Die gängigsten Arten von Cyberangriffen im Überblick

1. Schadsoftwareangriffe

Malware oder Schadsoftware ist ein Überbegriff, der sich auf ein bösartiges oder schädliches Programm oder eine Datei bezieht, dass beziehungsweise die erstellt wurde, um Geräte zum Nachteil des Benutzers und zum Vorteil des Angreifers auszunutzen. Es gibt verschiedene Arten von Malware, aber sie alle nutzen Umgehungs- und Verschleierungstechniken, die nicht nur darauf abzielen, Benutzer zu täuschen, sondern auch Sicherheitskontrollen zu umgehen, damit sie sich heimlich und ohne Erlaubnis auf einem System oder Gerät installieren können. Hier sind einige der häufigsten Arten von Malware:

Ransomware. Die derzeit am meisten gefürchtete Form von Malware ist Ransomware - ein Programm, das darauf ausgelegt ist, die Dateien eines Opfers zu verschlüsseln und dann ein Lösegeld zu verlangen, um den Entschlüsselungsschlüssel zu erhalten. Inzwischen wird häufig auch mit der Veröffentlichung der Daten und weiterer Schritte gedroht, so dass von einer mehrfachen Erpressung gesprochen wird. Ransomware wird im Folgenden ausführlicher behandelt.

Rootkit. Im Gegensatz zu anderer Malware ist ein Rootkit eine Sammlung von Software-Tools, die dazu dienen, eine Hintertür auf dem Gerät eines Opfers zu öffnen, die es dem Angreifer ermöglicht, zusätzliche Malware wie Ransomware und Keylogger zu installieren oder die Kontrolle über und den Fernzugriff auf andere Geräte im Netzwerk zu erlangen. Um nicht entdeckt zu werden, deaktivieren Rootkits häufig die Sicherheitssoftware. Sobald das Rootkit die Kontrolle über ein Gerät erlangt hat, kann es dazu verwendet werden, Spam-E-Mails zu versenden, einem Botnet beizutreten oder sensible Daten zu sammeln und an den Angreifer zu senden.

Trojaner. Ein Trojanisches Pferd ist ein Programm, das heruntergeladen und auf einem Computer installiert wird, das harmlos erscheint, aber in Wirklichkeit bösartig ist. In der Regel ist diese Malware in einem harmlos aussehenden E-Mail-Anhang oder einem kostenlosen Download versteckt. Wenn der Benutzer auf den E-Mail-Anhang klickt oder das kostenlose Programm herunterlädt, wird die versteckte Malware auf das Computergerät des Benutzers übertragen. Dort führt der bösartige Code die Aufgabe aus, für die ihn der Angreifer konzipiert hat. Oft dient dies dazu, einen sofortigen Angriff zu starten, aber es kann auch eine Hintertür für den Hacker schaffen, die er für zukünftige Angriffe nutzen kann.

Spyware. Einmal installiert, überwacht Spyware die Internetaktivitäten des Opfers, verfolgt die Anmeldedaten und spioniert sensible Informationen aus - alles ohne die Zustimmung oder das Wissen des Benutzers. Cyberkriminelle nutzen Spyware, um an Kreditkartennummern, Bankdaten und Passwörter zu gelangen, die dann an den Angreifer zurückgeschickt werden. Spyware wird auch von Regierungsbehörden in vielen Ländern eingesetzt.

2. Passwortangriffe

Trotz ihrer vielen bekannten Schwachstellen sind Passwörter immer noch die am häufigsten verwendete Authentifizierungsmethode für computerbasierte Dienste. Kein Wunder, dass es ein häufiger Angriffsvektor ist, an das Passwort einer Zielperson zu erlangen, um Sicherheitskontrollen zu umgehen und Zugang zu wichtigen Daten und Systemen zu erhalten. Es gibt verschiedene Methoden, mit denen Angreifer an das Passwort eines Benutzers gelangen können:

Brute-Force-Angriff. Ein Angreifer kann bekannte Passwörter wie password123 oder andere gängige Kennwörter ausprobieren, die auf Informationen aus den Social-Media-Posts der Zielperson basieren, wie zum Beispiel den Namen eines Haustiers, um die Anmeldedaten eines Benutzers durch Ausprobieren zu erraten, während andere automatisierte Tools zum Knacken von Passwörtern einsetzen, um alle möglichen Zeichenkombinationen auszuprobieren.

