Der Erfolg von Unternehmen hängt heute von reibungslos funktionierenden IT-Systemen ab. Doch immer neue Angriffsmethoden erfordern flexible, zuverlässige Schutzmaßnahmen. Welche Vorkehrungen die sieben häufigsten Angriffstechniken abwehren, zeigt dieser Artikel.
Cyberkriminalität wird durch automatisierte Tools und günstige Auftragshacker zu einem immer gewinnträchtigeren Geschäft. So zeigen aktuelle Untersuchungen von F5 Labs, dass Hacker alleine aus 429 Sicherheitsverletzungen zwischen 2005 und 2017 auf dem Schwarzmarkt 2,75 Milliarden US-Dollar (2,2 Milliarden Euro) erzielten.
Die umfassende Vernetzung und Digitalisierung ermöglicht bösartige Angriffe in einer neuen Dimension. Diese gefährden Anwendungen, Geschäftsdaten, operative Infrastrukturen und den Ruf selbst bekannter, weltweit tätiger Unternehmen. So mussten bereits einige IT-Sicherheitsverantwortliche und Vorstände wegen gravierender Vorfälle ihren Hut nehmen. Die Herausforderung durch Cyberkriminalität wird häufig noch durch gekürzte IT-Budgets und Ressourcen verschlimmert. Entsprechend sind viele Organisationen dem heutigen Ansturm durch Cyberangriffe nicht mehr gewachsen.
Aktuelle Attacken
Vor allem Cloud-basierte Anwendungen bieten zwar viele Geschäftsvorteile, schaffen aber auch eine Fülle an komplexen Herausforderungen und neuen Risiken. In dieser schnelllebigen Umgebung mit ständigen Weiterentwicklungen fühlen sich Hacker wohl. Häufig täuschen sie dabei den Angriff auf ein bestimmtes Ziel an – und schlagen an einer völlig anderen Stelle zu. Dazu nutzen sie vor allem sieben Techniken, um eine maximale Störung zu verursachen und den größtmöglichen Profit zu erzielen. Dies sind bösartige Bots, Webbetrug, Phishing, Malware, DDoS, Credential Stuffing und Ransomware.
- Ein bösartiger Bot wird häufig weit vor dem eigentlichen Angriff eingesetzt. Er hilft bei der späteren Verbreitung des Schadcodes oder ist Teil eines Exploit-Kits. Laut dem aktuellen „Data Breach Investigations Report“ von Verizon wurden bei 77 Prozent der Sicherheitsverletzungen von Webanwendungen Botnets für die Angriffe genutzt.
- Beim Webbetrug greifen Hacker häufig auf Man-in-the-Browser-Injection zurück und verteilen einen Trickbot per Phishing, Drive-by-Download oder SMB-Ports. Dann wird ein Java-Script in die E-Commerce- oder Banking-Seiten im Browser des Nutzers eingeschleust. So verschaffen sich Angreifer Zugangsdaten und können Bankkonten plündern.
- Im Falle von Phishing-Betrug verleiten Angreifer ihre Opfer typischerweise dazu, auf einen Link zu klicken, über den ihr System mit Malware infiziert wird. Alternativ weist der Link auf eine gefälschte Website, über die persönliche Daten entwendet werden. Im ersten Quartal 2017 tauchte alle 4,2 Sekunden ein neues Exemplar von Malware oder Phishing auf.
- Cyberkriminelle erwerben bei Credential Stuffing gestohlene Benutzernamen und Passwörter. Dann nutzen sie automatisierte Tools, um die Login-Felder von Websites mit den Anmeldedaten zu überschwemmen. Wenn Nutzer ihre Passwörter mehrfach verwenden, ist die Wahrscheinlichkeit hoch, dass ihre Anmeldedaten bereits gestohlen wurden.
- Bei DDoS reichen die Angriffe von Dumme-Jungen-Streichen über gezielte Aktionen aus Protest oder Rache bis hin zu Diebstahls- oder Erpressungszwecken. Hier bildet auch Ransomware ein großes Problem, das Daten des Opfers verschlüsselt und zur Entschlüsselung Lösegeld fordert. Angreifer nutzen häufig leicht zugängliche DDoS-Tools, mit denen sie die Verfügbarkeit von Diensten und die Performance von Unternehmen beeinträchtigen. Derzeit gibt es vier wichtige Angriffsarten: volumetrische (Überlastung durch Flooding) und asymmetrische Attacken (verursachen Timeouts), Computational DDoS (Auslasten von CPU und Arbeitsspeicher) sowie Angriffe auf Schwachstellen (Exploits für die Anwendungssoftware). Die gefährlichsten DDoS-Techniken kombinieren volumetrische Angriffe mit gezielten, anwendungsspezifischen Attacken.
Mögliche Gegenmaßnahmen
Zur Abwehr dieser Angriffstechniken empfehlen Sicherheitsexperten eine robuste Web Application Firewall (WAF) als Schutzmaßnahme gegen Credential-Stuffing-Angriffe. Eine moderne WAF erlaubt dem Opfer einen offensiven Gegenschlag mit ausgefeilter Bot-Erkennung und -Prävention. Das ist von entscheidender Bedeutung, da die meisten Angriffe durch automatisierte Programme gestartet werden. Eine WAF unterstützt das Sicherheitsteam bei der Identifizierung von Login-Versuchen, die nicht über einen Browser eingehen. Dazu analysiert sie das Verhalten und berücksichtigt Faktoren wie den Standort der IP-Adresse, die Tageszeit und die Anzahl der Verbindungsversuche pro Sekunde.
Ebenfalls wichtig: Die Daten im Browser und in der mobilen Anwendung sind durchgängig zu verschlüsseln. Dann bleiben die Informationen sowohl während der Nutzung als auch bei der Übertragung geschützt und jeder Abfangversuch ergibt nur unlesbare Daten. Als zusätzliche Sicherheitsmaßnahme lässt sich die Verschlüsselung der Formularparameter auf Client-Seite erzwingen. Automatisierte Tools für Credential Stuffing haben dann Schwierigkeiten, die Anmeldeseite korrekt auszuführen. Wenn die Bots unverschlüsselte Anmeldedaten liefern, wird ein Systemalarm ausgelöst und damit das Sicherheitsteam informiert, dass eine Credential-Stuffing-Attacke stattfindet.
Zudem sollten Unternehmen Richtlinien definieren, damit Nutzer ihre Passwörter regelmäßig ändern sowie mögliche Vorfälle und Angriffe an die IT-Abteilung melden. Dies gilt schon bei einem Verdacht, dass sie gerade auf einen Malware-Link geklickt oder eine Phishing-Mail erhalten haben.
Fazit
Im Wettlauf zwischen Unternehmen und Cyberkriminellen ist eine schnelle und zuverlässige Erkennung von Gefahren entscheidend. Höhere Transparenz, Kontextwissen und Kontrolle sind daher für den Schutz von Infrastrukturen, Anwendungen und sensiblen Daten unverzichtbar. So müssen Unternehmen ihre Strategie anpassen, damit sie Anwendungen mit modernen Sicherheits-Tools schützen und ihre Ressourcen darauf konzentrieren, die Attacken böswilliger Hacker abzuwehren. Nur dann läuft ihr Betrieb reibungslos, schnell und sicher weiter.