Cyberkriminelle verstehen

So werden Cyber-Attacken geplant und ausgeführt

| Autor / Redakteur: Christian Reuss / Peter Schmitz

Nur wenn Sicherheitsverantwortliche die Vorgehensweise und Denkweise von Cyberkriminellen kennen und verstehen können sie Abwehrmaßnahmen richtig planen.
Nur wenn Sicherheitsverantwortliche die Vorgehensweise und Denkweise von Cyberkriminellen kennen und verstehen können sie Abwehrmaßnahmen richtig planen. (Bild: Pixabay / CC0)

Moderne Cyberkriminelle sind selten im Staatsauftrag operierende Spione, Cyber-Ninjas mit Skimaske oder andere Stereotypen. In Wirklichkeit sind die meisten Angreifer ehemalige oder aktuelle IT-Mitarbeiter. Sie sind quasi bösartige Spiegelbilder von hoch qualifizierten, internen IT-Teams. Für Security-Experten ist es wichtig, den Mythos und die Realität zu trennen und anzufangen, sich in den Angreifer hineinzuversetzen.

Die Cyberkriminalität steigt immer weiter an und stellt für Unternehmen ein kostspieliges Risiko dar. Eine aktuelle Studie mit dem Titel „Tech Industry Doppelgangers: Campaign Innovation in The World of Cybercrime“ von 451 Research beziffert die Kosten, die einem Unternehmen für die Behebung von Malware entstehen, auf durchschnittlich 2.300 US-Dollar pro Infektion. Ist man mit einer solchen Bedrohung konfrontiert, stellt sich oft die Frage: „Wer steckt hinter diesen Angriffen? Warum haben sie es gerade auf mich abgesehen?”. Das Wort „Hacker” löst dabei viele stereotype Vorstellungen aus: in der Security-Branche wimmelt es nur so von oftmals widersprüchlichen Darstellungen des Internet-Hackers - vom bösartigen Genie in Diensten eines Staates bis hin zum gelangweilten Loser – „der 150 Kilo schwere Typ, der in seinem Keller vor dem Rechner hockt“ – sind alle mit dabei.

Die Wirklichkeit ist jedoch weitaus weniger spektakulär. Zwar dominieren aktuell staatliche Akteure und Cyberspionage die Schlagzeilen, und wahr ist auch, dass die mächtigsten Militärapparate der Welt offiziell über Cyber-Abteilungen verfügen. Doch die Schuldigen hinter DDoS-Attacken entsprechen weder dem Stereotyp des „Cyber-Ninja“ noch dem des „einsamen Wolfs“. Sie ähneln eher dem Durchschnitts-IT-Administrator, mit vergleichbaren Fähigkeiten. In der Tat haben viele Angreifer zuvor mit hoher Wahrscheinlichkeit legitim in der IT gearbeitet, bzw. arbeiten dort immer noch. Sie sind quasi IT-„Doppelgänger“ – bösartige Spiegelbilder von hoch qualifizierten, internen IT-Teams. Für die Wächter der Netzwerkinfrastruktur ist es wichtig, den Mythos und die profane Realität zu trennen und anzufangen, sich in den Angreifer hineinzuversetzen. Wenn man die Persönlichkeit des Gegners versteht und sein Geschäft durchschaut, kann man Abwehrmaßnahmen und Gegenmaßnahmen viel präziser gegen die typischen Werkzeuge, Techniken und Verfahrensweisen der Angreifer einsetzen.

Auf der Suche nach dem schnellen Geld

Eine weitere Binsenweisheit, die es sich zu hinterfragen lohnt, lautet: „Die Angreifer werden immer raffinierter“. Es stimmt zwar, dass die Angriffsmethoden immer komplexer geworden sind. Die Angreifer selbst jedoch verwenden oder kopieren häufig allgemein verfügbare Tools, die von Leuten entwickelt wurden, die ihnen weit überlegen sind. Angreifer haben eine gemeinsame Motivation: sie suchen nach maximalem Profit bei minimalem Aufwand. Sie nutzen alles, was billig, kostenlos oder schlichtweg verfügbar ist, solange es erwiesenermaßen funktioniert. Weshalb sollte man mit viel Zeitaufwand etwas Neues entwickeln oder neu erfinden, wenn es doch so viele Malware-Kits, wiederverwendbare Infrastruktur und Frameworks gibt, die bereits im Internet kursieren?

