Cyberkriminelle vs. Unternehmen

Weltweiter Kampf gegen Hacker-Angriffe

| Autor / Redakteur: Gerhard Giese / Peter Schmitz

Der Kampf gegen das weltweite Hacking ist bei weitem nicht verloren. Aber Unternehmen müssen das Problem endlich kompetent und tatkräftig angehen.
Der Kampf gegen das weltweite Hacking ist bei weitem nicht verloren. Aber Unternehmen müssen das Problem endlich kompetent und tatkräftig angehen. (Bild: gemeinfrei / Pixabay)

Weltweit nehmen die Angriffe auf Unternehmen und Institutionen in Form von Sabotage, Datendiebstahl oder Spionage zu. Ein Grund dafür sind die immer besser werdenden Hacking-Tools, die zur Verfügung stehen und Angriffe erfolgreicher und lukrativer machen.

Neben den immer besseren Werkzeugen kommen dazu auch immer fähigere Hacker, die gezielt methodisch ausgearbeitete Angriffe ausführen, gegen die viele Unternehmen aufgrund fehlender Sensorik und Mitigations-Methodik nicht konsequent und schnell genug vorgehen können. Zusätzlich ordnen viele Unternehmen dieser Gefahr nicht die oberste Priorität zu und glauben, dass sie mit ihrer Firewall ausreichend geschützt wären.

Dreiviertel aller Unternehmen in Deutschland sind betroffen

Das Resultat ist extrem kostspielig: Laut Bitkom entsteht der deutschen Wirtschaft durch Sabotage, Datendiebstahl oder Spionage jährlich ein Gesamtschaden von 102,9 Milliarden Euro. Der Schaden ist damit fast doppelt so hoch wie noch vor zwei Jahren (2016/2017: 55 Milliarden Euro p.a.). Drei Viertel der Unternehmen (75 Prozent) waren in den vergangen beiden Jahren von Angriffen betroffen, weitere 13 Prozent vermuten dies. In den Jahren 2016/2017 wurde nur jedes zweite Unternehmen (53 Prozent) Opfer.

Jedes fünfte Unternehmen (21 Prozent) berichtet aktuell, dass sensible digitale Daten abgeflossen sind, bei 17 Prozent wurden Informations- und Produktionssysteme oder Betriebsabläufe digital sabotiert. Bei jedem achten Unternehmen (13 Prozent) ist die digitale Kommunikation ausgespäht worden. Weiter auf dem Vormarsch ist Social Engineering. Dabei werden Mitarbeiter so manipuliert, dass sie sensible Informationen beispielsweise über einen vermeintlichen Anruf der internen IT preisgeben, so dass in einem nächsten Schritt Schadsoftware auf die Firmenrechner gebracht werden kann. Mehr als jedes fünfte Unternehmen (22 Prozent) war davon analog betroffen, 15 Prozent digital.

Hacker werden immer besser

Weltweit gab es beispielsweise im November 2017 bis Ende Juni 2018 30 Milliarden Credential-Stuffing- Angriffe. Bei jedem dieser Angriffe versuchte eine Person oder ein Computer, sich mit einem gestohlenen oder generierten Nutzernamen und Passwort bei einem Konto anzumelden. Die überwiegende Mehrheit dieser Angriffe wurden von Botnets oder All-in-One-Anwendungen (AIO) ausgeführt. Botnets sind Gruppen von Computern oder IOT Geräten, über die verschiedene Befehle ausgeführt werden. Sie können angewiesen werden, Konten zu finden, die für den Zugriff durch eine andere Person als den Kontoinhaber anfällig sind. Dies wird als Kontoübernahme (Account Takeover, ATO) bezeichnet. AIO-Anwendungen ermöglichen Angreifern, die Anmeldung oder den ATO-Prozess zu automatisieren. Sie sind die wichtigsten Tools für Kontoübernahmen und Datensammlung.

