Sie verwenden einen veralteten Browser. Bitte aktualisieren Sie Ihren Browser.

envia TEL Blog

Cybersecurity – Ein Einblick in die Welt der Informationssicherheit

Digitale Verschlüsselungssymbole

Die Gefahr durch Cyberkriminalität wächst stetig. In einer mehrteiligen Serie möchten wir gemeinsam mit euch näher in das Thema Cybersecurity einsteigen. Je größer unsere Wissensbasis ist, desto besser können wir mögliche Gefahren einschätzen und Risiken minimieren.

Hier ein kleiner Ausblick auf die Themen:

Teil 1: Was versteht man unter Cybersecurity, Cyberattacken und wer steckt eigentlich dahinter?

Teil 2: Welche Methoden von Cyberangriffen gibt es und was kann Jeder dagegen tun?


Teil 3: Welche organisatorischen und technischen Abwehrmethoden gibt es?


Teil 1: Was ist mit Cybersecurity gemeint und wer steckt eigentlich dahinter?

Das Wort Cybersecurity oder IT-Sicherheit ist der Schutz von Netzwerken, Computersystemen und anderen elektronischen Systemen wie z. B. Robotern und Maschinen vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie vor Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen.

Was ist eine Cyberattacke?
Einen Angriff auf ein fremdes Computernetzwerk und Systeme nennt man Cyberattacke. Jeder erinnert sich sicherlich an Vorfälle, von denen er in den Nachrichten gehört oder gelesen hat.

Was sind die Ziele von Cyberattacken?
Durch die immer stärkere Digitalisierung aller Lebensbereiche und dem Siegeszug des Internet bietet sich für Angreifer eine immer größere Angriffsfläche und Schäden können immer größere Ausmaße annehmen. Über das Internet vernetzte Geräte und Anwendungen bieten einerseits viele nützliche Funktionen, wie Fernüberwachung, verteilte Rechenzentren oder Cloud-Dienste. Andererseits werden sie dadurch auch zu potentiellen Zielen für Angreifer:

  • Bei einfachen Nutzern greifen Cyberkriminelle die Privatsphäre an, stehlen Passwörter, leeren Bankkonten, kaufen auf Kosten der Opfer ein oder verschlüsseln Datenträger, um die Opfer hinterher erpressen zu können.
  • Viele vernetzte Geräte wie Router, Tablets, Kameras oder PC können gekapert und missbraucht werden.
  • Bei Konzernen spionieren die Angreifer Betriebsgeheimnisse aus oder sabotieren Maschinen bzw. Prozesse, greifen Daten ab oder erpressen diese.
  • Staatlich unterstützten Angriffe können zur Bekämpfung der Kriminalität aber auch zum Schaden anderer Staaten genutzt werden, um deren Infrastruktur zu schädigen oder an Informationen zu gelangen.

Wie man sieht, stehen im Visier von Cyberkriminellen einzelne Bürger, Unternehmen, die Politik, aber auch Behörden oder sogar die Infrastruktur ganzer Länder.

Wer steckt hinter Cyberattacken?
Cyberattacken werden nicht nur von normalen Kriminellen durchgeführt, denn es geht dabei nicht immer nur darum Schaden anzurichten oder an Geld zu gelangen. Weitere Motivationsgründe können Neugierde, Zerstörungswut (z. B. ehemaliger Mitarbeiter), Anerkennung, die Suche nach Herausforderungen, Spaß, Strafverfolgung oder Tests von Abwehrmechanismen sein. Demzufolge gibt es als Angreifer auch Sicherheitsforscher, Hacktivisten, die sich politisch engagieren, Scriptkiddies, die mit Anleitungen arbeiten und kaum eigenes Sicherheitswissen haben, Auftragshacker, die für Unternehmen oder Staaten arbeiten oder die Mitarbeiter von Sicherheitsbehörden.

Mit dem Artikel haben wir einiges über Cyberattacken, deren Gründe und die Akteure erfahren. Im nächsten Teil steigen wir etwas tiefer in die Materie ein. An Hand von praktischen Beispielen werden die verschiedenen Angriffsmethoden vorgestellt und was jeder Einzelne dagegen tun kann.

Teil 2: Welche Methoden von Cyberangriffen gibt es und was kann Jeder dagegen tun?

