Cyberangriffe abwehren: Was ist eine Cyberattacke und wie gelingt wirksame IT-Sicherheit?

Digitales Business

Digitales Business

Datum 01.02.2021
Lesezeit 7 Min.

Cyberangriffe abwehren: Was ist eine Cyberattacke und wie gelingt wirksame IT-Sicherheit?

Cyberangriffe auf Unternehmen haben sich in den vergangen Jahren zu einer lukrativen Einnahmequelle für Kriminelle entwickelt. Das Bundesamt für Statistik zählt für das Jahr 2021 26.671 Straftaten im Bereich der sogenannten Cyberwirtschaftskriminalität. Generell sind Deutschlands Ordnungshüter:innen alarmiert: Denn schon der jährliche Cybercrime-Report des Bundeskriminalamts für 2020 verzeichnete einen Anstieg der Cyberkriminalität um 26,3 Prozent. Es ist davon auszugehen, dass diese Zahl für das Jahr 2021 noch höher liegt. 

Was IT-Sicherheitsexpert:innen große Sorgen bereitet: Die Cyberattacken auf Unternehmen gewinnen immer mehr an Professionalität. Mit welchen technischen Hilfsmitteln Kriminelle auch Ihr Unternehmen bedrohen, lesen Sie in diesem Beitrag. 

 

Was ist ein Cyberangriff? 

Eine Cyberattacke ist ein gezielter Angriff auf ein oder mehrere IT-Systeme. Urheber:innen dieser Attacken sind einzelne Cyberkriminelle oder ganze Organisationen, die den Opfern auf eine bestimmte Art Schaden zufügen wollen. Die Angriffe betreffen zunächst „nur“ Server oder digitale Endgeräte. Im schlimmsten Fall kann ein Cyberangriff jedoch auch deutlich schwerwiegendere Konsequenzen haben: Wenn er sich etwa gegen Fahrzeuge, Krankenhäuser, Kraftwerke oder Verkehrssicherungssysteme wendet. 

Bei Angriffen auf IT-Systeme kommt meist eine Schadsoftware (englisch: Malware) zum Einsatz. Gängige Malware sind sogenannte Trojaner, Viren oder Ransomware. Diese Schadprogramme sind teilweise so hoch entwickelt, dass handelsübliche Anti-Viren-Software kaum Schutz gegen sie bietet. Nahezu jedes in einem Netzwerk befindliche Endgerät kann Ziel eines Cyberangriffs werden. Dies gilt für PCs, Tablets, Smartphones, smarte Unterhaltungselektronik, IoT-Geräte und vieles mehr.  

 

Vodafone Cyber-Security-Services

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern über die passenden Cyber-Security-Lösungen.

 

Was bedeutet Cybercrime-as-a-Service? 

Eine Studie des Bundeskriminalamts (BKA) kommt zu dem Ergebnis, dass Cyberkriminelle ihre Attacken immer professioneller planen und durchführen. IT-Sicherheitsexpert:innen sprechen hierbei von Cybercrime-as-a-Service (CaaS): Die Kriminellen verkaufen im Darknet Schadsoftware oder komplette Serverinfrastrukturen, die sie speziell für kriminelle Aktivitäten gebaut haben. Außerdem bieten zahlreiche Hackergruppen ihre Dienste in einschlägigen Internetforen zum Kauf an. Gegen Bezahlung führen sie Attacken auf industrielle und öffentliche Infrastrukturen sowie auf die IT von Regierungseinrichtungen durch. 

 

Diese Arten von Cyberangriffen gibt es 

Staatliche Spionage und Datendiebstahl: Advanced Persistent Threat 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Advanced Persistent Threat (kurz APT, zu Deutsch: fortgeschrittene anhaltende Bedrohung) als eine Reihe von Cyberangriffen durch gut ausgebildete und häufig von Staaten gesteuerte Angreifer:innen. Zweck dieser Attacken ist meist Spionage oder Sabotage – und das über einen längeren Zeitraum hinweg. 

Diese Angriffe bedrohen laut BSI im Grunde jedes Unternehmen, das vertrauliche und/oder geschäftskritische Informationen auf IT-Systemen verarbeitet oder dessen Erfolg von der Verfügbarkeit seiner IT-Systeme abhängt. 

