0621 586 799 21

Schlagwort: KI

Angriffsvektoren im E-commerce

Crowdstrike – Jeder hat von dem fehlerhaften Update gehört, das weltweit den IT-Betrieb lahmlegte.
WannaCry – Der 2017 durchgeführte und bis dahin größte Ransomware-Angriff hat über 200.000 Windows-Rechner in über 150 Ländern verschlüsselt. Der Grund? Ein noch nicht eingespieltes Sicherheitsupdate.
Der erste Tod der Cyberkriminalität – Die Verschlüsselung der Server eines Krankenhauses während der COVID-19-Pandemie führte zu einer mangelnden Behandlungsfähigkeit einer Notfallpatientin und damit zur ersten Tötung in der Geschichte der Cyberkriminalität.

Unternehmen, Institute, Staaten und Privatpersonen sind täglich dem Risiko eines Cyberangriffs ausgesetzt. Die Art der Angriffe ist vielseitig.
Daher ist jeder dazu verpflichtet, einen Beitrag gegen die Cyberkriminalität zu leisten. Mit diesem Artikel möchten wir zeigen, wie vielfältig Angriffe gestaltet sein können und welche Angriffsvektoren am häufigsten vorkommen.

Angriffsvektoren

Ein Angriffsvektor beschreibt eine Methode, sich unerlaubt Zugang zu einem Netzwerk, System oder Daten zu verschaffen. Die Summe aller Angriffsvektoren bildet die Angriffsfläche eines Unternehmens. Je größer diese Fläche ist, desto angreifbarer ist das Unternehmen.

Hierbei wird in zwei Arten an Angriffsvektoren unterschieden.
Aktive Angriffsvektoren stören den regulären Betrieb eines Unternehmens, indem das Netzwerk oder System geschädigt oder verändert wird. Dies geht beispielsweise durch einen Malware-Angriff, dessen Auswirkungen schnell zu erkennen sind.
Passive Angriffsvektoren sind hingegen schwerer zu erkennen, da sie keine direkten Veränderungen am Netzwerk oder System durchführen. Diese Art zielt auf Informationssammlung durch Systemüberwachung und Datenklau ab. Ein Beispiel hierfür ist das Abhören von Kommunikationswegen.

Schwache oder fehlerhafte Authentifizierung

Alle Konten und Systeme, die sensible Daten erhalten, sollten geschützt sein. Nur nach einer erfolgreichen Authentifizierung, also der Bestätigung seiner Identität, erhält man Zugriff auf die Daten.
Dieser Prozess kann allerdings leicht angegriffen werden, wenn ein unsicheres Passwort gewählt wurde. NordPass veröffentlicht jährlich eine Liste der häufigsten Passwörter, die über öffentliche Quellen inklusive Darknet verfügbar sind. 123456 und password sind Klassiker dieser Liste und können – wie die meisten anderen der Top 200 – in nicht einmal einer Sekunde geknackt werden.
Genauso unsicher ist die Wiederverwendung von Passwörtern. Einmal geknackt, werden die meisten Passwörter im Darknet verkauft und in Passwortlisten aufgenommen. Im schlimmsten Fall ist zusätzlich die E-Mail-Adresse bekannt und macht das stärkste Passwort der Welt bedeutungslos.

Doch nicht nur bei dem Nutzer, der sein Passwort wählt, liegt die Verantwortung. Anbieter, die für ihre Produkte und Dienstleistungen ein Kundenkonto verlangen oder auch für unternehmensinterne Prozesse ein Anmeldeverfahren nutzen, können selbst eine Schwachstelle einbauen, indem sie keine ausreichende Passwortrichtlinie eingeführt haben oder der Prozess an sich unsicher ist.
Für eine sichere Autorisierung, ohne zusätzliche sensible Daten übertragen zu müssen, gibt es den Client Credential Grant, den wir in einem anderen Artikel näher beschrieben haben.

