Abwehr von Hacker-Angriffen

Die erste Verteidigungslinie: Mitarbeiter und Administratoren

31.08.2015 von Frank von Stetten
Bei der Abwehr professioneller Cyber-Angriffe kommt es auch auf die Unternehmensmitarbeiter als wesentliche Verteidigungslinie an. Denn gerade sie sind oftmals Angriffsziel Nummer eins.

Die Cyber-Angriffsmethoden auf Menschen werden "Social Engineering" oder auch "Social Hacking" genannt. Die Angreifer nutzen typische psychologische Verhaltensmuster wie Neugierde oder Hilfsbereitschaft aus, um sensible Informationen zu erschleichen oder Systeme zu infizieren.

Die Auserwählten: Spear Phishing

Bei Spear Phishing handelt es sich um gezielte Phishing-E-Mails an wenige ausgewählte Opfer. Spear Phishing ist eine sehr erfolgreiche Variante des tool-gestützten Social Engineerings. Die Cyber-Angreifer sammeln gezielt Informationen über bestimmte Personen, beispielsweise in sozialen Netzen oder über gezielte Telefonanrufe. Die "Auserwählten" erhalten dann professionell aufbereitete E-Mails, deren Inhalt typischen Geschäftsvorgängen entspricht und somit Vertrauen erzeugt. Klickt der Empfänger auf den Anhang der E-Mail, infiziert er seinen Computer mit Schadsoftware. Diese ist ebenfalls speziell für diesen Angriff entwickelt und wird daher von Virenscannern oft nicht erkannt.

So gehen die Phishing-Betrüger vor -

Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.

Klickt man auf den Antwort-Button, ...

... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.

Sogar angebliche Auktionsteilnahmen sind gefälscht..

Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.

Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.

Der verlorene USB-Stick

Nahezu ebenso erfolgreich wie Spear Phishing ist der USB-Stick. Die Angreifer "verlieren" mit Schadsoftware präparierte USB-Sticks in der Cafeteria, an Raucherecken, vor dem Werkstor oder in Tiefgaragen für Mitarbeiter. Sie vertrauen auf neugierige Menschen, die den USB-Stick in der Regel mitnehmen und an ihren PC stecken, um zu sehen, was sich darauf befindet. Der Spionageangriff auf das Bundeskanzleramt ist ein prominenter Fall für solch einen Angriff.

Wenn der Administrator anruft

Social Engineering kann auch durch persönlichen Kontakt erfolgen. Ein Mitarbeiter erhält einen Anruf von einem vermeintlichen IT-Administrator. Für die Behebung eines dringenden technischen Problems benötigt er angeblich das Passwort. Mit etwas Fachchinesisch und dem Aufbau von Druck ist auch dieser Angriff überdurchschnittlich erfolgreich. Der Angreifer kann mit den Zugangsdaten seines Opfers weiter in das Unternehmensnetz vordringen.

Wissen schützt

Aufmerksamkeit und gesunde Skepsis reduzieren das Risiko, Opfer von Social Engineering zu werden. Damit sich die Mitarbeiter sicherheitsbewusst verhalten, müssen sie allerdings das Gefahrenpotenzial kennen und eine persönliche Betroffenheit spüren. Wer einmal live erlebt hat, wie schnell ein sechsstelliges Passwort geknackt ist, der wird die Richtlinie zur Passwortsicherheit nicht mehr infrage stellen.

Die Sensibilisierung erfolgt durch klassische Security-Awareness-Maßnahmen wie Präsenztrainings, Online-Trainings, Hacking Days, Videos und vieles mehr. Die wichtigste Botschaft: "Hören Sie auf Ihr Bauchgefühl und melden Sie verdächtige Vorkommnisse." Denn nur wenn potenzielle Angriffe an die IT gemeldet werden, können die Unternehmen reagieren, Abwehrmaßnahmen einleiten und somit den Schaden reduzieren.

