DDOS-Attacke, SQL-Injection oder Brute-Force-Angriff – die Methoden von Hackern werden immer zielgerichteter und gewiefter, denn dahinter steht eine lukrative Schattenwirtschaft. Wir stellen gängige Angriffsmethoden aus der Cyberwelt vor und zeigen Ihnen, wie Sie Angreifern künftig einen Schritt voraus sein können:
Cyberangriff: Was ist das?
IT-Sicherheitsexperten sprechen von einem Cyberangriff oder einer Cyberattacke, wenn sich Hacker oder Hackerbanden für kriminelle Vorhaben wie Datendiebstahl, Industriespionage oder Lösegelderpressung unbefugten Zugang zu einem oder mehreren IT-Systemen verschaffen. Dabei setzen Cyberkriminelle Trojaner, Viren, Würmer und viele weitere trickreiche Methoden ein, bei denen Antivirenscanner und Firewalls an ihre Grenzen stoßen.
Generell kann jeder vernetzte Rechner zum Ziel werden, da Cyberangriffe – wie der Begriff schon suggeriert – im Cyberraum passieren. Längst agieren die Täter von nahezu jedem Ort der Welt, wodurch es ihnen besonders gut gelingt, die eigenen Spuren im Netz zu verwischen. Mintunter werden die kriminellen Machenschaften auch auf die reale Welt ausgeweitet – wenn Hacker beispielsweise verseuchte Speichermedien gezielt in Unternehmen einschleusen, um Systeme zu infiltrieren.
Wer steckt hinter Cyberattacken auf Unternehmen?
„Cyberkriminalität läuft in zwei Parallelwelten ab“, sagt Matthias Nehls, Geschäftsführender Gesellschafter und Gründer der Deutschen Gesellschaft für Cybersicherheit (DGC). „Da sind zunächst jene Angreifer, die per Massenabfertigung möglichst viele Rechner mit Schadsoftware infizieren wollen, um vertrauliche Daten abzugreifen und diese im Darknet zu verkaufen.“ Je nach Qualität wird bis zu 20 Dollar pro Datensatz gezahlt – ein lukratives Geschäft angesichts der großen Datenmengen. „Ransomware steht heutzutage sogar als mietbarer Service zur Verfügung, dahinterstehende Hackergruppen lassen sich an den kriminellen Erfolgen ihrer Kunden beteiligen“, so Matthias Nehls. Mithilfe dieser Schadprogramme – auch Verschlüsselungstrojaner, Erpressungstrojaner oder Kryptotrojaner genannt – werden gesamte Unternehmen lahmgelegt, um für die Freigabe der IT-Systeme Lösegeld zu fordern.
Demgegenüber stehen professionelle Hacker, von denen ein noch größeres Schadenspotenzial für Unternehmen ausgeht: „Diese Angreifer gehen hochstrategisch vor und wählen ihr Ziel mit Bedacht. Greifen sie an, bleiben sie meist lange unentdeckt, da sie einen geringen digitalen Fußabdruck in den Systemen hinterlassen“, sagt Matthias Nehls. Durchschnittlich dauert es 207 Tage, bis eine Cyberattacke auffällt – viel Zeit, um kriminelle Ziele zu verfolgen. Diese reichen von dem Ausspionieren von Geschäftsgeheimnissen über die Manipulation von Finanzströmen bis zum Agieren an Finanzmärkten auf der Basis vertraulicher Vorstandsinformationen.
Hacker: Gängige Tools und Taktiken
Für Unternehmen zahlt es sich aus, über aktuelle Methoden der Cyberkriminellen informiert zu sein und sich entsprechend zu wappnen: Neben Social Engineering Angriffen, die zur manipulativen Informationsbeschaffung auf Mitarbeitende zugeschnitten werden und Methoden wie Phishing, CEO-Betrug oder Köderversuche (Baiting) umfassen, gibt es zahlreiche weitere durchdachte Taktiken. Wir stellen sechs gängige vor:
Man in the Middle (MitM)
Bei einer Man-in-the-Middle-Attacke schaltet sich ein Hacker in den Datenverkehr zweier oder mehrerer Kommunikationspartner ein. Meist handelt es sich hierbei um das System des Opfers und eine verwendete Ressource im Internet. Unbemerkt wird der Datenfluss umgelenkt: Um die gesamte Kommunikation einzusehen oder zu manipulieren, täuscht der Angreifer vor, der jeweilige Gegenüber zu sein. So werden verschlüsselte Passwörter, Benutzernamen oder Bankdaten offengelegt, ohne dass das Opfer davon erfährt.