„Phishing – Am Haken“

Die Kriminelle ergänzen vorhandene gestohlene Anmeldedaten durch Phishing. Sie machen diese Daten zu Geld, indem sie Konten kompromittieren oder die von ihnen erstellten Listen weiterverkaufen. Dabei gehen die Angreifer immer professioneller vor: Unter Verwendung sogenannter Phishing-Kits konzentrieren sich Cyberkriminelle bei ihren organisierten und komplexen Aktionen auf die globalen Top-Marken verschiedenster Branchen sowie auf deren Nutzer. Phishing-Kits sind vorgefertigte Tools, die es mithilfe von Webdesignprogrammen, Platzhalterinhalten sowie Massen-E-Mails oder anderer Verteilungssoftware erleichtern, Betrugskampagnen zu erstellen.

Während des Beobachtungszeitraums waren folgende Branchen besonders stark betroffen:

  • Mit 6.035 Domains und 120 Kit-Varianten zielten die meisten Phishing-Attacken auf die Hightech-Branche ab.
  • Am zweithäufigsten wurde der Bereich Finanzdienstleistungen mit 3.658 Domains und 83 Kit-Varianten angegriffen.
  • E Commerce (1.979 Domains, 19 Kit-Varianten) und
  • Medien (650 Domains, 19 Kit-Varianten) standen ebenfalls weit oben auf der Liste.

Der Erfolg bestimmter Hacking-Vorgehensweisen führt zudem dazu, dass sie auch auf andere Felder ausprobiert werden. So ist Phishing heute nicht mehr nur eine E Mail-basierte Bedrohung, sondern auch adressiert auch Social Media und mobile Geräte. Da sich die Angriffsmethoden weiterentwickeln, entstehen neue Techniken, etwa für Attacken auf geschäftliche E Mails (Business E Mail Compromise, BEC). Laut dem FBI führten allein BEC-Angriffe zwischen Oktober 2013 und Mai 2018 zu weltweiten Verlusten von mehr als 12 Milliarden US-Dollar.

  • Microsoft, PayPal, DHL und Dropbox sind die am häufigsten attackierten Marken im Bereich Phishing.
  • 21,88 Prozent der angegriffenen Domains gehörten dabei zu Microsoft (3.897 Domains und 62 Kit-Varianten).
  • Auf PayPal entfielen 9,37 Prozent (14 Kit-Varianten).
  • DHL lag bei 8,79 Prozent (7 Kit-Varianten) und
  • Dropbox bei 2,59 Prozent (11 Kit-Varianten).

Aber wie die Daten der Bitkom zeigen, gibt es heute kaum mehr ein Unternehmen, das nicht betroffen ist.

Die Finanzbranche ist besonders betroffen

50 Prozent aller Einzelunternehmen, die von den beobachteten Phishing-Domains betroffen waren, stammen aus dem Finanzdienstleistungssektor. Allein zwischen dem 2. Dezember 2018 und dem 4. Mai 2019 wurden fast 200.000 Phishing-Domains entdeckt. Inzwischen hat sich eine ganze Branche entwickelt, die Finanzdienstleister und ihre Kunden zum Ziel hat. 94 Prozent der beobachteten Angriffe auf den Finanzdienstleistungssektor haben eine von vier Methoden verwendet:

  • SQL Injection (SQLi),
  • Local File Inclusion (LFI),
  • Cross-Site Scripting (XSS) und
  • OGNL Java Injections.

OGNL Java Injections haben mehr als 8 Millionen Versuche im Berichtszeitraum ausgemacht. Bekannt wurden sie durch die Sicherheitslücke in Apache Struts und werden von Angreifern auch noch Jahre nach der Veröffentlichung von Patches verwendet. Einen spannenden Einblick in die weltgrößten Hacks bietet die Website „Information is beautiful“.

