:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Botnetze und Gegenmaßnahmen Der Zombie in meinem Netz
Im Lied „Re: Your Brains“ des amerikanischen Liedermachers Jonathan Coulton geht es um einen Zombie, der seinen Nachbar davon überzeugen möchte, sich den Untoten anzuschließen. Coulton singt „Thing have been okay for me except that I'm a zombie now”. Mit ähnlicher Leichtigkeit scheinen viele Privatpersonen und Unternehmen mit dem Risiko umzugehen, sich eine Schadsoftware einzufangen und dann mit Ihren „Zombie-Systemen“ Teil eines sogenannten Botnet zu werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Ein schlechtes Sicherheitsniveau, ein falscher Klick auf den Anhang einer E-Mail, oder fehlende Updates und es ist geschehen: Der Rechner ist infiziert. Häufig wird dieser Angriff selbst von einem infizierten System verschickt. Das Opfer wird also wie im Hollywood-Film durch Kontakt mit einem „Zombie“ selbst einer. Allein über einen Zeitraum von zehn Tagen im April und Mai 2017 waren der Anti-Spam-Webseite Spamhaus über 80.000 Systeme in Deutschland bekannt, die als „Zombies“ unerwünschte E-Mails verschickten.
Neben dem Versenden von Spam-E-Mails oder zur Verteilung von Schadsoftware werden „Zombie-Systeme“ oder „Bots“ (von engl. „Robot“) auch für weit aggressivere Aktivitäten genutzt. Bei einem Distributed Denial of Service-Angriff (DDoS) überfluten Abertausende Bots ein einzelnes Ziel mit einer Masse von Anfragen. Im vergangenen Jahr legte solch ein Angriff durch das berüchtigte „Mirai“-Botnetz mehrere sehr beliebte Webseiten wie Twitter, Reddit und Amazon lahm.
Ein DDoS-Angriff kann neben den Big Players im Internet aber auch andere Unternehmen treffen. KPMG Forensic hat Fälle untersucht, in denen Webshops immer dann lahmgelegt wurden, wenn besonders viele Kunden einkaufen wollten. Teils ging damit eine Erpressung einher, in anderen Fällen werden Konkurrenten als Auftraggeber verdächtigt.
Dass Botnetze und DDoS-Angriffe überhaupt möglich sind, liegt unter anderem an der offenen Architektur des Internets. Verstärkt wird das Problem durch schlampende Hersteller, unwissende Benutzer und unzureichend geschützte Unternehmen. Die sind zwar Verursacher, spüren meist aber selbst nur wenig von den Folgen. Und selbst wenn ein Versäumnis bekannt wird: Wer kennt schon den Hersteller einer verbauten, unsicheren Systemkomponente, die sich durch ein voreingestelltes Passwort durch Kriminelle ganz einfach zum „Zombie“ – also zum.Bot – machen lässt?
So fehlt es bei Firmen, deren Systeme Teil eines Botnet werden, häufig am Risikobewusstsein. In der kürzlich erschienenen KPMG e-Crime-Studie 2017 gab es beispielsweise erneut eine deutliche Diskrepanz zwischen Eigen- und Fremdwahrnehmung. So sagen neun von zehn Unternehmen, dass sie das Risiko, Opfer von e-Crime zu werden, als hoch, beziehungsweise sehr hoch einschätzen. Allerdings sieht nur knapp die Hälfte das Risiko im eigenen Haus. Aus der Praxis sind Fälle bekannt, in denen eine „Grundinfektionsrate“ der eigenen Systeme mehr oder weniger akzeptiert wurde.
Fehlende Konsequenzen
Eine Ursache dafür, dass die eigene Komplizenschaft als wenig dramatisch angesehen wird, liegt an den fehlenden Konsequenzen. Unsichere Unternehmensnetzwerke werden selten an den Pranger gestellt. Durch das deutsche IT-Sicherheitsgesetz (IT-SiG) und zukünftige EU-Regularien könnte sich das aber ändern. Im „IT-SiG“ werden explizit geeignete Schutzmaßnahmen nach dem Stand der Technik gefordert – andernfalls drohen Sanktionen. Bisher hat das Bundesinnenministerium nur die Weichen für Strafen gelegt. Es bleibt abzuwarten, ob und wann das Gesetz erstmals seine Zähne zeigt.