Kleine und mittelständische Unternehmen, die in ihrem Marktsegment Weltmarktführer (Hidden Champions) sind, rücken in den Fokus cyberkrimineller Aktivitäten. Banken, Medienkonzerne, Forschungs- und Militäreinrichtungen sind weitere Ziele für Cyberangriffe im Auftrag von Staaten.

Auch Behörden und Organisationen der sogenannten Kritischen Infrastrukturen (KRITIS) sind besonders gefährdet.  

Ein Beispiel: Im Februar 2021 gelang es einem Hacker, auf die Systeme einer Wasseraufbereitungsanlage im US-Bundesstaat Florida zuzugreifen. Daraufhin änderte er den Natriumhydroxid-Gehalt im Wasser von 100 Teilen pro Million auf tödliche 11.100 Teile pro Million. Mitarbeiter der Anlage bemerkten glücklicherweise den Eingriff. 

Der Angreifer hatte es geschafft, sich über ein sogenanntes „Remote Desktop Protocol“ (RDP) Zugang zu den Systemen der Anlage zu verschaffen. Das RDP erlaubt unter anderem externen Mitarbeiter:innen, den Zugriff auf ihre Arbeitscomputer im Büro. 

Den Ermittler:innen zufolge war das Passwort für den Fernzugriff für alle Computer gleich. Ferner ware die Endgeräte ohne den dringend notwendigen Schutz einer Firewall direkt mit dem Internet verbunden. 

 

Whitepaper: Cyber-Security

Whitepaper: Cyber-Security

Cyberangriffe nehmen immer mehr zu: Die potenziellen Schäden sind gewaltig und der Mittelstand steht immer mehr im Fokus. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

 

Netzwerke überlasten mit DoS- und DDoS-Attacken 

Expert:innen sprechen von einem Denial-of-Service-Angriff (DoS), wenn Kriminelle beispielsweise Webserver mit einer großen Zahl von Anfragen regelrecht „bombardieren“. Dadurch wollen sie beispielsweise Webserver überfordern, sodass diese nicht mehr zuverlässig arbeiten können. Diese Anfragen auf Server erfolgen unter Umständen parallel von zahlreichen Rechnern, die von einer Schadsoftware gekapert wurden. In diesem Fall handelt es sich um einen Distributed-Denial-of-Service-Angriff (DDoS). 

DoS- und DDoS-Angriffe haben nicht den Zweck, Zugriffsrechte für die infizierten Systeme zu bekommen: Die gezielte Störung eines Arbeitsprozesses steht im Vordergrund. So werden beispielsweise Webseiten von Regierungsbehörden angegriffen und dadurch für längere Zeit außer Betrieb gesetzt. Webseiten großer Onlineversandhäuser wurden in der Vergangenheit ebenfalls Opfer von DDoS-Angriffen. 

Es gibt unterschiedliche Arten von DoS- und DDoS-Angriffen, von denen wir fünf im Folgenden exemplarisch genauer vorstellen: 

Botnet: Ein Botnet besteht aus mehreren mit einer Schadsoftware infizierten Rechnern, die einen simultanen Angriff auf ein bestimmtes Ziel ausführen. Die Besitzer:innen der jeweiligen Endgeräte merken meist nicht, dass sie Teil eines kriminellen Angriffs sind. Unter Umständen erfolgt der Angriff durch ein Botnet über viele Millionen Endgeräte, die überall auf der Welt verteilt stehen. Daher ist es sehr schwer nachzuvollziehen, was der Ausgangspunkt einer Botnet-Attacke ist. 

Smurf-Angriffe: Ein Smurfprogramm (deutsch: Schlumpfprogramm) nutzt Schwachstellen im Internetprotokoll (IP) und im Internet-Control-Message-Protocol (ICMP) aus. Die Schadsoftware sendet eine falsche IP-Adresse mit einer angehängten sogenannten ICMP-Ping-Nachricht. Diese Nachricht fordert Netzwerkknotenrechner auf, nach Erhalt dieses „Pakets“ eine Antwort zu senden. Doch nun senden alle Geräte im angegriffenen Netz eine Antwort an sich selbst: Die gefälschte Absender-IP-Adresse entspricht der IP-Adresse aller im Netzwerk operierenden Endgeräte. Es entsteht eine Endlosschleife, die das Netzwerk überlastet. Der namentliche Bezug auf die zwergenhaften Schlümpfe-Comicfiguren soll verdeutlichen, dass hier ein massenhafter Angriff vieler kleiner Systeme auf ein einzelnes, großes System dieses durchaus außer Betrieb setzen kann. 

