Verizon Data Breach Digest

Aus erfolgreichen Cyber-Angriffen lernen

| Autor / Redakteur: Lorenz Kuhlee / Peter Schmitz

Frmen und Behörden müssen ein besseres Verständnis dafür entwickeln, wie man Anzeichen einer Cyber-Attacke erkennt und Beweise sicherstellt.
Frmen und Behörden müssen ein besseres Verständnis dafür entwickeln, wie man Anzeichen einer Cyber-Attacke erkennt und Beweise sicherstellt. (© Sergey Nivens - Fotolia)

Datenverletzungen nehmen an Komplexität zu; sie sind nicht länger auf IT-Abteilungen beschränkt, sondern bedrohen mittlerweile sämtliche Unternehmensbereiche. Wichtiger noch: Jede Kompromittierung hinterlässt nachhaltige, wenn nicht gar dauerhafte Spuren im Unternehmen. Deshalb ist es wichtig, von den Fehlern anderer zu lernen und für das eigene Unternehmen die richtigen Schlüsse zu ziehen.

Die meisten Opfer von Datenverletzungen glauben, sie stünden allein da, konfrontiert mit besonders raffinierten Taktiken und Malware, wie man sie noch nicht gesehen hat. Dem ist aber nicht so: Fälle von Datenverletzungen weisen viele Gemeinsamkeiten auf. Mit dem Verizon Data Breach Digest öffnet das Verizon RISK Team seine Unterlagen zu Fällen von Cyberattacken für die Öffentlichkeit. Die verschiedenen Wirtschaftszweige können ihre Sicherheitsprozesse durchaus strenger reglementieren, um Cyberkriminellen die Stirn zu bieten.

In dem hundertseitigen Bericht stehen in diesem Jahr 16 reale Datenverletzungs-Szenarien im Vordergrund, ausgewählt aufgrund ihrer Häufigkeit oder ihrer jeweiligen Gefährlichkeit. Ziel ist es, Firmen und Behörden ein besseres Verständnis vermitteln, wie man Anzeichen einer Datenverletzung erkennt und Beweise sicherstellt. Außerdem werden Methoden gezeigt, wie man eine Datenverletzung rasch untersucht, begrenzt und den Normalzustand wiederherstellt.

Maßnahmen im Anschluss an Datenverletzungen, wie Untersuchung, Schadensbegrenzung, Ursachenbeseitigung, Benachrichtigung und Wiederherstellung, sind verhältnismäßig komplex und benötigen viel Knowhow. Reaktive Maßnahmen sind nicht allein Sache der für IT-Sicherheit Zuständigen, sie sind ein unternehmensweites Thema, das technische und nicht-technische IR-Stakeholder gleichermaßen betrifft, wobei jede Interessengruppe ihre eigene Perspektive in die Maßnahmen im Anschluss an eine Datenverletzung einbringt. So sehen die Interessengruppen die Beweggründe wichtiger Entscheidungen, kurzfristig ergriffene Maßnahmen und wichtige gelernte Lektionen zum Teil recht unterschiedlich.

Offene Kommunikationskanäle

Bei der Reaktion auf Sicherheitsvorfälle kommt es auf das Timing an, offene Kommunikationswege sind entscheidend. Tatsache ist: Cyberkriminelle brauchen nur Minuten, um in ein System einzubrechen und Daten zu stehlen. In 93 Prozent der untersuchten Fälle, bei denen Daten entwendet wurden, mussten die Sicherheitsexperten vom Verizon RISK Team feststellen, dass dies innerhalb von nur Minuten oder noch schneller über die Bühne ging. Bei 28 Prozent der Fälle passierte die Datenexfiltration innerhalb von Minuten.

Doch selbst wenn die Exfiltration Tage dauerte, mussten sich die Täter in 83 Prozent der Fälle keine Sorgen machen, entdeckt zu werden. Die Datenverletzung wurde erst Wochen später bekannt. Je länger eine Firma oder Behörde benötigt, um solche Vorfälle aufzudecken, desto mehr Zeit bleibt den Kriminellen, wertvolle Daten zu finden oder Geschäftsabläufe zu stören. Eine detaillierte Analyse eines interessanten Falls aus unseren Akten soll dies verdeutlichen.