SQL-Injection-Attacke
Ein SQL-Injection zählt zu den Top-Sicherheitsrisiken von Webanwendungen wie etwa Onlineshop-Software: Hierbei nutzen Angreifer eine häufig durch Programmierfehler entstandene Sicherheitslücke, die in Zusammenhang mit einer SQL-Datenbank steht und das Einschleusen eigener Befehle ermöglicht. So gelingt es ihnen, vertrauliche Datensätze zu kopieren, zu manipulieren oder die Kontrolle über die gesamte SQL Datenbank zu erlangen.
Obwohl die Angriffsmethode bereits Ende der 1990-er Jahre entdeckt wurde, gilt sie bis heute als ernstzunehmende Gefahr. Für Hacker ist sie mit vergleichsweise wenig Aufwand verbunden – weshalb immer wieder Datenlecks auf SQL-Injections zurückgehen. Dabei gibt es wirksame Gegenmaßnahmen, die strategisch kombiniert eine Risikoeindämmung ermöglichen.
Brute-Force-Angriff
Cyberkriminelle nutzen diese Angriffsmethode zur widerrechtlichen Authentifizierung von Passwörtern, um Zugang zu Nutzerdaten zu erlangen. Mithilfe automatisierter Software und leistungsstarker Hardware werden unzählige Buchstaben- und Zeichenabfolgen durchprobiert, bis die richtige ermittelt wurde. Daher sprechen IT-Sicherheitsexperten im Kontext von Brute Force Angriffen auch von einer „erschöpfenden Suche“. Generell lässt sich jedes Passwort entschlüsseln, jedoch wird bei steigender Komplexität mehr Zeit benötigt.
Aufgrund der Tatsache, dass viele Menschen im Arbeitsumfeld wie im Privaten kurze Passwörter verwenden, wird die Methode erfolgreich von der Hackerszene angewandt. Daher erweist es sich für Unternehmen als wichtiger Schritt, potenziellen Angreifern durch eine erhöhte Kennwortsicherheit den Zugriff zu erschweren.
Denial-of-Service
Denial of Service (DoS) lässt sich aus dem Englischen mit „Verweigerung eines Dienstes“ übersetzen. Dabei geht es eher um eine Nichtverfügbarkeit: Um Störungen hervorzurufen, attackieren Hacker ein ausgewähltes Zielsystem mit stark erhöhtem Datenverkehr. Die Vielzahl der künstlich erzeugten Anfragen soll dafür sorgen, dass gesamte Systeme bzw. Server kollabieren. Derartige Angriffe können die Geschäftstätigkeit von Unternehmen einschränken oder gar zum Erliegen bringen.
Wird die absichtliche Überlastung von einer Vielzahl dezentralisierter Quellen verursacht, sprechen Sicherheitsexperten von einem Distributed Denial of Service (DDoS) Angriff. Dieser ist meist schwerer zu bannen, weil Hacker ihre Angriffsprogramme dabei auf mehrere hundert oder tausend ungeschützte Computer verteilen und so ein weltweites Angreifernetz entsteht.
Cryptojacking
Diese noch recht junge Hackertaktik ist mit dem Aufkommen von Kryptowährungen entstanden und geht auf die Funktionsweise der Blockchain zurück. Kurz zusammengefasst basiert die Technologie auf sogenannten „Minern“, die der endlosen Datenkette (Chain) weitere Blöcke (Block) hinzufügen und dafür mit digitalem Geld entlohnt werden. Da dieses als „Minen“ oder „Schürfen“ bekannte Vorgehen ressourcenintensiv ist, zapfen Cyberjacker hierfür leistungsstarke Rechner oder Firmennetzwerke an. Dies bleibt gemeinhin im Verborgenen, da Cyberkriminelle ein großes Interesse daran haben, die heimlich genutzten Systeme funktionsfähig zu halten. Oftmals offenbart sich die widerrechtliche Nutzung erst über nachgelagerte Folgen wie eine eingeschränkte Leistungsfähigkeit der Systeme.