Teardrop-Angriffe: Ein Teardrop-Angriff sendet ein fragmentiertes Datenpaket an den Server des potenziellen Opfers. In manchen Unternehmen arbeiten immer noch veraltete und nicht gepatchte Versionen von Windows oder Linux. Diese enthalten teilweise einen Fehler bei der Wiederzusammenführung der sogenannten TCP/IP-Fragmentierung. Genau diesen Fehler nutzen die Cyberkriminellen aus: Bei einem Teardrop-Angriff sendet ein:e Angreifer:in ein bewusst falsch aufgeteiltes Datenpaket. Der empfangende Server scheitert aufgrund des TCP/IP-Fehlers am Zusammenführen der Pakete. Die Folge: Das gesamte Betriebssystem oder bestimmte Anwendungen stürzen ab. 

TCP-Syn-Flooding: Stellt ein Client eine TCP-Verbindung zu einem Server her, führen beide Akteure einen sogenannten Three-Way-Handshake durch. Dieser ist nötig, um eine Verbindung herzustellen. Im Ablauf der Handshake-Kommunikation sendet der Client ein Bestätigungspaket an den Server. Ein:e Angreifer:in jedoch unterschlägt diesen Teil der Kommunikation. Der Server des Opfers wartet nun vergeblich auf die Antwort und es kommt zu einer Zeitüberschreitung und zu einem Aussetzen des Systems. 

Ping of Death: Größere Datenpakete werden innerhalb von Netzwerken immer dann automatisch verkleinert, wenn sie die zulässige sogenannte Maximum-Transmission-Unit (MTU) überschreiten. Jedes verkleinerte Paket enthält eine Speicheradresse (Offset), die sagt, wie das Paket wieder zusammengesetzt werden muss. Cyberkriminelle können das Offset manipulieren und dadurch die wieder zusammengesetzten Pakete vergrößern. Das Zielsystem kann auf die plötzlich „angewachsenen“ Pakete häufig nicht schnell genug reagieren. Es kommt zu einem Systemausfall. 

 

Lookout: Die Sicherheitslösung für mobile Endgeräte

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

 

Ausnutzen von Sicherheitslücken: Drive-by-Downloads 

Bei dieser Angriffsmethode suchen Cyberkriminelle nach nur unzureichend abgesicherten Internetseiten und „schmuggeln“ ein schädliches Skript in den HTTP- oder PHP-Code der Webseite ein. Dieses modifizierte Skript ermöglicht das Installieren einer Schadsoftware direkt auf dem Rechner von Besucher:innen der Seite(n).  

Häufig werden Nutzer:innen beim Besuch einer Webseite oder beim Klicken auf ein Pop-up-Fenster Opfer eines Drive-by-Downloads („Download im Vorbeifahren”). Das Klicken auf die Schaltflächen ist jedoch nicht zwingend notwendig, da viele Varianten dieser Cyberattacke bereits beim Klick auf die Ursprungsseite eines Pop-ups ihr unheilvolles Werk beginnen. 

Kennwortangriffe

Kennwortangriffe sind erfolgreich, wenn Nutzer:innen unsichere Passwörter verwenden. Besonders der sogenannte Wörterbuchangriff zielt darauf ab, schwache Passwörter zu identifizieren. Dabei kommt eine spezielle Wörterbuch-Software zum Einsatz: Das Tool testet tausende Wörterbucheinträge oder gängige Passwörter und kombiniert sie mit Zahlen und Sonderzeichen. Eine ältere aber bei Hacker:innen immer noch beliebte Methode zum Ausspähen von Kennwörter ist der Brute-Force-Angriff. Ein solcher Angriff mithilfe von Wörterbuch-Tools kann unter Umständen mehrere Monate dauern, je nach Komplexität des zu erratenen Passworts.