Malware

Trojaner, Viren, Spyware, Ransomware, …

Malware ist der Oberbegriff für Schadsoftware, die je nach Art in einem infizierten Netzwerk Schaden verursachen kann oder sensible Daten stiehlt. Meist wird Malware bei einem scheinbar legitimen Programm zusätzlich installiert oder über Links in Phishing-Angriffen verbreitet.

Ein großes Risiko bei Malware sind allerdings neue Schadprogramme. Eine neue Variante entsteht dann, wenn Änderungen in dessen Code vorgenommen wurden, die seinen Hash verändern. Damit kann die neue Variante noch nicht von Anti-Malware Software erkannt werden und ist damit besonders gefährlich. Das BSI hat im Juli 2023 bis Juni 2024 täglich durchschnittlich 309.000 neue Schadprogramm-Varianten registriert.

Ransomware

Ransomware ist laut des BSI seit einigen Jahren die stärkste Bedrohung.
Diese Spezialform der Malware verhindert den Zugang auf ein System wie beispielsweise durch die Verschlüsselung der Daten und gibt ihn erst nach Zahlung einer Lösegeldsumme frei.
Dieses Prinzip hat sich zum Geschäftsmodell Ransomware-as-a-Service (RaaS) professionalisiert. Hierbei wird als Dienstleistung der Zugang zu Schwachstellen oder auch die Nutzung einer Ransomware-Software an andere Cyberkriminelle verkauft.

Die meisten Ransomware-Angriffe werden von Gruppen durchgeführt. Anstelle eines Einzeltäters oder einer kleineren Gruppe bestehen die meisten Ransomware-Gruppen aus ausgebildeten Cyberkriminellen.
Diese nutzen gerne bekannte Schwachstellen aus, zu denen noch kein Sicherheitsupdate eingespielt wurde. Somit können mit wenig Aufwand viele Angriffe durchgeführt werden.

Es gibt allerdings keine Garantie, dass nach Zahlung des Lösegelds der Zugang wieder gewehrt wird. Oft werden die Daten vor ihrer Verschlüsselung gestohlen und anschließend für eigene Zwecke genutzt oder im Darknet verkauft – ganz egal, ob das Lösegeld gezahlt wurde. Möglich ist auch, dass bei der vermeintlichen Entschlüsselung der Systeme zusätzliche Software geladen wird, die bei Wiederaufnahme des Betriebs ausgeführt wird.

Ransomware-Gruppen zielen oft auf umsatzstarke Unternehmen ab, da von diesen ein hohes Lösegeld gefordert werden kann. Doch auch kleine und mittlere Unternehmen (KMU), Kommunen, Universitäten und Forschungseinrichtungen werden wegen ihrer schwachen Sicherheitsmaßnahmen verstärkt angegriffen.

Botnetze

Ein Botnetz ist ein Zusammenschluss mehrerer infizierter Systeme, die von einem zentralen Steuerungssystem koordiniert werden.
Die Schadsoftware, die für das Erstellen eines Botnetzes genutzt wird, hat meist keine Auswirkungen auf die Funktionen des Geräts. Sie wird erst bemerkbar, wenn der Angreifer einen Angriff startet. Das kann beispielsweise ein Spamversand sein, bei dem der Angreifer die über das Botnetz verknüpften Geräte nutzt, um viele Spam-Mails zur gleichen Zeit zu versenden.

Botnetze sind meist modular aufgebaut und können daher für unterschiedliche Funktionen genutzt werden. Neben Spamversand können sie auch Informations- oder Identitätsdiebstahl genutzt werden.

Generell kann jedes internetfähige Gerät Teil eines Botnetzes werden – sogar der smarte Saugroboter. Smartphones, die einerseits mit vielen verschiedenen Netzwerken verknüpft sind und viele persönliche Daten und Konten gespeichert haben, sind besonders attraktiv.

DDoS

Eine Angriffsmöglichkeit, die man mit einem Botnetz erreichen kann, ist eine sogenannte DDoS-Attacke. Distributed Denial of Service (DDoS) beschreibt den Zustand eines Servers, wenn dieser durch den Angriff nicht mehr verfügbar ist.
Dies kann durch eine Überflutung an Anfragen auf die gleiche Webseite erreicht werden.

