:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Attribution von Cyberangriffen Die Urheber von Cyberangriffen erkennen
Informationskriege und DeepFake-Generatoren haben gezeigt, wohin das Grundprinzip der Anonymität im Internet führen kann. Trotz ihrer Unzulänglichkeiten ist die korrekte Attribution von Angriffen der einzige Weg, die Täter zu identifizieren und dingfest zu machen. Wer hinter einer Attacke steckt und wie die Angreifer vorgegangen sind – all das liefert wichtige Hinweise. Eine potenzielle Quelle vorschnell zu benennen birgt allerdings Risiken.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Das Internet basiert auf dem Prinzip der Anonymität. Abgesehen davon, dass dieses Prinzip für Cyberkriminelle und Terroristen nachgerade ein Segen ist, wurde es lange Zeit als der Preis angesehen, den wir für die Grundlagen der Demokratie zahlen müssen: Vertraulichkeit und freie Rede. Dieser Glaube ist allerdings in den letzten Jahren schwer erschüttert worden. Die Ausbreitung von regelrechten Informationskriegen auf Basis gezielter Falschmeldungen, den sogenannten Fake News, und massenhaft verfügbare DeepFake-Generatoren haben gezeigt, wo uns das Prinzip der Anonymität schlimmstenfalls hinführt. Trotz bestehender Unzulänglichkeiten ist mithin die korrekte Attribution von Angriffen der einzige Weg, die Täter zu identifizieren und dingfest zu machen.
:quality(80)/images.vogel.de/vogelonline/bdb/1519900/1519943/original.jpg "Zero-Day-Angriffe muss man mit viel Wissen und den richtigen Tools zur Erkennung der Angriffe und zur Behebung der Schwachstellen begegnen. Unser neues eBook hilft dabei! (BigNazik - stock.adobe.com)")
Neues eBook „Zero-Day-Angriffe“
Licht ins Dunkel bei Zero-Day-Schwachstellen
Das „Wer“ und „Wie“ eines Angriffs
Wir haben es heute nicht mehr mit „dem“ Typus eines Angreifers zu tun. Es existiert eine breite Palette von potenziellen Angreifern: solche, die in nationalstaatlichem Auftrag handeln, Kriminelle und Terroristen, Hacktivisten, die sattsam bekannten Script Kiddies und nicht zu vergessen Innentäter. Die Angreifer unterscheiden sich durch die ihnen zur Verfügung stehenden Fähigkeiten und Methoden, die Persistenz in einem Netzwerk (unerkannt) zu verbleiben und vor allem durch ihre Ziele. Zu wissen „wer“ hinter einer Attacke steckt, liefert Anzeichen für die möglichen Ziele oder das „Was“ auf das es Angreifer abgesehen haben. Aber auch die Methoden, die Art und Weise „wie“ die Angreifer vorgegangen sind, sogar „wo“ welche Stellen in einem Netzwerk betroffen sind und welche verdeckten Kommunikationskanäle benutzt wurden – all das liefert wichtige Hinweise.
Wer in der aktuellen Bedrohungslandschaft überleben will muss sich, ob er will oder nicht, damit auseinandersetzen, wer der mögliche Urheber eines Angriffs ist und wie man ihn identifizieren kann. Erst mithilfe dieses Wissens kann man die Reaktion auf Sicherheitsvorfälle entsprechend ausrichten. Das gilt prinzipiell für jedes Unternehmen genauso wie für einen Nationalstaat. Man muss wissen wie man die bestehenden Lücken schließen kann, wenn man die Verteidigungsmaßnahmen wirksam gestalten will, was zu tun ist, um die möglicherweise betroffenen Werte wiederherzustellen, wie man den Schaden effektiv kontrolliert und wo genau man die betroffene Umgebung wieder in einen sicheren Betriebsstatus bringen muss. Vorausgesetzt man kann sich das leisten, denkt man vielleicht sogar an eine Gegenoffensive, sollte gesichert bekannt sein wer der Urheber des Angriffs ist.
Was es so schwierig macht die Urheber von Cyberattacken zu identifizieren
Traditionell basiert die Attribution von Angriffen auf den „Indicators of Compromise“ (IOCs), die man während einer forensischen Analyse vorfindet. Der Begriff Indicator of Compromise wird in der Computerforensik für Daten verwendet, die in einem möglicherweise kompromittierten System gefunden wurden. Dabei handelt es sich zum Beispiel um einzelne Dateien oder nur um Protokolldaten, die auf böswillige Aktivitäten in einem System oder Netzwerk hinweisen, und die dann in Form eines IOCs dokumentiert werden. Dabei kann man verschiedene Formate unterscheiden. Typische IOCs sind beispielsweise die Hashwerte von Malware-Dateien, Virensignaturen sowie die Domänennamen oder IP-Adressen der Command-und-Control-Server (C&C). Die IOCs werden anschließend mit den „Tactics, Techniques and Procedures“ (TTPs) bekannter Bedrohungsakteure abgeglichen. Mit den sich verbessernden Verteidigungsmaßnahmen hat allerdings auch die andere Seite den Einsatz erhöht. Dazu gehören vielfältige Methoden Schadcode zu verschleiern, die Entwicklung polymorpher Malware, also solcher Viren, Würmer, Trojaner oder Spyware, die sich ständig verändern oder solche, die gänzlich ohne Dateien auskommt. Eine derart dynamische Angriffsinfrastruktur und vermischte, nicht selten verschlüsselte Datenströme machen statische IOCs ziemlich wirkungslos.
