Wie Hacker versuchen an Ihre Daten zu gelangen
Cybercrime stellt ein zunehmend größeres Risiko für Unternehmen dar, vor allem jetzt, da sich der Großteil der Arbeitswelt ins Homeoffice verlagert hat. Besonders gefährlich sind hierbei sogenannte „Phishing-Attacken“. Doch wie genau funktionieren solche Angriffe und viel wichtiger: Wie können Sie sich davor schützen?
Dazu haben wir mit Sebastian Kaiser, Team Lead Sales Engineering bei dem Next-Gen-Cybersecurity-Anbieter Sophos, gesprochen. Er erklärt uns, wie Angreifer vorgehen und worauf bei E-Mails besonders geachtet werden sollte.
| Sebastian Kaiser Team Lead Sales Engineering bei Sophos |
 |
Gerade jetzt sind aufgrund der Pandemie viele Personen im Homeoffice. Haben Hacker dadurch ein leichteres Spiel? Was müssen Unternehmen hier beachten?
In der Tat haben wir einen Anstieg von Angriffen und Vorfällen bereits seit der ersten Corona-Infektionswelle beobachten können (siehe auch Sophos 2021 Threat Report, Seite 20 ff.).
Ein Hauptgrund dafür ist die Vorgehensweise klassischer Spam- und Phishing-Kampagnen, die gern als Trittbrettfahrer aktueller Ereignisse agieren und natürlich auch COVID-19 zur „dringenden Benutzerinteraktionen“ ausgebeutet haben.
Ein weiterer Grund stellte die sich entfaltende Dynamik bei der unbeabsichtigt beschleunigten Digitalisierung von Geschäftsprozessen dar. Alle Firmen wurden im Prinzip gezwungen, von heute auf morgen Homeoffice für einen Großteil der Angestellten zu ermöglichen und alle Geschäftsanwendungen von dort auch erreichbar zu machen. Hinzu kam der vermehrte Einsatz von privaten Geräten und die Verlagerung der gesamten Unternehmenskommunikation auf E-Mail und Kollaborationswerkzeuge.
Es wurden viele neue Lösungen mit „der heißen Nadel gestrickt“ und wegen der Dringlichkeit eine sichere Bereitstellung nachrangig behandelt. Wir sahen beispielsweise viele per Remote Desktop veröffentlichte Anwendungen und schwache bis keine Authentifizierung für Webapplikationen. Eine dedizierte IT-Sicherheits-Strategie für die externe Anbindungen ist Pflicht!
In der Vergangenheit haben sich VPNs für diese Anbindung geeignet, heutzutage würde man es bevorzugt mit einer ‚Zero Trust Network‘-Architektur realisieren (beispielsweise per Sophos ZTNA)
Die Anzahl an Cyberangriffen steigt stetig. Die häufigste Angriffsmethode sind dabei Phishing-Attacken. Wie können Unternehmen sich vor solchen Phishing-Kampagnen schützen?
Wie bei allen einzuführenden Schutzmaßnahmen sollte eigentlich eine Bedrohungsmodellierung à la „Wovor möchte ich mich eigentlich schützen“ und eine Kosten-Nutzen-Abwägung zu Beginn erfolgen. Häufig werden aber nur punktuelle Lösungen zur Risikoreduktion gestapelt. Diese Maßnahmen teilen sich grob in "technikbasiert" und "auf den Mitarbeiter bezogen" auf.
Sie können es sich bestimmt schon denken – beide Herangehensweisen haben ihre Vor- und Nachteile. Der Mensch kann im Einzelfall besser Kontext und Relevanz von Informationen bewerten, die Maschine ist schneller und skaliert besser bei der Berechnung von großen Datenmengen und maschinenlesbaren Eigenschaften.
Die besten Erfolgsaussichten hat man meiner Meinung nach in der goldenen Mitte! Mit angemessenem Einsatz von Technik die schiere Masse an Spam und Phishing reduzieren und vorsortieren – der übrige Rest ist für die menschlichen Analyse beherrschbar.
Wie gehen Angreifer bei einer Attacke vor? Wie kommen sie rein und verschaffen sich Zugang?
Angreifer verschaffen sich extrem häufig durch gestohlene Zugangsdaten initialen Zugang. Auf Cybercrime-Marktplätzen tummeln sich Gruppen, die im großen Stil Zugangsdaten ergaunern und verkaufen. Teilweise werden Zugänge durch bekannte (aber nicht gepatchte) Sicherheitslücken kompromittiert, oder öffentliche Zugänge werden per ‘Brute Force’ oder ‘Password Spraying’ geknackt. Und natürlich werden Benutzer in zunehmendem Maß durch immer bessere Phishing E-Mails um ihre Zugangsdaten gebracht. Diese Attacken lassen sich leider nie ganz vermeiden, wie die aktuellen Zahlen aus dem Sophos-Ransomware-Report als letzte Stufe solch einer Angriffskette belegen.
