Anfang des Jahres hatten wir in einem Blogbeitrag über die Bedrohung der öffentlichen Verwaltung durch Cyberangriffe berichtet. Heute wollen wir die typische Anatomie eines Cyberangriffs auf Organisationen einmal genauer unter die Lupe nehmen. Denn nicht immer, aber oft, folgen diese Attacken typischen Mustern. Welche fünf grundlegenden Schritte sich dabei unterscheiden lassen, beschreibt Susanne Lenz, Informationssicherheitsbeauftragte im IT-Referat, am Beispiel Cyberspionage.
Cyberangriffe lassen sich grob in folgende drei Kategorien unterteilen:
- Cyberkriminalität: Kriminelle Handlungen mit Bereicherungsabsicht (zum Beispiel Erpressung mittels Ransomware)
- Cybersabotage: Schäden an Informations- und Kommunikationstechnik und physischen Gütern (zum Beispiel zur Einschüchterung)
- Cyberspionage: Unerlaubtes Erlangen von (vertraulichen) wirtschaftlichen, politischen oder militärischen Informationen
Analysiert man die Anatomie der Cyberangriffe dieser Kategorien, so unterscheiden sich manche Angriffsschritte im Detail. Im weiteren Verlauf des Artikels fokussieren wir uns auf die Cyberspionage.
Schritt 1 – die Suche nach Schwachstellen
In der Kategorie der Cyberspionage wissen Angreifende in der Regel, welche Art von Informationen sie stehlen möchten. In dem ersten Schritt suchen sie nun gezielt nach Sicherheitslücken in der Zielorganisation, zum Beispiel mit sogenannten „Schwachstellen-Scans“: Man adressiert die Website oder die IT-Infrastruktur und schließt aus deren Antworten auf die eingesetzten Sicherheitslösungen und – wie der Name schon sagt – potenziellen Schwachstellen.
Doch auch die „Schwachstelle Mensch“ kann in dieser Phase im Mittelpunkt stehen, zum Beispiel über Social Engineering. Dabei bauen die Angreifenden zum Beispiel über E-Mail, Social Media oder andere Kanäle direkte Kontakte auf, um später sicherheitskritische (Zugangs-) Daten und Insider-Informationen in Erfahrung zu bringen. Steckt besonders hoher Aufwand hinter diesen Täuschungsmanövern, bezeichnet man das als „Deepfakes“.
Schritt 2 – die Vorbereitung des Angriffs
Im zweiten Schritt wird der Angriff vorbereitet. Dazu werden zunächst die passenden IT-Werkzeuge ausgewählt. Die Spanne reicht hier von der Nutzung spezifischer Angriffssoftware über die Programmierung eigener Tools bis hin zum Einsatz spezieller Online-Dienste zur Manipulation von Zielsystemen. Gerne nutzen Angreifende auch sogenannte Zero-Day-Exploits: neu entdeckte Lücken, die von den Hackern geheim gehalten und am Schwarzmarkt (Dark Web) regelrecht gehandelt werden.
Soll der Angriff über eine Person laufen, so kommt es jetzt zu indirekten oder direkten Kontakten. Ersteres kann zum Beispiel Observation und Beschattung bedeuten, das Beobachten von Bildschirminhalten eines öffentlich genutzten Mobilgeräts oder auch Ausnutzen ungesicherter Funkschnittstellen. Bei der direkten Methode kontaktieren die Angreifenden die Zielperson direkt , in der Regel über virtuelle Kanäle wie E-Mail oder Social-Media-Plattformen. Häufig versuchen sie dabei, die Zielperson über Phishing-Ansätze auf eine gefälschte Websites zu locken, um dort ihre Anmeldeinformationen abzugreifen.
War die Angriffsvorbereitung erfolgreich, wird im dritten Schritt der aktive Angriff gestartet.
Schritt 3 – die Durchführung starten
Ist die IT das Ziel, so wird versucht, die identifizierten Schwachstellen auszunutzen. Dies erfordert meist ein komplexes Vorgehen mit mehreren Angriffswerkzeugen und ein nicht unerhebliches Maß an Vorsicht auf Seiten der Angreifenden. Schließlich wollen sie vermeiden, dass ihre Aktivitäten entdeckt werden.
