Schlagwortarchiv für: Cyber-Bedrohungen

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

  • Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
  • Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
  • Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?

Gerade mittelständische und kleinere Unternehmen (KMU) haben oft aufgrund geringer personeller IT-Kapazitäten, fehlender Expertise für IT-Security und begrenzten Budgets Schwierigkeiten, das Thema ganzheitlich anzugehen und die Informationssicherheit durchgängig auf ein angemessenes Schutzniveau zu bringen.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) oder Cyber Defense Center (CDC) – bietet hier einen Lösungsansatz, der flexibel an die Anforderungen jedes Unternehmens angepasst werden kann.

Ein SOC/CDC ist dabei ein auf Informationssicherheit spezialisierter Dienstleister, der an die IT des Unternehmens angebunden ist und als eine Art Sicherheitsleitstelle große Teile oder auch nur selektiv bestimmte Security-Services übernimmt, die normalerweise durch die IT-Abteilung im Unternehmen abgedeckt werden müssten:

  • Sicherheitsbezogene Überwachung der Unternehmens-IT
  • Proaktive Adressierung von Bedrohungslagen durch Threat Intelligence
  • Erkennung und Beseitigung von Schwachstellen in den IT-Systemen und -Prozessen
  • Erkennung und Alarmierung bei Cyber-Angriffen
  • Abwehrmaßnahmen und Schadenbegrenzung
  • Kundenbezogene Unterstützung und Reporting zu Sicherheitsthemen

In den Räumlichkeiten des SOC/CDC-Dienstleister arbeiten dafür im 24×7 Betrieb hochspezialisierte Experten für Cybersecurity, u.a. Security Architekten, Analysten, Forensiker, die wie in einem Kommandostand in realtime auf Bildschirmen sämtliche sicherheitsbezogene Informationen angezeigt bekommen und bei Auffälligkeiten sofort reagieren können.  Die Arbeitsweise ist dabei durch optimale und integrierte Toolunterstützung, hohen Automatisierungsgrad der Analysen als auch durch die optimale Teamstruktur und Kommunikation des SOC-Teams gekennzeichnet.

Je nach konkreter Anforderungslage eines Kunden können verschiedene Service-Modelle der Zusammenarbeit definiert werden, die es ermöglichen, nur bestimmte Teile, oder nahezu alle Sicherheitsleistungen an den SOC/CDC-Dienstleister auszulagern. Die Vorteile der Nutzung eines SOC/CDC liegen dabei klar auf der Hand:

  • Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
  • Schutz gegen die aktuelle Bedrohungslage
  • Kontinuierliche Dokumentation und Nachvollziehbarkeit
  • Kein Aufbau von internem Personal erforderlich
  • Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
  • Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Insbesondere für kleinere Unternehmen und Mittelständler (KMU) eröffnet die Auslagerung wesentlicher Leistungen für IT-Sicherheit an einen externen Spezialisten die Möglichkeit zur Erreichung eines hohen Schutzniveaus und IT-Security nach Stand der Technik. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Ein Aufbau zusätzlicher interner Ressourcen bzw. Experten für Informationssicherheit ist in der Regel nicht erforderlich.

Wichtige Trends und Erkenntnisse zu Cyber-Bedrohungen auch für Ihr Unternehmen

Der renommierte amerikanische IT-Secu­rity-Spezialist CrowdStrike hat in seinem jüngst im Juli veröffentlichen jährlichen Bedrohungsreport die internationale Bedrohungslage und die aktuell erkennbaren Trends bei den Cyber-Angriffsmethoden, sowie Zielstellungen der unterschiedlich motivierten Angreifer-Gruppen für das abgelaufene Jahr 2019 analysiert. Daraus hat CrowdStrike aktuelle Schutz-Empfehlungen insbesondere auch für Wirtschaftsunternehmen abgeleitet. Wir haben den Bericht ins Deutsche übersetzt und wichtige ausgewählte Infos und Trends für Sie aufbereitet.

Nicht neu ist zunächst die Erkenntnis, dass es auch weiterhin im Prinzip jedes Unternehmen treffen kann, und durch Nachlässigkeit bei den Schutzvorkehrungen ein kaum abschätzbarer wirtschaftlicher Schaden für das betroffene Unternehmen daraus erwachsen kann.

Aktuelle Cyber-Bedrohungsaktivitäten

So wurde beobachtet, dass 2019 das Ausmaß der gezielten und kriminell motivierten Cyber-Erpressungsangriffe insbesondere bei Wirtschaftsunternehmen mittels Ransomware regelrecht eskalierte. Sowohl die Anzahl der Erpressungsszenarien (kurz BGH = „Big Game Hunting“), als auch die Höhe der Lösegeldforderungen durch kriminelle Hackergruppen stiegen weltweit an.