Verschiedene Formen von Schadsoftware (Malware) 

Häufig nutzen Cyberkriminelle verschiedene Arten von Schadsoftware (englisch: Malware), um Angriffe auf IT-Systeme durchzuführen. Im folgenden Abschnitt stellen wir Ihnen exemplarisch drei Malware-Typen vor, die Kriminelle für Angriffe verwendeten.  

Trojaner: Der sogenannte Trojaner versteckt sich in einem zunächst unverdächtig wirkenden E-Mail-Anhang – beispielsweise in einem Bild oder einem Dokument. Wenn jemand die infizierte Datei aufruft, nistet sich die Schadsoftware auf dem Computer ein. Trojaner sammeln vertrauliche Daten wie Passwörter oder Adressen, die sie unbemerkt an diejenigen weiterleiten, die die Schadsoftware kontrollieren. 

Virus: Als Viren bezeichnen Expert:innen Dateien, die etwa über infizierte E-Mails oder Downloads aus unseriösen Quellen in den Computer gelangen. Dort „besetzen“ die Viren beispielsweise das Betriebssystem. Computerviren können sich selbst kopieren und erst auf einem einzelnen, dann auf mehreren oder allen Computern in einem Netzwerk enorme Schäden anrichten. Dies betrifft nicht nur Endgeräte wie PCs, Tablets oder Smartphones: Viren können auch Fertigungsmaschinen mit Zugang zum Internet of Things (IoT) beschädigen. 

Ransomware: Wenn Ransomware (deutsch: Erpressungssoftware) in ein System eingedrungen ist, verbreitet sie sich sehr schnell und verschlüsselt alle gespeicherten Daten. Die Nutzer:innen werden aufgefordert, einen Geldbetrag an die kriminellen Urheber:innen der Schadsoftware zu senden. Nach Zahlung dieses Lösegeldes sollen sie einen Code zum Entschlüsseln der Dateien erhalten. Im Sommer 2021 schleusten Cyberkriminelle in die Systeme eines großen US-amerikanischen Versicherungsunternehmens eine Ransomware ein. Berichten zufolge begann der Angriff mit einer gefälschten Nachricht auf dem Computer eines Mitarbeiters.  

In dieser E-Mail hieß es, dass der Mitarbeiter seinen Internet-Browser auf die neueste Version aktualisieren müsse. Als er auf das gefälschte Update klickte, lud der Computer stattdessen eine Datei herunter, mit deren Hilfe die Angreifer in den 

Computer eindringen konnten. Zwei Wochen nachdem der Angriff die Netzwerke des Unternehmens lahmgelegt hatte, bezahlte die Versicherungsgesellschaft 40 Millionen Dollar „Lösegeld“ für die Wiederherstellung ihrer Systeme.  

Spyware: Diese Form der Schadsoftware übermittelt Cyberkriminellen private und vertrauliche Informationen über Sie. Dies betrifft beispielsweise Angaben zu Ihren Online-Gewohnheiten oder -Käufen. Es gibt verschiedene Formen von Spyware: abgewandelte Varianten spionieren die Tastenanschläge Ihrer Tastatur, Kreditkarteninformationen, Passwörter oder Anmeldedaten aus.

Dropper. Ein Dropper ist keine eigenständige Schadsoftware, sondern ein Hilfsprogramm, das das Nachladen und Installieren der eigentlichen Malware ermöglicht. Cyberkriminelle verwenden Dropper, um die Signaturerkennung von Antiviren-Software zu umgehen. Viele Cybersecurity-Tools versuchen Anhand von Signaturen schädliches Codes zu blockieren und zu isolieren. Wurde die Signatur einer Schadsoftware erkannt, können die Verursacher den Dropper sehr schnell anpassen ohne den gesamten Schadcode umschreiben zu müssen. 