Wörterbuchangriff. Ähnlich wie bei einem Brute-Force-Angriff wird bei einem Wörterbuchangriff eine vorausgewählte Bibliothek häufig verwendeter Wörter und Ausdrücke verwendet, je nach Standort oder Nationalität des Opfers.

Social Engineering. Es ist für einen Hacker ein Leichtes, eine personalisierte E-Mail oder Nachricht zu erstellen, die für jemanden echt aussieht, indem er Informationen über ihn aus seinen Beiträgen in sozialen Medien sammelt. Diese Nachrichten, insbesondere wenn sie von einem gefälschten Konto gesendet werden, das sich als jemand ausgibt, den das Opfer kennt, können dazu verwendet werden, unter Vorspiegelung falscher Tatsachen Anmeldeinformationen zu erhalten.

Passwort-Sniffer. Dabei handelt es sich um ein kleines Programm, das in einem Netzwerk installiert wird und Benutzernamen und Kennwörter extrahiert, die im Klartext über das Netzwerk gesendet werden. Diese Bedrohung ist nicht mehr so groß wie früher, da der meiste Netzwerkverkehr heute verschlüsselt ist und Passwörter so nicht mehr übertragen werden.

Keylogger. Dieser überwacht und protokolliert heimlich jeden Tastenanschlag eines Benutzers, um Passwörter, PIN-Codes und andere vertrauliche Informationen zu erfassen, die über die Tastatur eingegeben werden. Diese Informationen werden über das Internet an den Angreifer zurückgeschickt.

Diebstahl oder Kauf einer Kennwortdatenbank. Hacker können versuchen, die Netzwerkverteidigung eines Unternehmens zu durchbrechen, um die Datenbank mit den Anmeldedaten der Benutzer zu stehlen und die Daten entweder an andere zu verkaufen oder selbst zu verwenden.

Eine Umfrage der Identity Defined Security Alliance aus dem Jahr 2022 ergab, dass 84 Prozent der Befragten bereits von einem identitätsbezogenen Angriff betroffen waren. Jüngste prominente Beispiele sind die erfolgreichen identitätsbasierten Angriffe auf SolarWinds und Colonial Pipeline. Der „2022 Data Breach Investigations Report“ von Verizon fand heraus, dass 61 Prozent aller Sicherheitsverletzungen mit missbrauchten Anmeldedaten verbunden waren.

3. Ransomware

Ransomware ist heute die bekannteste Art von Malware. Sie wird in der Regel installiert, wenn ein Benutzer eine bösartige Website besucht oder einen manipulierten E-Mail-Anhang öffnet. Sie nutzt Schwachstellen auf dem Gerät aus, um wichtige Dateien wie Word-Dokumente, Excel-Tabellen, PDF-Dateien, Datenbanken und wichtige Systemdateien zu verschlüsseln und unbrauchbar zu machen.

Der Angreifer fordert dann ein Lösegeld im Austausch für den Entschlüsselungsschlüssel, der zur Wiederherstellung der gesperrten Dateien benötigt wird. Der Angriff kann auf einen unternehmenskritischen Server abzielen oder versuchen, die Ransomware auf anderen mit dem Netzwerk verbundenen Geräten zu installieren, bevor der Verschlüsselungsprozess aktiviert wird, so dass alle gleichzeitig betroffen sind.

Um den Druck auf die Opfer zu erhöhen, drohen die Angreifer oft damit, die während des Angriffs exfiltrierten Daten zu verkaufen oder weiterzugeben, wenn das Lösegeld nicht gezahlt wird. Inzwischen werden auch Lösegeldforderungen an die Kunden oder Lieferanten gerichtet, deren Daten dem Unternehmen gestohlen wurden.

