Schutzmaßnahmen gegen Malware-Attacken

Laut Data Breach Investigation Report 2019 von Verizon haben sich landesweite Hackerangriffe innerhalb eines Jahres verdoppelt. Der starke Anstieg belegt, wie schwierig die Abwehr von IT-Attacken ist. Wie bekommen Firmen die Gefahren wieder unter Kontrolle?

Moderne Cloud- und IT-Netzwerke sind so komplex geworden, dass sich viele Bedrohungen nicht schnell genug erkennen und unterbinden lassen. Professionelle Angreifer gehen immer heimtückischer vor und neue Angriffsmethoden erhöhen die Risiken. Geschickt verschleierte Angriffe kombinieren verschiedene Tools und Vorgehensweisen, um sensible Netzwerke gleich auf mehrere Arten zu kompromittieren.

Anzeige

Evolution der Schadsoftware

Die Ergebnisse der Cyber-Sicherheitsumfragen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) benennen Infektionen durch Schadprogramme als eine der größten IT-Bedrohungen. Privatanwender, Unternehmen und Behörden berichteten demnach, dass über die Hälfte aller Angriffe durch Malware-Infektionen durchgeführt wurden. Besonders durchschlagskräftig erwies sich dabei die Malware Emotet. Das schon zehn Jahre bekannte Schadprogramm wird seit November 2018 wieder häufiger über manipulierte Office-Dokumente verteilt. 

Die Evolution von Emotet zeigt sich beispielhaft an neuen Fähigkeiten wie dem „Outlook-Harvesting“, also der Analyse des Mailverlaufs infizierter Computer. Auch ausgefeilte Techniken, die bisher nur bei Advanced Persistent Threats (APTs) eingesetzt wurden, finden Verwendung. Nach der Erstinfektion werden beliebige andere Schadprogramme nachgeladen.

Das BSI bezeichnet Emotet als „die gefährlichste Schadsoftware der Welt“, aber auch andere Ransomware-Kampagnen tragen dazu bei, dass die Online-Risiken für Anwender in Staat, Wirtschaft und Gesellschaft steigen. Unternehmen benötigen deshalb praxistaugliche und einfach ausführbare Maßnahmen, welche die Auswirkungen von Cyber-Bedrohungen begrenzen oder verhindern. 

Anzeige

Landesweite Gefahren im Blick

Zur Gefahrenabwehr gehört, die Angreifer und Hacking-Methoden zu erkennen, aber das wird immer schwieriger. Einige Hacker verschleiern ihre Aktivitäten, damit die Kompromittierung von Netzen möglichst lange verborgen bleibt. Andere Angreifer arbeiten über Proxy-Akteure, was den Erkennungsprozess zusätzlich erschwert. Hacker tarnen, tricksen und täuschen — teilweise kopieren sie sogar das Verhalten staatlicher Akteure.

Ein gutes Beispiel sind die Olympischen Spiele 2018 in Pjöngjang, bei denen es Angreifern gelang, die Malware „Olympic Destroyer“ einzuschleusen. Unmittelbar vor Beginn der Spiele wurden die drahtlosen Zugriffspunkte, Server, Ticketing-Systeme und sogar Reporter-Internetzugänge für zwölf Stunden abgeschaltet. Aufgrund von Metadaten in der Malware wurde der Angriff zunächst Nordkorea zugeschrieben. Erst später erkannten Sicherheitsforscher, dass die Schadsoftware russischer Herkunft war.

Solche False-Flag-Angriffe haben mehrere Vorteile für die Täter. Erstens kann die wahre Quelle der Bedrohung verschleiert werden. Zweitens braucht es Zeit, die richtigen Täter zu finden, und jede falsche Fährte verlängert den Prozess. Und drittens ermöglicht die allgemeine Konfusion, dass (staatliche) Akteure größere und aggressivere Angriffe starten können. Russische Angriffe auf ukrainische Stromnetze oder die iranische Hackergruppe APT 33, die mehr als 30.000 Laptops und Server der saudischen Ölproduktion kompromittierte, sind dafür exemplarisch.