Ohne Führungskraft keine Sicherheit

Sicherheitsbewusstes Verhalten bedeutet meist zusätzlichen, wenn auch kleinen, Aufwand: den PC sperren, E-Mails verschlüsseln, vertrauliche Unterlagen wegsperren und so weiter. Wenn der Chef das nicht macht, warum sollten es dann die Mitarbeiter tun? Führungskräfte haben gerade in Bezug auf Sicherheit eine Vorbildfunktion und sollten sicherheitsbewusstes Verhalten entsprechend vorleben. Deshalb erhalten Führungskräfte auch eine "Sonderbehandlung" bei der Sensibilisierung.

Sicherheitsrisiko Apps -
Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte.
Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden.
Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist.
Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar.
Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln.
Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert.
Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt.
Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google.
Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.

Das Sonderziel: der Administrator

Administratoren haben deutlich umfangreichere Rechte als Benutzer. Deshalb sind gerade IT-Administratoren ein beliebtes Angriffsziel. Als Menschen sind sie ebenso anfällig für Social Engineering durch Spear Phishing oder USB-Sticks.

Die größte Gefahrenquelle ist allerdings die tägliche Routine. Viele APT-Angriffe benötigen gar kein Social Engineering, da in der täglichen Arbeit fundamentale Sicherheitsaufgaben "vergessen" werden.

Die Pflicht: Hardening und Patching

Viele Angreifer dringen über banale Schwachstellen ins Unternehmen ein, zum Beispiel:

Die Härtung neu aufgesetzter Systeme ist elementarer Bestandteil der Defense-in-Depth-Strategie, ebenso wie das zeitnahe Patchen von kritischen Sicherheitslücken.

Bequemlichkeit und Routine sind die größten Feinde

Cyber-Angreifer sind mit den täglichen Arbeitsabläufen eines Administrators bestens vertraut und nutzen das mit entsprechenden Angriffsszenarien aus. Haben sie einen Account gekapert, versuchen sie dasselbe Passwort bei anderen Admin-Accounts. Und sie haben damit oft Erfolg.

Extrem gefährlich ist auch die Nutzung hoch privilegierter Admin-Accounts auf Clients oder Webservern. Cyber-Angreifer können beispielsweise Windows-Passwörter mit entsprechenden Tools im Klartext aus dem RAM eines Servers auslesen. Häufig finden sie bereits auf einem einfachen Web- oder Backup-Server die Zugangsdaten des Domänenadministrators. Denn für Administratoren ist es eben viel bequemer, immer den "Super-Admin" zu benutzen anstelle eines eigenen Accounts für jedes System. Deshalb lautet eine wichtige Regel: Jeder Administrator sollte nur mit den Rechten arbeiten, die er für die Erledigung der Aufgabe benötigt. Dieses "Prinzip der minimalen Rechte" ist ein weiterer elementarer Bestandteil einer erfolgreichen IT-Sicherheitsstrategie.

Mittelfristig sollten Admin-Accounts zusätzlich durch technische Maßnahmen wie Zwei-Faktor-Authentisierung, Jump-Server oder den Einsatz von Privileged-Identity-Management-Tools abgesichert werden.

Anzeichen für einen Cyber-Angriff -
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.

Sichere Softwareentwicklung

Selbstverständlich sind auch Softwareentwickler eine wichtige Zielgruppe für Security-Awareness-Maßnahmen. Nach wie vor sind hausgemachte Schwachstellen wie unzureichende Validierung der Benutzereingabe oder fehlende Verschlüsselung gängige Einfallstore für Cyber-Angreifer. Sicherheit sollte deshalb ein integraler Bestandteil des gesamten Softwarelebenszyklus werden - von der Risikoanalyse über Code Reviews bis hin zu Penetrationstests.

Fazit: Fortlaufende Sensibilisierung ist entscheidend

Menschliches Verhalten beeinflusst entscheidend die Widerstandsfähigkeit (Resilience) eines Unternehmens gegen Cyber-Angriffe. Die Schulung und Sensibilisierung der verschiedenen Gruppen ist ein "Quick Win", eine schnell umsetzbare, messbare und kosteneffiziente Maßnahme für eine funktionierende Sicherheitsstrategie. Ohne geschultes Personal bleiben Investitionen in Security-Technologien ineffizient.