Die Top 5 Gefahren für die Netzwerksicherheit – und wie Sie diese erfolgreich abwehren!
von Svenja Koch
Es gibt eine Vielzahl an Cyberbedrohungen für die Informationssicherheit in Unternehmen. Einige davon zeichnen sich durch ihr besonders hohes Gefahrenpotenzial oder einen heimtückischen Infektionsweg aus. Andere Bedrohungen sind schwer zu entdecken und deshalb so gefährlich. In diesem Beitrag geht es um die fünf aktuell gefährlichsten Cyberbedrohungen für die Netzwerksicherheit – und welche Abwehrtechniken wirksam sind.
Platz 5: Phishing
Phishing ist eine der ältesten Techniken, die Cyberkriminelle einsetzen. Gleichzeitig ist diese Methode nach wie vor sehr erfolgreich. Dies liegt vor allem an zwei Faktoren: Zum einen gehen die Angreifer beim Phishing sehr kreativ vor. Das macht es häufig schwer, Phishing-Attacken auch sofort als solche zu erkennen. Zum anderen zielt Phishing auf eine der größten Schwachstellen der Informationssicherheit ab: den menschlichen Faktor.
Der klassische Ablauf beim Phishing ist nach wie vor der Weg über eine E-Mail. Als Absender wird eine vertrauenswürdige Quelle vorgetäuscht. In der Regel enthalten die Nachrichten Inhalte, die auf eine Störung bei einer Zahlung oder bei einem Account hinweisen. Gefordert wird eine schnelle Reaktion, um die Situation zu beheben. Die Phishing-Mail hält natürlich eine angebliche Lösung parat. In der Regel ist ein Link beigefügt, der auf eine gefälschte Webseite führt. Diese imitierten Webseiten sind teilweise sehr professionell und ahmen beispielsweise Banken oder Onlineshops nach. Die Mail fordert den Empfänger der Mail auf, sich in seinem Konto anzumelden. Erkennt der Empfänger nicht, dass es sich um eine gefälschte Webseite handelt und gibt sein Passwort ein, haben die Angreifer ihr Ziel erreicht. Sie verfügen nun über die echten Login-Informationen für die originale Webseite. Bei Webseiten, die Onlinebanking imitieren, versuchen die Kriminellen außerdem PINs und TANs abzugreifen.
Platz 4: Social Engineering
In den letzten Jahren bedroht das Social Engineering immer mehr die Datensicherheit in Unternehmen. Das Ziel beim Social Engineering ist es, gezielt an bestimmte Informationen zu gelangen. Dafür greifen die Kriminellen auf unterschiedliche Methoden zurück. Social Engineering findet so einerseits über soziale Medien statt. Mit Plan suchen die Angreifer nach Personen, die im Zielunternehmen arbeiten. Mit gefälschten Profilen erschleichen sich die Angreifer das Vertrauen der Zielperson. Dann wird beiläufig nach Details aus dem Unternehmen gefragt. Darüber hinaus nutzen Angreifer auch Mails oder Telefonanrufe, um Informationen zu erhalten. Hier wird ebenfalls mit falschen Identitäten gearbeitet, um eine Vertrauensbasis aufzubauen.
Das Gefährliche am Social Engineering ist die strategische und perfide Vorgehensweise der Cyberkriminellen. Die Angreifer nutzen gerne Informationen, die sie bereits extrahiert haben, um sich weitere Daten zu beschaffen. So geben die Angreifer bei einem Anruf vor, dass sie mit einem Kollegen etwas abgesprochen haben, der aber jetzt im Urlaub ist – wobei diese Information möglicherweise über Facebook extrahiert wurde. Dann gibt ein anderer Mitarbeitender eventuell weitere Informationen heraus, die vertraulich sind. Die Informationssicherheit ist dann nicht mehr gewährleistet. Durch eine Fülle an einzelnen Informationen sammeln die Angreifer ausreichend Daten für weitere Attacken.
Platz 3: DDoS-Attacken
Eine besondere Bedrohung der Netzwerksicherheit sind die Distributed-Denial-of-Service-Attacken. Hierbei handelt es sich um eine Angriffsmethode, bei der das Zielnetzwerk durch eine extrem hohe Anzahl an Anfragen überlastet wird. Dies sorgt zu einem Zusammenbruch der Systeme beziehungsweise dazu, dass die Anwendungen nicht mehr erreichbar oder nutzbar sind. DDoS-Angriffe basieren auf der Tatsache, dass Systeme wie ein Webserver nur eine bestimmte Anzahl an HTML-Anfragen unterstützen. Wird diese Kapazität überschritten, kommt es zu einer Überlastung des Servers. Dies führt dazu, dass sowohl das Netzwerk als auch der Server selbst durch die Überlastung nicht mehr reagieren. Auch Anwendungen oder Webserver stürzen dann häufig ab.
