Uwe - stock.adobe.com
Wie Angreifer vorgehen – und was man daraus lernen kann
Wenn man sich Schritt für Schritt mit dem Vorgehen der Angreifer beschäftigt, können IT-Teams entsprechende Maßnahmen anwenden, um die Risiken von Cyberbedrohungen zu reduzieren.
Das Aufkommen von generativer KI und Ransomware as a Service (RaaS) hat deutliche Auswirkungen darauf, wie Angreifer Netzwerke infiltrieren: Sie brechen nicht mehr ein, sondern loggen sich ein. Oft gibt es frühe Anzeichen für eine Gefährdung, die aber häufig nicht erkannt werden. Deshalb erscheint es sinnvoll, die Schritte zu analysieren, die Cyberkriminelle unternehmen, um sich Zugang zu verschaffen und an ihr Ziel zu gelangen: die wertvollen Daten des Unternehmens.
Schritt 1: Den ersten Zugang erlangen
Einer der gängigsten Wege, um sich Zugang auf ein fremdes Netzwerk zu verschaffen, ist die Manipulation von Anwendern. Dies umfasst unter anderem Phishing, die Umgehung von Multifaktor-Authentifizierung (MFA) und MITM-Attacken (Man in the Middle). Die meisten Angriffe beginnen damit, dass sich Cyberkriminelle über eine dieser Techniken Anmeldedaten eines Nutzers verschaffen. Mit diesen werden dann legitime Unternehmensanwendungen wie VPNs oder virtuelle Desktop-Infrastrukturen (VDI) genutzt.
Tipp zur Risikoreduzierung: Mitarbeitende schulen und testen
Schulen Sie Ihre Mitarbeitenden darin, Phishing-Versuche zu erkennen und ihre Passwörter effektiv zu verwalten. Fördern Sie die Meldung verdächtiger Aktivitäten. Von Ihrem Sicherheitsteam organisierte Phishing-Simulationen sind eine gute Möglichkeit, um zu sehen, wie Mitarbeiter auf Manipulationsversuche reagieren.
Schritt 2: Sich in der Umgebung umsehen
Anders als ein klassischer Dieb, der schnell handeln muss, lassen sich Cyberkriminelle, die es auf Daten abgesehen haben, Zeit. Sie beobachten in aller Ruhe die Umgebung der Opfer, um die beste Angriffsmethode zu ermitteln. Dabei ist das Aufspüren sensitiver Daten mit der Einführung von KI-Tools wesentlich einfacher geworden. Anstatt selbst hunderte Ordner zu durchforsten, wird diese Arbeit nun von der künstlichen Intelligenz innerhalb von Sekunden erledigt. Weitere übliche Schritte nach dem Eindringen sind das Scannen von Freigaben und interner Ports sowie AD-Abfragen (Active Directory), um mehr über Computer, Benutzer, Berechtigungen und Gruppenrichtlinien zu erfahren.
Tipp zur Risikoreduzierung: Kontinuierliche Überwachung
Funktionen zur Erkennung von Bedrohungen, die Sie über abnormale Aktivitäten informieren, sind der beste Weg, um einen Angreifer daran zu hindern, sich privilegierten Zugang zu verschaffen. Idealerweise sollten die eingesetzten Sicherheitslösungen in der Lage sein, automatisiert Abwehrmaßnahmen einzuleiten.
Schritt 3: Es einfach halten
Angreifer nutzen gerne die einfachste Methode, um unentdeckt zu bleiben. Entsprechend verwenden sie beispielsweise ein RMM-Tool (Remote Monitoring & Management), um über Netzwerktunnel und Software wie SSH, ngrok, cloudflared oder SOCKS-Proxys dauerhaften Zugang zu einer angegriffenen Umgebung zu erhalten.
Tipp zur Risikoreduzierung: Standardmäßig alles sperren
Konfigurieren Sie Ihre Firewalls/Proxys so, dass sie den gesamten Datenverkehr zwischen Ihren Servern und dem Internet standardmäßig blockieren. Richten Sie eine Positivliste für die erforderliche Kommunikation ein. Obwohl dies zeitaufwendig ist, schränkt dieser Ansatz die Bewegungen eines Angreifers stark ein und gibt Ihrem Sicherheitsverantwortlichen einen Vorsprung bei der Eindämmung der Bedrohung.