Eine wirksame Verteidigung muss sich folglich den TTPs zuwenden und dabei die Modelle der Benutzerverhaltensanalyse nutzen. Hinweise wie Sprachanzeichen im kompilierten Code, Dateimodifikationen der Zeitzone oder ein versehentlich weiterhin bestehender Zugriff von der IP auf den C&C-Server lassen Rückschlüsse auf die Identität der tatsächlichen Angreifer zu. Die Situation wird allerdings um einiges komplizierter, wenn Angreifer die Taktiken anderer Gruppierungen imitieren. Beispielsweise um die Schuld auf andere abzuwälzen und um eigene Wege der Nachrichtenbeschaffung zu verbergen. Oder man segelt unter falscher Flagge um eine direkte Konkurrenz auf diesem Wege auszuschalten.
Zwei weitere Probleme mit denen man es zu tun bekommt sind die Latenzzeiten bis man überhaupt erkennt, dass ein Angriff stattgefunden hat und die mangelnde Sichtbarkeit. Eine massive DDoS-Attacke lässt sich kaum übersehen. Anders ist das bei Datenschutzverletzungen oder sogenannten „Low-and-Slow“-APT-Angriffen. Sie bleiben nicht selten monatelang (oder länger) unbemerkt. Das gibt den Angreifern ausreichend Zeit erbeutete Vermögenswerte zu veräußern, die Angriffsinfrastruktur zu verschlüsseln und sämtliche Spuren des Eindringens zu verwischen.
Nur wenige Organisationen haben derart ausgereifte Überwachungskapazitäten solche Angriffe rechtzeitig zu erkennen. Und noch weniger verfügen über Incident-Response-Programme, die wendig genug sind, Angreifer zu fassen, die sich bereits aus dem Staub gemacht haben. Die verzögerte Sichtbarkeit hat einige Gründe. Das sind etwa Lücken bei der Überwachung, eine unzureichende Datenprotokollierung, absichtlich bereinigte Protokolldaten oder eine zu häufige Protokoll-Rotation. Letztere erschwert durch die Latenzzeiten bei der Aufdeckung. Selbst wenn Sicherheitsforscher verwertbare Spuren finden, die möglicherweise zur Quelle des Angriffs führen, so sind diese längst nicht immer eindeutig. Sie führen möglicherweise zu mehr als einem Urheber. Das kann daran liegen, dass die Angreifer Tools oder Komponenten anderer Akteure verwendet haben, oder daran, dass es sich um überlappende Angriffe unterschiedlicher Urheber auf dasselbe Ziel handelt.
:quality(80)/images.vogel.de/vogelonline/bdb/1487100/1487194/original.jpg "Cyberkriminelle professionalisieren sich immer mehr. Cybercrime wird inzwischen auch als Service angeboten und lassen sich leicht über Online-Plattformen beauftragen und bezahlen. (sdecoret - stock.adobe.com)")
Neues eBook „Cybercrime as a Service“
Cyber-Attacken für jedermann auf Bestellung
Die Gefahren einer überstürzten Attribution
Wir alle kennen reflexartig getroffene Äußerungen zur potenziellen Urheberschaft eines Angriffs, die sich bei näherer Betrachtung als falsch herausgestellt haben. Peinlich für den Betreffenden. Eine unrichtige Attribution birgt die Gefahr den falschen Akteur für etwas zu belangen, das dieser nicht getan hat. Selbst wenn es sich bei dem oder den Betreffenden nicht um ein unbeschriebenes Blatt handelt. Es gibt noch eine weitere Gefahr. Unter Umständen veröffentlicht man gleichzeitig Hinweise oder offenbart die eigene Methode. Das wiederrum gibt dem tatsächlichen Verursacher vielleicht die Gelegenheit seine Spuren zu verwischen. Und noch eins. Wenn man sich vorschnell auf einen möglichen Urheber festlegt, übersieht man worin das eigentliche Ziel des Angriffs liegt. So dient die Verunstaltung einer Webseite möglicherweise dazu, einen für den Fernzugriff auf dem Server eingerichteten Tunnel zu verschleiern. Ein Tunnel, der auch zukünftig den Remote-Zugriff gestattet und damit weitere Datenschutzverletzungen erlaubt. Oder eine DDoS-Attacke überrennt die Verteidigungsmechanismen der Systeme um an anderer Stelle unbemerkt Daten abzuziehen.
