Cy­ber­an­grif­fe | So schützen Sie sich gegen Cy­ber­at­ta­cken

Im Rahmen von Cy­ber­an­grif­fen nutzen Kri­mi­nel­le das Internet, um sich selbst zu be­rei­chern oder anderen zu schaden. Dabei werden un­ter­schied­li­che An­griffs­mus­ter verwendet, die wiederum an die Mo­ti­va­ti­on hinter den Cy­ber­at­ta­cken angepasst sind. Mit Umsicht und Si­cher­heits­stra­te­gien kann man sich aber wehren.

Was ist ein Cy­ber­an­griff?

Ein Cy­ber­an­griff ist ein gezielter Angriff auf IT-Systeme oder Netzwerke mit dem Ziel, Daten zu stehlen, Systeme zu sa­bo­tie­ren oder an­der­wei­tig Schaden an­zu­rich­ten. Kri­mi­nel­le nehmen bei Cy­ber­at­ta­cken bestimmte Personen, Un­ter­neh­men, Or­ga­ni­sa­tio­nen oder Behörden gezielt ins Visier. Hinter jedem Angriff steckt demnach auch ein Motiv. Die Be­weg­grün­de können al­ler­dings ganz un­ter­schied­lich ausfallen:

• Diebstahl: Wie bei vielen kri­mi­nel­len Hand­lun­gen steckt auch hinter der Cy­ber­kri­mi­na­li­tät vielfach ein Streben nach Reichtum. Dafür werden re­gel­mä­ßig Daten gestohlen, die dann entweder wei­ter­ver­kauft oder benutzt werden, um Bank­kon­ten zu plündern.
• Er­pres­sung: Kri­mi­nel­le in­fi­zie­ren das System von Ein­zel­per­so­nen und Un­ter­neh­men so, dass es nicht mehr verwendet werden kann – zumindest nicht von Laien. Mit dem Ver­spre­chen, die IT-In­fra­struk­tur wieder frei­zu­ge­ben, können Kri­mi­nel­le er­heb­li­che Summen erpressen.
• Sabotage: Es muss nicht immer direkt darum gehen, Geld vom Opfer zu erhalten – oftmals fi­nan­zie­ren Auf­trag­ge­ber die Angriffe. Diese möchten bei­spiels­wei­se die Kon­kur­renz schädigen, um mit der eigenen Un­ter­neh­mung er­folg­rei­cher zu sein.
• Ak­ti­vis­mus: Immer beliebter wird der Hack­ti­vis­mus. Hierbei nutzen politisch mo­ti­vier­te Cy­ber­kri­mi­nel­le ihre Fä­hig­kei­ten, um bestimmte un­lieb­sa­me Akteure zu schädigen oder durch Attacken Auf­merk­sam­keit für po­li­ti­sche Ziele zu erzeugen.
• Spionage: Be­triebs­spio­na­ge und Spionage von Re­gie­run­gen gegen andere Staaten finden ebenfalls immer häufiger über das Internet statt. Hier steht als Gewinn der Wis­sens­vor­sprung im Fokus.

Welche Arten von Cy­ber­at­ta­cken gibt es?

So un­ter­schied­lich wie die Mo­ti­va­ti­on ist, so ver­schie­den sind auch die Mittel, die dafür ein­ge­setzt werden. Vielfach werden An­griffs­mus­ter auch mit­ein­an­der kom­bi­niert, um möglichst effektiv und breit Schaden an­zu­rich­ten.

Phishing

In Phishing-Mails werden Menschen mithilfe von Social En­gi­nee­ring dazu gebracht, Si­cher­heits­be­den­ken zu miss­ach­ten und getarnte Schad­soft­ware her­un­ter­zu­la­den oder sensible In­for­ma­tio­nen preis­zu­ge­ben. Un­ter­ka­te­go­rien der Methode sind Smishing (per SMS) oder Vishing (per Telefon).

Man-in-the-Middle (MITM)

Bei Man-in-the-Middle-Attacken schaltet sich der Angreifer zwischen zwei Internet-Teil­neh­mer – zum Beispiel zwischen einen Client und einen Server. Kri­mi­nel­le versuchen auf diese Weise, an wichtige Daten wie Pass­wör­ter zu gelangen. Möglich werden solche Angriffe bei­spiels­wei­se durch Malware oder unsichere WLAN-Ver­bin­dun­gen. Wahlweise kommen dabei vor allem ge­fälsch­te Zer­ti­fi­ka­te und ver­schie­de­ne Spoofing-Techniken zum Einsatz.