Dabei gibt es bereits heute triftige Gründe, sich mehr mit der Sicherheit der eigenen Systeme zu befassen. So werden unsichere Systeme häufig im Laufe der Zeit von mehreren Schädlingen befallen. Dies beginnt mit dem Versenden von Spam und der Generierung von Bitcoins oder einer anderen Crypto-Währung auf Kosten des Unternehmens. Beispielsweise war die Kryptowährung generierende Schadsoftware „Adylkuzz“ nach Informationen von Sicherheitsforschern sogar deutlich lukrativer als der Erpressungstrojaner „WannaCry“. Das besondere an diesen erfolgreichen Schadsoftwarekampagnen ist, dass diese sich unter Ausnutzung der am 14. April 2017 von der Hackergruppe „The Shadow Brokers“ veröffentlichten Exploit „EternalBlue“ selbständig in Netzwerken verbreiten kann. Dabei wird eine Schwachstelle in der Implementierung des SMB-Protokolls (siehe CVE-2017-0144) ausgenutzt, um Code auf einen verwundbaren Rechner auszuführen.
In komplexeren Fällen wird sogar die E-Mail-Kommunikation des befallenen Systems mitgeschnitten. Die so gewonnenen Informationen werden dann etwa für Social-Engineering-Angriffe verwendet.
Schutz ist möglich
Wie gegen andere Bedrohungen aus dem Cyberraum gibt es aber auch gegen die „Zombiearmeen“ geeignete Maßnahmen. Der Katalog der Präventionsoptionen umfasst unter anderem die regelmäßige Schulung und Sensibilisierung der Mitarbeiter hinsichtlich digitaler Bedrohungen, einen zeitgemäßen Schutz gegen schädliche E-Mails und Software und die proaktive Suche nach Infektionen.
Ein bereits eingetretener DDoS-Angriff erfordert hingegen reaktive Maßnahmen. Bei einer Offensive, der von einem kleinen Botnetz ausgeht, kann die eigene Unternehmens-IT gegensteuern. Bei größeren Angriffen müssen häufig externe Dienstleister einbezogen werden. Die versuchen ein Angriffsmuster zu identifizieren, um anschließend möglichst effektive Abwehrmaßnahmen anzuwenden.
Expertenhilfe anfordern
DDoS-Protection-Dienstleister können den Netzwerkverkehr der Kunden filtern. Hierfür müssen die Daten in Richtung des Dienstleisters umgeleitet werden. Der überträgt den Netzverkehr nach dem Filtern üblicherweise über einen unverschlüsselten Tunnel zurück zum Kunden.
Ob diese Maßnahmen implementiert sind oder nicht, hängt vor allem davon ab, wie gut der Überblick über das eigene Sicherheitsniveau ist. Es hat sich bewährt, regelmäßig selbst oder mit externen Experten das eigene „Cyber-Immunsystem“ und das Reaktionsniveau des eigenen Unternehmens zu beleuchten. Der Katalog möglicher Präventionsmaßnahmen ist zwar lang und detailliert, aber jeder richtige Schritt stärkt die Abwehrfähigkeiten.
Über den Autor: Michael Sauermann ist Partner bei KPMG Forensic Technology und unterstützt Mandanten bei der Bewältigung von IT-Sicherheitsvorfällen (Cyber Incident Response), IT-Forensik und beim Krisenmanagement.
(ID:44866845)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945969/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935877/original.jpg "Security-Expoerten schätzen, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 verdoppeln wird. Umso wichtiger ist es, dass Unternehmen die Gefahr erkennen und schon jetzt darauf reagieren. (© putilov_denis - stock.adobe.com)")