Künstliche Intelligenz, ein wirksames Gegenmittel?
Künstliche Intelligenz (KI) und speziell ihre Untergruppe das maschinelle Lernen (ML) hat das Potenzial, die Urheber von Cyberattacken tatsächlich präziser zu ermitteln. Die Technologie ermöglicht es, deutlich höhere Zahlen von Angriffsindikatoren zu analysieren und Muster zu erkennen, die bei einer manuellen Analyse durch den Menschen verborgen bleiben würden. Die Methode hat ihren Preis. Um hier fündig zu werden, muss man Unmengen solcher Indikatoren erkennen und sammeln, und das über unterschiedliche Ziele hinweg. Der Erfolg hängt zudem ganz wesentlich von früheren Ergebnissen ab, die benutzt werden um das System zu trainieren. Wenn man dann noch davon ausgehen muss, dass die Identifikationsrate selbst unter diesen Voraussetzungen immer noch nicht zu 100 Prozent verlässlich ist, werden sich selbst große und sicherheitsbewusste Konzerne gegen KI entscheiden. Einfach, weil es zu aufwendig und zu wenig kosteneffizient ist, künstliche Intelligenz an dieser Stelle einzusetzen.
Dazu kommt, das ist nur der erste Schritt innerhalb des Prozesses. Man kommt nicht umhin offensive Maßnahmen einzuziehen, um Kollateralschäden im Falle einer unpräzisen Attribution zu verhindern. Diese Antwort muss in Rechnergeschwindigkeit erfolgen um die attackierenden Knoten zu treffen bevor sie über dynamische Adressenschemata verschlüsselt werden. Dieser Prozess muss also zwangsläufig automatisiert ablaufen.
Selbst großen Unternehmen fehlen die Transparenz und die notwendigen Ressourcen für eine effektive Offensive. Betreiber von Cloud-Plattformen hingegen verfügen über entsprechende Skalierbarkeit und Fähigkeiten. Provider können die Daten aus der gesamten Cloud mit den applikationsspezifischen Daten ihrer Kunden konsolidieren, und sie haben die Kapazitäten das Ergebnis mit modernen KI-getriebenen Analysetools zu integrieren. Beides zusammen treibt die Genauigkeitsrate, zu ermitteln wer für einen Cyberangriff verantwortlich ist, an einen Punkt, an dem eine effektive Offensive gegen vertrauliche Ziele planbar wird. Der öffentliche Sektor kann in diesem Prozess Hilfestellung leisten indem er beispielsweise Angriffsindikatoren der wichtigsten Akteure zusammenführt und um nachrichtentechnische, elektronische Aufklärung sowie OpenSource-Tools ergänzt. Die wichtigste Rolle einer Regierung wäre das Durchführen einer Offensive um private Unternehmen vor den zu erwartenden juristischen und politischen Rückschlägen abzuschirmen. Nur eine Regierung ist zudem in der Lage eine breite Palette von offensiven Antworten zentral zu koordinieren, von der Cyberabwehr über diplomatische Maßnahmen bis hin zu wirtschaftlichen Sanktionen.
Wer in der aktuellen Bedrohungslandschaft überleben will, für den sollte es zu den Top-Prioritäten gehören die Urheber von Cyberattacken zu identifizieren. Zu wissen, wer einen angegriffen hat, bietet Einsichten in das „warum“ jemand angegriffen wurde und mit welchem Ziel. Nicht zuletzt hilft dieses Wissen, die Verteidigungsmaßnahmen zu verbessern und zukünftige Angriffe zu verhindern.
Über den Autor: Igor Baikalov hat über 25 Jahre Erfahrung in der Datenanalyse und der Anwendungsentwicklung – und das in Bereichen, die von der strukturellen Biologie über die Bioinformatik bis hin zu Insider-Bedrohungen und Risikoanalyse reichen. Baikalov ist Chief Scientist bei Securonix, einem Spezialisten für Security Analytics und Intelligence. Dort verantwortet er die Cybersicherheitsforschung und Bedrohungsanalyse zur Entwicklung adaptiver, risikobasierter Modelle. Zur innovativen Analyse des Benutzerverhaltens werden maschinelles Lernen und verschiedene Technologien zum Aufdecken von Anomalien genutzt. Baikolov ist Autor von inzwischen 9 wissenschaftlichen Publikationen, und er hält 15 kommerzielle Patente.
(ID:45900904)
:quality(80)/images.vogel.de/vogelonline/bdb/1935900/1935901/original.jpg "Wir ziehen Bilanz von REvil, einer der bis zu ihrer Zerschlagung erfolgreichsten Ransomware-as-a-Service-Kampagnen. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930300/1930320/original.jpg "DDoS-Attacken treffen die Achillesferse der globalen IT-Sicherheit. (Pablo Lagarto - stock.adobe.com)")