Denial of Service (DoS)

Wenn das einzige Ziel eines Angriffs darin besteht, einen Webdienst aus­zu­schal­ten, werden vielfach Denial-of-Service-Attacken ein­ge­setzt. Dabei wird ein Server mit so vielen Anfragen geflutet, bis dieser nicht mehr funk­ti­ons­tüch­tig ist. Größere Angriffe werden per Dis­tri­bu­ted-Denial-of-Service-Attacken (DDoS) durch­ge­führt. Hierfür nutzen Kri­mi­nel­le häufig die Res­sour­cen von Botnets – Netz­wer­ken aus hunderten mit ent­spre­chen­der Malware in­fi­zier­ten Computern. Ohne Wissen der Besitzer be­tei­li­gen sich die Geräte dann an der Cy­ber­at­ta­cke auf den Server.

SQL-Injection

Bei einer SQL-Injection nutzen Angreifer bzw. An­grei­fe­rin­nen SQL-In­ter­ak­tio­nen einer Web­an­wen­dung, bei denen un­zu­rei­chend ge­fil­ter­te Nut­zer­ein­ga­ben in die Abfragen ein­flie­ßen (z. B. unsichere Ein­ga­be­fel­der). Über Kom­men­tar­funk­tio­nen oder Such­mas­ken schaffen es Cy­ber­kri­mi­nel­le, die SQL-Datenbank so zu ma­ni­pu­lie­ren, dass sie sensible Daten abgreifen, verändern oder löschen können.

Zero-Day-Exploits

Zero-Day-Exploits sind Si­cher­heits­lü­cken in Software oder Hardware, die von An­grei­fern aus­ge­nutzt werden, bevor der Her­stel­ler oder die Ent­wick­ler­ge­mein­schaft davon Kenntnis erhält und einen Patch be­reit­stel­len kann. Der Begriff „Zero Day“ bezieht sich darauf, dass es keine Vor­warn­zeit gibt. Die Bedrohung durch Zero-Day-Exploits ist besonders hoch, da her­kömm­li­che Si­cher­heits­maß­nah­men sie in den meisten Fällen nicht erkennen können. Angriffe können z. B. über in­fi­zier­te E-Mail-Anhänge, kom­pro­mit­tier­te Webseiten oder direkt über Schwach­stel­len in Be­triebs­sys­te­men und An­wen­dun­gen erfolgen.

Berühmte Cy­ber­an­grif­fe

In den letzten Jahren sind große Angriffe auf Un­ter­neh­men und Behörden immer häufiger vor­ge­kom­men. Auf der einen Seite liegt dies an groß an­ge­leg­ten und me­di­en­wirk­sa­men Cy­ber­at­ta­cken von Grup­pie­run­gen wie dem Ha­cker­kol­lek­tiv Anonymous. Zum anderen wird auch über weit­rei­chen­de Da­ten­dieb­stäh­le berichtet, die nicht nur die an­ge­grif­fe­nen Un­ter­neh­men, sondern auch Tausende von Nut­ze­rin­nen und Nutzer betrafen.

WannaCry

Eine klas­si­sche Cy­ber­at­ta­cke passierte 2017 mithilfe der Ran­som­wa­re WannaCry. Zwar waren die Angriffe hier nicht ziel­ge­rich­tet, aber so or­ches­triert, dass Hun­dert­tau­sen­de PCs innerhalb kürzester Zeit befallen waren. Die Cy­ber­kri­mi­nel­len hatten dafür eine Hintertür in älteren Windows-Systemen genutzt, die ur­sprüng­lich von der US-ame­ri­ka­ni­schen Ge­heim­be­hör­de NSA entdeckt, aber nicht bekannt gegeben wurde. Betroffen waren Computer, die nicht den kurz zuvor ver­öf­fent­lich­ten Si­cher­heits-Patch in­stal­liert hatten.

Über diesen Exploit schleus­ten die Angreifer ihre Schad­soft­ware ein, die dann alle Daten ver­schlüs­sel­te. Nutzer und Nut­ze­rin­nen konnten ihre Systeme an­schlie­ßend nicht mehr verwenden. Statt­des­sen bekamen sie eine Nachricht angezeigt, die sie zur Zahlung von 300 US-Dollar in Bitcoin auf­for­der­te. Obwohl zahl­rei­che Si­cher­heits­exper­ten von der Lö­se­geld­zah­lung abrieten, konnten die Kri­mi­nel­len über 130.000 US-Dollar in Form der Kryp­to­wäh­rung erbeuten.

Project Chanology

Die lose Grup­pie­rung von Hackern „Anonymous“ sorgte in den letzten Jahren immer wieder für Aufsehen. Ein Angriff der Gruppe betraf Sci­en­to­lo­gy. Die Or­ga­ni­sa­ti­on hatte 2007 versucht, ein Interview mit dem berühmten Mitglied Tom Cruise aus dem Internet verbannen zu lassen. Ak­ti­vis­ten, die sich zu Anonymous bekannt haben, sahen darin eine Form von Zensur und kündigten per Vi­deo­nach­richt Ver­gel­tungs­schlä­ge an.