Mit einem DDoS-Angriff tarnen die Hacker gerne gezielte Angriffe, die die Datensicherheit in Gefahr bringen. Dann ist der DDoS-Angriff nur ein Werkzeug, um die Netzwerksicherheit ins Wanken zu bringen. Gleichzeitig beginnt der Angriff auf das eigentliche Ziel. Die IT Security der betroffenen Organisation ist durch den DDoS-Angriff abgelenkt. Außerdem ist es möglich, gefälschte DNS-Antworten auszuliefern, während das Zielsystem gestört ist. Dies betrifft dann dritte Nutzer, die auf den Service der angegriffenen Webseite zugreifen möchten. Diese Anfragen sind dann umgeleitet und führen auf eine gefälschte Webseite der Cyberkriminellen. Dies öffnet die Möglichkeiten für Phishing-Attacken. So ist selbst die Datensicherheit von unbeteiligten Dritten in Gefahr, ohne dass diese selbst einen Fehler begehen oder direkt das Ziel der Cyberattacke sind.
Platz 2: Ransomware und Malware
Malware ist eine der größten Gefahren für die Netzwerksicherheit. Bei Malware handelt es sich um Schadsoftware, die ganz unterschiedliche Zwecke hat. Malware stört den Betrieb der Systeme, die es befällt. Dies äußert sich auf ganz unterschiedliche Art und Weise. Zu der Klasse der Malware gehören beispielsweise Keylogger, die eingegebene Daten abfangen, oder Viren, die mehr oder weniger gefährlich sind. Malware ist häufig Teil eines größeren Cyberangriffs, wenn die Schadsoftware dafür eingesetzt wird, um Login-Informationen zu sammeln.
In Bezug auf die Informationssicherheit spielt Ransomware eine zentrale Rolle. Auch diese gehört zur Klasse der Malware, genauer zu den Trojanern. Ransomware hat zwei Aufgaben. Zunächst verschlüsselt diese Schadsoftware Daten auf Festplatten und Servern. Ist auch das Backup betroffen, ist die Datensicherheit nicht mehr gewährleistet. Darüber hinaus übersendet die Ransomware auch eine Erpressungsforderung an den Nutzer des befallenen Systems. In diesem Zusammenhang ist Ransomware teilweise in der Lage, das Betriebssystem zu blockieren und so die Nutzung des Computers zu verhindern.
Platz 1: Advanced Persistent Threats
Ein Advanced Persistent Threat (APT) beschreibt einen komplexen und gezielten Angriff auf eine IT-Infrastruktur. APTs unterscheiden sich von anderen IT Security Bedrohungen vor allem durch die Motivation und die Vorgehensweise der Angreifer. Während die meisten Schadprogramme in der Regel von finanziell motivierten Angreifern massenhaft verteilt werden und kein spezifisches Opfer im Visier haben, sind APTs oft langfristig und mit großem Aufwand geplante Angriffe auf einzeln ausgewählte, anspruchsvolle Ziele. Dementsprechend besteht ein APT-Angriff aus mehreren Phasen. Der Zyklus beginnt immer mit der Auswahl eines Ziels. Dann sammeln die Angreifer Informationen über das Opfer. Dazu gehört auch eine Analyse der Netzwerkstrukturen. Die Hacker entscheiden sich dann für einen oder mehrere Angriffsvektoren. Danach beginnt die Phase der Ausbringung der Angriffswerkzeuge. Ist die Infiltration erfolgreich, beginnen die Angreifer, im Netzwerk nach interessanten Daten zu suchen. Ebenfalls etablieren die Hacker ihren Zugang zum Netzwerk und bauen diesen aus.
Advanced Persistent Threats sind also aufwendige und langfristige Projekte. Die Hacker investieren eine Menge Zeit und Ressourcen in die Infiltration des Zielnetzwerks. Aus diesem Grund gehen die Angreifer besonders vorsichtig vor. Im Gegensatz zu vielen anderen Cyberangriffen bleiben die Hacker bei einem APT komplett unentdeckt. Die meisten anderen Cyberattacken gipfeln in einer Aktion, die den Nutzer direkt beeinflusst. Bei einer Ransomware-Attacke ist dies besonders offensichtlich, denn sind die Angreifer erfolgreich, sind die Daten verschlüsselt und das System nicht mehr einsatzbereit. Dies ist einer der Punkte, warum APT-Angriffe so gefährlich sind.
Ein weiterer Punkt, warum APTs eine Gefahr für die Datensicherheit darstellen, ist die Unberechenbarkeit. Im Gegensatz zu vielen anderen Cyberattacken gehen die Angreifer vorsichtig vor und legen hohen Wert darauf, unentdeckt zu bleiben. Außerdem ist ein APT geprägt von einem hohen manuellen Einsatz. Selbst Ransomware ist inzwischen hochgradig automatisiert, wohingegen bei einem APT die Hacker die Werkzeuge meist selbst steuern. Der dritte Punkt, warum APTs eine Gefahr für dir Informationssicherheit darstellen und schwer zu erkennen sind, ist das dynamische Angriffsmuster. Es gibt keinen bestimmten Weg, wie Hacker Netzwerke bei einem APT-Angriff infizieren. Vielmehr entscheiden sie individuell, welches Tool am besten für das Ziel geeignet ist. Die Angreifer spionieren also Lücken in der Netzwerksicherheit aus und nutzen diese gezielt.
