Die Cyberkriminalität entwickelt sich weiter. Die Techniken, Taktiken und Verfahren (TTPs) ändern sich, die Zahl der Schwachstellen steigt sprunghaft an, und der Aufstieg von Ransomware-Banden zusammen mit der Digitalisierung so vieler Branchen haben eine äußerst kritische Lage geschaffen, in der Bedrohungsakteure in der Lage sind, Schaden anzurichten und sowohl mit Daten als auch mit Geld davonzukommen.
Im Jahr 2022 stieg die Zahl der Ransomware-Angriffe weiter an, mit einem durchschnittlichen anfänglichen Lösegeldbetrag von 500.000 USD, da sich das Ransomware-as-a-Service-Modell durchsetzte. Außerdem sind BEC-Angriff (Business Email Compromise) immer mehr in den Mittelpunkt gerückt; sie machen 29 % der von Arctic Wolf untersuchten Vorfälle aus.
Aber diese Statistiken sind nur der Anfang davon, wie Bedrohungsakteure in Systeme eindringen und sich das nehmen, was sie wollen. Um die Landschaft als Ganzes zu verstehen, ist es wichtig, die gängigen Angriffsvektoren zu kennen und zu wissen, wie sie für Cyberkriminalität genutzt werden.
Was ist ein Angriffsvektor?
Ein Angriffsvektor ist die Art und Weise, wie ein Bedrohungsakteur Zugang zu einem Netzwerk, System oder Endgerät erhält. Wenn Ransomware die Art des Angriffs ist, ist die Art und Weise, wie der Bedrohungsakteur die Ransomware einsetzen konnte, der Angriffsvektor. Ein Angriffsvektor kann auch als Ausgangspunkt der Kompromittierung bezeichnet werden, d. h. als die Methode, die ein Bedrohungsakteur als ersten Einstiegspunkt nutzt.
Unterschied zwischen Angriffsvektor und Angriffsfläche
Eine Angriffsfläche ist nicht der Vektor, den ein Bedrohungsakteur nutzt, sondern die Gesamtheit der Wege, die ihm in einem System zur Verfügung stehen. Wenn ein Unternehmen E-Mail, die Cloud, IoT-Geräte, mit dem Internet verbundene Endgeräte und andere digitale Geräte verwendet, bilden all diese Komponenten die Angriffsfläche.
Unterschied zwischen Angriffsvektor und Bedrohungsvektor
Angriffsvektor und Bedrohungsvektor sind ähnliche Begriffe, aber der Bedrohungsvektor ist eher hypothetisch. Phishing ist im Allgemeinen ein Bedrohungsvektor. Wenn ein Unternehmen durch einen Phishing-Angriff angegriffen wird, würde die Untersuchung ergeben, dass Phishing der Angriffsvektor war.
Was sind die häufigsten Angriffsvektoren?
1. Phishing
Wie die anderen Social-Engineering-Techniken auf dieser Liste beruht auch Phishing auf der Überzeugungskraft und der Manipulation der menschlichen Psyche durch Cyberkriminelle. Beim Phishing handelt es sich um betrügerische Kommunikation mit der Absicht, vertrauliche Daten zu stehlen, Malware in ein Computersystem einzuschleusen, Finanzbetrug zu begehen, oder praktisch jedes andere betrügerische Unterfangen, das Sie sich vorstellen können.
Phishing-Versuche erfolgen meistens in Form einer E-Mail, in der der Empfänger angewiesen wird, auf einen Link zu klicken, einen Anhang zu öffnen, Geld an ein Bankkonto zu senden oder vertrauliche Informationen wie Anmeldeinformationen bereitzustellen. Dies ist ein gängiger Einstiegspunkt für die Verbreitung von Malware, einschließlich Ransomware.
Phishing gibt es zwar schon seit langem und ist allgemein bekannt, aber es ist immer noch sehr effektiv. 12 % der von Arctic Wolf im Jahr 2022 registrierten Angriffe waren auf Phishing zurückzuführen, und Social-Engineering-Taktiken, die über Phishing hinausgehen, erhöhen diesen Prozentsatz auf 16 %.
Wie kann man gegen Phishing vorgehen?
E-Mail-Filter, wie z. B. Anti-Spam, sind eine gute Methode, um zu verhindern, dass Phishing-E-Mails in die Posteingänge gelangen. Phishing-Angriffe sind jedoch nur dann erfolgreich, wenn der Benutzer darauf hereinfällt. Daher sind die Aufklärung der Benutzer und eine solide Schulung des Sicherheitsbewusstseins der Schlüssel, um Phishing in Schach zu halten. Wenn ein Phishing-Angriff erfolgreich ist, können nachfolgende Verteidigungsmaßnahmen wie die Multi-Faktor-Authentifizierung sowie Überwachungs- und Erkennungssoftware den Unterschied zwischen einem angeklickten Link und einem ausgewachsenen Einbruch ausmachen.