Der Fall „Botnet Barrage“

Das IoT besitzt ein enormes Potenzial, durch Technologie für immer die Art und Weise zu verändern, wie wir mit der Welt interagieren. Die Verbreitung von IoT-Devices führt im Wesentlichen zu verstärkter Automation, Big-Data-Analysen und auf künstlicher Intelligenz basierenden Entscheidungen im Alltag. Eine IoT-Lösung erfordert detaillierte und umfassende Rahmenbedingungen für Sicherheit und Datenschutz. In diesem Bereich gibt es leider immer noch eine Menge zu tun, was den Aufbau betrifft – ebenso braucht es einen kräftigen Anstoß zur Zusammenarbeit der Player im IoT-Markt bei der zugrunde liegenden Sicherheit.

Obwohl wir in einer vernetzten Welt leben, ist die Sicherheit des IoT bisweilen eher etwas, über das man später nachdenkt. Das Hauptproblem besteht darin, dass vielen Firmen nicht bewusst ist, dass Komponenten, die hinter der Innovation IoT stehen, leicht aus dem Ruder laufen können. Und das kann weitaus größere Auswirkungen haben als das, was wir in der traditionellen IT-Landschaft beobachten können. Für gewöhnlich sind IoT-Devices permanent mit dem Internet verbunden und vom Standpunkt der Sicherheit nicht einsehbar. Damit sind sie eine Schwachstelle bei einer Vielzahl von Angriffen. Und ein ideales Ziel für die Eingliederung in eine Botnet-Armee.

Erste Hinweise auf den Angriff: Das IT-Sicherheitsteam einer Universität erhielt zunehmend Beschwerden von Studenten auf dem gesamten Campus, das Internet sei zu langsam oder nicht zugänglich. Wie so oft hatte der Helpdesk erste Beschwerden als belanglos abgetan. Erst deutlich nach 21 Uhr wurde das IT-Security-Team kontaktiert.

Trotz begrenzter Zugriffsmöglichkeiten hatte der Helpdesk eine Reihe bedenklicher Dinge entdeckt. Die Nameserver, verantwortlich für Domain Name Service (DNS) Lookups, produzierten in großer Zahl Alarmmeldungen und wiesen eine abnormale Anzahl von Anfragen nach Sub-Domains im Zusammenhang mit Meeresfrüchten auf. Die Server bemühten sich, den Anfragen nachzukommen, legitime Lookups wurden fallen gelassen – wodurch der Zugang zu weiten Teilen des Internets unmöglich wurde. Zwar erklärte dies das „langsame Internet“, doch tauchten noch mehr besorgniserregende Fragen auf. Woher kamen all diese ungewöhnlichen DNS-Lookups? Und warum so viele? Interessierten sich plötzlich Studenten für Seafood-Dinner? Das war wenig wahrscheinlich.

Die Universität bat die Experten des Verizon RISK-Teams um Hilfe und stellte ihnen die Netzwerk- und Firewall-Logs zur Überprüfung zur Verfügung. Sämtliche Logs wurden auf Indikatoren für böswillige Aktivitäten untersucht; insbesondere Firewall-Logs können dazu dienen, die Quellen dieser Anfragen ausfindig zu machen.

Man konnte dann beobachten, dass die für DNS-Lookups zuständigen Nameserver legitime Anfragen ignorierten, wodurch der Zugang zu großen Teilen des Internets unmöglich wurde. Stattdessen beschäftigten sie sich lieber mit der abnormalen Anzahl der Anfragen nach Sub-Domains im Zusammenhang mit Seafood. Eine Analyse der Firewall-Logs brachte über 5.000 einzelne Systeme zum Vorschein, die alle 15 Sekunden Hunderte von DNS-Lookups starteten.

Nahezu alle bezogen sich auf ein für IoT-Infrastruktur reserviertes Segment des Netzwerks. Diese IoT-Infrastruktur überwachte und verwaltete sozusagen alles auf dem riesigen Universitäts-Campus – von Glühbirnen bis hin zu Verkaufsautomaten. Zur Vereinfachung und für mehr Effizienz waren diese mit dem Internet verbunden. Zwar sollten diese IoT-Systeme isoliert vom übrigen Netzwerk arbeiten, doch war schnell klar, dass sie für die Nutzung von DNS-Servern in einem anderen Subnet konfiguriert waren.