Dabei versorgten die einschlägigen im Untergrund kommerziell tätigen ‘Ransom-as-aService-Entwickler‘ (RaaS), auch „eCrime-Enabler“ genannt, die aktiven Cyber-Erpresser-Gruppen mit immer raffinierterer Ransomware und konnten so ihrerseits ihr Geschäft weiter ausbauen. Entwickler von Malware-as-aService (MaaS) führten Ransomware-Module nach dem Baukastenprinzip ein, was die Handhabbarkeit erleichtert, um so auch den Markt weniger anspruchsvoller Cyber-Krimineller zu bedienen. Monetarisiert wird das operative Geschäft sowohl durch Verkauf, als auch durch Vermietung dieser „Werkzeuge“ an e-Kriminelle. Bankentrojaner wurden zweckentfremdet und nun verstärkt für DaaS-Operationen (Download-as-aService) wiederverwendet, was die Verbreitung von Malware an Dritte unterstützte, und einen enormen Welleneffekt in der gezielten Anwendung von Ransomware (BGH-Erpressungs-Kampagnen) im kriminellen Ökosystem bewirkte. Bei den Malware-Enablern werden Betreiber von Spambots, Download-Diensten sowie Entwickler von kriminellen „Loadern“ unterschieden.

Es ist weiterhin zu beobachten, dass die RaaS- sowie MaaS-Entwickler als Enabler ihre Malware-Produkte im Trend zunehmend durch die gezielte Auswahl ihrer Kundenpartner liefern, um ihr Risiko bei der Geschäftsanbahnung bzw. Rückverfolgung zu minimieren.

Staatlich gesteuerte und geförderte Cyber-Angriffe mit der Absicht der gezielten Wirtschafts-/Industrie-Spionage liegen weiterhin stark im Trend und in der Expansion, und erhöht so die Gefahr des Diebstahls von geistigem Eigentum insbesondere in den Sektoren Gesundheitswesen, Automobilbau, Rüstung, Finanzen, aber auch bei Regierungsorganisationen. China, Russland, Iran und Nordkorea sind hier sehr aktiv.

Der Anteil der leichter bekämpfbaren Malware-Angriffe sank von 60% auf 49% (von 2018 auf 2019), während die schwieriger erkennbaren und damit gefährlicheren Malware-freien Intrusions-Angriffe im gleichen Zeitraum von 40% auf 51% anwuchsen. Nach Regionen betrachtet sind Unternehmen und Institutionen in Nord-Amerika am stärksten gefährdet, gefolgt von Europa und Naher Osten.

Als den wichtigsten Schutzparameter in der Cyberabwehr nennt CrowdStrike die Ausbruchszeit (breakout time), welche den Zeitraum vom Zeitpunkt des Eindringens des Bedrohungsakteurs in eine Netzwerkumgebung misst, bis zu dem Zeitpunkt, wo er sein eigentliches Angriffsziel erreicht bzw. seine Schadhandlung (mittels eingeschleuster Malware) unwiderruflich eingeleitet/umgesetzt hat. Eingerechnet ist somit auch die erforderliche Zeit des Angreifers für „lateral movement“ (verdecktes/unerkanntes, schrittweises Vordringen und Auskundschaften innerhalb des intrudierten Systems). Die Zielsetzungen reichen hierbei von Sabotage-Attacken zur unwiederbringlichen Zerstörung von Daten (unter Verwendung von Wiper-Malware), über gewollte Systemausfälle (z.B. auch durch DDoS-Attacken) zur Herbeiführung von Komplett-Abstürzen z.B. von Unternehmens-Websites bzw. Online-Diensten, bis hin zu gezielter Totalausfall-Sabotage von kritischen Infrastrukturen (wie z.B. Energie-/Wasserversorgung, Telekommunikation). Gerade auch das erfolgreiche und unerkannte Ausschleusen von sensiblen Datenbeständen durch eine zuvor programmierte  Backdoor im intrudierten System (d.h. nach Herstellung von Persistenz), ist ein leider weiterhin sehr reales Bedrohungsszenario.

Daher die klare Botschaft: CrowdStrike ermahnt geradezu jedes Unternehmen, sich in der Cyberabwehr systemisch und organisatorisch so aufzustellen, dass dieses in Stunden gemessene „Breakout-Zeitfenster“ nach den Anforderungen der 1-10-60-Regel geschützt bzw. Angriffsaktivitäten rechtzeitig abgeblockt werden können.

