Was bei einem Cyberangriff passiert

Das vergangene Jahr war geprägt von einer außergewöhnlich großen Anzahl folgenschwerer Cyberangriffe. Bereits im Januar machte der Angriff auf den Ölzulieferer Oiltanking Schlagzeilen. Im Februar folgte ein Cyberangriff der Hackergruppe Lapsus$ auf den südkoreanischen Elektronikkonzern Samsung, bei dem vertrauliche Daten erbeutet wurden. Schließlich gelang es Angreifern den hessischen IT-Dienstleister Count+Care GmBH durch einen Ransomware-Angriff schwer zu treffen wodurch auch kritische Infrastrukturen betroffen waren und eine Reihe weitreichender Folgen in Gang gesetzt wurde.

Diese drei Beispiele stehen exemplarisch für unzählige Angriffe, mit denen sich Unternehmen täglich konfrontiert sehen. Interessant ist es deshalb genauer zu beleuchten, wer die Täter und was ihre Motive sind und wie man sich als Unternehmen erfolgreich absichert

Wer sind die Angreifer und was ist ihr Ziel?

Im Großen und Ganzen kann man die Angreifer in zwei Kategorien unterteilen:

1. Profitorientierte und unabhängige Gruppierungen oder Einzeltäter
2. Staatlich sanktionierte Akteure

Erstere – wie beispielsweise Lapsus§ – sind mit weniger Mitteln und einer loseren Organisationsstruktur ausgestattet, wohingegen die Gruppe der staatlich geförderten oder gar von staatlichen Stellen beauftragten Hacker meist über eine straffe Struktur und schier unbegrenzte Mittel verfügen. So werden der Hackergruppe Hafnium enge Verbindungen zur chinesischen Regierung nachgesagt, was durch ihr Vorgehen und die Auswahl ihrer Ziele unterstrichen wird.

Auch beim Ziel ihrer Cyberattacken unterscheiden sie sich zum Teil deutlich voneinander. Berufskriminelle sind zum allergrößten Teil nur am schnellen Profit interessiert. Staatliche Hacker hingegen haben einen langen Atem und können es sich erlauben, ihre Angriffe minutiös zu planen und bei Bedarf auch lange versteckt auf der Lauer zu liegen, bis sich ein opportuner Moment ergibt oder sie Anweisungen von ihrer politischen Obrigkeit erhalten. Disruption und Spionage sind hier die treibenden Motive.

Wen nehmen die Hacker ins Visier und nach welchen Kriterien werden die Ziele ausgewählt?

Die eingehende Unterscheidung der Täter und ihrer Motive gewährt bereits einen ersten, wichtigen Ansatzpunkt für die nun folgenden Unterscheidungen. Da private Hackerkollektive fast ausschließlich von monetären Interessen getrieben werden, folgt die Auswahl ihrer Ziele einer nüchternen Kosten-Nutzen Abwägung. Je einfacher es ist, in ein System einzudringen und je größer oder wertvoller die dort befindlichen Datenschätze sind, umso wahrscheinlicher gerät diese Organisation ins Fadenkreuz der Cyberkriminellen. Ein weiterer Aspekt ist der durch einen Hack verursachte Leidensdruck für das Opfer. Je schmerzhafter die Behinderung oder der Ausfall des Tagesgeschäfts für das Opfer – und alle von ihm abhängige Betroffene – ist, desto größer ist die Wahrscheinlichkeit, dass den Forderungen der Täter entsprochen wird.

Staatliche Hacker hingegen wählen ihre Ziele nur nach Rücksprache mit oder einer expliziten Direktive von ihren Vorgesetzten aus dem Staatsapparat aus. Sie sind vor allem auf sensible Informationen und Zugänge mit großer Tragweite aus und werden nicht von finanziellen Motiven getrieben. Staatsgeheimnisse, Informationen zu Schlüsseltechnologien oder der Zugriff auf die kritische Infrastruktur eines Landes sind die vornehmlichen Ziele dieser Akteure.