Der Schuldige: Ein IoT-Botnet hatte sich über sämtliche Devices gelegt, von der Glühbirne bis zum Cola-Automat, indem es einfach Standard- und schwache Passwörter geknackt hatte.

Eine Analyse früherer Malware-Muster hatte gezeigt, dass das Control-Password, welches zur Erteilung von Befehlen an infizierte Systeme dient, gleichzeitig als neues aktuelles Device-Passwort genutzt wurde. Diese Befehle gingen üblicherweise per HTTP ein und in vielen Fällen wurde der Secure Sockets Layer (SSL) nicht zur Verschlüsselung der Übertragungen genutzt. Falls dies auch bei dieser Kompromittierung der Fall war, könnte man ein volles Paketerfassungs-Device dazu verwenden, den Internetverkehr zu verfolgen, und das neue Device-Passwort identifizieren. Der Plan war, über Kabel das Klartext-Passwort für ein kompromittiertes IoT-Device abzufangen und diese Information dazu zu verwenden, vor dem nächsten Malware-Update eine Passwort-Änderung vorzunehmen. So konnten die Sicherheitsexperten die Kontrolle über die IoT-Devices der Universität zurückgewinnen.

Best Practices aus diesem Fall

  • Nicht alle Eier in einem Korb aufbewahren: Separate Netzwerkzonen für IoT-Systeme einrichten; wo immer möglich von anderen wichtigen Netzwerken entkoppelt halten.
  • Keine direkte E/A-Konnektivität zum Internet zulassen; die Bedeutung eines In-Line-Proxy- oder Content-Filtersystems nicht unterschätzen.
  • An den Devices die Standard-Zugangsdaten ändern; für Device-Accounts und WLAN-Netze starke, einmalige Passwörter vergeben.
  • Regelmäßig Vorfälle und Logs überwachen; halten Sie nach Bedrohungen an Endpunkten Ausschau, ebenso auf Netzwerkebene; scannen Sie auf offene Fernzugriffs-Protokolle im Netzwerk und deaktivieren Sie grundsätzlich nicht genutzte oder ungesicherte Merkmale und Services (wie etwa UPnP und RTSP), die nicht benötigt werden.
  • Nehmen Sie IoT-Devices in Ihr Asset-Verzeichnis auf; prüfen Sie regelmäßig Hersteller-Websites auf Firmware-Updates.

Was kann man selbst tun?

Ein entsprechendes Bewusstsein für Gefährdungen ist die erste und beste Verteidigungslinie. Das jedoch fehlt in manchen Organisationen und ist Garant für den wiederholten Erfolg der Mehrheit von Cyberattacken.

Und das sollten Unternehmen nach einer Datenverletzung unbedingt tun:

  • Beweismaterial sichern, die Konsequenzen jeder ergriffenen Maßnahme abwägen
  • Flexibel sein; an sich entwickelnde Situationen anpassen
  • Einheitliche Kommunikationsstrukturen festlegen
  • Eigene Grenzen kennen; mit anderen wichtigen Interessengruppen zusammenarbeiten
  • Maßnahmen und Erkenntnisse dokumentieren, auf ihre Erläuterung vorbereiten

Datenverletzungen werden komplexer und raffinierterund ziehen sich durch das komplette Unternehmen bis hin zur Vorstandsebene. Unternehmen müssen darauf vorbereitet sein, sich mit dem Thema Datenverletzungen auseinanderzusetzen, noch bevor sie eigentlich passieren. Nur dann können sie sich schnellstmöglich davon erholen. Andernfalls führen Datenverletzungen unternehmensweit zu Schäden mit möglicherweise verheerenden und nachhaltigen Konsequenzen wie etwa Vertrauensverlust bei den Kunden oder sinkende Aktienkurse.

Über den Autor: Lorenz Kuhlee ist IR/Forensic Consultant beim Verizon RISK Team von Verizon Enterprise Solutions.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44693441 / Sicherheitsvorfälle)