Cyberattacken

Meistens werden Cyberattacken von kriminellen Banden, sogenannten Ransomware-Kartellen, Einzeltätern oder staatlichen Institutionen (man denke nur an Russland oder Nordkorea) genutzt, um

• von Unternehmen, Privatpersonen oder gar staatlichen Organisationen Lösegelder zu erpressen

• Spionage in Politik oder der Wirtschaft zu betreiben

• Kritische Infrastruktur im KRITIS-Umfeld lahmzulegen

• auf Mandatsträger und / oder besonders exponierte Personen Druck auszuüben, diese zu erpressen oder anders gefügig zu machen

Ransomware

Das eigentliche Ziel von Cyberattacken ist es ein Lösegeld einzutreiben (der englische Begriff für Lösegeld ist „Ransom“).
Die gängige Art des Vorgehens ist dabei das unentdeckte Eindringen in ein Computernetz, um dort alle Daten­quellen wie Server, Storage-Systeme wie SAN oder NAS, Desktop-PC und sogar Datensicherungsfestplat­ten zu manipulieren, indem man diese mit einer möglichst wirksamen und nicht zu entschlüsselnden Sicherheitsvorkehrung versieht.
Die Folgen einer solchen Cyberattacke können gravierende Folgen haben:

• ERP und/oder CRM-Systeme können nicht mehr genutzt werden

• Das Rechnungswesen kann nicht mehr arbeiten

• Personalangelegenheiten können nicht mehr geregelt werden, bis hin zu Lohn- und Gehaltszahlungen, die nicht mehr erfolgen

• Unternehmensinterne Informationen (beispielsweise Einsicht in Kunden- und Personaldaten) werden offengelegt

• Ergebnisse der Planungs- und Entwicklungsabteilung sind verloren

• Produktionsanlagen können stillstehen

Angriffsmethoden

Brut-Force

Der Begriff „Brut-Force“ lässt sich in etwa mit „rohe Gewalt“ übersetzen. Bei einer Brut-Force-Attacke geht ein Angreifer so vor, in dem er durch ein automatisiertes Verfahren versucht die Zeichenfolgen von Pass­wörtern herauszubekommen. Accounts oder Konten, die mit einfachen und kurzen Passwörtern „abgesi­chert“ sind (z.B. „123456“), bilden ein leichtes Opfer.

Wörterbuch

Als einen Wörterbuchangriff bezeichnet man die Methode der Krypto-analyse, ein unbekanntes Passwort mit Hilfe einer Passwörterliste zu ermitteln. Man verwendet diese Methode, wenn man davon ausgehen kann, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß meis­tens der Fall.
Es gibt Passwort-Datenbanken (Wörterbuchangriffe, Rainbow-Tables) mit Millionen von Einträgen der üb­lichsten Passwörter. Legt man den aktiven Wortschatz einer Sprache zugrunde, so kann man von durch­schnittlich 50.000 Wörtern ausgehen. Somit lassen sich dutzende Sprachen innerhalb kürzester Zeit über­prüfen. Ein Passwort, das nur aus wenigen Wörtern besteht, gilt daher als unsicher.

Phishing-Mail und -SMS

Der Begriff Phishing setzt sich aus den Wörtern Passwort und Fishing zu­sammen. Er bezeichnet eine Methode, mittels derer man die zukünftigen Opfer dazu verleiten will geheime Informationen wie Passwörter, PINs oder Ähnliches preiszugeben, um diese Informationen dann für einen Angriff nutzen zu können.
Aus Sicht der Angreifer stellt Phishing den am weitesten verbreiteten Angriffsweg mit der höchsten „Er­folgsrate“ dar. Hierbei wird auf den Faktor Mensch als Fehlerquelle gesetzt.

Lieferkettenangriffe

Diese sogenannten Supply-Chain-Angriffe haben in letzter Zeit deutlich zugenommen. Hier fokussieren sich die Angreifer auf Software-Entwickler oder auf Anbieter von standardisierter Software und versuchen ihren Schadcode in die Software oder in Up­date-Mechanismen zu platzieren.
Dies erfolgt dann mit dem fatalen Ergebnis, dass die Anwender der Software bei der eigenen IT-Sicherheit nichts verkehrt gemacht haben, aber trotzdem angreifbar sind. Die Schadsoftware kommt vom Anbieter in gewählter Weise, z.B. durch ein Update und der Schadcode gelangt so Im Huckepack-Verfahren mit in das System.
Derartige Lieferketten-Angriffe sind aus Sicht der Angreifer besonders lohnend, da diese sich nicht mit nur einem Ziel beschäftigen müssen, sondern - je nach Marktpräsenz der Softwarefirma - möglichweise gleich tausende Opfer gleichzeitig angreifen kann.

Social Engineering

Unter dem Begriff „Social Engineering“ versteht man den direkten Kontakt des Opfers mit dem Angreifer oder einem seiner Helfershelfer. Häufig erfolgt die Kontaktaufnahme dabei über das Telefon, wobei sich der Anrufer als Mitarbeiter eines großen Software-Unter-nehmens ausgibt und dem potenziellen Opfer vorgau­kelt bei der Behebung eines angeblichen Computerprob­lems helfen zu wollen.
(„Hi my name is Tom, I’m from Microsoft technical department ….“). Tatsächlich aber soll das Opfer dazu gebracht werden eine bestimmte Webseite aufzurufen und von dort Schadsoftware herunterzuladen.

