Von:
Tim Berghoff,
Security Evangelist
bei G DATA CyberDefense
Unternehmen der Daseinsvorsorge sind ein interessantes Ziel für Cyberkriminelle, denn sie betreiben kritische Infrastrukturen und verwalten oft auch personenbezogene Kundendaten. Um sich vor Angriffen auf die IT bestmöglich zu schützen, hilft ein Verständnis vom Ablauf einer Cyberattacke, denn Schutzmaßnahmen sind nur dann wirkungsvoll, wenn sie an unterschiedlichen Stellen im Unternehmen ansetzen.
Kill Chain: Ablauf eines Cyberangriffs in fünf Schritten
Ein Angriff lässt sich in mehrere Phasen unterteilen. Das sogenannte Kill-Chain-Modell schafft eine Basis für Unternehmen, die eigene IT-Sicherheit auf verschiedenen Ebenen zu analysieren und daraufhin die Abwehr vielschichtig aufzubauen. Das fünfstufige Modell zeigt, an welchen Stellen IT-Verantwortliche Schutzmaßnahmen etablieren sollten, um Angriffe noch rechtzeitig zu erkennen und ihnen entgegenzuwirken.
Phase 1: Erkundung
In der Erkundungsphase suchen Cyberkriminelle ein für sie interessantes Ziel. Dazu sammeln sie öffentlich zugängliche Informationen und identifizieren Schwachstellen und Angriffspunkte. Mit Hilfe ihrer Recherchen finden sie Netzwerkinformationen, Social-Media-Profile der Mitarbeitenden, Systeminformationen und machen sich ein Bild von dem Unternehmensstandort.
Erkennen: An dieser Stelle des Angriffs lässt sich noch nicht sagen, ob ein Unternehmen ins Visier geraten ist. Generell gilt aber: Jedes Unternehmen ist ein potenzielles Ziel für Cyberkriminelle und sollte sich auf den Ernstfall vorbereiten. Das Stichwort lautet „Incident Readiness“. Dazu ist es ratsam, einen Notfallplan parat zu haben, der den Ausnahmefall bereits theoretisch durchspielt und alle wichtigen Ansprechpartner*innen und Schritte beinhaltet.
Gegensteuern: Ob beispielsweise ein Server aus dem Internet erreichbar sein muss, sollten Verantwortliche genau prüfen. Unternehmen haben die Möglichkeit Penetrationstests durchführen zu lassen, bei denen eine Cyberattacke simuliert wird, um potenzielle Angriffspunkte aufzudecken. Außerdem ist es sinnvoll, genau zu prüfen, welche Informationen über die Organisation im Internet und auf Sozialen Netzwerken öffentlich sind.
Phase 2: Zugang verschaffen
Die Cyberattacke beginnt. Dazu stellen die Angreifer passende Angriffswerkzeuge zusammen. Sie erwerben die Schadsoftware im Darknet oder entwickeln sie selbst. Mit Hilfe von Social Engineering versuchen sie an interne Informationen durch Mitarbeitende zu kommen oder Zugriff auf Tools zu erhalten, die sie für den Angriff brauchen. Sie nutzen außerdem Schwachstellen in Software, Betriebssystemen oder Netzwerkkomponenten aus, oder dringen auch physisch in das Firmengebäude ein.
Erkennen: Eingreifen ist an dieser Stelle möglich. Kriminelle versuchen beispielsweise durch Phishing-Mails an Informationen zu gelangen oder Schadsoftware einzuschleusen. Hier sind wachsame Mitarbeitende gefragt, die Auffälligkeiten umgehend erkennen und melden – digital und vor Ort.
Gegensteuern: An dieser Stelle muss das Verteidigungsarsenal einsatzbereit sein. Ob Firewall, Endpoint Protection oder (Managed) Endpoint Detection & Response ((M)EDR), die Schutzmaßnahmen müssen funktionsfähig und aktuell sein. Eine umfangreiche IT-Sicherheitsstrategie bezieht aber auch die Mitarbeitenden mit ein. Security Awareness Trainings sind eine Möglichkeit, um Gefahren im Netz zu erkennen und zu zeigen, dass jede Person im Unternehmen einen wichtigen Beitrag zur IT-Sicherheit leistet. Grundsätzlich hilft auch eine positive Fehlerkultur im Unternehmen dabei, dass sich jede*r traut, offen Fehler zu kommunizieren – wie ein Klick auf eine Phishing-Mail.
Phase 3: Persistenz erlangen
Nun fassen die Angreifer im System weiter Fuß, breiten sich aus und versuchen, so viel Kontrolle wie möglich zu erlangen, zum Beispiel durch eine Erhöhung der Zugriffsrechte. Dazu suchen sie nach weiteren Schwachstellen und Konfigurationsfehlern und sorgen durch Backdoors oder Rootkits dafür, dass sie auch nach Neustarts oder einer Bereinigung des Systems weiterhin Zugriff haben. Damit haben sie sich eine dauerhafte Präsenz im Netzwerk geschaffen, Fachleute nennen dies „Persistenz“.