4. DDoS-Angriffe

Ein verteilter DDoS-Angriff (Distributed Denial of Service) ist ein Angriff, bei dem mehrere kompromittierte Computersysteme ein Ziel, beispielsweise einen Server, eine Website oder eine andere Netzwerkressource, angreifen und eine Dienstverweigerung für die Benutzer der Zielressource verursachen.

Die Flut eingehender Nachrichten, Verbindungsanfragen oder fehlerhafter Pakete an das Zielsystem zwingt dieses zur Verlangsamung oder sogar zum Absturz und zur Abschaltung, wodurch legitimen Benutzern oder Systemen der Dienst verweigert wird.

2021 war ein weiterer starker Anstieg der Zahl der DDoS-Angriffe zu verzeichnen, von denen viele kritische Infrastrukturen auf der ganzen Welt unterbrachen; DDoS-Angriffe mit Lösegeldforderungen nahmen um 29 Prozent zu.

Angreifer machen sich auch die Macht der KI zunutze, um zu verstehen, welche Angriffstechniken am besten funktionieren, und um ihre Botnetze – übernommene Maschinen, die zur Durchführung von DDoS-Angriffen eingesetzt werden – entsprechend zu steuern. Besorgniserregend ist, dass KI zur Verbesserung aller Formen von Cyberangriffen eingesetzt wird.

5. Phishing

Ein Phishing-Angriff ist eine Form des Betrugs, bei der sich ein Angreifer als seriöse Einrichtung wie eine Bank, eine Steuerbehörde oder eine Person in einer E-Mail oder in anderen Kommunikationsformen ausgibt. Dabei werden bösartige Links oder Anhänge verbreitet. So sollen die Opfer zur Herausgabe wertvoller Informationen wie Passwörter, Zugangsdaten oder geistigem Eigentum bewegt werden. Eine Phishing-Kampagne ist leicht zu starten und überraschend effektiv. Phishing-Angriffe können auch per Telefonanruf (Voice Phishing, Vishing) und per Textnachricht (SMS-Phishing, Smishing) durchgeführt werden.

Spear-Phishing-Angriffe richten sich an bestimmte Personen oder Unternehmen, während Whaling-Angriffe eine Art von Spear-Phishing-Angriffen sind, die speziell auf leitende Angestellte innerhalb einer Organisation abzielen.

Eine Art von Whaling-Angriff ist die Kompromittierung von Geschäfts-E-Mails (BEC, Business E-Mail Compromise), bei der der Angreifer auf bestimmte Mitarbeiter abzielt, die in der Lage sind, Finanztransaktionen zu autorisieren, um sie dazu zu bringen, Geld auf ein vom Angreifer kontrolliertes Konto zu überweisen. Nach Angaben des Internet Crime Complaint Center des FBI machten BEC-Angriffe mit 19.954 Beschwerden und einem Schaden von rund 2,4 Milliarden US-Dollar den Großteil der im Jahr 2021 gemeldeten Vorfälle aus.

6. SQL-Injection-Angriff

Jede datenbankgestützte Website - und das ist die Mehrheit der Websites - ist anfällig für SQL-Injection-Angriffe. Eine SQL-Abfrage ist eine Aufforderung zur Durchführung einer Aktion in einer Datenbank. Eine sorgfältig konstruierte böswillige Anfrage kann die in der Datenbank gespeicherten Daten ändern oder löschen sowie Daten wie geistiges Eigentum, persönliche Informationen von Kunden, administrative Anmeldeinformationen oder private Geschäftsdetails lesen und extrahieren.

SQL Injection steht auf der von Common Weakness Enumeration (CWE) Top 25 erstellten Liste der gefährlichsten Schwachstellen aus dem Jahr 2022 an dritter Stelle und ist nach wie vor ein häufiger Angriffsvektor.