In Teil zwei unserer kleinen Reihe zum Thema Cybersecurity beschäftigen wir uns mit den Methoden von Cyberangriffen und was jeder Einzelne dagegen tun kann. Achtung: dieses Mal wird es etwas technischer ;-)

Beim Angriff auf ein Netzwerk gibt es verschiedene Stellen, an denen Angreifer versuchen können ins System einzudringen (so ähnlich wie Türen und Fenster in einem Haus). Die Summe aller Angriffspunkte nennt man Angriffsfläche. Wie bei Fenster und Türen untersucht der Angreifer die Angriffsfläche nach Schwachstellen. Oft werden dazu längst bekannte Schwachstellen (sogenannte Exploits) genutzt, die der Nutzer oder Administrator noch nicht mittels Sicherheitsupdates des Herstellers geschlossen hat (z. B. in Microsoft Exchange). Besonders kritisch sind neue, unbekannte Sicherheitslücken (sogenannte Zero-Day-Exploits), da für diese im ersten Moment keine Sicherheits-Updates des Herstellers zur Verfügung stehen. Diese werden besonders für hochwertige Ziele oder in der Strafverfolgung eingesetzt.

Die absolut häufigsten Angriffe finden aber unbewusst über den Nutzer innerhalb des Netzwerkes statt. Meist geschieht das per E-Mail. So bekommt der Nutzer beim sogenannten Phishing per E-Mail die Aufforderung zugeschickt, z. B. auf einer gefälschten Webseite freiwillig vertrauliche Informationen wie Benutzernamen, Passwörter, Kreditkarteninformationen usw. preiszugeben. Noch raffinierter wird beim Spearphishing vorgegangen. Hier setzt die E-Mail auf eine bestehende Kontaktbeziehung auf, z. B. im Namen einer Bank oder einem anderen Unternehmen (wie beispielsweise Amazon oder PayPal). Der Nutzer wird dazu aufgefordert, seine Identität erneut zu bestätigen, indem er sich auf der angegebenen Seite anmeldet. Dabei sind sowohl die E-Mail als auch die Webseite täuschend echt nachempfunden. Gegen solche Angriffe hilft zunächst eine gesunde Skepsis gegenüber jeglicher Aufforderung, seine Nutzerdaten irgendwo neu einzugeben. Außerdem sollte man sich den Absender der Nachricht genau ansehen. Kennt man den Absender? Ist die E-Mail-Adresse plausibel? Ergänzend dazu sind auch hinterlegte Webadressen vor dem Anklicken genau zu prüfen. Hierfür ist es wichtig, nicht einfach dem Linktext zu vertrauen, sondern z. B. durch Halten der Maus über den Link die echte Internetadresse anzusehen. Steht da z. B. anstelle www.sparkasse-xyz.de sowas wie sparkasse-xyz.irgendeine-domain.com, sollte man den Link nicht anklicken, die E-Mail schleunigst löschen und ggf. den Administrator (Helpdesk) informieren. 

Ebenfalls sehr beliebt sind per E-Mail verschickte manipulierte Dokumente von MS Office, die ausführbaren Code enthalten und aus dem Internet schädliche Software (sogenannte Malware) nachladen und im Hintergrund ausführen. Um gängige E-Mail-Scanner zu umgehen, die genau so etwas verhindern sollen, werden die MS Office-Dateien in ein Passwort-geschützes Zip-Archiv gepackt und das Passwort gleich mitgeschickt. Solche E-Mails sollte man i. d. R. gleich löschen.

Tipp: Für mehr Insider-Infos zum sicheren Betrieb von Unternehmensnetzen und geschäftskritischen IT-Infrastrukturen abonnieren Sie unseren kostenlosen Cybersecurity-Newsletter.

Die nächste Gefahrenquelle für den Nutzer lauert beim Surfen im Internet. Solange man sich auf seriösen Webseiten aufhält, ist das Risiko sehr gering (wobei im Einzelfall auch seriöse Webseiten mittels Cross-Site-Scripting durch Ausnutzen von Sicherheitslücken in Webservern oder Webanwendungen dazu gebracht werden können, ihre Besucher anzugreifen). Auf unseriösen Webseiten kann man sich schnell Schadcode einfangen. Bei Clickbait, einer falschen Online-Werbung, wird auf Webseiten mit Schadcode verwiesen oder gleich Schadcode ausgeführt. Mittels Drive-by wird versucht einen Virus oder schädliche Software auf den Computer oder ein mobiles Gerät herunterzuladen. Ein Drive-by-Download nutzt normalerweise Sicherheitslücken in älteren Browsern, Apps oder Betriebssystemen aus. Zunächst wird i. d. R. nur wenig Code heruntergeladen und ausgeführt. Die Aufgabe des zunächst heruntergeladenen Codes besteht nur darin, einen anderen Computer zu kontaktieren, von dem dann der Rest des Codes nachgeladen wird. Häufig enthält eine Webseite mehrere Arten von bösartigem Code, in der Hoffnung, dass so wenigstens einer davon mit einer Schwachstelle auf Ihrem Computer übereinstimmt.

