Die komplette Wahrheit über Viren & Co.

Freitag, 9. Juli 2021

Der Begriff „gezielter Angriff“ klingt für die meisten Nutzer erschreckend. Jeder erkannte APT-Angriff erregt viel Aufsehen und wird sowohl von IT-Sicherheitsspezialisten als auch von einfachen Nutzern heftig besprochen. Was ist ein gezielter Angriff? Wo kommen gezielte Angriffe her und wie kann man sein Netzwerk davor schützen? In der heutigen Ausgabe gehen wir auf diese Fragen ein.

Ursprünglich wurde der Begriff „APT“ (Advanced persistent threat) auf Cyberbedrohungen militärisch-politischer Natur angewendet, die auf Staatsorgane, Militärbehörden und andere kritische Objekte abzielten. Heutzutage ist dieser Begriff umfassender geworden. In Massenmedien und in der populären Literatur versteht man darunter alle Angriffe, deren Ziel es ist, die IT-Systeme eines Unternehmens zu beeinflussen.

Im Fall klassischer APT-Angriffe ist das Hauptziel der Angreifer der Diebstahl vertraulicher Informationen oder die Lahmlegung eines Objekts der kritischen Infrastruktur. Heutzutage werden mit gezielten Angriffen immer häufiger Attacken gemeint, die mit dem Ziel durchgeführt werden, Profit herauszuschlagen. Es kann sich um Gelddiebstahl, Diebstahl von Geschäftsgeheimnissen, Infektion von Unternehmensrechnern durch Ransomware mit anschließender Lösegeldforderung (wie beim kürzlich durchgeführten Hackerangriff auf den US-Konzern Colonial Pipeline) etc. handeln.

Aber zurück zu „traditionellen“ gezielten Angriffen. Solche Angriffe zeichnen sich dadurch aus, dass sie nicht auf gut Glück durchgeführt, sondern sorgfältig durchdacht werden. Cyberkriminelle erarbeiten eine detaillierte Angriffsstrategie, indem sie Sicherheitslücken und Informationen sowohl über technische Aspekte der Funktion des betroffenen Unternehmens als auch über die Aktivitäten der Mitarbeiter (z.B. Arbeitszeiten, Mittagspausen etc.) ermitteln. Es werden einzigartige Softwareprogramme entwickelt, die die Besonderheiten der Unternehmensinfrastruktur und die im Unternehmen eingesetzten Sicherheitstools berücksichtigen. Die Vorbereitung auf einen solchen Angriff und dessen Umsetzung können einige Jahre dauern. Die Cyberkriminellen dringen Schritt für Schritt in das anzugreifende System ein. Sie studieren den Aufbau und die Funktionsmechanismen des betroffenen Netzwerks.

Die meisten Systeme zum Schutz vor APT-Angriffen basieren auf der Überwachung von Prozessen innerhalb des geschützten Netzwerkperimeters und der Erkennung von Merkmalen, die auf einen gezielten Angriff hindeuten (z.B. abnorme Nutzeraktivitäten und abnormes Verhalten der Netzwerkinfrastruktur). Solche Lösungen könnten das Arsenal von Sicherheitstools eines Unternehmens erweitern – vorausgesetzt, das Sicherheitssystem des Unternehmens ist gut strukturiert, enthält verschiedene Schutzkomponenten (Tools zum Schutz von Workstations und Server, Tools zur Analyse eingehender Dateien, Überwachung des E-Mail- und Netzwerkverkehrs etc.) und verfügt über richtig konfigurierte Sicherheitsrichtlinien. Kein Sicherheitssystem (so gut es auch sein mag) ist in der Lage, ein Unternehmensnetzwerk absolut widerstandsfähig gegen Cyberangriffe zu machen. Im Bereich der IT-Sicherheit gibt es kein Allheilmittel.

Wo beginnt ein gezielter Angriff? Auf dem Rechner eines einfachen Nutzers!