7. Cross Site Scripting

Hierbei handelt es sich um eine weitere Art von Injektionsangriff, bei dem ein Angreifer Daten, zum Beispiel ein bösartiges Skript, in Inhalte von ansonsten vertrauenswürdigen Websites einfügt. XSS-Angriffe (Cross Site Scripting) können auftreten, wenn eine nicht vertrauenswürdige Quelle ihren eigenen Code in eine Webanwendung einspeisen darf und dieser bösartige Code in dynamische Inhalte integriert wird, die an den Browser des Opfers übermittelt werden.

Dadurch kann ein Angreifer bösartige Skripte, die in verschiedenen Sprachen wie JavaScript, Java, Ajax, Flash und HTML geschrieben wurden, im Browser eines anderen Benutzers ausführen.

XSS ermöglicht es einem Angreifer, Sitzungs-Cookies zu stehlen und sich als Benutzer auszugeben. Es kann aber auch dazu verwendet werden, Malware zu verbreiten, Websites zu verunstalten, in sozialen Netzwerken Schaden anzurichten, Zugangsdaten zu ergaunern und – in Verbindung mit Social-Engineering-Techniken - noch schädlichere Angriffe zu verüben. XSS ist ein ständiger Angriffsvektor, der von Hackern genutzt wird und im Jahr 2022 auf Platz zwei der CWE Top 25 steht.

8. Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff (MiTM) fangen Angreifer heimlich Nachrichten zwischen zwei Parteien ab und leiten sie weiter, die glauben, dass sie direkt miteinander kommunizieren, aber in Wirklichkeit haben sich die Angreifer in die Mitte der Onlinekommunikation eingeschleust.

Die Angreifer können Nachrichten lesen, kopieren oder ändern, bevor sie sie an den ahnungslosen Empfänger weiterleiten - alles in Echtzeit. Ein erfolgreicher MiTM-Angriff kann es Hackern ermöglichen, sensible persönliche Daten wie Anmeldedaten, Transaktionsdetails und Kreditkartennummern abzufangen oder zu manipulieren.

9. URL-Interpretation / URL-Poisoning

Eine URL ist die eindeutige Kennung, die zum Auffinden einer Ressource im Internet verwendet wird und einem Webbrowser mitteilt, wie und wo er sie abrufen kann. Für Hacker ist es leicht, eine URL zu ändern, um auf Informationen oder Ressourcen zuzugreifen, auf die sie keinen Zugriff haben sollten.

Wenn sich beispielsweise ein Hacker bei seinem Konto auf awebsite.com anmeldet und seine Kontoeinstellungen unter https://www.awebsite.com/acount?user=2748 einsehen kann, kann er diese URL leicht in https://www.awebsite.com/acount?user=1733 ändern, um zu sehen, ob er auf die Kontoeinstellungen von Benutzer 1733 zugreifen kann.

Wenn der Webserver von awebsite.com nicht prüft, ob jeder Benutzer die richtige Berechtigung für den Zugriff auf die angeforderte Ressource hat, insbesondere wenn sie vom Benutzer eingegebene Daten enthält, kann der Hacker die Kontoeinstellungen von Benutzer 1733 und wahrscheinlich auch von jedem anderen Benutzer einsehen.

Diese Art von Angriffen wird verwendet, um vertrauliche Informationen wie Benutzernamen, Dateien und Datenbankdaten zu sammeln oder auf Verwaltungsseiten zuzugreifen, die zur Verwaltung der gesamten Website verwendet werden. Gelingt es einem Angreifer, durch URL-Manipulation auf privilegierte Ressourcen zuzugreifen, spricht man von einem unsicheren direkten Objektverweis.

10. DNS-Spoofing

Hacker nutzen seit langem die unsichere Natur des DNS (Domain Name System) aus, um gespeicherte IP-Adressen auf DNS-Servern und Resolvern mit gefälschten Einträgen zu überschreiben, so dass die Opfer auf eine von Hackern kontrollierte Website anstatt auf die legitime Website geleitet werden.