Kurz darauf begannen die Hacker damit, die Server von Sci­en­to­lo­gy durch DDoS-Attacken zu über­las­ten. Dadurch konnten die Angreifer und An­grei­fe­rin­nen die Website für kurze Zeit lahmlegen. Mit dem Ziel, die Or­ga­ni­sa­ti­on massiv in ihrer Tätigkeit zu stören, ver­sen­de­te man zu­sätz­lich dazu noch unzählige Faxe und unternahm Scherz­an­ru­fe. Nach den an­fäng­li­chen illegalen digitalen Angriffen auf Sci­en­to­lo­gy ver­la­ger­te sich der Ak­ti­vis­mus immer mehr in legale Proteste vor den Nie­der­las­sun­gen der Or­ga­ni­sa­ti­on.

So­lar­Winds-Hack

Einer der schwer­wie­gends­ten Cy­ber­an­grif­fe der letzten Jahre wurde 2020 bekannt: Beim So­lar­Winds-Hack wurde eine so­ge­nann­te Supply-Chain-Attacke durch­ge­führt, bei der die Software-Lie­fer­ket­te des Un­ter­neh­mens So­lar­Winds kom­pro­mit­tiert wurde. So­lar­Winds ist ein Anbieter von Software für das Netz­werk­ma­nage­ment, die zahl­rei­che Un­ter­neh­men und Behörden weltweit nutzen. Die Hacker gelangten in das interne System von So­lar­Winds und ma­ni­pu­lier­ten ein Update der Software „Orion“, das daraufhin von Tausenden von Kunden in­stal­liert wurde.

Durch diese Hintertür erhielten die für den Angriff ver­ant­wort­li­chen Personen Zugriff auf sensible Netzwerke von US-Behörden, IT-Firmen und großen Un­ter­neh­men. Betroffen waren unter anderem das US-Fi­nanz­mi­nis­te­ri­um, das Han­dels­mi­nis­te­ri­um sowie Microsoft und FireEye. Besonders brisant: Der Angriff blieb mo­na­te­lang un­ent­deckt, da die Spuren verwischt und besonders vor­sich­tig agiert wurde. Erst als das Cy­ber­si­cher­heits­un­ter­neh­men FireEye auf­fäl­li­ge Ak­ti­vi­tä­ten in seinem eigenen System entdeckte, wurde das Ausmaß des Hacks er­sicht­lich.

Yahoo!-Hack

In den Jahren 2013 und 2014 musste der Yahoo!-Konzern mehrere er­folg­rei­che Attacken auf seine Da­ten­ban­ken ver­kraf­ten. Die Angreifer konnten so mehrere Mil­li­ar­den Da­ten­sät­ze erbeuten – darunter auch schlecht ver­schlüs­sel­te Pass­wör­ter oder gänzlich un­ver­schlüs­sel­te Antworten auf Si­cher­heits­fra­gen. Diese wurden dann auf illegalen Markt­plät­zen im Dark Web angeboten. Käufer und Käu­fe­rin­nen dort erhoffen sich, dass die Pass­wör­ter auch auf anderen Platt­for­men oder für das Online-Banking verwendet werden, und dass sie so Profit daraus schlagen können.

Als Reaktion auf die Angriffe ver­an­lass­te Yahoo! seine Nutzer dazu, neue Pass­wör­ter zu vergeben und neue Antworten auf Si­cher­heits­fra­gen fest­zu­le­gen. Diese wurden dann besser ver­schlüs­selt. Yahoo! musste zu­sätz­lich Scha­dens­er­satz in Höhe von über 100 Millionen US-Dollar an be­trof­fe­ne Nut­ze­rin­nen und Nutzer zahlen.

Wie schützt man sich vor einem Cy­ber­an­griff?

Cy­ber­kri­mi­nel­le lassen sich immer kom­ple­xe­re Mög­lich­kei­ten einfallen, fremde Systeme zu knacken und Daten zu stehlen. Auch Si­cher­heits­exper­ten und -ex­per­tin­nen sind meist einen kleinen Schritt hinterher. Das bedeutet aber nicht, dass man Cy­ber­an­grif­fen schutzlos aus­ge­lie­fert ist. Mit den nach­fol­gen­den Tipps zur Cy­ber­si­cher­heit sind Sie gut auf Attacken vor­be­rei­tet.

Wie kann man vorsorgen?

Angreifer bzw. An­grei­fe­rin­nen nutzen oft Si­cher­heits­lü­cken in ver­al­te­ten Systemen aus. Deshalb sollten Sie darauf achten, sowohl Ihr Be­triebs­sys­tem als auch die von Ihnen ver­wen­de­te Software immer auf dem neuesten Stand zu halten. In­for­mie­ren Sie sich also re­gel­mä­ßig über neue Updates oder Patches und ak­ti­vie­ren Sie unter Umständen die au­to­ma­ti­sche Update-Funktion. Das gilt auch für An­ti­vi­ren­pro­gram­me.