Dies heißt konkret: Erkennen von Bedrohungen innerhalb der ersten Minute, Verstehen der Bedrohungen innerhalb von 10 Minuten und Reaktion innerhalb von 60 Minuten.

Während sich die Ausbruchszeiten bei den eCrime-Intrusionen im Durchschnitt von 4,5h auf 9h erhöhten, sind die Ausbruchszeiten der weitaus gefährlicheren geheimdienstlich bzw. im Staatsauftrag agierenden Angreifer unverändert kurz. Daher ist eine schnelle Reaktionszeit in der Abwehr weiterhin essentiell.

Weitere Trends und TTPs des Jahres 2019 – Ein Auszug

Eine bemerkenswerte Änderung bei den Angriffs-TTPs (Taktiken, Techniken, Prozeduren) für 2019 ist der deutliche Anstieg von „Maskerading“, was sich durch die zunehmende Verwendung des EternalBlue-Exploit erklären lässt. Als Exploit bezeichnet man ein von Hackern genutztes Werkzeug und damit „Schadprogramm“, welches die Sicherheitslücke (Exploit-Gap) in einem Computersystem ausnutzt, um dort einzudringen. Von Maskerading wird gesprochen, wenn der Name oder Ort einer ausführbaren Datei böswillig manipuliert wird, um die Verteidigung zu unterlaufen.

Auch konnte beobachtet werden, dass bereits bekannte, voneinander unabhängige eCrime-Programme so raffiniert weiterentwickelt und miteinander kombiniert wurden, dass daraus unauffällige Programmstrukturen entstanden, die zunächst nicht detektiert werden konnten. Dies zeigt, dass eCrime-Gruppen voneinander lernen und sich durchaus gegenseitig inspirieren.

CrowdStrike verzeichnete einen allgemeinen Anstieg der e-kriminellen Akteure, welche kompromittierte Websites verwenden. So wurden u.a. mehrere schädliche Phishing-Seiten identifiziert, die zur Tarnung als Zielseite von Microsoft Office 365 fungierten. Die meisten dieser Seiten wurden wahrscheinlich auf legitimen Domains gehostet und durch Sicherheitslücken in CMS-Plugins gefährdet.

Im Bereich ‘DNS Tunneling‘ ist die Verwendung des DNS-Protokolls für Befehls- und Kontrollkommunikation (C2) eine nützliche Bedrohungstaktik für den Fall, dass andere gängige Internetprotokolle deaktiviert oder in einem Unternehmensumfeld engmaschig geknüpft sind.

Immer wieder beobachtete CrowdStrike erfolgreiche Eingriffe/Intrusionen in Netzwerkumgebungen, in denen Sicherheitskontrollen/-mechanismen vorhanden waren, welche den Angriff auch erfolgreich hätten abwehren können. Dennoch waren sie vom Unternehmen unzureichend konfiguriert oder aber nicht flächendeckend im Unternehmen bereitgestellt, aktiviert bzw. ausgerollt.

Daher die klare Botschaft: Bringen Sie Ihre Schutzmechanismen vollumfänglich zur Entfaltung und nutzen Sie Ihre Möglichkeiten voll aus, welche Ihre bestehenden Sicherheits-/Kontroll-Systeme bieten.

Angreifer erlangten und benutzten vermehrt gültige Anmeldeinformationen für eine Vielzahl von Cyberangriffs-Szenarien und bestätigen den Trend zu Malware-freien Angriffstechniken. Solange Unternehmen/Organisationen weiterhin grundlegende Benutzer-IDs und Passwörter für die Zugangs-Authentifizierung benutzen und es unternehmensintern an entsprechender Sensibilisierung der eigenen Mitarbeiter hinsichtlich der vielseitigen Möglichkeiten der unbefugten Erlangung von Zugangsmöglichkeiten im Rahmen der „Social-Engineering-Techniken“ gibt, solange wird sich dieser Trend weiter fortsetzen. Phishing-mails und –Links, darunter auch Email-Thread-Hijacking sowie Tandem-Drop, sowie Manipulation von Geschäftsemails sind hier nur ein Teil des eCrime-Repertoires.

Daher die klare Botschaft: Schützen Sie die Benutzer-Identitäten in Ihrem Unternehmen, sensibilisieren Sie Ihre Mitarbeiter durch gezielte Schulungsseminare und binden Sie diese bewusst und aktiv in den Kampf ein.

Haben wir Ihr Interesse geweckt? Haben Sie weitergehende Fragen oder Sorgen? Zögern Sie nicht und nehmen Sie einfach mit uns Kontakt auf. Wir helfen Ihnen gerne und beraten Sie zielgerichtet.