.
Angriffe zur “Übernahme” – Diese Angriffe zielen auf die “Übernahme” des Systems ab. Dies ist der gefährlichste Angriffstyp, weil das System bei erfolgreichem Angriff dem Angreifer gegenüber vollkommen wehrlos ist. Dieser Angriff wird benutzt, um von einem Remote-Computer vertrauliche Informationen zu stehlen (beispielsweise Kreditkartennummern und Kennwörter). Ein weiteres Ziel kann darin bestehen, sich im System einzunisten, um später die Rechnerressourcen für die Zwecke des Angreifers zu nutzen (das angegriffene System wird in einem Zombie-Netzwerk oder als “Brückenkopf” für neue Angriffe verwendet). Zu dieser Gruppe gehört eine große Anzahl von Angriffen. Sie lassen sich abhängig von dem Betriebssystem, das auf einem Computer installiert ist, in drei Kategorien unterteilen: Angriffe auf Microsoft Windows-Systeme, Angriffe auf Unix-Systeme und eine allgemeine Gruppe für Netzwerkdienste, die in beiden Betriebssystemen verwendet werden. Die meistverbreiteten Arten von Angriffen, die auf Netzwerkdienste eines Betriebssystems zugreifen, sind: Angriffe mit dem Ziel des Pufferüberlaufs. Ein Pufferüberlauf tritt durch fehlende (oder unzureichende) Kontrolle bei der Arbeit mit Daten-Arrays auf. Dieser Typ von Schwachstellen gehört zu den ältesten und lässt sich am leichtesten von Angreifern ausnutzen. Angriffe, die auf Fehlern in Formatzeilen beruhen. Formatzeilenfehler treten auf, weil die Eingabeparameter von Formatfunktionen des Typs printf(), fprintf(), scanf() und anderer Standardbibliotheken der Sprache C unzureichend kontrolliert werden. Wenn diese Sicherheitslücke in einem Programm vorhanden ist, kann ein Angreifer die vollständige Kontrolle über das System übernehmen, wenn es ihm gelingt, speziell erstellte Anfragen zu senden. Wenn solche Schwachstellen auf dem Benutzercomputer vorhanden sind, werden sie vom Detektionssystem für Angriffe in den gebräuchlichsten Netzwerkdiensten (FTP, POP3, IMAP) automatisch analysiert und ihre Verwendung wird verhindert. Angriffe, die sich auf das Betriebssystem Microsoft Windows richten, beruhen auf der Verwendung von Sicherheitslücken der auf einem Computer installierten Software (beispielsweise solcher Programme wie Microsoft SQL Server, Microsoft Internet Explorer, Messenger, sowie Systemkomponenten, die über ein Netzwerk erreichbar sind: DCom, SMB, Wins, LSASS, IIS5). Als weiterer häufig anzutreffender Typ von Übernahmeangriffen lässt sich die Verwendung unterschiedlicher Arten von schädlichen Skripts nennen. Dazu zählen auch Skripts, die von Microsoft Internet Explorer verarbeitet werden, sowie die Variationen des Helkern-Wurms. Bei einem Helkern-Angriff werden spezielle UDP-Pakete mit ausführbarem schädlichem Code an einen entfernten Computer gesendet.
Komplexe Netzwerkangriffe zuverlässig verhindern
Gesponsert
Wirksame IT-Security in der Cloud Komplexe Netzwerkangriffe zuverlässig verhindern
Gesponsert von IONOS SE
Mit einer cloudbasierten IT-Security-Strategie sind von schweren Cyberangriffen betroffene Dienste weiterhin verfügbar und dezentrale Daten lassen sich bei Bedarf sehr schnell wiederherstellen.
Schutz vor Cyberangriffen mit einer umfangreichen IT-Security-Strategie (Bild: Schutterstock )
Gefühlt vergeht kein Tag ohne eine Meldung über einen erfolgreichen Cyberangriff auf ein deutsches Unternehmen. Der deutschen Wirtschaft entsteht so jährlich ein Schaden von mehr als 220 Milliarden Euro. Hohe Geldforderungen, verbunden mit dem Ausfall von Informations- und Produktionssystemen sowie die Störung von Betriebsabläufen, sind dabei unmittelbare Folgen.
Ransomware laut BKA auf dem Vormarsch
Bei Cyberangriffen liegen sogenannte Distributed Denial of Service(DDoS)- und Ransomware-Attacken auf den Spitzenrängen. Dabei wurden bereits viele namhafte Unternehmen aus dem deutschen Mittelstand Opfer von Ransomware. Und laut dem aktuellen Bundeslagebericht Cybercrime 2021 des Bundeskriminalamts (BKA) ist die Bedrohungslage bei Ransomware-Delikten im vergangenen Jahr nochmals deutlich angestiegen.
Bei Ransomware handelt es sich, grob gesagt, um Softwarelösungen, die Dateien und komplette Verzeichnisse verschlüsseln, sodass die Opfer nicht mehr darauf zugreifen können. In einigen Fällen werden die Originaldateien während des Verschlüsselungsvorgangs an einen externen Server geschickt, während es sich bei den verbleibenden Dateien um verschlüsselte Kopien handelt. Anschließend werden die Opfer aufgefordert, eine bestimmte Summe, meist in Form einer Kryptowährung wie Bitcoin, zu bezahlen, um einen Schlüssel zu bekommen, mit dem sie die Dateien wieder entsperren können.
