Schlagwort: Authentifizierung

Crowdstrike – Jeder hat von dem fehlerhaften Update gehört, das weltweit den IT-Betrieb lahmlegte.
WannaCry – Der 2017 durchgeführte und bis dahin größte Ransomware-Angriff hat über 200.000 Windows-Rechner in über 150 Ländern verschlüsselt. Der Grund? Ein noch nicht eingespieltes Sicherheitsupdate.
Der erste Tod der Cyberkriminalität – Die Verschlüsselung der Server eines Krankenhauses während der COVID-19-Pandemie führte zu einer mangelnden Behandlungsfähigkeit einer Notfallpatientin und damit zur ersten Tötung in der Geschichte der Cyberkriminalität.

Unternehmen, Institute, Staaten und Privatpersonen sind täglich dem Risiko eines Cyberangriffs ausgesetzt. Die Art der Angriffe ist vielseitig.
Daher ist jeder dazu verpflichtet, einen Beitrag gegen die Cyberkriminalität zu leisten. Mit diesem Artikel möchten wir zeigen, wie vielfältig Angriffe gestaltet sein können und welche Angriffsvektoren am häufigsten vorkommen.

Angriffsvektoren

Ein Angriffsvektor beschreibt eine Methode, sich unerlaubt Zugang zu einem Netzwerk, System oder Daten zu verschaffen. Die Summe aller Angriffsvektoren bildet die Angriffsfläche eines Unternehmens. Je größer diese Fläche ist, desto angreifbarer ist das Unternehmen.

Hierbei wird in zwei Arten an Angriffsvektoren unterschieden.
Aktive Angriffsvektoren stören den regulären Betrieb eines Unternehmens, indem das Netzwerk oder System geschädigt oder verändert wird. Dies geht beispielsweise durch einen Malware-Angriff, dessen Auswirkungen schnell zu erkennen sind.
Passive Angriffsvektoren sind hingegen schwerer zu erkennen, da sie keine direkten Veränderungen am Netzwerk oder System durchführen. Diese Art zielt auf Informationssammlung durch Systemüberwachung und Datenklau ab. Ein Beispiel hierfür ist das Abhören von Kommunikationswegen.

Schwache oder fehlerhafte Authentifizierung

Alle Konten und Systeme, die sensible Daten erhalten, sollten geschützt sein. Nur nach einer erfolgreichen Authentifizierung, also der Bestätigung seiner Identität, erhält man Zugriff auf die Daten.
Dieser Prozess kann allerdings leicht angegriffen werden, wenn ein unsicheres Passwort gewählt wurde. NordPass veröffentlicht jährlich eine Liste der häufigsten Passwörter, die über öffentliche Quellen inklusive Darknet verfügbar sind. 123456 und password sind Klassiker dieser Liste und können – wie die meisten anderen der Top 200 – in nicht einmal einer Sekunde geknackt werden.
Genauso unsicher ist die Wiederverwendung von Passwörtern. Einmal geknackt, werden die meisten Passwörter im Darknet verkauft und in Passwortlisten aufgenommen. Im schlimmsten Fall ist zusätzlich die E-Mail-Adresse bekannt und macht das stärkste Passwort der Welt bedeutungslos.

Doch nicht nur bei dem Nutzer, der sein Passwort wählt, liegt die Verantwortung. Anbieter, die für ihre Produkte und Dienstleistungen ein Kundenkonto verlangen oder auch für unternehmensinterne Prozesse ein Anmeldeverfahren nutzen, können selbst eine Schwachstelle einbauen, indem sie keine ausreichende Passwortrichtlinie eingeführt haben oder der Prozess an sich unsicher ist.
Für eine sichere Autorisierung, ohne zusätzliche sensible Daten übertragen zu müssen, gibt es den Client Credential Grant, den wir in einem anderen Artikel näher beschrieben haben.

Malware

Trojaner, Viren, Spyware, Ransomware, …

Malware ist der Oberbegriff für Schadsoftware, die je nach Art in einem infizierten Netzwerk Schaden verursachen kann oder sensible Daten stiehlt. Meist wird Malware bei einem scheinbar legitimen Programm zusätzlich installiert oder über Links in Phishing-Angriffen verbreitet.