Diese Mentalität des „schnellen Geldes“ zeigt sich auch in der Art, wie sich die Angriffe verändern. Der Diebstahl von Kreditkartennummern und Identitäten verliert zunehmend seinen Reiz. Derlei krumme Dinge sind kompliziert auszuführen, und es dauert, bis sie Früchte tragen. Zudem übertrifft das Angebot an gestohlenen Daten die Nachfrage auf dem Schwarzmarkt bei Weitem. Im Gegensatz dazu befinden sich DDoS-Angriffe und automatisierte Ransomware-Attacken auf dem Vormarsch. Das liegt höchstwahrscheinlich daran, dass sie sich schnell und anonym monetarisieren lassen, insbesondere Dank des Siegeszug von Bitcoin und anderen sogenannten „digitalen Währungen“.

Das soll natürlich nicht heißen, dass die Angreifer deshalb weniger gierig, entschlossen oder methodisch in der Ausrichtung und Planung von Angriffen wären. Jedoch mangelt es ihnen in der Ausführung an Originalität, und Analysten, die sich mit Cyberbedrohungen auseinandersetzen, sind in der Lage, sowohl die zugrundeliegenden Angriffsmuster als auch die entsprechende Denkweise zu durchschauen. Hat sich eine Methode in der Vergangenheit bereits als erfolgreich erwiesen, wird sie von Angreifern auch weiterhin genutzt – das heißt, sie taucht immer wieder auf. Weiß man, wo man danach suchen muss, und wie man darauf reagieren sollte, findet man eine Menge Beweise für Angriffsaktivitäten in seiner Umgebung.

Versetzen Sie sich in den Angreifer hinein

Angreifer kundschaften ihre Opfer im Allgemeinen im Vorfeld aus, bevor sie einen Angriff ausführen. Dabei suchen sie nach öffentlich einsehbaren und frei verfügbaren Informationen, um Schwachpunkte zu finden, die sie für ihre Zwecke ausnutzen können. Als Verteidiger können Sie das ebenfalls tun. Inwieweit sind Sie exponiert? Auf wie viele verschiedene Wege sind Sie mit dem Internet verbunden? Wenn Sie im Netz nach Ihrer Organisation suchen - welche Ergebnisse erhalten Sie? Sind Überraschungen dabei? Sehen Sie sich Ihre Online-Präsenz aus dem Blickwinkel des Angreifers an, oder nutzen Sie einen externen Berater, der Ihnen verborgene Schwachpunkte aufzeigen kann.

Sobald Angreifer eine Schwachstelle erst einmal erfolgreich ausgenutzt haben, werden sie versuchen, eine Kommunikation nach außen herzustellen, und zwar über legitime Kanäle, um per Command and Control die Kontrolle zu übernehmen. Welche Kanäle sind das? Wie werden sie normalerweise verwendet? Beobachten Sie irgendwelche Auffälligkeiten in der Nutzung außerhalb der Norm? Als geschickte ITler nutzen Angreifer auch legitime Admin-Tools in Ihrem Netzwerk. Haben Sie die Möglichkeit, nachzuvollziehen, wie und vom wem diese Tools genutzt werden?

Innerhalb des Netzwerks legen sich die Angreifer oft wochen- oder monatelang auf die Lauer, bevor sie zuschlagen. Eins der wichtigsten Werkzeuge in jedem Wacharsenal ist heute die sogenannte „Post-Exploit Visibility“, also die Möglichkeit, den Datenverkehr im Netzwerk zu sehen und zu analysieren, um laufende Angriffe in Echtzeit zu erkennen und zu verifizieren. So lässt sich die durchschnittliche Zeit bis zur Erkennung, die sogenannte „Mean Time to Detection“, deutlich verkürzen. Diese ist die wahrscheinlich wichtigste Variable zur Vereitelung eines Angriffs, oder zumindest zur Eindämmung der angerichteten Schäden.

Beide Seiten sind in diesem Kampf mit hochentwickelten Technologien ausgerüstet, die dafür ausgelegt sind, dem Gegner stets ein Schnippchen zu schlagen. Die Verteidiger können sich hierbei einen Vorteil verschaffen, indem sie die zutiefst menschlichen Instinkte verstehen, die hinter digitalen Angriffen stehen. Dadurch verbessern sich die Möglichkeit einer Früherkennung und die Reaktionsfähigkeit, wenn tatsächlich ein Angriff erfolgt.

Über den Autor: Christian Reuss ist Sales Director DACH Arbor Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44930309 / Hacker und Insider)