Die Bilanz des kürzlichen Hackerangriffs auf den deutschen Bundestag ist verheerend. 15 Rechner wurden infiziert und über Monate hinweg ausspioniert, ohne dass der Datenabfluss bemerkt wurde. Und selbst nach der Erkennung, ist es bisher nicht möglich, die betroffenen Rechner zu säubern und wieder ans Netz zu nehmen.
Die Hacker, wohl von einem ausländischen Geheimdienst beauftragt, setzten eine raffinierte Kombination aus "social engineering" und Schadsoftware ein. Zuerst wurde ein Rechner im Kanzleramt infiziert und von dort aus Emails mit Absenderadresse "Angela Merkel" an Parlamentarier verschickt. Die Emails enthielten einen Link, der auf dem betroffenen Rechner Schadsoftware installierte, die Daten aufzeichnet und später an unbekannte Endziele im Internet weitergibt. Offensichtlich klickten einige Parlamentarier auf diese harmlos erscheinenden Links, da sie ja von einer bekannten internen Emailadresse stammten. Was wie ein Szenario aus einem James Bond Film anmutet, ist zum Alltag geworden. Gezielte Angriffe dieser Art treten in Firmen- und Privatnetzwerken weltweit mittlerweile tagtäglich auf, und deren technische sowie soziale Raffiniertheit nimmt ständig zu. Ist dies nun der Anfang vom Ende von sicheren Intra- und Internets? Können sich Unternehmen und Verbraucher denn überhaupt schützen?
Festungen und Steckbriefe nützen wenig
Der bisherige klassische Schutz vor Cyberbedrohungen aller Art sind Perimeter- und Signatur-basierte Sicherheitslösungen. Perimeter-Lösungen beziehen sich auf Firewalls oder ähnliche Produkte, die das interne private oder Firmennetzwerk nach außen abschirmen und Angreifer vor dem Eintritt abhalten sollen. Technisch gelingt dies durch die Kontrolle des Verkehrs in und aus dem internen Netzwerk.
Offensichtlich ist es ein leichtes für Hacker, sich trotzdem an solchen Lösungen vorbeizuschmuggeln, im schlimmsten Fall durch "social engineering". Typisches Beispiel ist der arglose Angestellte, der nach einer Geschäftsreise nach China seinen Laptop wieder im Firmennetzwerk anschließt - und unwissentlich dort die neuste Schadsoftware installiert.
Im Gegensatz hierzu versuchen Signatur-basierte Lösungen wie zum Beispiel Virenscanner, Schadsoftware durch deren typische Signatur oder Aussehen zu erkennen. Der Binärcode von Trojanern und Viren wird hierzu von Herstellern analysiert und deren Produkte ständig auf den neusten Stand gebracht. Offensichtlich ist es auch hier Hackern möglich, die Signatur ihrer Schadprogramme schnell zu verändern, so dass sie nicht erkannt werden.
- Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. - 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. - 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. - 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. - 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. - 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. - 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
In beiden Fällen bieten die Lösungen nur begrenzten Schutz, da Hacker immer kreativer und schneller werden, ihre Angriffe abzuwandeln und zu verfeinern. In einer immer digitaleren Welt nutzten Festungsbau und Steckbriefsuche kaum angesichts von Bedrohungen ohne Gesicht und von variabler Form.
Nur die Spitze des Eisbergs
Eine zunehmende Bedrohung kommt von neuartigen internen Angriffsflächen und Insiderbedrohungen. Die traditionelle Büroarbeit ist flexibleren Arbeitszeiten, Heimarbeit und Work "on the go" gewichen. Angestellte nutzen zunehmend Laptops und Mobiltelefone, um auf Email und sensible Arbeitsdokumente zuzugreifen und vergrößern so die Angriffsfläche eines Firmen- oder Privatnetzwerks.
Es ist ein leichtes für Hacker einen Laptop oder ein Mobiltelefon in einem öffentlichen Wifi-Netzwerk zu infizieren und so in interessante Firmennetze vorzudringen. Eine noch größere Bedrohung rührt von bösartigen Insiders, d.h. autorisierte Angestellte mit zweifelhaften Absichten, her. Wer hier an Edward Snowdens Enthüllungen denkt, der liegt falsch. Nur die wenigsten bösartigen Insider geben vor, die Menschheit zu retten, sondern wollen mit der Weitergabe von Firmengeheimnissen Geld verdienen. Da es sich um Firmengeheimnisse handelt, werden die meisten Fälle nicht veröffentlicht und es existiert keine genau Statistik. Leider nehmen diese Fälle aber in den letzten Jahren stark zu, was man auch zunehmend an Presseartikeln ablesen kann.
Quo vadis?
Sind denn die Hacker- und Insider-Angriffe überhaupt noch aufzuhalten? Obgleich die Bedrohungen immer mehr zunehmen, gibt es auch neue Lösungen, die Hoffnung machen. In den letzten Jahren gab es einen Durchbruch im Bereich der Künstlichen Intelligenz. Neue Algorithmen sind nun in der Lage menschliches Verhalten zu verstehen und in einigen Bereichen verlässlich vorherzusagen. Fahrerlose Autos oder Apples SIRI Assistent sind praktische Beispiele hierfür.
Ähnliche Ansätze werden nun seit neuestem von einigen Firmen im Bereich der Sicherheitstechnik angewendet, mit bemerkenswertem Erfolg. Die Idee ist hierbei, einen Angriff innerhalb eines geschützten Netzwerks zu erkennen und aufzuhalten, ohne den Perimeter zu überwachen oder spezifische Signaturen zu suchen, sondern das aktuelle Verhalten von Rechnern zu beobachten und zu lernen. Wenn ein Angriff passiert, muss der Hacker ein spezifisches Verhalten an den Tag legen, um zum Beispiel das interne Netzwerk auszukundschaften, oder seine Schadsoftware von einem Rechner auf einen anderen zu kopieren. Dieses Verhalten ist universell und kann im Netzwerk beobachtet und durch maschinelles Lernen (KI) von "normalem" Netzwerkverhalten unterschieden werden.
Genau diese Teile eines Cyberangriffs - dasAuskundschaften und Kopieren von Schadsoftware im Netzwerk - wurden im Netzwerk des Bundestages nicht erkannt. Da ermöglichte es den Angreifern, sich im Netzwerk auszubreiten, eine große Anzahl an Rechnern zu infizieren und letztendlich Daten über einen Zeitraum von Monaten zu stehlen, bevor sie entdeckt wurden. Neue Algorithmen und maschinelles Lernen auf großen Datenmengen in Echtzeit macht es jedoch möglich, (fast) so schnell wie Hacker zu agieren und zu reagieren. Aber die Angreifer schlafen nicht, und es bleibt abzuwarten, wer den Wettlauf gewinnt. (bw)