Drive-by-Attacks

Der Begriff „Drive-by-Attack“ kennzeichnet den Be­such einer betrügerischen oder kompromittierten Webseite, wobei man sich mit einer Schadsoftware infiziert.
Angreifer fahnden nach schlecht oder gar nicht abgesicherten Webservern und platzieren dann einen Code, welcher dafür sorgt, dass eine als Update getarnte Schadsoftware auf einem lokalen Computer abgelegt wird. Diese nun gespeicherte Code gibt sich dann gerne als Update für JAVA, Adobe Acrobat oder Microsoft Office aus
Gerne wird auch auf Infektionsquellen wie veraltete Browser, deren Plug-Ins, Java-Scripte oder ActiveX-Inhalte zurückgegriffen, die Sicherheitslücken auswei­sen.

Attacken auf Webseiten

Ein stets willkommenes Ziel bilden immer unsicher konfigurierte Systeme. Eine ungewissenhafte Verwal­tung von Zugangsdaten zur Anmeldung bei der Hosting-Plattform selbst oder zu den auf dieser Plattform betriebenen Systemen dürften das Ziel einer Attacke sein, über das die Angreifer versuchen werden sich Zutritt zu verschaffen.

• Software-Komponenten auf Web-Servern sind schlecht gepflegt, bsp. Patches und Updates

• Zusatzerweiterungen bei CMS / CMA ungenügend gepatched

• SQL-Injections: manipulierte DB-Abfragen

• Script-Backups in ungeschützten Verzeichnissen

Makroviren

Makro-Viren dürften nach Phishing-Mails, die am weitesten verbreitete Methode für initiale Cyberangriffe sein. Meist werden sie per E-Mail verbreitet. Dabei handelt es sich um Computerviren, die nicht als eigen­ständiger Code, sondern in Form eines Makros vorliegen.
Ein Makro ist Teil eines Programms und kann in einem Dokument eingebettet sein. So kann zum Beispiel ein Word-Dokument ein Makro enthalten, das be­stimmte Vorgänge in Word automatisiert und dem Benutzer Arbeit abnimmt.
So kann z.B. mittels speziell bekannter Makros, wie z.B. AutoOpen, ein VBA-Code automatisch beim Öffnen eines Dokumentes ausge­führt werden. VBA-basierte Makro-Viren laden dann häufig durch Command-Line-Aufrufe oder mittels Power-Shell weitere Schadsoftware aus dem Internet nach und führen diese dann aus.

DNS-Poisoning

Unter DNS Poisoning versteht man das Ausnutzen von bereits bekannten Schwachstellen in den Domain-Name-Systemen, wenn sich diese nicht auf dem neues­ten, also aktuellsten, Patch-Level befinden und somit manipuliert werden können.
Eine solche Manipulation könne derart aussehen, dass für eine bestimmte Do­main-Adresse (z.B. abc-company.biz) eine veränderte und damit gefälschte IP-Adresse hinterlegt wird und der Browser somit auf eine vom Angreifer entspre­chend präparierte Webseite umgeleitet wird.
Diese Webseite könnte dann dazu benutzt werden, Malware in den PC des Anwenders einzufügen und weitere Schadsoftware für einen Ransomware-Angriff hinterher­zuladen.

DoS / DDoS

Eine Distributet Denial of Service-Attacke (DDoS) ist das massenhafte Absetzen von Anfragen durch einen automatisierten Prozess mit dem Ziel das angefragte System durch die große Menge der Anfragen so zu überlasten, dass es „aufgibt“ und in seiner ursprünglichen Funktionalität nicht mehr verfügbar ist.
Im Gegensatz zu der Art von Attacken, in der es darum geht die Systeme ganz oder teilweise zu verschlüs­seln, geht es hier „nur“ darum, das Zielsystem zum Erliegen kommen zu lassen. Eine Erpressung trotzdem möglich.

Man-in-the-Middle

Ein Man-in-the-Middle-Angriff findet häufig in Rechnernetzen statt, wobei der Angreifer entweder physisch oder, was heute zumeist der Fall ist, logisch zwischen den beiden Kommunikationspartnern sitzt
Dabei wurde durch sein System die vollständige Kontrolle über den Datenverkehr mindesten zwei Netzwerkteilnehmern und somit die Fähigkeit erlangt, die Informationen nach Belieben einzusehen oder sogar manipulieren zu können, indem den Kommunikationspartnern vorgetäuscht wird, der jeweilige Gegenüber zu sein. Typische Beispiele sind:

• Der Angreifer hat Kontrolle über einen Router erlangt, durch den der Datenverkehr geschleust wird. Dies funktioniert sowohl im WAN als auch im LAN und im WLAN.

• Der Angreifer hat physischen Zugang zu den Datenleitungen

• Bei öffentlichen WLAN-Hotspots das Vortäuschen eines falschen WLAN-Access-Points durch Snar­fing möglich. In diesem Fall leitet der falsche Access-Point die Daten – nach Auswertung und gege­benenfalls Manipulation – zum korrekten Access-Point weiter.

Credential Stuffing

Credential Stuffing ist eine Cyberangriffsmethode, bei der zuvor geleakte oder illegal erlangte Anmeldedaten genutzt werden, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Pass-wörtern bei mehreren Diensten gleichzeitig verwenden.
Diese Angriffsmethode gehört zu den am häufigsten im Internet vorkommenden Cyberangriffen. Die Angriffsmethode basiert auf der Tatsache, dass viele Anwender ihre Zugangsdaten (Credentials) mit gleichen Usernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden.
Listen mit großer Anzahl gültiger Login-Daten können Angreifer für diese Art des Cyberangriffs beispielsweise im Darknet erwerben.
Für die Zugangsversuche kommen in der Regel Bot-Netzwerke zum Einsatz, die das Erkennen massenhafter Login-Versuche für die Diensteanbieter erschweren. Gelingt dem Angreifer der unbefugte Zugang zu einem Dienst oder System, verwendet er diesen für weitere kriminelle Aktivitäten.