2. Ausnutzen von Schwachstellen
Phishing mag zwar bekannter sein, aber die meisten Sicherheitsverletzungen werden durch Schwachstellen verursacht. Ungepatchte Software oder Zero-Day-Exploits können ein Albtraum für Unternehmen sein, insbesondere für solche, die nur über geringe Ressourcen verfügen. 45 % der Vorfälle in diesem Jahr wurden durch Schwachstellen verursacht, die durch Sicherheitspatches und -updates, die bereits vor dem Vorfall verfügbar waren, hätten behoben werden können. Dies verdeutlicht, dass diese Schwachstellen weit verbreitet sind und dass Bedrohungsakteure sie weiterhin für den Zugang nutzen werden.
Wie bekämpft man das Ausnutzen von Schwachstellen?
Schwachstellen-Scans helfen bei der Identifizierung von Systemen, die Patches benötigen, und das NIST Cybersecurity Framework empfiehlt die Verwendung von Risiko-Management-Prozessen zur Behebung von Schwachstellen auf der Grundlage von Prioritäten.
Allerdings ist es für die meisten Unternehmen nicht möglich, alle Schwachstellen rechtzeitig zu beheben. Aus diesem Grund sollten Unternehmen einen Prozess zur Risikobewertung entwickeln und umsetzen, um herauszufinden, welche Software und Systeme die größten Risiken darstellen. Dieser Prozess beinhaltet eine vollständige Bestandsaufnahme Ihrer IT-Infrastruktur, damit Sie wissen, was Sie schützen wollen und was Sie auf Schwachstellen überprüfen sollten.
Darüber hinaus können eine Rund-um-die-Uhr-Überwachung und die Erkennung von Bedrohungen von unschätzbarem Wert sein, da einige Systeme nicht schnell oder – unter bestimmten Umständen – überhaupt nicht gepatcht werden können.
3. Fehlkonfigurationen
Sicherheitsfehlkonfigurationen entstehen, wenn Sicherheitskontrollen für Geräte, Netzwerke, Cloud-Anwendungen, Firewalls und andere Systeme nicht ordnungsgemäß implementiert werden. Fehlkonfigurationen können alles umfassen – von standardmäßigen Administratoranmeldeinformationen und offenen Ports bis hin zu ungenutzten Webseiten und ungeschützten Dateien. Ein gutes Beispiel ist ein Remote-Desktop-Protokoll (RDP), das ordnungsgemäß funktioniert, aber immer noch den ursprünglichen Benutzernamen und das Passwort des Administrators enthält.
Fehlkonfigurationen sind in der Cloud-Umgebung keine Seltenheit und stellen daher ein wachsendes Risiko dar, da immer mehr Unternehmen die Cloud einführen, oft ohne eine angemessene Cloud-Sicherheit zu implementieren.
Diese Art von passivem Angriffsvektor ist ein Problem, das ein Unternehmen selbst verursacht hat und das zu Datenschutzverstößen, unerlaubtem Zugriff und anderen schwerwiegenden Sicherheitsvorfällen führen kann.
Wie können Fehlkonfigurationen verhindert werden?
Eine proaktive Sicherheitsstrategie sucht nach Möglichkeiten, Lücken, Fehlkonfigurationen und Schwachstellen zu beseitigen, die Angreifer sonst ausnutzen könnten. Cloud Security, insbesondere Cloud Security Posture Management, kann dabei helfen, Fehlkonfigurationen in Echtzeit zu erkennen und Konfigurationen einem Sicherheitsrahmen zuzuordnen. Darüber hinaus kann die Rund-um-die Uhr-Überwachungssoftware nach Fehlkonfigurationen bei Geräten und Netzwerken suchen und diese erkennen.
4. Kompromittierte Anmeldeinformationen
Dies soll Sie daran erinnern, Ihre Passwörter zu aktualisieren, denn 7 % der von Arctic Wolf untersuchten Vorfälle im Jahr 2022 waren auf eine schlechte Passworthygiene zurückzuführen.
Außerdem betrifft laut Data Breach Investigations Report 2022 von Verizon ungefähr die Hälfte der Datenschutzverstöße gestohlene Benutzeranmeldeinformationen. Nach Schätzungen in mehreren anderen Berichten sind Milliarden von gestohlenen Zugangsdaten im Darknet verfügbar – infolge von kompromittierten Datenbanken sowie von Cyberangriffen.
Cyberkriminelle nutzen diesen Angriffsvektor, der auch als Diebstahl von Zugangsdaten bezeichnet wird, nicht nur, weil es viel einfacher ist, über ein bestehendes Konto Zugang zu vertraulichen und wertvollen Informationen in einem Unternehmen zu erhalten, sondern auch, weil sie großen Schaden anrichten können, bevor sie entdeckt werden.