Die Analyse von Vorfällen zeigt, dass die meisten Angriffe nicht mit einer Sicherheitslücke auf dem Unternehmensserver, sondern mit der Kompromittierung der Workstation eines Mitarbeiters beginnen. Die Ursachen, die eine Kompromittierung ermöglichen, können ganz unterschiedlich sein: vorhandene Zero-Day-Sicherheitslücken, unvernünftige Konfiguration von Benutzerrechten, bösartige E-Mail-Anhänge, Links zu Phishing-Websites, infizierte USB-Sticks oder sogar ein Zettel, auf dem das Passwort für die Workstation geschrieben steht und der auf einem vom Mitarbeiter in sozialen Netzwerken veröffentlichten Bild zu sehen ist.

Über eine kompromittierte Workstation können Cyberkriminelle in das Unternehmensnetzwerk eindringen. Bei einem gezielten Angriff muss nicht unbedingt die gesamte Infrastruktur kompromittiert werden. In der Regel zielen Hacker auf einen Server oder eine bestimmte Workstation ab, auf der die gewünschten Informationen gespeichert werden oder die zur Kontrolle über alle Geschäfts- oder Produktionsprozesse dient. Oft sehen die auf der kompromittierten Workstation ausgeführten Aktivitäten wie gewöhnliche Nutzeraktivitäten aus, erregen keinen Verdacht und werden von speziellen Systemen zum Schutz vor APT-Angriffen übersehen.

Schlussfolgerung: Die IT-Sicherheit eines Unternehmens hängt von der Sicherheit jeder Workstation ab. Dies ist besonders bei der Arbeit im Homeoffice wichtig, wenn Mitarbeiter außerhalb des geschützten Perimeters arbeiten und VPNs für den Zugriff auf die Unternehmensinfrastruktur nutzen.

Schutz für jeden Arbeitsplatz

Nun gehen wir von speziellen Systemen, die zum Schutz vor gezielten Angriffen dienen, zu Sicherheitstools für einfache Nutzer über. Das Haupttool zum Schutz von Workstations ist Antivirussoftware. Sie bildet die erste Verteidigungslinie eines Unternehmensnetzwerks.

Die wichtigste Anforderung an das Virenschutzprogramm ist dabei die Nutzung signaturfreier Methoden zur Erkennung bösartiger Aktivitäten. D.h. der Antivirus muss in der Lage sein, unbekannte Schadprogramme an deren Verhalten auf der angegriffenen Workstation zu erkennen und die bösartigen Aktivitäten umgehend zu blockieren.

Doctor Web gilt als einer der Pioniere in der Entwicklung signaturfreier Erkennungstechnologien. Unsere signaturfreien Methoden haben sich mehrmals als wirksam bewährt. Denken Sie an die WannaCry-Epidemie: Dr.Web hat Tausende von Computern vor Infektion durch die damals noch nicht bekannte und sehr gefährliche Ransomware geschützt.

Die Virenschutzlösung für Unternehmen Dr.Web Enterprise Security Suite bietet den Rundumschutz für alle Objekte eines Unternehmensnetzwerks, einschließlich privater Computer und Mobilgeräte, die Mitarbeiter bei der Arbeit nutzen, stellt Informationen über alle Vorfälle bereit und ermöglicht es, Sicherheitslinien zentral zu verwalten. Sie können die Dr.Web Enterprise Security Suite in eine bereits vorhandene IT-Sicherheitsstruktur integrieren oder zum Kern des gesamten Sicherheitssystems machen, der es ermöglicht, bösartige Aktivitäten zu erkennen und mögliche Kompromittierungskanäle zu sperren.

Dadurch werden Angriffe entweder völlig verhindert oder umgehend analysiert, damit eine Schutzstrategie möglichst schnell erarbeitet werden kann. Wenn die Workstations Ihrer Mitarbeiter nicht geschützt werden, kann Ihr gesamtes Sicherheitssystem auf einmal zusammenbrechen – egal, ob Sie spezielle Lösungen zum Schutz vor Angriffen einsetzen oder nicht.

#Unternehmenssicherheit #Antivirus #Virenbedingte_Vorfälle #Malware #Erpressung #Bezeichnungen