Ende 2019 waren auch die weltweit verstreuten Server eines namhaften deutschen Anbieters für Steuerungstechnik Ziel eines solchen Angriffs. Plötzlich funktionierten weder Telefonie noch der E-Mail-Verkehr, noch ließen sich die Rolltore in den Fabriken o.ä. öffnen. Betroffen waren laut Aussagen des Unternehmens vorrangig IT-Systeme für die Bürokommunikation und nicht die Server für die eigenen Sicherheitslösungen für die Maschinenautomatisierung. Bevor die Hacker die Daten verschlüsselten, untersuchten sie mehrere Monate lang das IT-System und entwickelten einen passgenauen Schadcode für den Angriff. Der Firma gelang es zwar trotzdem alle Aufträge und Bestellungen zu bearbeiten, doch die Beseitigung der Schäden dauerte viele Wochen und war mit hohen Kosten verbunden, denn viele Server mussten komplett neu aufgesetzt werden.
DoS-Attacken legen Server lahm
Bei Cyberangriffen liegen DDoS- und Ransomware-Attacken ganz vorne (Bild: Gettyimage )
Eine weitere Methode von Cyberkriminellen ist eine DDoS-Attacke. Bei einem solchen Denial-of-Service(DoS)-Angriff werden Netzwerkserver durch eine so hohe Anzahl an Requests durch verteilte Rechner bombardiert, dass diese schließlich unter der Last zusammenbrechen und ihren Dienst einstellen. Dadurch lassen sich komplette Betriebsteile lahmlegen und der Schaden ist enorm. Wenn zusätzlich Backup Server im Vorfeld von den Angreifern mit Ransomware kontaminiert wurden, lassen sich Produktivdaten nicht mehr wiederherstellen. Unter Umständen muss das Opfer hohe Lösegelder zahlen, um seine Daten wiederzubekommen und seine Systeme wieder zum Laufen zu bringen.
Wie können sich Unternehmen schützen?
Grundsätzlich gilt: Jedes Unternehmen kann Opfer eines Cyberangriffs werden. Allerdings lassen sich die Folgen etwas mildern, wenn folgende Maßnahmen im Rahmen eines IT-Schutzkonzeptes beachtet werden:
Betriebssysteme immer auf dem aktuellen Stand halten,
Spezieller Browser-Schutz mit Firewalls und Intrusion Detection sowie Antiviren- und Internet-Security-Tools für mobile Geräte,
Multi-Faktor-Authentifizierung (MFA) mit besonders starken Passwortsicherheits-Richtlinien zur Prävention unbefugter Zugriffe,
Software mit bekannten Sicherheitslücken entfernen,
Spezielle Backup- und Recovery-Tools zur Sicherung der lokalen Daten auf externen Speichermedien oder in der Cloud.
Gegen DDoS helfen Content Delivery Networks (CDN) und in gewissem Maße auch Load Balancer.
Und schließlich: Der Cloud-Einsatz für wesentliche Teile der IT.
Die Cloud als integraler Baustein der IT-Security
Die Cloud hat einige Vorteile gegenüber einer reinen On-Premises-Lösung: z.B. lassen sich Backup-Daten bequem in die Cloud auslagern, um im Fall eines Ransomware-Angriffs schnell wieder auf aktuelle Produktionsdaten zugreifen zu können. Bei einer professionellen Backup-Strategie kommt es besonders darauf an, dass die Daten als ein sicheres, redundantes und vom Firmennetzwerk getrenntes Enterprise-Level-Backup in der Cloud gespeichert und stets aktuell gehalten werden. Ein weiterer essentieller Bereich einer cloudbasierten IT-Security ist zudem die Wiederherstellung ausgefallener oder verseuchter Daten und Systeme, der Recovery. Auch hier kann die Cloud punkten: Im Rahmen des Disaster-Recovery-Plans lassen sich hier die Daten gemäß der eigenen Priorisierung schnell wiederherstellen. Wer letztlich ganze Teile seiner IT komplett in die Cloud verschiebt, profitiert dabei meist von einer redundanten Datenhaltung in verschiedenen Rechenzentren und hohen Sicherheitsvorkehrungen des Anbieters.
IONOS unterstützt Firmen bei ihrer IT-Security
Als großer Hosting- und Cloud-Anbieter arbeitet IONOS mit einem eigenen Backbone und betreibt mehrere weltweit verteilte Scrubbing Center sowie eine selbst entwickelte DDoS-Defense-Plattform. Über dieses engmaschige System fließt der gesamte Datenverkehr der IONOS Kunden, die dadurch von folgenden Vorteilen profitieren: IONOS überprüft den Datenverkehr seiner Kunden lückenlos selbst und kann im laufenden Betrieb früh auf Anomalien und verdächtige Inhalte zugreifen, um sie genauer zu analysieren, zu blockieren oder zu desinfizieren. Erst wenn diese Daten nach Analyse und Reinigung im Scrubbing Center (wieder) als ‚sauber‘ klassifiziert wurden, leitet sie das System umgehend an das jeweils zuständige Data Center und somit an den entsprechenden Kunden weiter. Erfahren Sie mehr darüber, wie IONOS Cloud Sie mit seiner Cloud-Infrastruktur bei Ihrer IT-Security unterstützen kann:
(ID:48404037)