Zu häufigen Angriffen auf der Grundlage von Anmeldeinformationen gehören:
Brute-Force: Bei einem Brute-Force-Angriff versucht ein böswilliger Akteur, sich unerlaubten Zugriff auf sichere Systeme zu verschaffen, indem er alle möglichen Passwörter ausprobiert, bis er das richtige gefunden hat.
Credential Stuffing: Eine Form der Brute-Force-Methode, bei der rohe Rechenleistung und Automatisierung eingesetzt werden, um Passwortkombinationen wiederholt zu versuchen, bis die richtige Anmeldung gefunden ist.
Password Spraying: Eine weitere Form der Brute-Force-Methode, bei der versucht wird, sich mit bekannten Benutzernamen in Kombination mit gängigen und/oder Standardpasswörtern bei einem Unternehmen anzumelden.
“Über die Schulter surfen” (Shoulder-Surfing): Erlangung von Anmeldeinformationen durch direkte Beobachtung des Bildschirms eines Benutzers in einer öffentlichen Umgebung.
MFA-Überlastung: Ein Bedrohungsakteur sendet permanent Aufforderungen an ein MFA-Gerät und hofft, dass sich der Benutzer authentifiziert.
Wie bekämpft man Angriffe, die auf Anmeldeinformationen basieren?
Gegen diesen häufigen Angriffsvektor ist eine vielschichtige Verteidigung am besten. Zu den bewährten Verfahren zur Verhinderung der Kompromittierung von Anmeldeinformationen gehören:
- Anforderungen an starke Passwörter durchsetzen
- Einführung von MFA in der gesamten IT-Umgebung
- Die Benutzerrechte auf Rollen basierend beschränken
- Das Benutzerverhalten überwachen, um ungewöhnliche Aktivitäten zu erkennen
- Strenge Kontrollen für Administratorkonten einführen
- Einführung von Gegenmaßnahmen, die speziell darauf ausgerichtet sind, Brute-Force-Angriffe zu vereiteln, wie z. B. die Begrenzung von Versuchen, bevor ein Konto gesperrt wird, oder die manuelle CAPTCHA-Eingabe
5. Anbieter in der Lieferkette
Ganz gleich, wie stark Ihre eigenen Cybersecurity-Maßnahmen sind – Sie sind nur so stark wie Ihr schwächster Partner, Anbieter oder Lieferant.
In der heutigen vernetzten digitalen Welt steigt das von Dritten ausgehende Risiko schnell. Zahlreiche aufsehen erregende Datenschutzverstöße der letzten Jahre haben die Auswirkungen von Sicherheitsverletzungen bei Anbietern gezeigt und deutlich gemacht, dass Cyberkriminelle Lieferanten mit niedrigem Sicherheitsniveau als Einstiegspunkt in ein anderes Unternehmen ins Visier nehmen.
Man denke nur an den DoorDash-Verstoß im Jahr 2022, bei dem ein Anbieter einem Phishing-Angriff zum Opfer gefallen war, der zur Offenlegung personenbezogener Daten von Kunden und Mitarbeitern führte, darunter Namen, E-Mail-Adressen, Lieferadressen und Telefonnummern.
Wie können Angriffe auf die Lieferkette abgewehrt werden?
Die Infrastruktur von Drittanbietern liegt außerhalb Ihrer Kontrolle, doch Sie haben eine Möglichkeit, das von Drittanbietern ausgehende Risiko zu mindern. Mithilfe von proaktiven Maßnahmen können Sie die Gefahr minimieren:
- Verlangen Sie über Ihre Serviceverträge von den Lieferanten, bestimmte Cybersecurity-Standards einzuhalten.
- Validieren Sie das Sicherheitsniveau der Lieferanten mithilfe von Audits, Kennzahlen und anderen Möglichkeiten.
- Implementieren Sie Richtlinien, die das Scannen und Überwachen der Geräte Ihrer Anbieter erfordern, sobald diese mit Ihrem Netzwerk verbunden werden.
- Nutzen Sie eine Lösung zur Bedrohungserkennung und -abwehr, um Ihr Netzwerk auf Anomalien zu überwachen.
6 zusätzliche Angriffsvektoren für Hacker
Die folgenden Angriffsvektoren sind zwar weniger verbreitet, aber das bedeutet nicht, dass sie keine Bedrohung für Ihr Unternehmen darstellen. Es braucht nur einen Vektor und einen Bedrohungsakteur, um einen massiven Angriff zu starten, der zu Ausfallzeiten, Bußgeldern, Datenverlusten, Rufschädigung und vielem mehr führen kann.
