Was suchen Sie?

Schutz vor dem Cyberkrieg - Wie wir im Angriffsszenario vorgehen und was Sie davon lernen können

Die Frage ist nicht „wann“, sondern „wie“. Nach neusten Einschätzungen des TÜV-Verbands wird jedes Unternehmen in irgendwann zum Opfer eines Cyberangriffs. In den vergangenen Monaten hat sich die Gefährdungslage dabei immer weiter verschärft. Ursache Nummer eins: Der Krieg im Cyberraum, der auch vor unserer Wirtschaft nicht Halt macht. Umso wichtiger gestaltet sich die Aufklärung über das Vorgehen von Cyber-Kriminellen. Wir enthüllen die Trends der Angreifer und zeigen Ihnen an echten Szenarien, was Sie im Ernstfall beachten sollten.

Die Sicherheitslage ist prekär, Daten aus unterschiedlichsten Quellen bestätigen es: Jedes zehnte Unternehmen im benachbarten Deutschland wurde im vergangenen Jahr Opfer eines Cyberangriffs – das geht aus einer Umfrage im Auftrag des TÜV-Verbands hervor. Auch der Threat Hunting Report 2023 zeichnet ein düsteres Bild. Das Ergebnis hier: die interaktiven Angriffsversuche seien im Vergleich zum Vorjahr um weitere 40 Prozent gestiegen. Der BKA-Bericht für 2022 gibt weiterhin an, dass sich die Schäden durch IT-Attacken in Deutschland letztes Jahr auf 203 Milliarden Euro beliefen und komplettiert damit den Umriss der Lage. Die größten Bedrohungsherde im virtuellen Raum? Neben der organisierten Cyberkriminalität durch haktivistische oder auch staatliche Akteure können sogenannte Innentäter, also aktive oder ehemalige Mitarbeiter Unternehmen zum Verhängnis werden. Auch der russische Angriffskrieg hinterlässt seine Spuren im Cyberraum. Die Anzahl der Cybervorfälle gegen Unternehmen ist seit Eskalation des Konflikts merklich gestiegen. Im Fokus standen dabei 2022 DDoS-Attacken beider Kriegsparteien, um strategische IT-Ziele wie kritische Infrastrukturen lahmzulegen. Zu diesem Zweck wurde gezielt mithilfe von Malware attackiert – und diese Art der Attacken richtete sich nicht nur gegen Bundesbehörden.

Megatrends von Cyberkriminellen

Einschlägige IT-Trends sind allgegenwärtig -- sowohl in der Wirtschaft als auch in der Kriminalität. Cybercrime ist nach wie vor ein Milliardengeschäft für Onlinekriminelle. Kaum verwunderlich also, dass auch hier die innovativsten Technologien eingesetzt werden.

  • Der kriminelle Missbrauch von generativen KI-Modelle hat begonnen. Hacker haben ein neues Tool namens Worm GPT veröffentlicht: Hierbei handelt es sich um eine Art Chat GPT für Cyberkriminelle. Es kann benutzt werden, um Business-E-Mail-Compromise-Angriffe (BEC) zu optimieren, indem beispielsweise in wenigen Sekunden überzeugende Fake-E-Mails verfasst werden können.
  • Laut Threat Hunting Report 2023 ist der Telekommunikationssektor die am fünfthäufigsten ins Visier genommene Branche in Deutschland. Der Bericht hält außerdem fest, dass Kerberoasting-Attacken um 583 Prozent angestiegen sind. Dabei handelt es sich um eine Technik, mit der sich Angreifer gültige Anmeldeinformationen für Active-Directory-Konten verschaffen, um höhere Privilegien zu erhalten. Damit bleiben sie in den befallenen Umgebungen über längere Zeit unentdeckt.
  • Ransomware bleibt dem Bundeskriminalamt zufolge weiterhin Bedrohung Nummer Eins. Solche Schadsoftware verschlüsselt Daten von Firmen. Angreifer setzen zudem verstärkt auf identitätsbasierte Angriffe. Schließlich wird mit intern erbeuteten Daten mehr Druck für Lösegeldzahlungen aufgebaut.

„Die erste Frage, die wir uns stellen: Ist das Backup betroffen?“

Bisher gab es unzählige, medial präsente Hackerangriffe. Anfang dieses Jahres jedoch ereignete sich eine der umfangreichsten Attacken, die jemals auf Nicht-Windows-Maschinen gemeldet wurde! Über eine längst bekannte Schwachstelle im OpenSLP Service von VMwares Virtualisierungslösung ESXi wurden Tausende Server mit Ransomware infiziert und verschlüsselt. Der Tenor unter Experten: Das größte Learning dieses Incidents besteht in der Wichtigkeit, kritische Software-Infrastruktursysteme so zeitnah wie möglich zu patchen. Medialine Security Consultant Tobias Bernhard weist im Gespräch auf weitere Erkenntnisse in Sachen IT-Sicherheit hin, die er selbst in Security-Ernstfällen beim Kunden vor Ort mitnehmen konnte: „Die erste Frage, die wir uns bei einem Hackerangriff stellen: Ist das Backup betroffen? Wenn das Backup ‚sauber‘ ist, dann dauert der Ausfall der IT-Systeme vielleicht drei bis maximal vier Tage, je nach Umgebung und Kundengröße. Und das können viele Unternehmen verkraften. Ein verschlüsseltes Backup wiederum ist eine ganz andere Sache.“ Warum dem so ist, dazu später mehr.

Jetzt neu: Hacker Attack Simulation as a Service by Medialine!

