Was tun gegen zunehmende Cyberkriminalität?

Vor dem Hintergrund des anhaltenden Russland-Ukraine-Konflikts warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem erhöhten Risiko durch Cyberangriffe für Unternehmen und Organisationen, insbesondere aus dem KRITIS-Umfeld. In der englischen Sprache wird für diese Art der Kriegsführung mit Viren, Würmern und Trojanern oftmals der Begriff «Code War» verwendet. Unabhängig von dieser schrecklichen und sehr belastenden Auseinandersetzung wird die Cyberkriminalität aber in Zukunft auch generell weiter zunehmen. Damit Ihr Unternehmen hier nicht irgendwann Opfer einer Cyberattacke wird, muss Ihre Cyberabwehr in diesem Hase-Igel-Wettlauf stets die richtigen Antworten parat haben. Denn IT-Sicherheit ist kein anhaltender Zustand, sondern ein fortlaufender Prozess, der kontinuierlich an neue Situationen und Bedrohungsszenarien angepasst werden muss.

Cyberangriffe haben für Hacker, wirtschaftlich oder politisch motivierte Institutionen einen entscheidenden Vorteil. Cyberkriminelle können aus sicherer Entfernung «im oder durch den Cyber-Raum» (Begriffserklärung durch BSI) virtuell ihren Angriff durchführen. Es bedarf keiner physischen Gewalt durch spezielle Task-Forces mehr, um in gesicherte Gebäude einzudringen und wertvolle Informationen zu stehlen. Während beim Thema Cyberkriminalität gegen staatliche Akteure oft «kein Kraut gewachsen ist» haben Hacker oder Hacker-Organisationen zu viele Gegner, um lange unerkannt zu bleiben.

Cyberkriminalität: Vielfältige Cyberangriffe durch Malware

Malware – zu Deutsch Schadsoftware – ist der Sammelbegriff für «bösartige» Programme und Software, die nur zu einem Zweck entwickelt wurden: Nutzern teils beträchtlichen Schaden zuzufügen! Egal ob Viren, Würmer, Trojaner oder Ransomware, um nur einige zu nennen, alle Unterarten verfolgen ein Ziel: Ihnen und Ihrem Unternehmen zu schaden! Dabei arbeitet jede Schadsoftware anders.

Computerviren haben meist einen hochgradig destruktiven Charakter. Es handelt sich dabei um einen Programmcode, der sich an eine Wirtsdatei andockt, das Betriebssystem infiltriert und sich dort selbstständig vermehrt. Sie verhindern die Ausführung von Betriebssystemen und Applikationen, infizieren oder löschen Dateien, beschädigen Hardware-Komponenten und machen diese damit nutzlos. Viren hängen sich vornehmlich als Payload an Dateien an oder geben vor, eine harmlose Datei (Datei-Spoofing) zu sein.

Eine andere Form der Cyberkriminalität stellen Computerwürmer dar. Im Gegensatz zu Viren befallen sie in der Regel keine Programme, sondern vornehmlich Speichermedien. Sie arbeiten zwar ähnlich wie ein Virus, aktivieren sich jedoch vollkommen selbstständig. Ohne Nachladen weiteren Schadcodes ist das Risiko von Würmern jedoch eher gering. Lediglich wenn ein eingeschleuster Wurm Schadcode nachladen kann, wird das Risiko groß.

Hinter klassischen Viren steckt oft eine rein politische Motivation, beispielsweise wenn Anlagen sabotiert werden sollen, wie 2010 mit dem Computerwurm Stuxnet. Wenn es um Cyberkriminalität geht, beobachtet man jedoch immer häufiger auch monetäre Ziele. Die finanzielle Bereicherung durch das «Abfischen» von Zugangsdaten, das Umleiten von Zahlungsströmen und die Erpressung von Lösegeld (englisch: Ransom). Ransomware ist auf dem Vormarsch! Diese Art Malware verhindert den Systemzugang und/oder verschlüsselt wichtige Daten und verlangt von den Opfern Lösegeld für die Wiederfreigabe, das diese meist mit Kryptowährung zahlen müssen. Der Umgang mit Cyberangriffen mittels Ransomware ist insofern heikel, da man nicht sicher sein kann, dass das System nach der Lösegeldzahlung auch tatsächlich wieder freigegeben wird.