Der Kampf gegen das Hacking ist nicht verloren

Ist der Kampf gegen das Hacking verloren? Muss man Hacking wie ein Naturphänomen einfach hinnehmen? Die Antwort ist eindeutig: Nein. Der Kampf kann nicht nur erfolgreich sein, er lohnt sich auch finanziell, denn die Kosten von Angriffen sind hoch, insbesondere von Bot-gesteuerten Credential Stuffing Angriffen, die auf die Übernahme von Kundenkonten abzielen und oft im Online-Betrug enden. Kompromittierte Kundenkonten durch betrügerische Anmeldeversuche führen – neben einem immensen Imageschaden und Reputationsverlust – zu:

  • Kosten der tatsächlichen Betrugstransaktionen, die von gehackten Konten ausgeführt werden
  • Wiederherstellungskosten der Kundenkonten
  • Kosten durch verlorenen Kundenwert (es gilt die Faustregel, dass 20 Prozent der betroffenen Kunden den Anbieter wechseln)

Dagegen können sich Unternehmen und Institutionen schützen. Zum Beispiel im Kampf gegen Bots mit einer Bot-Management-Lösung:

  • Verwendung von neuen und fortschrittlichen Bot-Erkennungstechnologien, um komplexere Bots auch nach etwaiger Weiterentwicklung zu finden
  • Frühe Mitigation in der Cloud, um Traffic-Anstiege abzufangen, die sonst die Anmeldeinfrastruktur überlasten könnten
  • Verwendung von präzisen Erkennungsalgorithmen, um die Erlebnisse legitimer Nutzer nicht zu beeinträchtigen
  • Einsatz von non-invasiver Erkennung von menschlicher Eingabe für Login-Seiten sowie für Ihre gesamte Website, um die Belästigung der regulären Nutzer so gering wie möglich zu halten
  • Durchführung von fortschrittlichen und bedingungsabhängigen Aktionen, mit denen der Bot-Traffic nicht nur blockiert, sondern auch bewältigt werden kann

Eine Transparenz bei den Onlinebedrohungen kann erzeugt werden, wenn das Bot-Management-Tool in die allgemeine Websicherheitsstrategie integriert ist. Eine umfassende Web-Applikations-Sicherheitslösung umfasst eine WAF, den Schutz vor DDoS-Angriffen (Distributed Denial of Service) und Bot-Management-Tools. Ein Trafficanstieg beispielsweise, der den Login-Server außer Gefecht setzt, mag zunächst ausschließlich wie ein DDoS-Angriff erscheinen. Häufig fehlt hier die Möglichkeit einer schnellen Datenprüfung bis in die Applikationsebene. Ist jedoch DDoS-Schutz und Bot-Management kombiniert vorhanden, dann bleibt die Verfügbarkeit gewahrt, während zusätzlich weitere mögliche Gefahrenpotentiale überprüfbar, sichtbar und steuerbar werden, beispielsweise ein Anstieg der Anmeldeanfragen aufgrund von Credential Stuffing.

Mit integrierten Oberflächen für DDoS-Schutz, WAF und Bot- Management gewinnen Unternehmen Einblicke in verdächtige Aktivitäten über alle Ebenen hinweg. Und mithilfe einer zentralen Kontrolle und Steuerung hilfreicher Bots, wie beispielsweise Suchmaschinen-Crawler, können Onlineaktivitäten effizienter verwaltet werden. Bei einem Angriff können alle Angriffsvektoren über eine zentrale Quelle abgerufen und damit das Problem schneller behoben werden.

Der Kampf gegen das Hacking ist bei weitem nicht verloren. Doch es hängt viel an der Verantwortung der Unternehmen, endlich das Problem kompetent und kräftig anzugehen, denn erfolgreiche Angriffe schaden nicht nur ihnen selbst, sondern auch Mitarbeitern und Kunden und letztlich gar unserer Gesellschaft.

Über den Autor: Gerhard Giese ist Manager des Enterprise Security Teams bei Akamai. Mit über 20 Jahren Erfahrung im IT-Sicherheitssektor bietet er mit seinem internationalen Team aus Spezialisten technische Beratung für Lösungen zur Web- und Rechenzentrums-Sicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46390503 / Hacker und Insider)