Man-in-the-Middle-Angriff (MitM): Bei einem Man-in-the-Middle-Angriff (deutsch: „Mann in der Mitte”) schalten sich Cyberkriminelle in die digitale Kommunikation zwischen zwei Nutzer:innen oder in einen Kontakt zwischen Client und Server ein. Die häufigsten MitM-Angriffsmethoden sind: 

IP-Spoofing/Session-Hijacking: Von IP-Spoofing (deutsch: verschleiern, vortäuschen) sprechen Expert:innen, wenn Angreifer:innen einem System vorgaukeln, dass es mit einem vertrauenswürdigen Client kommuniziert. Der angreifende Client sendet ein Datenpaket an das Zielsystem. Dieses Paket enthält anstelle der eigentlichen IP-Quelladresse des Cyberkriminellen die IP eines vertrauenswürdigen Clients. Der Zielhost nimmt das Paket an und gewährt dem Angreifenden dadurch Zutritt zum System. IT-Expert:innen sprechen in diesem Zusammenhang auch von Session-Hijacking, da Cyberkriminelle bildlich einen Client „entführen“ (englisch: hijack). 

 Replay-Angriff: Bei dieser Form eines Man-in-the-Middle-Angriffs verwenden Kriminelle zuvor gesammelte Daten, um auf geschützte Dateien zugreifen zu können. Die Eindringlinge täuschen eine bekannten Identität vor und greifen damit auf fremde Datenbestände zu. Dies geschieht in etwa so: Nutzer:in A sendet einen sogenannten Hashcode an Nutzer:in B. Ein Hashcode entsteht durch die Berechnung eines Passworts. Fängt nun eine dritte Person den Hashcode ab, kann diese dritte Person Nutzer:in B vorgaukeln, Nutzer:in A zu sein. Um an ihr Ziel zu gelangen, müssen die Cyberkriminellen in diesem Fall noch nicht einmal in den Besitz des verwendeten Passworts gelangen. 

 

Secure Enterprise Messaging

Secure Enterprise Messaging

Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.  

Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.


 

Social Engineering: Schwachstelle Mensch 

Laut dem US-Sicherheitsunternehmen Palo Alto Networks stellt das Social Engineering (frei übersetzt: Ausnutzen menschlicher Schwachstellen) aktuell eine der größten Gefahren für die IT-Sicherheit von Unternehmen dar. Hier spielt das sogenannte Phishing eine wichtige Rolle. 

Die meisten erfolgreichen Datendiebstähle und Spionageangriffe laufen heute nach dem Muster von Phishing-Angriffen ab. Im Folgenden lesen Sie, wie diese Attacken funktionieren:  

Phishing: Bei einem Phishing-Angriff kommen E-Mails zum Einsatz, die nur auf den ersten Blick einen vertrauenswürdigen Absender haben. Mit solchen E-Mails wollen Cyberkriminelle persönliche Informationen abgreifen oder die Empfänger:innen zu einer bestimmten Handlung verleiten. 

Nutzer:innen werden in einer Phishing-E-Mail zum Beispiel aufgefordert, Passwörter, Kreditkartennummern oder andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann direkt bei den Kriminellen, die die Daten etwa im Darknet verkaufen oder für eigene Zwecke nutzen. 

Phishing-Angriffe erfolgen teilweise auch über E-Mail-Anhänge, mit denen Schadsoftware auf einen Rechner gelangt. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf der auf den ersten Blick seriöse Apps heruntergeladen werden können. Kriminelle haben diese Apps jedoch mit Schadsoftware „bestückt“. 

Spear-Phishing: Sogenannte Spear-Phishing-Angriffe sind gezielte Phishing-Attacken. Die Cyberkriminellen erkunden im Vorfeld die Identität ihrer Opfer und senden ihnen dann individuell angepasste Nachrichten. Diese Nachrichten enthalten meist im Betreff einen für das Opfer relevanten Begriff, beispielsweise die Dienstanweisung eines Vorgesetzten. Für die Adressat:innen ist es fast unmöglich zu erkennen, dass die Mails in Wirklichkeit von Kriminellen stammen. Häufig verschaffen sich Angreifer:innen durch solche E-Mails Zugriff auf Firmennetzwerke.
 