Auch bei Angriffen auf Personen ist nicht alles gleich erfolgreich. Schlecht gemachte Phishing-Mails landen mittlerweile mit ziemlicher Sicherheit im Spam oder im Papierkorb. Und ein seltsamer Anruf eines „Support-Mitarbeiters“ mit externer Nummer wird eher Stirnrunzeln als erbeutete Zugangsdaten verursachen. Anders sieht es jedoch aus, wenn Schritt 2 gut erledigt wurde. Dann ist die E-Mail gut formuliert, die Anrede sowie der gefälschte Absender sind passend gewählt. Und die betrügerische Webseite, auf die verlinkt wird, wirkt täuschend echt.
Sind diese Aktivitäten jedweder Art erfolgreich verlaufen, verfügen die Angreifenden im Ergebnis über einen Zugang zur Zielorganisation. Das kann ein Arbeitsplatzrechner im Homeoffice sein, ein virtuelles Netz (VPN) oder auch ein Serversystem, auf dem die Zielorganisation Internet-Portale betreibt.
Schritt 4 – Informationen abgreifen
Nun startet in Schritt 4 das Ausspähen von Informationen. Dazu gilt es, Wissen über den Aufbau der IT zu erlangen und lohnende Zielsysteme zu identifizieren. Gleichzeitig werden die Angreifenden daran arbeiten, ihre Berechtigungen in der IT-Infrastruktur zu erhöhen, um sich ohne größere Einschränkungen im Netzwerk umzusehen.
Das kann einige Zeit in Anspruch nehmen. Denn Angreifende müssen darauf bedacht sein, die Spuren ihrer Aktivitäten möglichst gering zu halten. Agieren sie zum Beispiel aus anderen Zeitzonen als die der Zielorganisation, so könnten protokollierte, administrative Logins morgens um 3 Uhr durchaus auffallen.
Noch schwieriger wird das Versteckspiel, wenn das eigentliche kriminelle Vorhaben umgesetzt wird und größere Datenmenge heruntergeladen werden. Denn in der Regel haben Organisationen einen guten Überblick, welche Datenmengen tagtäglich über ihre Netzwerke übertragen werden. Ungewöhnliche Transfers auf Server im Internet können da leicht auffallen. Daher werden größere Datenbestände in der Regel in verschiedenen Tranchen aufgeteilt und dabei Datenmengen, Zielsysteme und auch Uhrzeiten unterschiedlich gewählt.
Schritt 5 – das Einfalltor dauerhaft offenhalten
Am Ende von Schritt 4 ist der Schaden für die Zielorganisation Realität geworden. Sensible Daten sind in den Händen der Angreifenden und die Vertraulichkeit der Informationen ist nicht mehr gegeben.
Auch wenn das eigentliche Angriffsziel der Cyberspionage erreicht ist, werden die erlangten Zugänge auf die IT-Infrastrukturen aber meist weiter offengehalten. Denn die Zugangsdaten lassen sich für andere kriminelle Aktivitäten nutzen oder im Darknet für bares Geld, oder vielmehr Kryptowährungen, zu teils beträchtlichen Beträgen handeln. Deshalb hinterlassen die Angreifenden auf bestimmten Systemen der Zielorganisation kleine Hintertürchen, sogenannte Backdoors. Oftmals werden die Zugänge durch die Angreifenden auch aktiv gepflegt, damit sie möglichst lange unentdeckt bleiben.
Einzelpersonen: Kaum Angriffsziel, aber wichtig für die Abwehr
Cyberangriffe auf Wirtschaft und Behörden gehören heute in Deutschland zur Realität und der Schaden ist immens. So entsteht der deutschen Wirtschaft nach Analysen des Branchenverbands Bitkom ein Schaden von rund 203 Milliarden Euro jährlich. Generell steigt die Anzahl erfasster Cyberstraftaten nach Angaben des Bundeskriminalamtes stetig an.
Bei Cyberspionage sind Einzelpersonen so gut wie nie das vorrangige Ziel. Aber sie können auf dem Weg der Angreifenden ungewollt eine wichtige Rolle spielen. Daher: Bitte bleiben Sie wachsam!
Kommentare (0)
Schreiben Sie doch den ersten Kommentar zu diesem Thema.