Sicherheitsexperten unterscheiden zwei Arten von Cryptojacking – browserbasierte Angriffe oder Zugriffe nach einer Malware-Infizierung. Dabei erweisen sich Angriffe, bei denen Schadsoftware im Zuge eines Phishing-Versuchs heruntergeladen wird, als besonders folgenreich: Ist ein Rechner oder Netzwerk infiziert, wird Kryptowährung oftmals Tag und Nacht von den Eindringlingen geschürft.
Innerer Angriff
Ein innerer Angriff erfolgt aus den eigenen Systemen heraus – dort, wo sich die meisten Unternehmen in Sicherheit wähnen. Die größte Gefahrenquelle geht laut einer Bitkom-Studie von ehemaligen Mitarbeitenden aus: Ein Drittel der betroffenen Unternehmen wurde 2020 von diesem Täterkreis geschädigt. In einer Art Racheakt werden erst Backups und dann sensible Daten wie etwa Kundeninformationen gelöscht – oftmals mit weitreichenden finanziellen Folgen und Imageschäden.
Maßnahmen gegen Hackerangriffe – So schützen Sie sich und Ihr Unternehmen
„Eine Cyberattacke fordert selbst gestandene Manager und IT-Experten heraus“, weiß Matthias Nehls aus der Zusammenarbeit mit Unternehmen aus verschiedensten Branchen. Nicht selten wird bei einem Sicherheitsvorfall vorschnell und unüberlegt gehandelt – oder im umgekehrten Fall das Ausmaß eines Angriffes heruntergespielt. Der Experte rät: „Jedes Unternehmen sollte einen Notfallplan in der Schublade haben, um sicherzustellen, dass bei dem Cyberkrisenmanagement die Problemlösung im Fokus steht.“ Hierbei gilt es beispielsweise Alarmablauf, Entscheidungskompetenzen und Aufgaben zu definieren. Mindestens genauso wichtig sind regelmäßige Backups von unternehmenskritischen Daten, die fernab der Systeme verwahrt werden und für kriminelle Hackerbanden unzugänglich sind.
Damit es nicht zum Ernstfall kommt, sollten Unternehmen ihre Sicherheitsstandards entlang der gesamten Wertschöpfungskette überdenken und beispielsweise auch mögliche Schnittstellen zu Geschäftspartnern einbeziehen. „Mit den richtigen Maßnahmen lässt sich das Risiko, durch Cyberangriffe geschädigt zu werden, nachhaltig senken“, sagt Matthias Nehls. „Dabei muss auch stets das Zusammenspiel von Mensch und Technik bedacht werden, da von ungeschulten Mitarbeitenden nach wie vor ein großes Sicherheitsrisiko ausgeht.“
Dienstleister wie die Deutsche Gesellschaft für Cybersicherheit unterstützen mit Expertise und Erfahrung bei der Umsetzung eines passgenauen Rundumschutzes. Dieser umfasst neben Security-Awareness-Schulungen sowie einer permanenten Schwachstellenanalyse und Überwachung der Systeme, auch die schnelle Unterstützung bei einem Sicherheitsvorfall. Je nach Angriffsschwere finden IT-Sicherheitsexperten im Cyber Defense Operation Center (CDOC) binnen weniger Minuten oder Stunden heraus, welche Informationen verschlüsselt oder gestohlen wurden, welche Bereiche der Infrastruktur betroffen sind – und vor allem: wie die Gefahr gebannt werden kann. Diese Fachkompetenz ist für Unternehmen entscheidend – je früher ein Angriff entdeckt wird, desto geringer ist die Wirkung.