„Administratorenrechte verschaffen Cyberkriminellen Zugriff auf die vertraulichsten Informationen. Deshalb sind sie ein Hauptziel für Angreifer. Durch die Erlangung von Domänenadministratorrechten oder gleichwertigen Zugriffsebenen erhalten Angreifer eine Art Generalschlüssel.“
Volker Sommer, Varonis Systems
Schritt 4: Administrator als Ziel
Administratorenrechte verschaffen Cyberkriminellen Zugriff auf die vertraulichsten Informationen. Deshalb sind sie ein Hauptziel für Angreifer. Durch die Erlangung von Domänenadministratorrechten oder gleichwertigen Zugriffsebenen erhalten Angreifer eine Art Generalschlüssel, mit dem sie auf jedes System im Netzwerk und auf alle in Active Directory verwalteten Anmeldeinformationen zugreifen können. Die Wiederherstellung nach einem derartigen Verstoß gegen die Datensicherheit gestaltet sich oft schwierig.
Darüber hinaus gibt es in zahlreichen Cloud-Diensten wie etwa Salesforce in aller Regel viel zu viele Nutzer mit Adminrechten. Entsprechend haben zahlreiche Mitarbeitende zu weit gefasste Zugriffsrechte. Ein systemweiter Zugriff ermöglicht es den Benutzern, sämtliche Daten einzusehen. Dies ist eine ernste Bedrohung für Unternehmen.
Tipp zur Risikoreduzierung: Least Privilege umsetzen
Jeder Mitarbeitende sollte nur Zugriff auf die Daten erhalten, die für die Arbeit tatsächlich benötigt werden – Stichwort Prinzip der minimalen Rechtevergabe (POLP, Principle of least Privilege). Auch die Service-Konten haben in aller Regel zu weit gefasste Rechte, da die Festlegung der genauen Berechtigungen, die von Fall zu Fall erforderlich sind, zeitaufwändig sein kann. Entsprechend ist die Bemessung des nötigen Zugriffs ein Schlüsselfaktor. Intelligente Lösungen sind in der Lage, diesen zu erkennen und zu weit gefasste Rechte austomatisiert zu entziehen, ohne dass es dadurch zu Produktivitätsausfällen kommt. Darüber hinaus stellt die Gewährung vorübergehend erhöhte Berechtigungen (just in time) eine gute Möglichkeit zur Minimierung des Risikos dar. Auf diese Weise werden die Auswirkungen wesentlich abgeschwächt, falls das jeweilige Konto kompromittiert wird.
Der letzte Schritt: Der Griff nach den Daten
Angreifer haben in aller Regel ein gemeinsames Ziel – die wertvollen Daten eines Unternehmens. Angesichts der zunehmenden Beliebtheit von RaaS sollten sich Unternehmen dringend vor allem mit Ransomware auseinandersetzen. Insbesondere da in den letzten Jahren bei diesen Angriffen die Daten zumeist nicht nur verschlüsselt, sondern zunächst auch exfiltriert werden. Deshalb müssen sich Sicherheitsverantwortliche auf beide Bedrohungen einstellen.
Tipp zur Risikoreduzierung: Die Daten stets im Blick haben
Durch Data Security Posture Management (DSPM) wissen Sie jederzeit, wo sich sensitive Daten befinden, wer Zugriff auf diese Daten hat und wie sie verwendet werden. Moderne Lösungen erkennen abnormales Nutzer- und Datenverhalten und sind in der Lage, Kontext aus verschiedenen Quellen herzustellen, um so ein präzises Bild einer möglichen Gefährdung zu erhalten. Aufgrund der enormen Datenmengen in Unternehmen kann dies nur automatisiert erfolgen, ebenso wie eine gezielte Reaktion. So kann die Datensicherheit auch in Zeiten des Fachkräftemangels wesentlich verbessert werden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
Erfahren Sie mehr über Bedrohungen
-
![]()
Welche Risiken durch Remote Monitoring entstehen können
Von: Volker Sommer
-
![]()
Ransomware as a Service: Die Rolle der Initial Access Broker
Von: Amanda Scheldt
-
![]()
Analyse eines koordinierten Ransomware-Angriffs auf Firmen
Von: Martin Zugec
-
![]()
Exposure Management für cyberphysische Systeme
Von: Thorsten Eckert