Im Gegensatz zu Ransomware-Angriffen gibt es keinen direkten Gewinn für den Angreifer. Ziel ist meist, durch die Unerreichbarkeit des Servers den Eigentümer finanziell und reputativ zu schädigen.
Ein simples Beispiel: Wie viel Verlust mach Amazon, wenn der Online-Shop für nur eine Stunde nicht aufrufbar ist?

Social Engineering

Social Engineering ist eine psychologische Manipulationstechnik, die die angegriffene Person zu einer Handlung überzeugen soll. Diese Handlung umfasst meist das Herausgeben von privaten Daten, die anschließend für einen Angriff genutzt werden können.

Für die Effektivität von Social Engineering nimmt der Bedrohungsakteur eine falsche Identität an, die vermeintlich dazu berechtigt ist, die herausgegebenen Daten zu erhalten.

Ein Experiment von Thomas Ryan zeigt, dass jeder angreifbar für Social Engineering ist und besonders Soziale Medien eine Identität zum Leben erwecken können.
Ryan hat 2009 die fiktive amerikanische Cyber Threat Analyst “Robin Sage” erfunden, die sich auf Social Media innerhalb von zwei Monaten mit Mitarbeitern des amerikanischen Militärs und der Regierung angefreundet hat. Durch diese Kontakte erhielt sie Zugriff auf E-Mail-Adressen, Bankkonten und private Dokumente.
Bei einer Konferenz hat Ryan die Ergebnisse und die oft unterschätzten Auswirkungen von Social Engineering vorgestellt.

Phishing

Die gängigste Form des Social Engineerings ist Phishing. Damit werden E-Mails und SMS im Namen einer falschen Identität versendet.
Oft werden diese im Namen von Banken geschrieben, die eine Änderung an den Kontodaten fordern. Mit einem Link auf eine gefälschte Webseite wird die Person aufgefordert, ihre Kontodaten einzugeben oder eine dringende Zahlung zu tätigen.

Nach den neuesten Feststellungen des BSI werden Phishing-Kampagnen neben Finanzinstituten auch im Namen von Streaming-Diensten durchgeführt. Thematisch orientieren sie sich an bekannten Maßnahmen wie der Änderung von Nutzungsbedingungen, Preisen oder Zahlungsbedingungen.

Insider-Bedrohungen

Weniger häufig, aber für Unternehmen ein deutlich höheres Risiko sind Insiderbedrohungen. Insider können aktuelle oder ehemalige Mitarbeiter, Partner, Auftragnehmer oder Lieferanten sein.
Bösartige Insider nutzen beispielsweise kurz nach ihrer Entlassung den noch aktiven Mitarbeiter-Account aus, um Unternehmensdaten zu stehlen oder das Unternehmen zu sabotieren.
Doch es gibt auch unabsichtliche Kompromittierung, bei denen fahrlässige Insider von Bedrohungsakteuren ausgenutzt werden.

Technische Schwachstellen

Der wohl am unterschiedlichsten ausgeprägte Angriffsvektor ist die von technischen Schwachstellen.
Dies kann von dem Ausnutzen von Schwachstellen in nicht gepatchter Software über fehlende kryptografische Prozesse bis zu Fehlkonfiguationen in komplexen Systemen vieles annehmen.

Die OWASP (Open Worldwide Application Security Project) ist eine Organisation, die das Ziel hat, die Sicherheit von Anwendungen, Diensten und Software zu verbessern.
In den OWASP TOP 10 werden die häufigsten Sicherheitsrisiken und Angriffsvektoren gelistet. Es ist ein Standarddokument für Webentwickler und wird alle vier Jahre aktualisiert.

Die höchste Gefährdung 2021 geht von Broken Access Control aus, welches den in diesem Artikel zuerst genannten Angriffsvektor beschreibt.
Die von OWASP gelisteten Sicherheitsrisiken beschreiben die technische Ebene von Schwachstellen, aber sollten besonders bei der Entwicklung von Webanwendungen von jedem Unternehmen beachtet werden.