Erkennen: Dass etwas nicht mit rechten Dingen zugeht, zeigt sich meist an mehreren Stellen. Geräte laufen zum Beispiel langsamer, Server sind nicht erreichbar oder Systemanmeldungen scheitern. Aber auch Logdateien von Betriebssystemen, Firewalls und Antivirus können erste Indikatoren dafür liefern, dass etwas nicht stimmt. Die richtige Frage an dieser Stelle: Sind alle Systeme auf dem aktuellen Stand und Updates sowie Patches eingespielt? Auch technisch lassen sich Angriffe über (M)EDR frühzeitig bemerken, denn Kriminelle hinterlassen zum Beispiel in den Logdateien Spuren.
Gegensteuern: An dieser Stelle lässt sich ein Angriff noch entdecken, zum Beispiel automatisiert von einem Malwarescanner, einem SIEM, (M)EDR, SOC oder Security Monitoring System. Voraussetzung ist natürlich, dass diese auch aktiv und auf dem aktuellen Stand sind. Außerdem relevant: Verantwortliche lesen eventuelle Benachrichtigungen in der Management-Oberfläche und reagieren entsprechend. Am Ende entscheidet das Zusammenspiel von Mensch und Maschine darüber, ob ein Angriff frühzeitig erkannt wird.
Phase 4: Kontrolle und laterale Ausbreitung
In der vierten Phase passen Angreifer ihre Schadsoftware weiter an, um sie auf das ausspionierte System zuzuschneiden. Die darauffolgende Installation der vorbereiteten Malware nutzt Anti-Analyse-Techniken, sodass sie unentdeckt bleibt, aktualisiert sich selbst oder ist in der Lage, sich innerhalb des Systems zu verbreiten und weiteren Schaden anzurichten. Haben Cyberkriminelle beispielsweise einmal ein Konto mit Administratorrechten innerhalb der Windows-Domäne kompromittiert, können sie praktisch auf alles zugreifen.
Erkennen: An dieser Stelle wird es unübersichtlich. In vielen Betrieben existiert nur ein Administratorkonto, das von allen IT-Mitarbeitenden genutzt wird. Hier den Ablauf eines Angriffs genau nachzuvollziehen, ist beinahe unmöglich.
Gegensteuern: In vielen Unternehmen ist in der Absicherung von Geräten Potenzial für Nachbesserungen. Diese reichen von einer besseren Überwachung bestimmter Nutzer- und Dienste-Aktivitäten bis hin zu Vergabe- und Nutzungsrichtlinien für Administratorberechtigungen. Es sollte genau bekannt sein, wer auf welche Daten Zugriff hat und warum.
Phase 5: Exfiltration
In der letzten Phase erreichen die Angreifer ihr Ziel: Sie leiten Daten ab, manipulieren Systeme oder verbreiten weiter Malware im Netzwerk. Die Motivation reicht von finanziellen Interessen über Industriespionage bis hin zu Zerstörung.
Erkennen: Die Übertragung von großen Datenmengen braucht Zeit. Kommunikation mit unüblichen IPs oder in untypischer Häufigkeit können ein Alarmzeichen sein. Mit der Ausleitung von Daten kann ein Angriff erfolgreich enden, ohne dass der ungebetene Besuch im Netzwerk bemerkt wurde. Das ist bei Industrie- und Wirtschaftsspionage der Fall. Bei direkt finanziell motivierten Akteuren ist die Installation einer Ransomware der finale Schritt, mit Datenverschlüsselung und Erpresserschreiben. Und mit der zusätzlichen Drohung der Veröffentlichung der entwendeten Daten.
Gegensteuern: Auch Cyberkriminelle wollen effizient arbeiten und es sich so einfach wie möglich machen. Sind die Erfolgssausichten gering, ist ein Unternehmen im besten Fall uninteressant für Angriffe. Doch hat ein Unternehmen einen IT-Sicherheitsvorfall, hilft nur eins: Sich von erfahrenen Expert*innen Hilfe holen. Sie unterstützen bei der Bewältigung des Vorfalls und führen forensische Analysen durch, um herauszufinden, wie die Angreifer ins Netzwerk gekommen sind.
Ganzheitliche IT-Sicherheitsstrategie umsetzen
Cyberkriminelle passen sich immer an und entwickeln ihre Taktiken weiter. Unternehmen sollten daher ihre Sicherheitsmaßnahmen immer auf dem neuesten Stand halten. Eine ganzheitliche IT-Sicherheitsstrategie sieht IT-Sicherheit als Prozess und Dauerthema, das regelmäßig evaluiert werden muss.
IT-Dienstleister wie zum Beispiel die G DATA Advanced Analytics unterstützen Unternehmen und Organisationen dabei mit Hilfe von Penetrationstests Sicherheitslücken aufzudecken, damit sie schnell geschlossen werden können. Im Notfall helfen erfahrene Incident-Response-Teams, Unternehmen wieder handlungsfähig zu machen. (sg)