Es ist wichtig, dass Ihr Unternehmen im Rahmen der Verbesserung des Sicherheitsniveaus die verschiedenen Vektoren versteht und die Prioritäten bei Zeit und Arbeitskräften so setzt, dass sie sowohl für Ihr Unternehmen als auch für Ihre Cybersicherheit sinnvoll sind.
Bösartige Dokumente
Da die Pandemie zu einer Zunahme der Remote-Arbeit führte, wurde diese Art von Angriffsvektor immer häufiger genutzt. Er kann die Form einer gesperrten PDF-Datei annehmen, die zum Öffnen Ihr Kontopasswort erfordert – und so Ihre Anmeldedaten abfängt – oder eines bösartigen Makros, das in ein Microsoft Office-Dokument eingebettet ist. Diese Dokumente werden häufig für Phishing-Betrügereien verwendet.
Watering-Hole-Angriffe
In diesem Fall wählt ein Bedrohungsakteur eine Website aus, die von den Nutzern des Zielunternehmens regelmäßig besucht wird, und installiert darauf Malware. Dann legt er sich auf die Lauer – wie ein Alligator an einer Wasserstelle – und wartet darauf, dass ein Benutzer die infizierte Website besucht.
Man-in-the-Middle
Bei dieser hochtechnologischen Form des Abhörens schaltet sich ein Cyberkrimineller zwischen Sie und die Partei, an die Sie Ihre Daten oder Informationen zu senden versuchen. Dies geschieht in der Regel über WLAN, das entweder schlecht oder gar nicht geschützt ist. Sobald die Cyberkriminellen im Netzwerk sind, können sie Tools einsetzen, um Anmeldeinformationen abzufangen, Malware zu starten oder Daten zu zerstören. Diese Angriffe haben in dem Maße zugenommen, wie die Arbeit von zu Hause aus zunimmt und die Nutzer sich immer häufiger in Cafés und anderen öffentlichen Orten aufhalten, um ihre Arbeit zu erledigen.
Bedrohungen durch Insider
Hinter einer Bedrohung durch Insider können viele Motive stehen, z. B. Spionage, Diebstahl oder einfach nur Rache, aber die Handlungen sind immer die gleichen. Ein bekannter Benutzer im Netzwerk eines Unternehmens nutzt seinen Zugang, um Daten zu stehlen, Anmeldeinformationen zu entwenden oder einen Cyberangriff zu starten.
Fehlende Verschlüsselung
Wenn es sich um stark vertrauliche Daten handelt, sollte nicht nur der Zugang zu ihnen eingeschränkt werden, sondern auch die Dateien selbst sollten verschlüsselt werden – sei es mit einer einfachen Passwortanforderung – um zu verhindern, dass sie in die falschen Hände geraten. Hacker sind auf der Suche nach Daten, um sie zu stehlen, zu verkaufen oder Lösegeld zu erpressen. Daher sollte es zu den besten Praktiken gehören, diese Daten in einem digitalen Safe aufzubewahren.
Distributed-Denial-of-Service-Angriffe (DDoS)
Dieser von außen durchgeführte Angriff ermöglicht es einem Bedrohungsakteur, einen Server mit Datenverkehr zu überlasten und ihn zum Absturz zu bringen. Diese Art von Angriffen wird häufig von Bots durchgeführt.
Wie man sich gegen Angriffsvektoren verteidigt
Da alle diese Angriffsvektoren variieren, ist die beste Verteidigung eine breit angelegte, die sich an die sich ändernden Geschäfts- und Sicherheitsanforderungen sowie Bedrohungen anpassen und verändern kann. Bei der Cybersicherheit gibt es keine Einheitslösung. Stattdessen müssen Unternehmen ihre Umgebung und ihre Risikofaktoren betrachten und in die Tools und Mitarbeiter investieren, die sie auf ihrem Weg zu mehr Sicherheit unterstützen.
Einige erste Schritte, die eine Organisation unternehmen kann, sind:
- Verstehen Sie Ihre Angriffsfläche.
- Überwachen Sie Ihre Umgebung kontinuierlich.
- Implementieren Sie Identitäts- und Zugriffsmanagementtechniken, wie MFA, im gesamten Unternehmen.
- Investieren Sie in Cloud-Sicherheit und verstehen Sie, wie es zu Fehlkonfigurationen kommt.
- Schulen Sie Benutzer mit einem umfassenden Schulungsprogramm zum Thema Sicherheitsbewusstsein.
Verstehen Sie die verschiedenen Angriffsvektoren besser mit “The Big Business of Cybercrime“.
Erfahren Sie, wie eine MDR-Lösung zur Eindämmung von Bedrohungen und zum Schutz vor verschiedenen Angriffsvektoren beitragen kann.
