Cyberangriffe sind eine ständige Bedrohung für Unternehmen jeder Größe und Branche. In den kommenden Wochen werden wir Ihnen verschiedene High Security Services näherbringen und anschaulich erklären, wie diese zum Schutz Ihrer IT-Infrastruktur beitragen können. Dafür ist es zunächst wichtig zu verstehen, wie Cyberangriffe typischerweise ablaufen können. Mit dem Beitrag Anatomie von Cyberangriffen, wollen wir daher einen Blick hinter die Kulissen werfen und Ihnen zeigen, welche Phasen und Strategien Cyberkriminelle verfolgen, um Ihre Systeme zu kompromittieren.
Tipp: Sie möchten tiefer ins Thema eintauchen oder die Inhalte lieber als Video sehen? Dann nutzen Sie die Aufzeichnung unseres Webinars „Anatomie von Cyberangriffen“ anschauen. Hier geht’s zur Aufzeichnung.
Die Auswirkungen eines Cyberangriffs können verheerend sein
Ein Cyberangriff ist ein böswilliger und vorsätzlicher Versuch, IT-Systeme zu beeinträchtigen und zu schädigen. Angreifer entwickeln ständig neue Techniken und Methoden, um Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Die Folgen für ein betroffenes Unternehmen, können verheerend sein, von finanziellen Verlusten über Rufschädigung bis hin zu rechtlichen Konsequenzen. Ein erster Schritt, um sich effektiv schützen zu können, ist ein tieferes Verständnis für die Anatomie von Cyberangriffen.
Ablauf eines Cyberangriffs: 9 typische Phasen
Auch wenn Cyber-Angriffe nicht immer gleich ablaufen, ähneln sich Cyberangriffe doch häufig in Ihrer Methodik, also einem typischen Ablauf aufeinanderfolgender Phasen , immer mit dem Ziel Zugriff auf Ihr Netzwerk zubekommen und entweder Daten abzuführen oder Ihr Netzwerk zu kompromittieren:
1. Aufklärung (Reconnaissance):
In dieser ersten Phase sammeln Angreifer Informationen über ihr Ziel. Sie nutzen öffentlich zugängliche Informationen, Social Engineering und technische Tools, um Schwachstellen und mögliche Einstiegspunkte zu identifizieren.
2. Initialer Zugriff / Ausführung von Schadcode:
Hierbei verschaffen sich die Angreifer durch Phishing, Exploits oder andere Methoden den ersten Zugang zum Zielsystem. Dies kann durch das Einschleusen von Malware oder das Ausnutzen von Sicherheitslücken geschehen.
3. Persistenz / Ausweitung von Berechtigungen
Nachdem der initiale Zugriff erlangt wurde, versuchen die Angreifer, ihre Präsenz im System zu sichern und ihre Berechtigungen auszuweiten. Dies kann durch das Installieren von Hintertüren oder das Nutzen von Systemschwachstellen geschehen.
4. Verteidigung schwächen
In dieser Phase versuchen die Angreifer, Sicherheitsmaßnahmen zu umgehen oder zu deaktivieren, um eine unentdeckte Präsenz zu gewährleisten. Dies kann das Ausschalten von Antiviren-Software oder das Manipulieren von Sicherheitseinstellungen umfassen.
5. Zugangsdaten erlangen
Um sich weiter und noch tiefer im Netzwerk zu bewegen, benötigen die Angreifer Zugangsdaten. Diese können sie durch das Abfangen von Anmeldedaten, das Erraten von Passwörtern oder das Ausnutzen von Zugangskontrollschwachstellen erlangen.
6. Ausspähen der Umgebung
Hierbei kartieren die Angreifer das Netzwerk, identifizieren wichtige Systeme und Daten und planen ihre nächsten Schritte. Dies umfasst das Scannen von Netzwerken und das Überwachen von Datenverkehr.
7. Laterale Bewegung/ Ausbreitung über erreichbare Systeme
Mit den erlangten Zugangsdaten und dem Wissen über das Netzwerk bewegen sich die Angreifer seitlich zu weiteren Systemen, um ihre Kontrolle auszuweiten und auf wertvollere Daten zuzugreifen.
8. Sammlung von Daten
In dieser Phase sammeln die Angreifer die Daten, die sie abziehen oder als Geisel nehmen möchten. Dies kann das Kopieren von Dateien, das Abfangen von Kommunikation oder das Extrahieren von Datenbanken umfassen.
9. Ausleitung von Daten / Impact /Verschlüsselung / Erpressung
Abschließend exfiltrieren die Angreifer die gesammelten Daten aus dem Netzwerk oder verschlüsseln sie, um Lösegeld zu verlangen. Dies kann auch das Löschen von Daten oder das Herunterfahren von Systemen umfassen, um den Schaden zu maximieren und den Druck auf den Betroffenen so zu erhöhen, dass er in seiner Verzweiflung das Lösegeld zahlt.
Tipp: Weitere Techniken und einen noch tiefere Einblicke in den Ablauf von Cyberangriffen bietet die Knowledge Base MITRE ATT&CK.
Welche Arten von Cyberangriffen nutzen Angreifer?
Cyber-Kriminelle greifen auf verschiedene technische Angriffsmöglichkeiten zurück, um Ihre kriminellen Ziele zu erreichen. Häufig kombinieren Sie auch verschiedene Optionen abhängig vom Ziel und der aktuellen Phase eines Angriffs. Gängige Angriffsarten sind beispielsweise die folgenden:
Phishing
Täuschende E-Mails oder Nachrichten, die Benutzer dazu animieren, vertrauliche Informationen preiszugeben oder Malware herunterzuladen.
Malware
Malware ist eine Software, die entwickelt wurde, um Systeme zu infizieren und zu kontrollieren. Im Bereich Malware gibt es zahlreiche Untergruppen. Bekannte Malware-Untergruppen sind beispielsweise Viren, Trojaner und Würmer.
Ransomware
Ransomware ist eine Art von Malware, die darauf abzielt Daten zu verschlüsseln. Ziel dabei ist, wie die englische Bedeutung „Ransom“ zu Deutsch „Lösegeld“ vermuten lässt, von Betroffenen ein Lösegeld zu erpressen.
SQL-Injection
Eine Technik, bei der schädlicher SQL-Code in eine Eingabe eines Webformulars eingefügt wird, um Zugang zu Datenbanken zu erhalten.
DoS & DDoS
Denial-of-Service (DoS) und Distributed Denial-of-Service (DDoS)
Ein DDoS-Angriff zielt darauf ab Systeme zu verlangsam, zu überlasten oder unbrauchbar zu machen, in dem ein Server mit einer Vielzahl von Anfragen bombardiert wird.
Um Ihr Netzwerk gegen die Vielzahl an Angriffstechniken abzusichern, ist es nötig eine mehrschichtige und möglichst umfassende Sicherheitsstrategie zu implementieren. In den kommenden Wochen werden wir Ihnen einzelne High Security Services näher vorstellen und Ihnen zeigen, wie diese funktionieren, wovor sie schützen und wie diese sich kombinieren lassen, um das Risiko von erfolgreichen Cyberangriffen auf Ihr Netzwerk zu reduzieren