Diese Angreifer nehmen zumeist Organisationen ins Visier, die schwach aufgestellt sind, und nutzen bekannte Schwachstellen oder veraltete IT-Systeme aus. Umso wichtiger ist es, kritische Infrastrukturen zu härten und Sicherheitslücken konsequent zu schließen. Welche Bausteine gehören zu einer erfolgreichen Security-Strategie? Hier sind vier Best-Practice-Empfehlungen für die Absicherung von IT-Umgebungen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Sofortmaßnahmen für Unternehmen

  • Notfallreaktionsplan: Stellen Sie sicher, dass jeder verstehen kann, was im Falle eines Datenlecks zu tun ist. Nicht nur Sicherheitsexperten, sondern auch gewöhnliche Endanwender müssen mit dem Ablauf vertraut sein. Gehen Sie davon aus, dass eine Sicherheitsverletzung oder ein Ransomware-Befall jederzeit passieren kann. Mit dieser Denkweise erarbeiten Sie einen funktionierenden Notfallplan, einschließlich der dafür erforderlichen Übungen und Testläufe, um auf unterschiedlichste Szenarien vorbereitet zu sein.
     
  • Schutz der Anmeldeinformationen: Die Verwendung von starken Kennwörtern und Zwei-Faktor-Authentifizierung ist eine Grundvoraussetzung zur Absicherung von Anmeldeinformationen. Darüber hinaus gilt es, allgemein zu weit gefasste Freigaben zu unterbinden. Alle Benutzer sollten nur diejenigen Zugriffsrechte haben, die sie tatsächlich zur Erfüllung ihrer Aufgaben benötigen. Diese Maßnahme verhindert, dass sich Hacker mit geraubten Zugangsdaten frei in Rechnernetzen bewegen und die Kontrolle über weitere Geräte übernehmen können.
     
  • Sicherheitshygiene: Man muss das Rad nicht neu erfinden, um erfolgreich zu sein. Hacker nutzen als Ausgangspunkt zumeist bekannte Schwachstellen. Exploits, die auf dem EternalBlue-Toolkit basieren, richten bis heute Schaden an, obwohl Microsoft den Programmierfehler in der SMB-Implementierung im März 2017 geschlossen hatte. Zur Netzwerkhygiene gehört ein effektives Schwachstellen-Management, das die Implementierung notwendiger Sicherheitsaktualisierungen umfasst.
     
  • Security-Segmentierung: Am besten ist man auf einen Angriff vorbereitet, wenn die Auswirkungen einer beliebigen Sicherheitsverletzung von vorneherein begrenzt sind. Durch Software Defined Security Segmentation schaffen IT-Verantwortliche mehrere Teile in einem Firmennetz, die nicht oder nur noch bedingt miteinander vernetzt sind. So lassen sich kritische Daten, Prozesse und Systeme vom Rest der IT-Umgebung trennen und vor unbefugtem Zugriff schützen. Das empfiehlt sich insbesondere beim (häufig unvermeidbaren) Einsatz alter IT-Systeme oder geschäftskritischer End-of-Life-Lösungen, die nicht durch moderne Lösungen ersetzt werden können.

Regeln für kritische Infrastrukturen

Mit diesen Maßnahmen verschaffen sich IT-Abteilungen eine gute Ausgangsbasis für den Netzwerkschutz, auch wenn noch weitere Planungen und Vorkehrungen durchzuführen sind. In kritischen Infrastrukturen ist beispielsweise die Sichtbarkeit auf alle Vorgänge von entscheidender Bedeutung, da im Regelfall mehrere Plattformen und Regionen betroffen sind. Der Versuch, sich erst im Katastrophenfall ein stimmiges Echtzeitbild über mehrere, plattformspezifische Lösungen zu verschaffen, ist von vorneherein zum Scheitern verurteilt.

Es kommt auch darauf an, stets neue Bedrohungsvektoren im Blick zu behalten. Heute können Angriffe über IP-gestützte IoT-Geräte oder Netzwerke erfolgen, die IT-Abteilungen mit klassischen Sicherheitssystemen nicht rechtzeitig erkennen. Aber egal, welche Angriffsarten zum Einsatz kommen: Gegen alle Einbruchsversuche gibt es wirksame Gegenmaßnahmen. Praxiserprobte Sicherheitsinstrumente und -verfahren sind in der Handhabung nicht kompliziert. Im Ergebnis helfen sie Sicherheitsexperten, den Angreifern einen Schritt voraus zu sein und die Auswirkungen von Malware-Attacken zu begrenzen. Die Qualität der Cyberangriffe nimmt leider zu, aber „die Abwehr von Cyber-Angriffen in Deutschland ist erfolgreich — auch in einer weiterhin angespannten IT-Sicherheitslage“ schreibt das BSI im Lagebericht zur IT-Sicherheit 2019.

Dietmar

Kenzle

Regional Sales Director DACH & Eastern Europe

Guardicore

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.