Ein großes Risiko bei Malware sind allerdings neue Schadprogramme. Eine neue Variante entsteht dann, wenn Änderungen in dessen Code vorgenommen wurden, die seinen Hash verändern. Damit kann die neue Variante noch nicht von Anti-Malware Software erkannt werden und ist damit besonders gefährlich. Das BSI hat im Juli 2023 bis Juni 2024 täglich durchschnittlich 309.000 neue Schadprogramm-Varianten registriert.

Ransomware

Ransomware ist laut des BSI seit einigen Jahren die stärkste Bedrohung.
Diese Spezialform der Malware verhindert den Zugang auf ein System wie beispielsweise durch die Verschlüsselung der Daten und gibt ihn erst nach Zahlung einer Lösegeldsumme frei.
Dieses Prinzip hat sich zum Geschäftsmodell Ransomware-as-a-Service (RaaS) professionalisiert. Hierbei wird als Dienstleistung der Zugang zu Schwachstellen oder auch die Nutzung einer Ransomware-Software an andere Cyberkriminelle verkauft.

Die meisten Ransomware-Angriffe werden von Gruppen durchgeführt. Anstelle eines Einzeltäters oder einer kleineren Gruppe bestehen die meisten Ransomware-Gruppen aus ausgebildeten Cyberkriminellen.
Diese nutzen gerne bekannte Schwachstellen aus, zu denen noch kein Sicherheitsupdate eingespielt wurde. Somit können mit wenig Aufwand viele Angriffe durchgeführt werden.

Es gibt allerdings keine Garantie, dass nach Zahlung des Lösegelds der Zugang wieder gewehrt wird. Oft werden die Daten vor ihrer Verschlüsselung gestohlen und anschließend für eigene Zwecke genutzt oder im Darknet verkauft – ganz egal, ob das Lösegeld gezahlt wurde. Möglich ist auch, dass bei der vermeintlichen Entschlüsselung der Systeme zusätzliche Software geladen wird, die bei Wiederaufnahme des Betriebs ausgeführt wird.

Ransomware-Gruppen zielen oft auf umsatzstarke Unternehmen ab, da von diesen ein hohes Lösegeld gefordert werden kann. Doch auch kleine und mittlere Unternehmen (KMU), Kommunen, Universitäten und Forschungseinrichtungen werden wegen ihrer schwachen Sicherheitsmaßnahmen verstärkt angegriffen.

Botnetze

Ein Botnetz ist ein Zusammenschluss mehrerer infizierter Systeme, die von einem zentralen Steuerungssystem koordiniert werden.
Die Schadsoftware, die für das Erstellen eines Botnetzes genutzt wird, hat meist keine Auswirkungen auf die Funktionen des Geräts. Sie wird erst bemerkbar, wenn der Angreifer einen Angriff startet. Das kann beispielsweise ein Spamversand sein, bei dem der Angreifer die über das Botnetz verknüpften Geräte nutzt, um viele Spam-Mails zur gleichen Zeit zu versenden.

Botnetze sind meist modular aufgebaut und können daher für unterschiedliche Funktionen genutzt werden. Neben Spamversand können sie auch Informations- oder Identitätsdiebstahl genutzt werden.

Generell kann jedes internetfähige Gerät Teil eines Botnetzes werden – sogar der smarte Saugroboter. Smartphones, die einerseits mit vielen verschiedenen Netzwerken verknüpft sind und viele persönliche Daten und Konten gespeichert haben, sind besonders attraktiv.

DDoS

Eine Angriffsmöglichkeit, die man mit einem Botnetz erreichen kann, ist eine sogenannte DDoS-Attacke. Distributed Denial of Service (DDoS) beschreibt den Zustand eines Servers, wenn dieser durch den Angriff nicht mehr verfügbar ist.
Dies kann durch eine Überflutung an Anfragen auf die gleiche Webseite erreicht werden.

Im Gegensatz zu Ransomware-Angriffen gibt es keinen direkten Gewinn für den Angreifer. Ziel ist meist, durch die Unerreichbarkeit des Servers den Eigentümer finanziell und reputativ zu schädigen.
Ein simples Beispiel: Wie viel Verlust mach Amazon, wenn der Online-Shop für nur eine Stunde nicht aufrufbar ist?

Social Engineering

Social Engineering ist eine psychologische Manipulationstechnik, die die angegriffene Person zu einer Handlung überzeugen soll. Diese Handlung umfasst meist das Herausgeben von privaten Daten, die anschließend für einen Angriff genutzt werden können.

