Zielgerichtete Cyberangriffe abwehren: Vier Stufen bis zum Datengau

Cyberangriffe werden längst nicht mehr nach dem nach dem Streuprinzip durchgeführt: Immer häufiger erfolgen die Attacken zielgerichtet und in mehreren Schritten. Wer die Vorgehensweise der Angreifer kennt, kann einen solchen Übergriff unter Umständen im Vorfeld verhindern.

(Foto: James Thew - fotolia)

Cyberattacken werden immer ausgeklügelter. Zunehmend erfolgen die Angriffe zielgerichtet. Herkömmliche Abwehrmethoden haben sich dagegen als unzulänglich erwiesen. Das Sicherheitsunternehmen Cyberark hat die Angriffsmuster zielgerichteter Attacken jetzt analysiert und herausgefunden, dass die Kriminellen bereits vor dem eigentlichen Angriff aktiv werden.

Prinzipiell gibt es zwei Angriffsarten: den Insider- und den externen Angriff. Der Unterschied liegt darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befindet und über einen Account-Zugriff mit Zugangsdaten verfügt. Der externe Angreifer hingegen hat keinen Account und muss erst den Perimeter-Schutzwall überwinden. Hierfür gibt es mehrere Möglichkeiten, weit verbreitet sind zum Beispiel Phishing-Attacken. Die weiteren Schritte in der Fortsetzung des Angriffs sind identisch – gleichgültig, ob ein Insider oder Externer der Akteur ist: immer geht es dann um die missbräuchliche Nutzung von Zugangsdaten.

Sobald der Angreifer in den Besitz von Zugangsdaten gelangt, die nur eingeschränkte Rechte besitzen, bestehen zwei Möglichkeiten. Erstens kann er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt. Zweitens kann er auch versuchen, auf einen anderen Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel sind dabei lokale Administrator-Konten. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.

Danach testet der Angreifer, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschließend verschafft er sich Zugriff auf weitere Accounts, indem er zum Beispiel Passwort-Hashes entwendet. In einem letzten Schritt versucht der Kriminelle dann, auf das Zielsystem zuzugreifen. Wenn das nicht gelingt, werden vorherigen Schritte nochmals durchgeführt Es ist dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten. Ist der Angreifer mit diesen Schritten erfolgreich, dann hat er sein Ziel erreicht und kann beispielsweise vertrauliche Daten stehlen oder geistiges Eigentums ausspionieren. Auch die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen ist dem Eindringling in dieser Phase des Angriffs möglich. Die Unternehmen haben das Nachsehen: Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerken – zum Beispiel einen laufenden Datenabfluss –, kann es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb ist es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.

Übersicht