Ein Ziel wird nicht danach ausgewählt, wie einfach der Zugang zur IT-Infrastruktur zu erlangen oder wie schnell ein Angriff durchzuführen ist. Die geduldige und versteckte Vorgehensweise von Staatshackern sieht man deutlich am Microsoft Exchange-Server-Hack von Hafnium. Diese lagen lange Zeit auf der Lauer und nahmen vor allem Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen ins Visier und waren vornehmlich an deren interner Kommunikation interessiert.

Wie gehen die Angreifer vor?

Bei den genutzten Angriffstechniken privat organisierter sowie staatlich sanktionierter Hacker gibt es einige Überschneidungen, aber auch signifikante Unterschiede.
Wie zuvor beschrieben, folgen private Cyberkriminelle einem ökonomischen Diktat. Aus diesem Grunde gehen sie meist den Weg des geringsten Widerstands und streuen ihre Angriffe nach dem Gießkannenprinzip breit gefächert aus. Anschließend konzentrieren sie sich auf diejenigen Ziele, die ihnen ins Netz gegangen sind. Sie nutzen daher in der Regel günstige und einfach zu skalierende Angriffstechniken, wie beispielsweise den massenhaften Versand von E-Mails mit Schadsoftware im Anhang oder kompromittierten Links im Textfeld. Klickt ein Mitarbeiter erst einmal auf den schädlichen Inhalt, folgt meist ein Nachladen verschiedenster Schadprogramme, die laterale Bewegungen in der IT-Infrastruktur des Opfers ermöglichen. Nach eingehender Auskundschaftung der Ressourcen folgt in der Regel eine Verschlüsselung der Daten mittels Ransomware mit anschließender Lösegeldforderung.

Staatliche Hacker sind weder durch zeitliche, personelle noch durch finanzielle Ressourcen limitiert. Zwar nutzen sie gelegentlich auch skalier- und streubare Methoden. Je nach Ziel und Beschaffenheit der dort im Einsatz befindlichen Cyberabwehr kommen hier auch häufig raffiniertere und komplexere Angriffstechniken – wie beispielsweise das Social Engineering – zum Einsatz. Dabei wird gezielt ein Mitarbeiter oder Funktionär mit weitreichenden Zugriffsrechten ausgewählt und zunächst einmal beobachtet. Daraufhin wird versucht, die Zielperson mit aufwändigen Täuschungen zur Herausgabe von Zugangsdaten oder Installation von Schadsoftware zu bewegen. Das können gefälschte Absender sein, oder täuschend echt nachgebaute Anmeldemasken zum Zielsystem.

Ist der Zugang erst einmal erlangt, folgt eine lange Periode der Spionage und das versteckte Nachladen weiterer Schadprogramme. Geheimnisse sowie die digitale Kommunikation von Interna sind dabei die begehrtesten Ziele. Erst wenn sich abzeichnet, dass man von den Sicherheitsverantwortlichen seines Opfers entdeckt wurde oder der sich der perfekte Zeitpunkt für eine Disruption ergibt, wird die gesamte Wucht der Vorarbeit in Bewegung gesetzt. In diesem Moment, in dem die Tarnung dahin ist, wird versucht eine maximale Schadenswirkung zu entfalten. Daten werden unwiederbringlich gelöscht und für das Opfer schädliche Informationen veröffentlicht.

Ausufernde Nutzerprivilegien ermöglichen Lateral Movement

Eine der häufigsten Nachlässigkeiten der IT-Sicherheitsstrategie von Unternehmen ist, dass Zugriffsrechte und Privilegien der Mitarbeiter nicht streng genug kontrolliert und reduziert werden. Der Grund dafür ist durchaus nachvollziehbar: Immenser manueller Aufwand für die chronisch unterbesetzten IT-Abteilungen.

So ist es keine Seltenheit, dass ein langjähriger Mitarbeiter im Laufe seiner Betriebszugehörigkeit verschiedene Stationen im Unternehmen durchläuft. Mit jeder Beförderung und mit jeder neuen Rolle häuft er immer mehr Berechtigungen innerhalb seiner digitalen Identität an. Immer wieder verfangen sich solche „dicken Fische“ im Netz der großflächig gestreuten Cyberattacken. Die Übernahme eines Firmenzugangs mit weitreichenden, über viele Systeme verteilten Zugriffsrechten ist für Cyberkriminelle der Jackpot und für das betroffene Unternehmen der GAU.