Tobias Bernhard wird meist zu einem Sicherheitsvorfall hinzugezogen, wenn dieser schon als solcher identifiziert wurde. Denn die meisten Kunden besitzen eine interne IT-Abteilung, die dem Medialine Support den Vorfall meldet. „Manpower und das nötige Expertenwissen aus verschiedenen Bereichen wird von uns gestellt, nachdem wir über einen Incident informiert wurden. Mittlerweile verläuft das Ganze hochprofessionalisiert über unser internes CERT-Team. Dieses unterstützt den Krisenstab des betroffenen Unternehmens und arbeitet eng mit ihm zusammen“, so Tobias Bernhard. Auf die Frage, wie er und sein Team in einem solchen Fall konkret vorgehen, antwortet er: „Wenn wir nun von einem klassischen Ransomware-Angriff ausgehen, hat sich in der Vergangenheit ungefähr folgender Fahrplan abgespielt: Zunächst kappen wir die Netzwerkverbindung, also trennen die virtuelle Netzwerkkarte oder separieren das kompromittierte Konto vom restlichen Unternehmensnetzwerk. Dadurch können wir den betroffenen Bereich einkapseln und eine weitere Ausbreitung der Schadsoftware verhindern.“ Wichtig hierbei: das bedeute nicht, dass der Stromstecker einfach gezogen werde! Dies sei laut dem IT-Experten ein oft verbreiteter Irrglaube und eher kontraproduktiv, da die kompromittierten Systeme so unerreichbar und alle Daten vollends verloren wären.

Notfallpläne sind für den Notfall gedacht!

Nach diesem ersten Schritt sei das weitere Vorgehen abhängig von der berühmten „Backup-Frage“. Der Sicherheitsexperte fährt fort: „Wenn das Backup nun glücklicherweise unverschlüsselt ist, dann bereinigen wir die Systeme, sichten alles Stück für Stück, setzen Viren- und Malwareschutz ein, fahren die Systeme wieder hoch und vergeben die Passwörter neu. Wir haben State-of-the-Art-Methoden und Tools wie zum Beispiel den ADS- oder den RDS-Sensor, den wir aktiv in neues Netzwerk hängen – somit können wir Systeme aus dem Backup heraus wiederherstellen. Denn es besteht oft eine Restwahrscheinlichkeit, dass diese Systeme unsauber sind. Wenn wir jetzt ein solches System erwischen, würde der Sensor direkt anschlagen und eine Zweitverschlüsselung beziehungsweise den zweiten Hackerangriff damit abwehren.“ Und wenn das Backup verschlüsselt ist? Dann gibt es laut Bernhard zwei Optionen. Die verlockende der beiden: Oft bieten Cyberkriminelle im Gegenzug für eine Bitcoin-Zahlung der hochpreisigen Lösegeldsumme die Entschlüsselungssoftware an. Hiervon wird jedoch abgeraten, denn es besteht keine Garantie für die tatsächliche Entschlüsselung oder gar eine Sicherheit vor erneuten Angriffen. Zudem werden die Kriminellen durch den Erfolg ihrer Handlung ermutigt, weitere Angriffe dieser Art durchzuführen.

Die mühsame Option der beiden: mithilfe eines Notfallplans eine Notfallumgebung für die kritischsten Geschäftsprozesse und Abhängigkeiten aufbauen. „Die meisten Kunden haben trotz unseres Anratens vorher kein Notfallhandbuch im Sinne des Business Continuity Managements erstellt. Bisher musste unser Security Team mehr oder weniger kurzfristig einen Notfallplan entwickeln“, verweist der Medialine Sicherheitsberater Bernhard. „Natürlich macht das im Endeffekt den Unterschied, der über den Fortbestand des Unternehmens entscheiden kann.“ Im Nachgang müssten dann in wochenlanger Kleinarbeit die "alten" Infrastrukturen und Zusammenhänge von Grund auf neu gebaut werden. Das bedarf viel technischem Know-How und Architekturwissen – und kostet.

Vorsicht ist besser als …

Eine umfassende Sicherheitsstrategie lässt sich bereits mit wenigen Maßnahmen erzielen, solange diese gezielt von statten gehen: Notfallpläne sind dabei von entscheidender Bedeutung, damit Sie im Falle eines Falles den Betrieb aufrechterhalten können. Eine Übersicht und Kategorisierung über Ihre IT-Assets zu haben, ist außerdem eine wichtige Voraussetzung für schnelles Patchen, umfassenden Schutz und die Kontrolle über Ihre Zugangsberechtigungen. Durch die Zusammenarbeit mit unseren Sicherheits-Experten erhalten Sie Hilfe bei der Erstellung dieser und weiterer gezielten Maßnahmen, um auf neue Bedrohungen zu reagieren und sich zu schützen.

Jetzt das House of Security von Medialine besuchen!

Unsere Security Consultants helfen Ihnen, die richtige Technologie zu identifizieren, Mitarbeitende in Cyber Security Awareness zu schulen und die aktuelle Sicherheitslage zu überprüfen. Mit unserem vielfältigen Sicherheitsportfolio – besser bekannt als das House of Security – finden wir gemeinsam die beste Lösung für Sie. Vereinbaren Sie noch heute ein unverbindliches Beratungsgespräch unter sales.at@medaline.com.

Alles Wichtige auf einen Blick
Via Telefon
+43 (316) 225029
Via E-Mail
Online Anfrage
Service Helpdesk
Support-Bereich
Login für Kunden
Cloud Status prüfen