Diese gefälschten Websites sind so gestaltet, dass sie genau so aussehen wie die Website, die der Benutzer zu besuchen erwartete, so dass er nicht misstrauisch wird, wenn er aufgefordert wird, seine Anmeldedaten für eine vermeintlich echte Website einzugeben.

11. Botnetze

Ein Botnetz besteht aus einer Sammlung von mit dem Internet verbundenen Computern und Geräten, die infiziert sind und von Cyberkriminellen ferngesteuert werden. Anfällige IoT-Geräte werden auch genutzt, um die Größe und Leistung von Botnets zu erhöhen.

Sie werden häufig zum Versenden von E-Mail-Spam, für Klickbetrugskampagnen und zur Generierung von bösartigem Datenverkehr für DDoS-Angriffe eingesetzt. Das Meris-Botnet beispielsweise startet täglich einen DDoS-Angriff auf etwa 50 verschiedene Websites und Anwendungen und hat einige der größten HTTP-Angriffe aller Zeiten durchgeführt. Das Ziel bei der Erstellung eines Botnets ist es, so viele angeschlossene Geräte wie möglich zu infizieren und die Rechenleistung und Ressourcen dieser Geräte zu nutzen, um die bösartigen Aktivitäten zu automatisieren und zu verstärken.

12. Watering-Hole-Angriff

Bei einem Drive-by-Angriff bettet ein Angreifer bösartigen Code in eine legitime, aber unsichere Website ein, so dass der Code beim Besuch der Website automatisch ausgeführt wird und das Gerät des Besuchers infiziert, ohne dass dieser eingreifen muss. Da es für Benutzer schwierig ist, diese Art von kompromittierter Website zu erkennen, ist dies eine äußerst effektive Methode, um Malware auf einem Gerät zu installieren.

Cyberangreifer haben diesen Zufallsangriff verfeinert, indem sie Websites identifizieren, die häufig von Nutzern besucht werden, die sie ins Visier nehmen wollen, zum Beispiel Mitarbeiter einer bestimmten Organisation oder sogar eines ganzen Sektors, wie Verteidigung, Finanzen oder Gesundheitswesen. Dies wird als Watering-Hole-Angriff bezeichnet. Da die Opfer der Website vertrauen, kann die Malware sogar in einer Datei versteckt sein, die sie absichtlich von der Website herunterladen. Bei der Malware handelt es sich häufig um einen Remote-Access-Trojaner, der dem Angreifer Fernzugriff auf das System des Opfers ermöglicht.

13. Insider- Bedrohungen

Mitarbeiter und Auftragnehmer haben legitimen Zugang zu den Systemen eines Unternehmens, und einige von ihnen kennen die Sicherheitsvorkehrungen des Unternehmens sehr genau. Dies kann genutzt werden, um Zugang zu eingeschränkten Ressourcen zu erhalten, Änderungen an der Systemkonfiguration vorzunehmen oder Malware zu installieren.

Es wurde weithin angenommen, dass Angriffe durch böswillige Insider die durch andere Quellen verursachten Angriffe überwiegen, aber Untersuchungen im 2022 „Data Breach Investigations Report“ von Verizon zeigen, dass 80 Prozent der Datenschutzverletzungen durch Personen außerhalb eines Unternehmens verursacht werden. Einige der größten Datenschutzverletzungen wurden jedoch von Insidern mit Zugang zu privilegierten Konten verübt. Dabei müssen nicht unbedingt die Insider selbst die Täter sein, oftmals werden ihre Zugangsdaten missbraucht, die ihnen auf die ein oder andere Weise gestohlen wurden.

Wie man sich vor gängigen Cyberangriffen schützen kann

Je mehr Menschen und Geräte ein Netzwerk verbindet, desto größer ist der Wert des Netzwerks. Und umso schwieriger ist es das Sicherheitsniveau so zu optimieren, dass der Aufwand eines Angriffs für einen Hacker zunehmend unattraktiv wird.