Denn mit nur einem Zufallstreffer können sich die Cyberkriminellen lateral durch alle Ecken der IT-Infrastruktur bewegen und somit maximalen Schaden verursachen. Ein häufiger Angriffsvektor für die Erbeutung von Zugangsdaten ist beispielsweise die Auslesung von Zugangsdaten aus dem Windows-Zwischenspeicher mittels Credential Dumpers. Beste Beispiel hierfür ist das Open-Source-Tool Mimikatz, das 2017 rund 75 Prozent aller Ukrainischen Windows-Rechner befallen hatte. Dabei reicht bereits ein befallener Rechner, um ein gesamtes Unternehmensnetzwerk zu kompromittieren.

Deshalb sollten Unternehmen ihre Nutzerprivilegien durch automatisierte Lösungen laufend überprüfen und diese bei Bedarf unmittelbar zurechtstutzen. Zero Trust ist hierbei eine geeignete Strategie, ebenso wie das Prinzip Usage of Least Privilege, also eine generelle Rechte-Sparsamkeit für digitale Identitäten. Denn eine Anmeldung mit erbeuteten Zugangsdaten kann nicht immer zweifelsfrei als unberechtigter Zugriff identifiziert werden. Im Gegensatz zu aggressiveren Angriffstechniken erfolgt ein solcher Login sehr leise und erlaubt dem Angreifer viel Zeit, um sich unbemerkt in der IT-Infrastruktur seines Opfers umzusehen und womöglich weitere Schadprogramme an den Sicherheitsvorkehrungen vorbeizuschleusen.

Wie kann man sich am besten schützen?

Gegen den Großteil der Angriffe hilft es bereits, die Grundregeln der Cyberhygiene zu befolgen:

• Regelmäßige Updates aller digitalen Assets, die mit dem Firmennetz verbunden sind
• Identifikation und Echtzeit-Übersicht über alle Endgeräte im Firmennetz
• Regelmäßige Mitarbeiterschulungen zur aktuellen Cyber-Gefahrenlage
• Sensibilisierung aller interner wie externer Akteure, die Zugänge zur firmeneigenen IT-Infrastruktur besitzen
• Technische Maßnahmen zum Schutz digitaler Identitäten (MFA etc.)
• Regelmäßige Prüfung der Zugriffsrechte und deren Notwendigkeit
• Vorhalten einer ausreichend besetzten und gut ausgestatteten IT-Abteilung

Ein weiterer entscheidender und oftmals vernachlässigter Bereich der IT-Sicherheit ist der sparsame und laufend kontrollierte Umgang mit Zugriffsrechten. Wie zuvor bereits gesagt, suchen sich Cyberkriminelle gerne das schwächste Glied in der Kette heraus, um einen Fuß in die IT-Infrastruktur der Zielorganisation zu bekommen. Gerade Mitarbeiter mit langer Betriebszugehörigkeit oder wechselnden Stationen im Unternehmen sammeln über die Jahre immer mehr Berechtigungen auf ihrem Account an. Wenn diese nicht regelmäßig kontrolliert und auf ihre Notwendigkeit hin überprüft werden, eröffnet man Angreifern weitreichende Möglichkeiten sich durch viele schützenswerte Systeme hinweg bewegen und auf sensible Daten zugreifen zu können.

Fazit

Wer sich gegen den Großteil der Cyberbedrohungen absichern will, ist bereits mit einer verantwortungsvollen Befolgung der Cyberhygiene gut aufgestellt. Die Essenz ist dabei mit vier Worten gut auf den Punkt zu bringen: Übersicht, Kontrolle, Aktualisierung und Sensibilisierung. Wer kommerziellen Hackern alle Grundbausteine der IT-Sicherheit in den Weg legt, kann deren – meist ungezielte – Angriffsversuche fast vollumfänglich im Keim ersticken. Einen staatlich initiierten Angriffsversuch abzuwehren ist deutlich schwerer. Doch auch Staats-Hacker nutzen zunächst die einfacheren Angriffswege über bekannte Sicherheitslücken, bevor sie die schweren Geschütze auffahren.