Sehr hinterhältig ist der Einsatz von USB-Ködern, sog. Baiting. Dazu muss der Angreifer allerdings örtlichen Zugang haben. Der Angreifer hinterlässt ein tragbares Speichergerät, wie z. B. einen USB-Stick, im öffentlich zugänglichen Raum, wie z. B. auf dem Boden eines Büroflurs. Wenn das Opfer das Gerät in seinen Computer einfügt, um so herauszufinden, wer den USB-Stick verloren hat, wird der PC infiziert.

Zum Abschluss hier noch einige Fachbegriffe:

  • Ransomware – eine Art Malware-Programm, das ein System infiziert, sperrt oder die Kon-trolle darüber übernimmt und zum Rückgängigmachen Lösegeld verlangt. Die Angriffe erfol-gen meist per E-Mail, da es auf einen einzigen Klick angewiesen ist, um Kontrollen zu umge-hen.
  • Spyware – Malware, die verwendet wird, um das System eines Benutzers ohne dessen Wis-sen zu infiltrieren, Aktivitäten zu überwachen, Tastenanschläge und Passwörter oder andere Daten (Kontoinformationen, Anmeldungen, Finanzdaten) zu sammeln. Spyware nutzt Si-cherheitslücken von Anwendungen aus und wird häufig an kostenlose Online-Software-Downloads oder an Links angehängt, auf die Benutzer klicken. Es wird auch häufig verwen-det, um Firewall- oder Anti-Malware-Software zu deaktivieren.
  • Bot/Botnet – ein Netzwerk privater Computer oder andere vernetzte Systeme (z. B. Webcams), welche mit bösartiger Software infiziert sind und ohne Wissen des Besitzers als Gruppe kontrolliert und dazu verwendet werden, einen DDoS-Angriff durchzuführen, Daten zu stehlen oder Spam zu versenden. Der Akteur, der ein Botnetz kontrolliert, wird manchmal als „Bot-Herder“ bezeichnet.
  • Distributed Denial of Service (DDoS)-Angriff – die systematische Orchestrierung einer großen Anzahl kompromittierter Systeme, die über das Internet verteilt sind (siehe Botnet), wobei jedes System viele Netzwerkanfragen an ein Zielsystem generiert. Diese Flut von An-fragen überfordert den Zielserver, was zur Überlastung der Server führt, sodass sie nicht mehr erreichbar sind.

Das soll als Überblick erst einmal genügen. Wer sich tiefergehend mit der Thematik auseinandersetzen möchte, kann im Internet z. B. nach den Begriffen Juice Jacking, Rogue AP, Rogueware oder Smishing suchen – um nur einige zu nennen.

Im nächsten und letzten Teil unserer Serie gehen wir auf organisatorischen und technischen Abwehrmethoden ein, die vor Cyberangriffen schützen können.

Teil 3: Welche organisatorischen und technischen Abwehrmethoden gibt es?

Der letzte Teil unserer kleinen Reihe zum Thema Cybersecurity beschäftigt sich mit den Methoden zur Abwehr von Cyberangriffen

Nachdem wir im 1. Teil unserer kleinen Serie grundlegende Begriffe der Cybersecurity besprochen haben und im 2. Teil auf die konkreten Angriffsmethoden eingegangen sind, wollen wir uns im 3. Teil mit der Abwehr solcher Angriffe beschäftigen. Zunächst sei noch einmal gesagt, dass das wichtigste Element zur Abwehr von Cyberangriffen immer noch der Mensch ist. Gesunder Menschenverstand und eine gesunde Skepsis kann durch keine noch so gute Technik ersetzt werden (wir erinnern uns z. B. an Phishing-Mails oder Malware in Office-Dokumenten). Moderne Sicherheitstechnologien sind allerdings unverzichtbar im Kampf gegen immer häufigere und perfidere Cyberangriffe.

