Schützt die Burgen – Angriff auf die Mauer (Teil 2) #hackings

Das Unternehmen als Burg – mit dieser Metapher bringen wir Ihnen die Begriffe rund um das Schlagwort Cyber näher. Während wir im ersten Teil unseren Fokus auf DDoS-Angriffe legten, möchten wir Ihnen diese Woche den Begriff des Hackings erklären. Ein Hack unterscheidet sich maßgeblich von einem DDoS-Angriff. Hat letzterer das Ziel, die Infrastruktur des angegriffenen Unternehmens zu überlasten und dadurch lahmzulegen, so wird bei einem Hacking-Angriff versucht, direkt auf die IT-Infrastruktur des Unternehmens zuzugreifen und diese zu manipulieren.

In unserer Burgen-Welt würde ein Hack einem wirklichen Angriff mit dem Ziel der heimlichen Ausplünderung der Burg gleichkommen. Der Angreifer kundschaftet die Burg zuerst aus und analysiert Schwachstellen sowie mögliche Angriffsszenarien. Er hat hier zwei Möglichkeiten:
passiv (Aufklärung aus der Ferne)
aktiv (Verteidigung testen mit der Gefahr der Enttarnung)

Anschließend wird der Angriff gestartet. Der Angreifer versucht über die zuvor festgestellten Schwachstellen (z. B. offene Ports) in die Burg einzudringen. Mit den verschiedensten Schutzmaßnahmen probieren die Verteidiger dies zu verhindern. Hohe Mauern (Firewalls), regelmäßige Patrouillen (Monitoring) und eine Burg auf dem neuesten Stand der Technik (Updates) helfen den Verteidigern dabei. Auch Fallen, die für Angreifer aufgestellt werden (etwa Honeypods) und absichtlich falsch ausgestreute Informationen sind Mittel zur Verteidigung.

Auf der technischen Ebene lässt sich ein Hack vereinfacht in drei Phasen gliedern.

Phase 1: Discover

In der Aufklärungsphase versucht der Angreifer Informationen über sein Ziel zu sammeln. Verschiedenste Daten können für den Angreifer interessant sein: von der verwendeten Hardware über das Betriebssystem bis hin zur installierten Software. Jedes mit dem Internet verbundene System tauscht Daten aus. Aus diesen Daten und dem Schema, in dem einfache Anfragen beantwortet werden, können Angreifer Rückschlüsse ziehen und Informationen zur Konfiguration sammeln. Dazu muss der Angreifer sich meist gar nicht selbst um diese Informationen bemühen, da verschiedene Online-Datenbanken existieren, die solche Informationen regelmäßig abfragen und anbieten. Eine solche Datenabfrage geschieht automatisiert über sogenannte Crawler und Scanner. Wie in unserer Metapher kann der Angreifer also eine passive Variante wählen, in der er sich nicht zu erkennen gibt. Die aktive Variante, die das Risiko der Entdeckung mit sich bringt, liefert jedoch hochwertigere Daten. Eine solche Aufklärung geht über frei verfügbare Informationen hinaus und analysiert die online stehende Infrastruktur des Ziels bis in das kleinste Detail - kann den Verteidiger aber alarmieren.

Phase 2: Attack

Nach der Analyse der gesammelten Informationen beginnt der Angriff. In der einfachsten Variante hat der Angreifer ein exploitbares System, also ein System mit einer Sicherheitslücke gefunden. Bei nicht aktuellen Systemen ist dies sehr einfach, da bereits eine einfache Google-Suche nach einem veralteten System die Sicherheitslücke mit dem zugehörigen Angriffstool bereitstellt. Je aktueller und sicherer die Systeme sind, desto schwieriger ist der Angriff.

Es gibt jedoch keine totale Sicherheit: Auch wenn die Software aktuell ist, kann eine noch nicht öffentliche Schwachstelle existieren. Beispielsweise war EternalBlue, die Sicherheitslücke hinter dem WannaCry-Angriff, den Experten der NSA und einigen „Grey Hats“ schon lange vor dem Angriff bekannt. Individualisierte Angriffe können meist nur von einer kleinen Gruppe von Spezialisten durchgeführt werden. Die Masse der Versuche kopiert ein öffentlich gewordenes Vorgehen eines Spezialisten. Diese Angriffe können durch eine aktuelle Sicherheitskonfiguration meist zuverlässig abgewehrt werden.

Phase 3: Exploit

Ist der Angreifer in das System eingedrungen, so beginnt er seine eigentlichen Ziele umzusetzen. Neben Erpressung (RansomWare) und weiterer Verbreitung, wie im WannaCry-Vorfall, gibt es noch verschiedene andere Möglichkeiten. Datendiebstahl oder die Nutzung der Infrastruktur für Botnet-Angriffe sind hier nur zwei Beispiele. Dies erschwert die Analyse der Schäden. Für Reinigung und Wiederherstellung der Infrastruktur können hohe Kosten auf Unternehmen zukommen, wie beispielsweise der Angriff auf den Bundestag zeigte.

Automatisierte Attacken dienen meist der Erpressung oder zur Nutzung der Infrastruktur. Dabei handelt es sich bei exploitbaren Systemen für Hacker regelrecht um eine Ressource. Für die Bereitstellung eines DDoS-Attack-Services beispielsweise, ist es nötig, dass immer neue Systeme dem Botnet hinzugefügt werden, da alte Systeme von der Infektion gereinigt werden und aus dem Netzwerk fallen. Nur durch einen stetigen Zufluss von Systemen kann die Größe des Botnets konstant gehalten werden. Der Wettbewerb der Hacker geht hier teilweise so weit, dass ein Hacker nach einer erfolgreichen Attacke die von ihm ausgenutzte Sicherheitslücke schließt und so seine Eroberung gegen weitere Angreifer verteidigt, um sie alleine nutzen zu können.

Die Auswirkungen von komplexen individuellen Angriffen lassen sich nur schwer charakterisieren. Datendiebstahl, Störung des Betriebs und Rufschädigung sind hier nur einige mögliche Szenarien. Gerade in den letzten Monaten gehört auch Erpressung zu den immer häufiger auftretenden Zielen der Hacker, wie auch der neue Petya-Angriff zeigt. Ein solcher Angriff ist im Vergleich eher selten, stellt für ein Unternehmen aber meist das Worst-Case-Szenario im Cyberumfeld dar. Ohne eine entsprechende Versicherung kann es für KMU schnell existenzbedrohend werden.

Im nächsten Teil der Serie wollen wir einen Blick auf die Strukturelemente des Internets werfen und Begriffe wie Provider, DNS und Port genauer beleuchten.

Viele Grüße
Felix Fiedler



Felix Fiedler wird diesen Blog ab sofort und regelmäßg mit Beiträgen rund um das Thema "Cyber" versorgen. Er ist Stammautor unseres Blogs und zeigt die Kehrseite und die Schwachstellen zunehmender Digitalisierung auf.

#Versicherungen #Cyber #Cyberrisiken #DDoS #DDoS-Angriff #DDoS-Schutz #Botnetze



Grafiken by #103858714 © TAlex by fololia.com und pixabay.de
Reaktionen:

0 Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.