Durch Man-in-the-Middle-Angriffe versuchen Cyberkriminelle als Mittelstation an einer Kommunikation zwischen Sender und Empfänger teilzunehmen. Bei dieser Form von Cyberkriminalität werden Kommunikationsinhalte mitgelesen oder manipuliert, indem sich Angreifer gegenüber dem Sender als Empfänger und gegenüber dem Empfänger als Sender ausgeben. Auf diese Weise kann der Man-in-the-Middle auch Zugangsdaten ausspionieren und verwerten.
Phishing als Betrugsversuch zielt frontal auf das schwächste Glied in jeder Abwehrkette, den Menchen. Gut gefakte E-Mails mit einer Handlungsaufforderung von bekannten Absendern, wie etwa der eigenen Hausbank, führen oft dazu, dass ein Empfänger seine Zugangsdaten auf einer ebenfalls gefakten Webseite leicht preisgibt. Cyberkriminelle versenden solche gefakten Nachrichten willkürlich an eine Vielzahl von E-Mail-Accounts, in der Hoffnung, dass einige Empfänger auf diese E-Mail reinfallen, diese für «echt» halten und wie vom Angreifer gewollt, entsprechend reagieren.
Die wenig schöne Überraschung dieses nicht gezielt auf einzelne Empfänger ausgeführten Angriffs ist meist ein leeres Bankkonto. Spear-Phishing hingegen ist eine Betrugsvariante, die sich gezielt an bestimmte Personen oder Organisationen richtet. Die Opfer werden dabei über Wochen und Monate gezielt ausspioniert, Gewohnheiten und Präferenzen in Erfahrung gebracht und ein individuelles Persönlichkeitsprofil erstellt. Auf Basis der gesammelten Daten lassen sich maßgeschneiderte, personenbezogene Phishing-Angriffe realisieren. Die hohe Glaubwürdigkeit der Angriffe optimiert die Erfolgsquote dieses Betrugsversuchs für Cyberkriminelle.
Schutz vor den Folgen gestohlener Identitäten
Über Phishing, Brute-Force- und Man-in-the-Middle-Attacken gestohlene Anmeldeinformationen sind bei Logins, die durch eine Zwei-Faktor-Authentifizierung (2FA) beziehungsweise eine Mehr-Faktor-Authentifizierung (MFA) geschützt werden, nutzlos. Die FIDO-Alliance hat mit FIDO2 sogar einen Login-Standard entwickelt, der überhaupt kein Passwort benötigt und trotzdem extrem sicher ist. Dazu ist der Faktor «Haben» in Form eines Hardware Token Voraussetzung. Ein realistisches Restrisiko gestohlener Identitäten bleibt für den Nutzer, sofern er die identische Kombination aus Benutzername und Passwort auch für andere Accounts verwendet, die nur statische Anmeldeinformationen voraussetzen.
Erhöhte Gefahr durch DoS- und DDoS-Attacken
Denial of Service Angriffe (DoS) und Distributed Denial of Service Angriffe (DDoS) sind nicht neu, doch als Angriffsmethode immer noch gebräuchlich. Insbesondere in Jahreszeiten mit umsatzstarken Onlineaktivitäten im E-Commerce-Bereich (Black Friday, Cyber Monday, Vorweihnachtsgeschäft, Weihnachtsgeschäft) beobachtet das BSI einen Anstieg solcher Aktivitäten. Beim Versuch, vorhandene Systeme mit einer Vielzahl von Anfragen zu überlasten und damit außer Betrieb zu setzen, gibt es unterschiedliche Formen des Angriffs, wie beispielsweise Syn-Flooding, Ping-Flooding und Mail-Bombing. Der Schaden liegt bei allen Angriffsmethoden in der zeitweisen Nichtverfügbarkeit der IT-Systeme. Einige Unternehmen mögen dies verschmerzen können, doch für einen Online-Shop-Betreiber ist so eine koordinierte Attacke mitunter existentiell. Bis zur Wiederherstellung der Verfügbarkeit seines Shops können keine Online-Bestellungen abgewickelt und somit kein Geld verdient werden. Neben dem immensen finanziellen Schaden ist zudem die Reputation des Online-Shops bei mehrfacher Nichtverfügbarkeit ebenfalls beträchtlich beschädigt.
Schutz vor DoS / DDoS
Einige der DoS-Angriffe nutzen Bugs und Sicherheitslücken gezielt aus. Patch-Management, also das zeitnahe Verteilen von Sicherheitsupdates, schützt allgemein vor Cyberangriffen. Außerdem lassen sich Angriffsflächen vermeiden, indem man verhindert, dass Web-Applikationen Zugriff auf Ports, Protokolle oder Applikationen erhalten, die für eine Kommunikation im größeren Umfang nicht ausgelegt sind. Dabei kann es sehr hilfreich sein, die Infrastruktur hinter CDN (Content Distribution Network) oder einem Load-Balancer zu platzieren, denn dies kann die Datenmengen zwischen Front- und Backend begrenzen.
Fazit
Gegen die üblichen Verdächtigen bei Cyberangriffen schützen die üblichen Verdächtigen in der Cyberabwehr:
- Anti-Malware-Multiscanner plus Datei-Desinfektion bieten angesichts der hohen Anzahl täglich neuer Malware-Varianten den bestmöglichen Schutz, auch vor Zero-Day Attacken.
- Die Angst vor gestohlenen Identitäten verliert Ihren Schrecken durch die Absicherung mit einer Zwei- oder Mehr-Faktor-Authentifizierung.
- Bei DoS oder DDoS Angriffen ist die Verkleinerung der Trefferfläche und die Entkoppelung von Front- und Backend sehr wirkungsvoll.