Was bietet zuverlässigen Schutz vor Malware?

Die nachweislich am besten geeignete Abwehr von Malware aller Art ist eine zuverlässige Anti Malware Lösung. Um Malware überhaupt zu erkennen, muss zunächst ein eindeutiges Muster, eine Viren-Signatur erkannt werden. Diese Signatur wird dann in der Blacklist der Anti-Malware-Software ergänzt und in der Folge erkannt. Heuristik, also die Fähigkeit Vorhersagen aufgrund von Wahrscheinlichkeiten zu treffen, helfen bei der Identifizierung neuer Viren, Würmer und Trojaner. Bei täglich knapp 400.000 neuen Malware-Varianten (siehe BSI Lagebericht IT-Sicherheit 2021) stoßen die Hersteller von Anti-Malware-Lösungen an ihre Grenzen. Durch die Bündelung von mehrerer Anti Malware Engines in einer einzigen Lösung (Anti-Malware Multiscanner oder Malware-Multiscanner) entsteht eine Schwarmintelligenz, die Erkennungsraten von bis zu 99,9 % ermöglicht. Darüber hinaus bestehende Restrisiken, beispielsweise durch Zero-Day Malware, werden durch eine Datei-Desinfektion eliminiert. So lässt sich das Risiko, Opfer von Cyberkriminalität zu werden, bereits deutlich reduzieren.

Phishing, Brute-Force und Man-in-the-Middle

Brute-Force Attacken (von englisch «rohe Gewalt») sind wie die Brechstange bei Einbrüchen. Nach dem Prinzip «Versuch und Irrtum» wollen Cyberkriminelle mittels rechenleistungsstarker Computer und automatisierter Tools die richtige Kombination aus Name und zugehörigem Passwort ihrer Opfer knacken. Bei dieser Angriffsmethode sollen Zugänge durch wiederholte Eingabe von möglichen Nutzer-Passwort-Kombinationen aufgebrochen werden. Immer lesitungsfähigere Computersysteme und Passwörter, die meist schwach und vielfach auch noch für weitere unterschiedliche Accounts verwendet werden, machen Brute-Force Attacken zum lohnenden Geschäftsmodell.

Durch Man-in-the-Middle Angriffe versuchen Cyberkriminelle als Mittelstation an einer Kommunikation zwischen Sender und Empfänger teilzunehmen. Bei dieser Form von Cyberkriminalität werden Kommunikationsinhalte mitgelesen oder manipuliert, indem sich Cyberkriminelle gegenüber dem Sender als Empfänger und gegenüber dem Empfänger als Sender ausgeben. Auf diese Weise kann der Man-in-the-Middle auch Zugangsdaten ausspionieren und gleich verwerten.

Phishing ist ein Betrugsversuch und zielt mit voller Wucht auf die «Schwachstelle Mensch». Gut gefakte, also falsche  E-Mails mit einer Handlungsaufforderung von bekannten Anbietern, wie etwa von der eigenen Hausbank, können dazu führen, dass ein Empfänger seine Zugangsdaten auf einer ebenfalls gefakten Webseite preisgibt. Cyberkriminelle versenden solche gefakten Nachrichten willkürlich an eine Vielzahl von E-Mail Accounts, in der Hoffnung, dass einige Empfänger auf diese E-Mail reinfallen, diese für «echt» halten und wie vom Angreifer gewollt entsprechend reagieren. Die wenig schöne Überraschung dieses nicht gezielt auf einzelne Empfänger ausgeführten Angriffs ist meist ein leeres Bankkonto.

