Drei Cyberangriffstechniken, die Sie kennen sollten
Angriff auf Ihr Netzwerk ohne Software
Dies führt uns zur dritten Technik: Angreifer können auch neuere Antiviren- und Endpunkttechnologien umgehen, und haben gelernt, wie man ein Netzwerk infiltriert und Informationen stiehlt, ohne bösartige Software zu installieren. Angreifer nennen diesen Ansatz „vom Land leben“. Neuere Computer verfügen bereits über jede Menge vorinstallierter Programme, die Angreifer für ihre Zwecke missbrauchen können. Da der durchschnittliche Mitarbeiter Zugriff auf viele Systeme und Dateien hat, können Hacker mit einem einzigen Computer, einem einzigen Benutzerkonto und vorinstallierter Software viel Schaden anrichten. Durch die Ausführung von Standardbefehlen sind sie so beispielsweise in der Lage, nach wertvollen Inhalten zu suchen und die Daten dann per E-Mail an sich selbst zu senden.
Für den Fall, dass der Angreifer beim ersten Opfer nicht das findet, was er sucht, kann er von diesem Punkt aus andere Computer und Konten übernehmen, indem er andere schwache Passwörter errät oder „knackt“. Angreifer wissen im Allgemeinen, wo Benutzerkontoinformationen gespeichert sind (in der Regel im Active Directory) und wissen, wie sie die entsprechenden Schwachstellen ausnutzen können, um Kontoinformationen und Anmeldeinformationen zu sammeln - um dann schliesslich zu ihrem Ziel zu gelangen.
Was kann man also tun?
Angreifer sind sehr geschickt darin, Computer und Konten zu übernehmen und sich unbemerkt in der Unternehmens-Infrastruktur zu bewegen. Aber obwohl man die Angreifer nicht kennt, ist es eigentlich klar, was sie wollen. Und dies sollte man zu seinem Vorteil nutzen.
Einige Angreifer sind darauf aus, Ihre Systemleistung zu nutzen, etwa durch das Schürfen von Kryptowährung oder um Sie zum Teil eines Botnets zu machen und auf diese Weise andere Angriffe zu starten. Aber in aller Regel sind die meisten - und gefährlichsten - Angriffe auf ein Ziel ausgelegt: Ihre Daten. Von denen gibt es in den Systemen jede Menge, sie sind wertvoll und lassen sich gut monetarisieren.
Deshalb ist es von grösster Wichtigkeit, dass Sie Ihr geistiges Eigentum, Mitarbeiter- und Kundeninformationen, Gesundheitsdaten u.ä. finden, bevor die Angreifer es tun. Gerade diese Daten sind meist nicht (nur) dort, wo man sie vermutet, sondern liegen verteilt auf Mail- und Datenservern, Rechnern oder in der Cloud. Und verfügen zudem über zu weitreichende Zugriffsrechte. Dies zeigen auch die Ergebnisse des Datenrisiko-Reports 2019. Demnach sind durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich und in jedem zweiten Unternehmen können alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen.
Unternehmen (und deren Sicherheitsverantwortliche) müssen erkennen, welche Daten im Unternehmen besonders wertvoll und leicht zu stehlen sind - und es dann den Angreifern deutlich schwerer machen, an sie heranzukommen. Hierbei sollte zunächst der Zugriff eingeschränkt und überwacht werden, wer ihn nutzt. Man beginnt seine Sicherheitsstrategie somit mit dem Daten im Zentrum und bewegt sich dann „nach aussen“: So ist es essenziell, den Datenzugriff zu beobachten, um ungewöhnliches Verhalten erkennen zu können. Dabei dürfen auch die Administratoren- und Servicekonten (die Programme ausführen) nicht vergessen werden. In einem weiteren Schritt „nach aussen“ sollte man die Zugriffsaktivitäten in Kontext mit Aktivitäten an den Endpunkten und am Perimeter stellen. Auf diese Weise ergibt sich ein noch klareres Bild davon, was im Netzwerk vor sich geht. Je mehr Informationen dieser Art gebündelt werden, desto präziser werden die Warnungen und drohen nicht, irgendwo im Rauschen der Sicherheitsalarme unterzugehen.
Angreifer informieren sich über Ihre Mitarbeiter, über Ihre Verteidigungsmassnahmen und überlegen sich, wie sie diese umgehen können. Sie bewegen sich in aller Regel leise, finden das, wonach sie suchen und entwenden es. Sie können diese Recherchen nicht verhindern. Sie können Sie ebenso wenig daran hindern, Ihre Verteidigungsmassnahmen zu testen. Und auch wenn die Sicherheitslösungen stets besser werden, werden sie sie niemals zu 100 Prozent davon abhalten können, einen Endpunkt oder ein Konto zu übernehmen. Deshalb sollte man sich nicht vom Unvermeidlichen ablenken lassen: Angreifer werden es immer hinter den Perimeter schaffen. Drehen Sie die klassische Sicherheitsstrategie auf links und beginnen Sie deshalb mit dem Ziel der Angreifer, nicht mit dem äussersten Schutzwall: Machen Sie es ihnen schwieriger, an die Daten zu gelangen, und machen Sie es ihnen noch schwieriger, dies unentdeckt zu tun.