Für die Effektivität von Social Engineering nimmt der Bedrohungsakteur eine falsche Identität an, die vermeintlich dazu berechtigt ist, die herausgegebenen Daten zu erhalten.

Ein Experiment von Thomas Ryan zeigt, dass jeder angreifbar für Social Engineering ist und besonders Soziale Medien eine Identität zum Leben erwecken können.
Ryan hat 2009 die fiktive amerikanische Cyber Threat Analyst “Robin Sage” erfunden, die sich auf Social Media innerhalb von zwei Monaten mit Mitarbeitern des amerikanischen Militärs und der Regierung angefreundet hat. Durch diese Kontakte erhielt sie Zugriff auf E-Mail-Adressen, Bankkonten und private Dokumente.
Bei einer Konferenz hat Ryan die Ergebnisse und die oft unterschätzten Auswirkungen von Social Engineering vorgestellt.

Phishing

Die gängigste Form des Social Engineerings ist Phishing. Damit werden E-Mails und SMS im Namen einer falschen Identität versendet.
Oft werden diese im Namen von Banken geschrieben, die eine Änderung an den Kontodaten fordern. Mit einem Link auf eine gefälschte Webseite wird die Person aufgefordert, ihre Kontodaten einzugeben oder eine dringende Zahlung zu tätigen.

Nach den neuesten Feststellungen des BSI werden Phishing-Kampagnen neben Finanzinstituten auch im Namen von Streaming-Diensten durchgeführt. Thematisch orientieren sie sich an bekannten Maßnahmen wie der Änderung von Nutzungsbedingungen, Preisen oder Zahlungsbedingungen.

Insider-Bedrohungen

Weniger häufig, aber für Unternehmen ein deutlich höheres Risiko sind Insiderbedrohungen. Insider können aktuelle oder ehemalige Mitarbeiter, Partner, Auftragnehmer oder Lieferanten sein.
Bösartige Insider nutzen beispielsweise kurz nach ihrer Entlassung den noch aktiven Mitarbeiter-Account aus, um Unternehmensdaten zu stehlen oder das Unternehmen zu sabotieren.
Doch es gibt auch unabsichtliche Kompromittierung, bei denen fahrlässige Insider von Bedrohungsakteuren ausgenutzt werden.

Technische Schwachstellen

Der wohl am unterschiedlichsten ausgeprägte Angriffsvektor ist die von technischen Schwachstellen.
Dies kann von dem Ausnutzen von Schwachstellen in nicht gepatchter Software über fehlende kryptografische Prozesse bis zu Fehlkonfiguationen in komplexen Systemen vieles annehmen.

Die OWASP (Open Worldwide Application Security Project) ist eine Organisation, die das Ziel hat, die Sicherheit von Anwendungen, Diensten und Software zu verbessern.
In den OWASP TOP 10 werden die häufigsten Sicherheitsrisiken und Angriffsvektoren gelistet. Es ist ein Standarddokument für Webentwickler und wird alle vier Jahre aktualisiert.

Die höchste Gefährdung 2021 geht von Broken Access Control aus, welches den in diesem Artikel zuerst genannten Angriffsvektor beschreibt.
Die von OWASP gelisteten Sicherheitsrisiken beschreiben die technische Ebene von Schwachstellen, aber sollten besonders bei der Entwicklung von Webanwendungen von jedem Unternehmen beachtet werden.

Künstliche Intelligenz: ein Potential auf beiden Seiten

Die Entwicklung von Künstlicher Intelligenz ist in den vergangenen Jahren drastisch angestiegen. Dies ermöglicht sowohl für den Angreifer als auch für die Verbesserung von Sicherheitssystemen neue Wege.
In den Sozialen Medien ist das Potential von KI schon deutlich erkennbar. Texte, Bilder und Videos, die von KI erstellt wurden, sind immer schwerer von Originalen zu unterscheiden.
Alleine diese Kompetenz verschärft den Angriffsvektor von Social Engineering Attacken. Doch auch auf technischer Ebene kann KI demnächst den Angreifer unterstützen.

Prävention

Genauso wie die Angriffsvektoren vielzählig und vielseitig sind, gibt es auch viele Möglichkeiten, sich davor zu schützen.
Der Artikel Prävention und Härtung im E-Commerce beschreibt die Relevanz von Resilienz und konkrete Handlungsmöglichkeiten für Unternehmen.