Demzufolge ist das „Aufrüsten im Hinterland“ eines IT-Verbundes extrem wichtig. Damit ist eine Erkennung hinter den Verteidigungslinien gemeint. Dies erschwert oder verzögert die Ausbreitung (Lateral Movement) und Rechteausweitung (Privilege Eskalation) von Angreifern. Voraussetzung dafür ist: Ich merke, dass etwas passiert! Systembeobachtung und zeitnahe Reaktion auf Alarme sind nach wie vor Tugenden einer guten Systemadministration und -betreuung! Vor dem Einbruch ist meist der Angreifer im Vorteil. Während des Einbruchs sollte es aber der Verteidiger sein.
Worauf sollten Unternehmen besonders bei E-Mails achten? Gibt es Hinweise, an denen sich eine Phishing-Mail erkennen lässt?
Ein ausgewogener Basisschutz aus Anti-Spam, Anti-Phishing und Mitarbeiter-Training kann den Schutz eines Unternehmens maßgeblich verbessern. Das Phishing-Training für Mitarbeiter*innen ist nicht dafür geschaffen worden, ein Technikaufgebot zu ersetzen, sondern es sinnvoll zu ergänzen. Der Nachdenkprozess, dieses leichte Zögern vor dem Klick oder der Passworteingabe, soll gefördert und belohnt werden. Dazu gehört dann aber auch mal eine E-Mail ungelesen zu melden oder zu löschen, wenn diese unseriös erscheint. Alle Alarmglocken sollten klingeln, wenn der enthaltende Kontext seltsam erscheint oder zur Dateneingabe auffordert.
Das Problem hierbei: Gut gemachte, zielgerichtete Angriffe lassen sich auch von geschulten Anwender*innen nur schwer erkennen. Spezialfälle von Phishing-Angriffen wie betrügerische Banküberweisung (BEC) oder Impersonation erfordern daher Spezialtechnologien zur Erkennung. Hier müssen andere Techniken wie KI oder NLP (Natural Language Processing) zum Einsatz kommen.
Was ist zu tun, wenn eine Phishing-Attacke erfolgreich war? Wie werde ich den Angreifer wieder los?
Die zeitnahe Feststellung, dass ein erfolgreiches Phishing stattgefunden hat, stellt schon den “Lottogewinn” bei der Bedrohungssuche oder Vorfallsbearbeitung dar. Hierbei zeigt sich wieder, dass das Melden seltsamer E-Mails durch die Anwender einen unverzichtbaren Beitrag leisten kann. In der Realität werden erfolgreiche Phishing-Angriffe leider sehr oft erst durch nachgelagerte Ereignisse aufgedeckt: ein Malware-Alarm, die Ausbreitung von schädlichem Verhalten im Netzwerk, eine Verschlüsselung (Ransomware), ein Datendiebstahl (Exfiltration), eine betrügerische Banküberweisung (BEC).
Die SophosLabs haben im Jahr 2020 eine durchschnittliche Verweilzeit von 11 Tagen bei Angreifern im Netz der Opfer ermittelt.
Nach einer Kompromittierung müssen meist das gesamte Benutzerverzeichnis und alle betroffenen Systeme neu aufgebaut werden. Übliche Aktionen sind dann die Passwort-Neuvergabe für alle Benutzer*innen, die Einführung einer Multifaktor-Authentifizierung und das Zurücksetzen aller angeschlossene Anwendungen (CRM, E-Mail, ERP,…).
Dieser Ernstfall bringt Unternehmen meist an extreme menschliche und finanzielle Belastungsgrenzen. Komplettausfallzeiten von ein bis zwei Monaten sind nicht unüblich. Teilkomponenten fallen sogar deutlich länger aus, da die Wiederherstellungskapazität eines Unternehmens nicht beliebig in alle Richtungen skaliert.
Wie geht Sophos vor, um Unternehmen effektiv vor Angriffen zu schützen? Welche Möglichkeiten bieten Sie?
Wir haben tatsächlich einen großen Vorteil: nämlich die gesamte IT-gestützte Wertschöpfungskette absichern zu können! Von Endpoint-Technologien über Gateway-, Cloud- bis hin zur direkten Dienstleistung (Managed Service). Und zwar für den Normalzustand und im Angriffsfall. All dies in einem Ökosystem bzw. einer Plattform hochintegriert, so dass die unterschiedlichen Komponenten miteinander kommunizieren können. Dadurch können wir schneller und automatisierbarer auf neue und unbekannte Bedrohungen reagieren und insbesondere den menschlichen Akteuren in dieser Abwehrschlacht unkompliziert Beistand leisten. Wir nennen das Cybersecurity Evolved oder Adaptive Cybersecurity Ecosystem, kurz ACE.