Das Metcalfesche Gesetz besagt, dass der Wert eines Netzwerks proportional zum Quadrat der angeschlossenen Benutzer ist. Sicherheitsteams müssen sich damit abfinden, dass ihre Netzwerke ständig angegriffen werden. Wenn sie jedoch verstehen, wie die verschiedenen Arten von Cyberangriffen funktionieren, können sie Kontrollmechanismen und Strategien zur Schadensbegrenzung einführen, um den Schaden zu minimieren. Hier sind die wichtigsten Punkte, die Sie im Auge behalten sollten:

Angreifer müssen natürlich erst einmal in einem Netzwerk Fuß fassen, bevor sie ihre Ziele erreichen können. Dazu müssen sie eine oder mehrere Schwachstellen in der IT-Infrastruktur ihres Opfers finden und ausnutzen.

Schwachstellen sind entweder menschlich oder technologisch bedingt, und laut dem IBM „Cyber Security Intelligence Index Report“ war menschliches Versagen bei 95 Prozent aller Sicherheitsverletzungen eine der Hauptursachen. Fehler können entweder unbeabsichtigte Handlungen oder Untätigkeit sein, vom Herunterladen eines mit Malware infizierten Anhangs bis hin zum Versäumnis, ein sicheres Passwort zu verwenden.

Da sich die Angriffstechniken ständig weiterentwickeln, müssen auch die Schulungen ständig aktualisiert werden, um sicherzustellen, dass die Nutzer über die neuesten Angriffsarten informiert sind. Mit einer Simulationskampagne für Cyberangriffe kann der Grad des Cyberbewusstseins der Mitarbeiter ermittelt werden, und bei offensichtlichen Defiziten können zusätzliche Schulungen durchgeführt werden.

Zwar können sicherheitsbewusste Nutzer die Erfolgsquote der meisten Cyberangriffe verringern, doch ist auch eine Defense-in-depth-Strategie unerlässlich. Diese sollte regelmäßig durch Schwachstellenbewertungen und Penetrationstests auf ausnutzbare Sicherheitslücken in Betriebssystemen und den darauf ausgeführten Anwendungen überprüft werden.

Die Ende-zu-Ende-Verschlüsselung im gesamten Netzwerk verhindert, dass Angriffe erfolgreich wertvolle Daten extrahieren können, selbst wenn es ihnen gelingt, die Perimeterverteidigung zu durchbrechen.

Um mit Zero-Day-Exploits umzugehen, bei denen Cyberkriminelle eine bisher unbekannte Schwachstelle entdecken und ausnutzen, bevor ein Update verfügbar ist, müssen Unternehmen ihre Strategie entsprechend ausrichten. Sie sollten in Erwägung ziehen, ihre Kontrollen zur Bedrohungsabwehr, um die Entschärfung und Rekonstruktion von Inhalten zu erweitern, da dabei davon ausgegangen wird, dass alle Inhalte bösartig sind, so dass nicht versucht werden muss, sich ständig weiterentwickelnde Malware-Funktionen zu erkennen.

Schließlich müssen die Sicherheitsteams die gesamte IT-Umgebung proaktiv auf Anzeichen verdächtiger oder unangemessener Aktivitäten überwachen, um Cyberangriffe so früh wie möglich zu erkennen - die Netzwerksegmentierung schafft ein widerstandsfähigeres Netzwerk, das in der Lage ist, einen Angriff zu erkennen, zu isolieren und zu unterbrechen. Und natürlich sollte für den Fall, dass ein Angriff entdeckt wird, ein gut ausgearbeiteter Reaktionsplan vorhanden sein.

Sicherheitsstrategien und -budgets müssen die Fähigkeit zur Anpassung und zum Einsatz neuer Sicherheitskontrollen einschließen, wenn die vernetzte Welt in dem ständigen Kampf gegen Cyberangriffe bestehen soll.