:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Hacker im digitalen Goldrausch So schützen sich Unternehmen vor Cryptojacking
Cryptojacking ist immer noch ein lukratives Geschäft für Cyberkriminelle. Hierbei kapern Angreifer fremde IT-Ressourcen, um auf Kosten der Opfer unbemerkt Crypto-Währungen wie Monero oder Bitcoin zu schürfen. Jede neue Währungseinheit basiert dabei auf dem Lösen eines komplexen mathematischen Problems, das enorme Rechenleistung in Anspruch nimmt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Für Unternehmen haben Cryptojacking-Angriffe nicht nur erhöhte Stromkosten, sondern auch mögliche IT-Ausfallzeiten, Hardware-Ausfälle und Produktivitätsverluste zur Folge. Dabei kann die Gefahr nicht nur von externen Angreifern, sondern auch von böswilligen Insidern ausgehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1444100/1444118/original.jpg "Seit Kryptowährungen immer wertvoller werden, interessieren sich Cyberkriminelle immer mehr für das Schürfen mit eigenen Bot-Armeen. (Pixabay)")
Problemfeld Kryptowährungen
Maßnahmen und Prozesse gegen Crypto-Miner
Externe Bedrohung Cryptojacking
Der Begriff „Cryptojacking“ bezeichnet eine externe Bedrohung, bei Hacker beispielsweise Nutzerkonten kompromittieren, um heimlich Crypto-Währungen über die IT-Ressourcen einer Organisation zu schürfen. Mögliche Infektionswege sind etwa Mitarbeiter, die Opfer von Angriffen wie Phishing, Clickbait oder Drive-by werden. Weitere Gefahrenquellen können kostenlose Software, Video-Streaming-Websites und File-Sharing-Netzwerke darstellen, die Computer von Benutzern unbemerkt für Cryptomining missbrauchen. Eine weitere Methode von Cyberkriminellen ist das Kapern einer gesamten Infrastruktur: Diese Aktionen können über längere Zeit unbemerkt bleiben, da beim Cryptomining nicht viel Datenverkehr erzeugt wird und eine relativ hohe Belastung von Servern in Rechenzentren in der Regel unauffällig ist.
Shadow-Mining: Die Gefahr im Inneren
Gefährdet ein böswilliger Insider die Ressourcen seiner eigenen Organisation, um heimlich Crypto-Währungen rechnen zu lassen, spricht man auch von „Shadow-Mining“, einer Form der Shadow IT. Insider können zum Beispiel Mitarbeiter sein, die Zugriff auf sehr leistungsstarke Computersysteme haben und diese außerhalb der Dienstzeiten für das Schürfen von Crypto-Währung missbrauchen. Im kleineren Stil kann ein Mitarbeiter auch Cryptomining-Software auf seinen Rechner herunterladen und diese nur im Leerlauf des Computers ausführen. Hierbei legitimieren Täter ihr Verhalten damit, dass sie ihren Rechner nur für Cryptomining nutzen würden, wenn er sonst nicht in Gebrauch ist.
Die Täter sind beim Shadow-Mining darauf angewiesen, Sicherheitssysteme bewusst so zu konfigurieren, dass sie fehlerhaft funktionieren. Die illegal eingeführte Mining-Software verbraucht damit nicht nur zusätzliche Ressourcen, sondern macht betroffene Rechner auch weniger zuverlässig und erhöht die Angriffsfläche für externe Bedrohungen.
Warnzeichen für illegales Cryptomining
Cryptomining verschlingt enorme Energiemengen. Doch der Stromverbrauch eines Unternehmens hängt von vielen Faktoren ab, etwa von der Anzahl der verbauten CPUs und GPUs in Rechnern, der Häufigkeit und Intensität der Nutzung jeweiliger Rechner und variabler Kühlkosten. Daher ist es schwierig, Angriffe allein daran zu erkennen.
:quality(80)/images.vogel.de/vogelonline/bdb/1413900/1413925/original.jpg "Crypto-Mining durch Mitarbeiter oder Cyberkriminelle schadet Unternehmen durch erhöhte Energiekosten und verkürzte Lebensdauer der Hardware aufgrund der hohen CPU-Last. (Pixabay)")
Unerwünschtes Crypto-Mining
Cryptojacking erkennen und stoppen
Eine bessere Methode, um Cryptojacking und Shadow-Mining aufzuspüren, ist die Überwachung und Analyse des Nutzerverhaltens, da Cryptomining deutliche Abweichungen der üblichen Nutzung eines Rechners oder Servers auslöst. Warnzeichen sind zum Beispiel die plötzliche Änderung in Kapazität oder Nutzung sowie anormale ausführbare Dateien. Gleiches gilt für plötzliches, nächtliches Auftreten einer ungewöhnlichen ausführbaren Datei in einer Umgebung, die normalerweise nur EXCHANGE.EXE oder NTDS.EXE ausführt, oder ein Rechner, der sonst nur tagsüber in Betrieb ist, aber nun rund um die Uhr im Einsatz ist.
Entity Analytics zur Abwehr von Cryptojacking
Bestimmte Benchmarks in einer Produktionsumgebung stellen sicher, dass der ordnungsgemäße Service aufrechterhalten wird. Gibt es Abweichungen von diesen Benchmarks, kann dies ein Anzeichen für Cryptojacking sein. Jedoch ist es für IT-Teams zu zeitaufwändig, kompliziert und mühsam, ihre Infrastruktur manuell nach Anomalien abzusuchen. Um verdächtiges Verhalten zu erkennen, kann jedoch das normale Verhalten jedes einzelnen Hosts anhand von laufenden Prozessen, Verbindungen nach Außen und genutzter Kapazität sowie Auslastung modelliert werden. Sicherheitslösungen, die Entity Analytics nutzen, können hier automatisch ungewöhnliche Aktivitäten von Rechnern erkennen und schlagen Alarm, wenn ein Server von seinem üblichen Verhalten abweicht.
Schätzungen zufolge liegt der aktuelle globale Stromverbrauch für Server, auf denen Bitcoin-Software läuft, bei mindestens 2,55 Gigawatt, was einem Stromverbrauch von 22 Terawattstunden (TWh) pro Jahr entspricht. Aufgrund des massiven Energieverbrauchs werden Kriminelle kontinuierlich nach Möglichkeiten suchen, Crypto-Währungen abzubauen, ohne selbst dafür die Kosten zu tragen. Für Unternehmen wird Cryptojacking und Shadow-Mining auch in naher Zukunft ein Problem bleiben. Jedoch bieten moderne Sicherheitslösungen, die Entity Analytics nutzen, eine effektive Möglichkeit für IT-Teams, um Cryptojacking und Shadow-Mining aufzuspüren und zu verhindern.
Über den Autor: Egon Kando ist Sales Director Ost- und Zentraleuropa bei Exabeam.
(ID:45909529)
:quality(80)/p7i.vogel.de/wcms/ac/e6/ace600a66b6df728ffb1be3a9bf8be64/0107990544.jpeg "Mithilfe von Shadow Domains können Cyberkriminelle lange Zeit unauffällig operieren. (Bild: © – BillionPhotos.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/ee/73ee02c5393a143bee940c27e479712f/0110646639.jpeg "Mirai ist eine Linux-Schadsoftware zum Aufbau von Bot-Netzen bestehend aus IoT-Geräten. (Bild: gemeinfrei)")