Der Schutz eines Netzwerks lässt sich gut mit dem Schutz eines Gebäudes oder Gebäudekomplexes vergleichen. Es gibt die äußere Angriffsfläche mit Fenstern, Türen und Zäunen. Ein- und ausgehender Verkehr (Besucher) wird kontrolliert. Anstelle des Wachschutzes am Haupteingang haben wir es in der digitalen Welt mit Firewalls zu tun, die nach vorgegebenen Regeln den Datenverkehr kontrollieren. Dabei vertraut man nicht nur auf das Gesicht des Eintretenden, sondern es werden auch die Taschen kontrolliert. In der digitalen Welt nennt man das Deep Packet Inspection (DPI). Die Datenpakete werden gezielt auf Protokollfehler, Viren, Spam, unerwünschte Inhalte, verdächtige IP-Adressen oder Richtlinienverstöße geprüft. Selbst verschlüsselter Datenverkehr wird entschlüsselt, um Prüfungen durchführen zu können (SSL-Inspektion). Das, was in einem normalen Gebäude mittels Überwachungskameras und Alarmanlagen erreicht wird, erfolgt in der digitalen Welt mittels Datenanalyse. Mit dem sogenannten Security Information and Event Management (SIEM) wird eine zentralisierte Sicht auf das Sicherheitsszenario einer IT-Infrastruktur geschaffen, um so Sicherheitsereignisse oder -vorfälle in Echtzeit zu überwachen. Alle Ereignisse von Endbenutzergeräten, Servern, Netzwerkgeräten und spezialisierten Sicherheitsgeräten werden durch Kollektoren erfasst und an eine zentralisierte Verwaltungskonsole weitergeleitet, die Inspektionen durchführt, Anomalien erkennt und die Verantwortlichen (bei uns das SOC – Security Operation Center) über Ereignisse informiert, die die Sicherheit verletzen. Dabei kann auch Verhaltensüberwachung zum Einsatz kommen, die normale Aktivitäten von nicht-normalem Verhalten unterscheiden kann (so nach dem Motto: „Der Hr. Müller ist doch sonst immer in Raum 105 gegangen. Seit 3 Tagen geht er immer wieder in den Keller. Was macht er da?“).

Das Sandboxing ist in der analogen Welt am ehesten mit einer Quarantäne vergleichbar. Man sperrt etwas weg und beobachtet, ob es zu einem Ausbruch kommt. So werden beim Sandboxing unbekannte Programme zunächst in einem sicheren Bereich ausgeführt, der vom Rest des Netzwerks getrennt ist. Dabei wird überprüft, ob das Programm Dinge anstellt, die es eigentlich nicht sollte. Nur wenn das Programm sicher ist, wird es an den Anwender ausgeliefert. Im anderen Fall wird das Programm als bösartig markiert und über Netzgrenzen hinweg entsprechend ausgefiltert.

Zuletzt möchte ich noch ein wichtiges Konzept vorstellen, welches immer mehr an Bedeutung gewinnt: Zero Trust Access. Bei diesem wird grundsätzlich allem und jedem misstraut. Also auch demjenigen, dem bereits der Zutritt zum Gebäude nach Kontrolle der Taschen gewährt wurde. Es wird an jedem Raum, den er betreten will, geprüft, ob er den Raum überhaupt betreten darf und was er in dem Raum tun darf. In der digitalen Welt erfolgt diese Zugriffskontrolle rollenbasiert auf Anwendungsebene. Nach der Überprüfung von Gerät und Anwender wird nach dem Least-Privilege-Prinzip nur der gerade notwendige Zugriff gewährt. Ein wesentliches Merkmal des Zero-Trust-Modells ist hierbei, dass der gewährte Zugriff kontinuierlich neu evaluiert werden muss. Ändern sich wichtige Eigenschaften des Benutzers oder des Geräts, kann der Zugriff erneut geprüft oder auch verweigert werden.

Viele der beschriebenen Methoden werden mit dem Begriff Unified Threat Management (UTM) zusammengefasst. Nur modernste Firewalls der nächsten Generation (Next Generation Firewalls) unterstützen UTM. envia TEL setzt Next Generation Firewalls der Firma Fortinet im Produkt enGiga Secure und dessen aktueller Weiterentwicklung zu enSecure Net ein. Mit diesen Produkten können Standorte mit modernsten Methoden abgesichert und vernetzt werden.

Autor: Falk Petro
Produktmanager Glasfaserinternet, Vernetzung und Security #DigitalNative #IoT #Cybersecurity