SQL-Injektion 

Besonders datenbankgestützte Webseiten können Opfer von SQL-Einschleusungs-Attacken werden. SQL steht für Structured Query Language (deutsch: Strukturierte Abfragesprache). Cyberkriminelle durchsuchen Datenbanken gezielt nach Schwachstellen, lesen Daten aus der Ferne aus und verändern sie. Gelingt den Angreifenden eine SQL-Einschleusung, übernehmen sie effektiv die administrative Ebene der Datenbank und können beispielsweise bereits gelöschte Daten wiederherstellen, das Betriebssystem steuern oder die gesamte Datenbank zerstören beziehungsweise verschlüsseln. 

Cross-Site-Scripting (XXS) 

Cross-Site-Scripting gehört zu den häufigsten Angriffsmethoden. Durch eine Sicherheitslücke beim Client oder auf dem Server können Angreifende Schadcode in eine eigentlich vertrauenswürdige Umgebung einbauen. 

Sicherheitsexpert:innen unterscheiden zwischen drei Formen des Cross-Site-Scriptings:  

Reflektiertes Cross-Site-Scripting: Kriminelle kompromittieren den Code einer Webseite und senden das Skript an einen Webserver. Dieser schickt das Skript an den Client zurück, ohne es zu kontrollieren. Nun können Angreifende beispielsweise Passwörter auf einer von ihnen manipulierten Webseite abfangen. Die Nutzer:innen merken nicht, dass die von ihnen als seriös wahrgenommene Webseite temporär unter der Kontrolle von Cyberkriminellen stand, beziehungsweise eine gefälschte Eingabemaske enthielt. 

Persistentes Cross-Site-Scripting: Bei dieser XXS-Variante speichern Webserver schädliche Skripte und liefern diese bei Aufruf an einen Client. Besonders Blogs und Internetforen sind Ziel dieser Angriffe. Teilweise werden dabei Benutzerdaten gespeichert und ohne Überprüfung ausgegeben. Klicken nun Nutzer:innen beispielsweise einen Foreneintrag an, lösen sie das manipulierte Skript unbemerkt aus. 

DOM-basiertes Cross-Site-Scripting: Die sogenannte DOM-basierte XSS-Schwachstelle erlaubt das Einbinden von beispielsweise JavaScript-Code in eine Internetseite. Im Gegensatz zum reflektierten und zum persistenten Cross-Site-Scripting geschieht dies allerdings nicht mithilfe der Webanwendung auf dem Server. 

Für das DOM-basierte Cross-Site-Scripting machen sich Hacker:innen Fehler im  JavaScript-Code der Anwendung zunutze. Die Schwachstelle heißt DOM-basiert, weil ein clientseitiges JavaScript Zugriff auf das sogenannte Document-Object-Model (DOM) einer Webseite hat. Dadurch hat es auch Zugriff auf die aufgerufene URL. 

Zero-Day-Exploits 

Ein Zero-Day-Exploit ist so invasiv, dass die IT des betroffenen Unternehmens im Prinzip „null Tage“ Zeit hat, um die entstandene Sicherheitslücke zu schließen. Allerdings kann es sein, dass es Tage, Wochen oder gar Monate dauert, bis diese Sicherheitslücke bemerkt wird. In dieser Zeit können Cyberkriminelle das unentdeckte Einfallstor nutzen, um die Unternehmens-IT etwa mit selbst geschriebenem Code zu korrumpieren. In der Vergangenheit erfolgten Zero-Day-Angriffe beispielsweise wiederholt über Sicherheitslücken in gängigen Betriebssystemen. 

DNS Tunneling

Um einen DNS-Tunneling-Angriff durchzuführen, benötigen Hacker:innen eine externe Netzwerkverbindung zu Ihrem System. Durch erhalten sie Zugriff auf den vernetzten DNS-Server. Das sogenannte DNS (Domain Name System) ist ein gängiges Protokoll und gilt als zuverlässig und sicher. Viele Unternehmen vernachlässigen es daher, ihren DNS-Verkehr auf ungewöhnliche Aktivitäten zu untersuchen.  

Um bestehende Sicherheitssysteme zu umgehen, zerlegen die Angreifer Schadcodes in kleine Bruchstücke und betten sie in DNS-Anfragen ein. Dadurch werden Datendiebstähle und C2-Kommunikation im normalen DNS-Datenverkehr getarnt. Wird ein Gerät in Ihrem Unternehmen infiziert, veranlasst die Schadsoftware eine DNS-Anfrage. Der DNS-Server erhält die Anweisung, eine Verbindung zum Server der Cyberkriminellen herzustellen.  