Künstliche Intelligenz: ein Potential auf beiden Seiten

Die Entwicklung von Künstlicher Intelligenz ist in den vergangenen Jahren drastisch angestiegen. Dies ermöglicht sowohl für den Angreifer als auch für die Verbesserung von Sicherheitssystemen neue Wege.
In den Sozialen Medien ist das Potential von KI schon deutlich erkennbar. Texte, Bilder und Videos, die von KI erstellt wurden, sind immer schwerer von Originalen zu unterscheiden.
Alleine diese Kompetenz verschärft den Angriffsvektor von Social Engineering Attacken. Doch auch auf technischer Ebene kann KI demnächst den Angreifer unterstützen.

Prävention

Genauso wie die Angriffsvektoren vielzählig und vielseitig sind, gibt es auch viele Möglichkeiten, sich davor zu schützen.
Der Artikel Prävention und Härtung im E-Commerce beschreibt die Relevanz von Resilienz und konkrete Handlungsmöglichkeiten für Unternehmen.

By Hannah RosenbaumDefault Post, Programmieren No comments yet

Prävention und Härtung im E-commerce

Digitale Sicherheit erlangt heutzutage immer mehr Bedeutung. Was man damals als “nice-to-have” beschrieben hat, wird nun gesetzlich verpflichtet.
Ganz neu – die NIS 2 Directive (Network-Informationsecurity) ist eine EU weite Richtlinie, die eine bessere Vorbereitung auf Cyberbedrohungen und strengere Schutzmaßnahmen gegen potentielle Angriffe fordert. Sie richtet sich an Unternehmen in kritischen Sektoren, die mindestens 50 Beschäftigte oder 10 Mio Jahresumsatz haben.

Doch nicht nur NIS2 verpflichtet zu erhöhten Sicherheitsmaßnahmen und -kontrollen. Der CRA (Cyber Resilience Act) oder EU AI Act beinhalten neue Sicherheitsanforderungen.
Neben regelmäßigen Schwachstellenanalysen, Mitarbeiterschulungen und der Entwicklung eines Maßnahmenplans bei Vorfällen soll die Sicherheit auch auf technischer Ebene verbessert werden.

Neben gesetzlichen Neuerungen stehen besonders die ISO27001 und der IT-Grundschutz im Fokus der Cybersicherheit. Jedoch haben besonders KMU einen Nachholbedarf bei der Compliance. Auch wenn ein Unternehmen nicht unter die Bedingungen eines Gesetzes fällt, ist es besonders wichtig, eine starke Resilienz aufzubauen.

Resilienz

“Resilienz ist Gemeinschaftsaufgabe” meint das BSI.
Resilienz beschreibt die Widerstandsfähigkeit eines Unternehmens oder einer Person gegen Cyberangriffe. Im weiten Sinne sind damit etablierte technische und organisatorische Maßnahmen sowie eine hinreichende Sensibilisierung gemeint.
Im Konkreten lässt sich Resilienz in drei Gruppen aufteilen:

Präventionsfähigkeit ist die Kompetenz, seine Angriffsfläche für Cyberangriffe durch präventive Maßnahmen zu verringern. Dies umfasst die technische Ausstattung, Managementsysteme und Awarenessmaßnahmen.
Verteidigungsfähigkeit ist die Kompetenz, bei einem Angriff angemessen reagieren zu können. Hier helfen Systeme zur Angriffserkennung wie Antivirenprogramme sowie etablierte Prozesse im Krisenfall.
Bewältigungsfähigkeit ist die Kompetenz, nach einem Angriff die Schadwirkungen so gering wie möglich zu halten und den Normalbetrieb schnell wieder einführen zu können. Hier helfen ein IT-Notfallplan und rückspielbare Backups.

Neben der Resilienz können für die Etablierung praktikabler Sicherheitsstandards in der Produktentwicklung Security Pattern wie Security by Design oder Security by Default unterstützen.

Präventionsfähigkeit

Die Präventionsfähigkeit kann vielfältig aufgebaut sein. Die ist von den drei Kompetenzen der Resilienz der erste Schutz vor Cyberangriffen.