Ein APT-Angriff ist außerdem eine dauerhafte Gefahr für die Datensicherheit. Dies liegt daran, dass die Hacker ein Interesse daran haben, unentdeckt zu bleiben. So behalten die Hacker den Zugang zum Netzwerk und nutzen diesen, um zu einem späteren Zeitpunkt weitere Daten zu extrahieren. Die Chance, dass ein APT in dieser Phase unentdeckt bleibt, ist hoch. Hat die vorhandene Netzwerksicherheit Schwächen und ist keine Anomalieerkennung vorhanden, gibt es keine Verteidigungsmechanismen mehr, die die Angreifer zuverlässig aufspüren.
APT-Angriffe haben unterschiedliche Ziele: Ihren Ursprung hat die Technik in der Wirtschaftsspionage. Hierbei geht es darum, gezielt Wirtschaftsgeheimnisse über das Netzwerk aus einem Unternehmen zu extrahieren. Inzwischen wird auch bei anderen Cyberattacken auf die Netzwerksicherheit mit ähnlichen Angriffsmustern von APTs gesprochen. Entscheidend ist die Vorgehensweise der Angreifer. APTs sind von manuellen und dynamischen Angriffsmustern geprägt.
Welche Abwehrtechniken sind effektiv gegen diese Bedrohungen und steigern Ihre Informationssicherheit wirklich?
Die fünf Hauptbedrohungen für die Netzwerk- und Datensicherheit erfordern spezielle Maßnahmen bei der Cyberabwehr. Gemein haben diese Bedrohungen, dass klassische Abwehrmechanismen in den meisten Fällen keinerlei Schutz bieten. Hierzu gehören Antivirensoftware oder Firewalls. Besonders gegen die APTs ist eine andere Herangehensweise erforderlich - hier wird von einer proaktiven und präventiven Abwehrtechnik gesprochen. Ein wesentlicher Bestandteil dieser Technik ist die Anomaliefrüherkennung im Rahmen der Netzwerküberwachung. Bei der Anomalieerkennung erfolgt eine permanente Überwachung aller Aktivitäten im Netzwerk. Dies beinhaltet Verbindungen, Traffic und Aktionen von Nutzern. Die Sammlung dieser Daten übernimmt eine Software. In Echtzeit kontrollieren IT Security Mitarbeiter Meldungen dieser Plattform und analysieren, ob dahinter illegale Aktivitäten stecken. Die Kontrolle in Echtzeit ist ein zentraler Bestandteil, um eine hohe Informationssicherheit zu gewährleisten. Ansonsten haben Hacker Zeit, ihre geplanten Aktionen durchzuführen.
In der Praxis gibt es primär zwei Optionen, wie sich die Anomaliefrüherkennung umsetzen lässt: Organisationen haben die Möglichkeit, ein Security Operations Center (SOC) einzurichten. Hier arbeitet ein Team von IT-Spezialisten an 365 Tagen rund um die Uhr ausschließlich an der Anomaliefrüherkennung und Netzwerksicherheit. Ein solches SOC erfordert also enorme Ressourcen, was für kleine und mittlere Unternehmen nicht zu leisten ist.
Die zweite Option ist ein externer Dienstleister wie der Active Cyber Defense (ACD)-Service von secion. Dieser übernimmt die proaktive 24/7 Überwachung des Netzwerks und die Analyse aller Aktivitäten. Bei verdächtigen Vorfällen, die die Informationssicherheit bedrohen, erhält die IT Security des Kunden eine sofortige Nachricht. So wird es möglich, auf unbefugte Zugriffe von Angreifern, zum Beispiel im Rahmen eines APT-Angriffs, umgehend zu reagieren.
Fazit
Die Datensicherheit in Unternehmen war noch nie zuvor so bedroht wie aktuell. Cyberattacken gehören inzwischen zum Alltag und die Frequenz nimmt weiter zu. Wer im Bereich der Netzwerk- und Datensicherheit spart, setzt seine Organisation der Gefahr einer APT-Attacke oder eines folgenschweren Cyberangriffs mit Ransomware aus. Um die Informationssicherheit zu gewährleisten, ist eine umfassende IT-Sicherheitsstrategie notwendig. Diese beinhaltet neben den klassischen Abwehrmaßnahmen wie der Firewall und Antivirensoftware zwingend auch aktive Methoden wie die Anomaliefrüherkennung. Mit effektiven Netzwerküberwachungsdienstleistungen wie dem ACD-Service von secion sparen sich Organisationen den teuren Aufbau und Unterhalt eines eigenen SOCs. Auf diese Weise lässt sich mit wenigen Ressourcen eine Netzwerk- und Informationssicherheit auf einem hohen Niveau etablieren.