Demgegenüber ist Spear-Phishing eine Betrugsvariante, die sich gezielt an bestimmte Personen oder Organisationen richtet. Die Glaubwürdigkeit einer E-Mail wird hier durch die Anreicherung mit persönlichen Informationen aus dem Umfeld des Opfers erhöht. Spear-Phishing optimiert die Erfolgsquote des Betrugsversuchs für Cyberkriminelle.

Schutz vor den Folgen gestohlener Identitäten

Über Phishing, Brute-Force- und Man-in-the-Middle-Attacken gestohlene Anmeldeinformationen sind bei Logins, die durch eine Zwei-Faktor-Authentifizierung (2FA) beziehungsweise eine Mehr-Faktor-Authentifizierung (MFA) geschützt werden, nutzlos. Die FIDO-Alliance hat mit FIDO2 sogar einen Login-Standard entwickelt, der überhaupt kein Passwort benötigt und trotzdem extrem sicher ist. Dazu ist der Faktor «Haben» in Form eines Hardware Token Voraussetzung. Wird die Kombination aus Benutzername und Passwort identisch auch für andere Accounts verwendet, die nur statische Anmeldeinformationen voraussetzen, bleiben gestohlene Identitäten jedoch ein realistisches Risiko für den Nutzer.

Erhöhte Cyberkriminalität durch DoS- und DDoS-Attacken

Bei einem Denial of Service Angriff (DoS) wird versucht, die Systeme zu überlasten und damit außer Betrieb zu setzen. Beispielsweise wird ein Server solange gezielt mit einer Vielzahl von Anfragen überschüttet, bis er diese nicht mehr bearbeiten kann und unter der Last abstürzt. Dabei gibt es unterschiedliche Formen des Angriffs, wie beispielsweise Syn-Flooding, Ping-Flooding und Mail-Bombing. Bei DDoS-Attacken erfolgt der Angriff koordiniert durch mehrere Systeme. Durch die Vielzahl der gleichzeitig angreifenden Rechnersysteme sind Distributed Denial of Service Angriffe (DDoS) besonders wirksam.

Der Schaden liegt bei beiden Angriffsmethoden in der Nichtverfügbarkeit der Systeme. Für einen Online-Shop-Betreiber bedeutet das, dass bis zur Wiederherstellung keine Online-Bestellungen mehr abgewickelt werden können. Der finanzielle Schaden kann enorm sein. Zudem wird die Reputation des Online-Shops bei mehrfacher Nichtverfügbarkeit der Services ebenfalls beträchtlich beschädigt.

Schutz vor Denial of Service Angriffen

Einige der DoS-Angriffe nutzen Bugs und Sicherheitslücken gezielt aus. Patch-Management, also das zeitnahe Verteilen von Sicherheitsupdates, schützt allgemein vor Cyberangriffen. Außerdem lassen sich Angriffsflächen vermeiden, indem man verhindert, dass Web-Applikationen Zugriff auf Ports, Protokolle oder Applikationen erhalten, die für eine Kommunikation im größeren Umfang nicht ausgelegt sind. Dabei kann es sehr Hilfreich sein, die Infrastruktur hinter CDN (Content Distribution Network) oder Load Balancer zu platzieren, denn dies kann die Datenmengen zwischen Front- und Backend begrenzen.

• Viren und Schadsoftware werden über Malware-Scanner größtenteils unschädlich gemacht. Angesichts der hohen Anzahl täglich neuer Malware-Varianten, besteht das richtige Upgrade in einem Anti-Malware Multiscanner und in einer Desinfektion der Restrisiken wie Zero-Day Attacken.
• Die Angst vor gestohlenen Identitäten verliert Ihren Schrecken durch die Absicherung mit einer Zwei- oder Mehr-Faktor-Authentifizierung.
• Bei DoS oder DDoS Angriffen ist die Verkleinerung der Trefferfläche und die Entkoppelung von Front- und Backend sehr wirkungsvoll.