Nicht immer nutzen Kri­mi­nel­le Schad­soft­ware für ihre Cy­ber­at­ta­cken. Statt­des­sen werden direkt pass­wort­ge­schütz­te Bereiche an­ge­grif­fen. Mithilfe von Brute Force (Aus­pro­bie­ren von Pass­wort­kom­bi­na­tio­nen), Rainbow Tables (Tabellen mit Hash­wer­ten) oder Passwort-Wör­ter­bü­chern (Samm­lun­gen von typischen Pass­wör­tern) lassen sich unsichere Pass­wör­ter schnell knacken. Sichere Pass­wör­ter und eine Zwei-Faktor-Au­then­ti­fi­zie­rung sind deshalb die wir­kungs­volls­ten Prä­ven­tiv­maß­nah­men gegen Cy­ber­at­ta­cken.

Wie erkennt man eine Cy­ber­at­ta­cke?

Viele Angriffe sind er­folg­reich, weil man sie nicht als solche erkennt. Besonders im Kontext von Phishing sollten Sie bei­spiels­wei­se bei E-Mails von un­be­kann­ten Ab­sen­der­adres­sen wachsam sein. Bei solchen Nach­rich­ten darf man auf keinen Fall Anhänge speichern bzw. öffnen oder auf Links klicken. Ähnlich hoch muss die Auf­merk­sam­keit beim Surfen im Web sein: Auch hier können sich auf ver­meint­lich harmlosen Websites Be­dro­hun­gen ver­ste­cken. Laden Sie deshalb keine Software von Websites herunter, denen Sie nicht vertrauen können. Fehlende SSL-Zer­ti­fi­ka­te sind hierfür bei­spiels­wei­se ein gutes Indiz.

System-Admins haben darüber hinaus noch weitere Mög­lich­kei­ten, Cy­ber­at­ta­cken zu erkennen. Server führen stan­dard­mä­ßig Log-Dateien. In diesen kann man auch be­droh­li­che Ak­ti­vi­tä­ten nach­ver­fol­gen. Eine vermehrte Anzahl von nicht er­folg­rei­chen Pass­wort­ein­ga­ben weist zum Beispiel auf eine Brute-Force-Attacke hin. Zu­sätz­lich sollte man die eigene IT-In­fra­struk­tur über­wa­chen. Schad­soft­ware kommt oftmals mit Ne­ben­ef­fek­ten. Sollte das System oder die Netz­werk­ver­bin­dung langsamer laufen als gewohnt, kann das ein Indiz für einen Cy­ber­an­griff sein.

Wie wehrt man einen Angriff ab?

Gerade bei DDoS-Attacken haben Sie Mög­lich­kei­ten, Ihre In­ter­net­auf­trit­te trotz des Angriffs weiterhin online zu behalten. Wenn man ein Content Delivery Network (CDN) einsetzt, macht man es Kri­mi­nel­len nahezu unmöglich, Websites komplett lahm­zu­le­gen. Selbst wenn der eigene Server über­las­tet wird, kann die Website weiterhin über das Netzwerk an ge­spie­gel­ten Inhalten verfügbar bleiben.

Im Zwei­fels­fall gibt es auch An­lauf­stel­len, die Ihnen bei der Abwehr be­hilf­lich sind. Die deutschen Lan­des­kri­mi­nal­äm­ter sowie das Bun­des­kri­mi­nal­amt verfügen über Einheiten mit einem Fokus auf Cy­ber­kri­mi­na­li­tät. Diese können auch bei der Abwehr von konkreten Angriffen be­hilf­lich sein. Kon­takt­da­ten und mehr In­for­ma­tio­nen hierzu finden Sie auf der Website der Zentralen An­sprech­stel­len Cy­ber­crime der Polizeien für Wirt­schafts­un­ter­neh­men.

Welchen Schutz gibt es im Worst-Case-Szenario?

Einen 100-pro­zen­ti­gen Schutz vor Angriffen gibt es nicht, weshalb Sie Maßnahmen für den Ernstfall treffen sollten. Hierzu zählt bei­spiels­wei­se, wirksame Ver­schlüs­se­lungs­ver­fah­ren zu nutzen. Sorgen Sie dafür, dass sensible Daten für fremde Personen möglichst un­brauch­bar sind, sollten sie die In­for­ma­tio­nen erbeuten können.

Auch eine Backup-Strategie ist wichtig. Gerade Ran­som­wa­re-Angriffe verlieren ihre Bedrohung, wenn Sie alle wichtigen Daten zu­sätz­lich an einem externen Ort auf­be­wah­ren. Mit der 3-2-1-Backup-Regel stellen Sie sicher, dass Ihre Dateien immer sicher sind.