Mit technischen Maßnahmen können Schwachstellen im System reduziert werden.
Eine regelmäßige Aktualisierung von Software und das frühe Einspielen von Software-Updates ist ein leicht umsetzbares und sehr effektives Mittel gegen Sicherheitslücken und Bugs. Wichtig ist hierbei, dass die Software des gesamten Unternehmens auf dem aktuellsten Stand gehalten wird.
Software kann auch mithilfe von Kontrolltools geschützt werden, die das System auf Viren oder Schwachstellen scannen und bei Verdacht automatisiert Maßnahmen ergreifen können. Antivirenprogramme und EDR-Systeme unterstützen dabei.
Das Verwenden eines Passwortmanagers ermöglicht einem Unternehmen, sowohl eine Passwortrichtlinie einzuführen, die sich beispielsweise an den Empfehlungen des BSI (verlinken) orientiert, als auch eine einfache Verwaltung von Mitarbeiter-Accounts.
Zu dem Managen von Mitarbeiter-Accounts ist auch eine Rechteverwaltung wichtig zu nennen. Zugriffsprivilegien ermöglichen Angreifern leicht, sich in einem Netzwerk ausbreiten zu können. Daher ist es besonders wichtig, das Prinzip der Least Privilegege einzuhalten. Benutzer und Maschinen sollen gerade so viele Rechte zugesprochen werden, dass sie ihre Aufgaben erfüllen können. Alles darüber hinaus ist ein vermeidbares Sicherheitsrisiko.
Neben Sicherheitslösungen für die Software oder den festen Standort sollte auch der Remote-Zugriff auf das Netzwerk ausreichend abgesichert werden. Daher sollte ein Unternehmen für alle Zugriffe von außerhalb eine sichere VPN-Verbindung etablieren und am Standort wichtige Netzwerke voneinander trennen.

Verteidigungsfähigkeit

Die Verteidigungsfähigkeit wird dann relevant, wenn die Präventionsfähigkeit nicht mehr ausreichte und ein Angriff ausgeführt wird.

Hierfür ist es wichtig, auf unterschiedliche Angriffsszenarien vorbereitet zu sein und ein Handlungsprotokoll inklusive Maßnahmen zu führen. Dieses Protokoll soll jedem Mitarbeiter bekannt und jederzeit einsehbar sein.

  • Ransomware
    • keine Garantie für tatsächliche Freigabe verschlüsselter Daten oder Löschung gestohlener Daten nach Zahlung
    • Grundsätzlich ausgeleitete Daten als kompromittiert sehen
    • BSI rät von Lösegeldzahlung ab

Willst du wissen, ob du von NIS2 betroffen bist? Hier gibt es einen Test dazu.

Bewältigungsfähigkeit

  • Best Practices teilen, gemeinschaftliches Ziel
  • Mitarbeiter schulen
  • Einige Best Practices:
    • Verwenden von starken und einzigartigen Passwörtern
    • Aktivieren von Multifaktor-Authentifizierung (MFA)
    • Vermeiden von zu viel Teilen auf sozialen Medien
    • Erkennen von Cyberbredohungen
    • Verwenden sicherer Methoden der Passwortfreigabe
    • Vermeiden von öffentlichem WLAN

KI als Präventionshilfe

  • KI spielt eine immer wichtigere Rolle in Netzsicherheit
  • Erkennung von Anomalien im Netzwerkverkehr, frühzeitige Warnung von möglichen Angriffen, Hinweisen auf potenzielle Sicherheitsverletzungen
    • Bsp DDoS-Angriffe (ungewöhnlich hohe Anzahl an Anfragen)
  • Automatisierte Bedrohungserkennung in Echtzeit, automatische Reaktion für Schadensminimierung
  • Überwachung von Nutzer- oder Systemverhalten gegen verdächtige Aktivitäten
  • Analyse von Emails gegen Phishing
  • Erkennung von Malware durch Analyse von verdächtigen Dateien

By Hannah RosenbaumProgrammieren No comments yet