Durch diesen „Tunnel“ stehlen die Angreifer Ihnen Daten und können weitere Befehle an Ihr IT-System senden. Den meisten Firewalls erkennen die in den DNS-Anfragen versteckten Schadcode-Bestandteile nicht. 

Video: YouTube / Vodafone Deutschland 

 

Checkliste: Wie Sie Ihr Unternehmen gegen Cyberangriffe schützen 

Entwickler:innen von Schadsoftware suchen regelmäßig nach Schwachstellen in gängiger Software und ganzen IT-Systemen. Haben sie mögliche Einfallstore gefunden, nutzen sie diese Sicherheitslücken für gezielte Angriffe auf Ihr Unternehmen. Doch es existieren viele Möglichkeiten, wie Sie Ihr Unternehmen vor Angriffen durch Cyberkriminelle schützen können: 

  • Finden Sie genau heraus, welche Geräte, Apps und Software Ihre Mitarbeiter nutzen. 
  • Fragen Sie Ihre Mitarbeiter:innen, welche Tools sie benötigen. Wenn Sie eine gute technische Ausstattung zur Verfügung stellen, ist es weniger wahrscheinlich, dass Mitarbeiter:innen eigene unsichere Geräte mit ins Büro nehmen. 
  • Das Gleiche gilt für die verwendete Software: Führen Sie eine Risikobewertung der Technologie durch, um sicherzustellen, dass Sie ihr vertrauen können. 
  • Stellen Sie sicher, dass Ihre Mitarbeiter:innen Software-Updates installieren. Eine der einfachsten und wichtigsten Maßnahmen zum Schutz Ihrer Daten sind Software-Updates. Hierdurch werden alle bekannten Sicherheitslücken behoben. 
  • Achten Sie auf verdächtige E-Mails, SMS, Anrufe und Websites. Kriminelle werden immer besser darin, sich zu tarnen. Klären Sie Ihre Mitarbeiter darüber auf, wie sie Verdächtiges rechtzeitig erkennen. 
  • Entwickeln Sie einen sicheren Umgang mit Passwörtern für das gesamte Unternehmen. 
  • Verwenden Sie eine Multi-Faktor-Authentifizierung. 

Mehr Informationen rund um das Thema Cybersecurity für Unternehmen lesen Sie hier im V-Hub.

Wie viel IT-Sicherheit benötigt ein mittelständiges Unternehmen? Stefan Würtemberger ist CIO beim Farbenhersteller Marabu. Der IT-Experte schildert, wie ein noch recht harmloser Cyberangriff die Firma mehr als neun Wochen lahmgelegt hat – und was er und das Unternehmen daraus gelernt haben.

Wichtigste Lektion für Würtemberger und sein Team: Im Fall eines Cyberangriffs auf keinen Fall in Panik verfallen! Jedes Unternehmen sollte sich grundsätzlich folgende Fragen stellen: Wie können wir ohne IT weiterarbeiten? Welche Tools brauche ich, um zu überleben? Wie wichtig ist ein Notfallroutineplan? Antworten auf diese und weitere praxisnahe Fragen gibt es in Folge #177 unseres Podcasts „Digitale Vorreiter:innen“:

Cyberattacken: Eine Zusammenfassung 

  • Cyberattacken sind gezielte Angriffe auf IT-Systeme durch einzelne Cyberkriminelle oder ganze Organisationen. 
  • Cyberkriminelle führen ihre Attacken immer gezielter durch und professionalisieren sich zunehmend.  
  • Es existiert eine Vielzahl verschiedener Angriffsformen.  
  • Cyberkriminelle untersuchen IT-Systeme, kommerzielle Software und Webseiten regelmäßig auf Schwachstellen hin und nutzen diese sofort für ihre Zwecke aus. 
  • Jedes Unternehmen sollte eigene IT-Sicherheitsrichtlinien aufstellen und diese konsequent umsetzen. 

 

Wie schützt sich Ihr Unternehmen gegen mögliche Angriffe von Cyberkriminellen? Über Ihre Erfahrungen in den Kommentaren freuen wir uns. 


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail