Gastbeitrag Cyberkriminalität

Cyberangriff, es fühlt sich an, wie in einem falschen Film


Am 11.08.2021 ging eine Meldung um die Welt, Hacker erbeuteten digitale Vermögenswerte im dreistelligen Millionen-Dollar-Bereich. Zehntausend Kunden sind betroffen, damit handelt es sich bei dieser Attacke laut dem betroffenen Krypto-Unternehmen Poly Network, um den größten Raub in der kurzen Geschichte der digitalen Währungen. Poly Network richtete einen Apell an die Diebe und schrieb auf Twitter. "Wir möchten mit euch in Verbindung treten und euch auffordern, die von euch gehackten Vermögenswerte zurückzugeben." Die Firma fügte eine Drohung an: "Die Behörden eines jeden Landes werden eure Missetaten als schweres Wirtschaftsverbrechen betrachten und ihr werdet strafrechtlich verfolgt." Die Hacker wurden aufgefordert, mit dem Unternehmen Kontakt aufzunehmen, um eine Lösung zu finden.

Einen Tag später meldete Reuters/ ABS, dass die Cyberkriminellen 832 Millionen Dollar an Kryptos erbeuteten und davon ein Drittel zurück gaben.

Laut dem auf Blockchain-Forensik spezialisiertem Unternehmen Chainalysis haben die Kriminellen einen Schwachpunkt in den digitalen Verträgen gefunden und ausgenutzt. Viele Experten sind der Meinung, dass es für die Hacker sehr schwierig sein wird, die gestohlenen Kryptowährungen zu waschen. Der Krimi geht also weiter.

Fast wöchentlich meldet die Presse einen Cyperangriff mit weltweit negativen Folgen. Erst am 05.07.2021 meldete das Bundesamt für Sicherheit (BSI) von einem Hack auf den Hersteller von Software Kaseya aus den USA, welcher weltweite Betriebsstörungen verursachte. Die berühmt-berüchtigte Hackergruppe REvil hatte die Firma Kaseya gehackt und ein Update der Software für Fernwartung manipuliert. Etwa 60 Firmenkunden von Kaseya spielten dieses gefakte Update und damit den Trojaner von REvil auf. Weil die meisten der Opfer selbst IT-Dienstleister sind, wurde auch deren Kundschaft zu Opfern. Die Auswirkungen der erpresserischen Attacke reichten unter anderem bis nach Schweden, wo die Supermarktkette Coop mehr als einhundert Geschäfte wegen nicht funktionierender Kassensysteme schließen musste.

In Summe waren bis zu 1.500 Firmen in der ganzen Welt betroffen. Allein in Deutschland erwischte es mindestens drei IT-Dienstleister und in der Folge hunderte Unternehmen. Diejenigen, welche ihre Dateien und Systeme nicht aus Backups oder auf einem anderen Weg herstellen konnten, hatten diesmal noch Glück. Die Firma Kaseya stellte einen universellen Schlüssel bereit, um die von den Kriminellen verschlüsselten Daten freizuschalten. Nach Aussage des IT-Dienstleisters Emsisoft funktionierte diese Methode.


Ganze Liefer- und Wertschöpfungsketten wurden weltweit gestört


Erst im Mai hatten Hacker zahlreiche Betriebsstörungen verursacht und somit globale Liefer- und Wertschöpfungsketten gravierend gestört. Die Betreiber der mächtigsten Erdölpipeline in den Vereinigten Staaten Colonial Pipeline mussten Teile ihrer IT-Systeme vom Netz trennen, um einen Ransomware Angriff einzudämmen. Bei dieser Attacke wurden sagenhafte 100 GB Daten gestohlen. Die Betreiber der Pipeline zahlten 4,4 Millionen US-Dollar an die Cyberangreifer von DarkSide. Dank der guten Arbeit sowie des undurchschaubaren Informationsnetzes der FBI bekamen sie einen Großteil der Lösegeldforderung zurück. Dieser Angriff wirkte sich bis zum Verbraucher aus, denn nach einer kurzzeitigen Stilllegung der Firma horteten Enderbraucher Kraftstoff in unüblichen Mengen.

Wochen später griff die Gruppe REvil erneut an. Die Firma JBS, der weltweit größte Lieferant für Rindfleisch, wurde diesmal zum  Opfer einer gleichartigen Attacke.  REvil forderte und bekam vom Fleischlieferanten elf Millionen US-Dollar. Das Unternehmen wollte mit der Lösegeld-Zahlung seine Bestandskunden schützen, auch wenn es den IT-Experten des Unternehmens gelang, einen Großteil der Daten selbst wiederherzustellen.


Vorbereitung ist die beste Strategie


Wir wissen, ein Online Business aufzubauen, kann schwer sein. Es erfordert viel Zeit, noch mehr Arbeit und ein bisschen Glück, bis sich erste Erfolge einstellen. Vielleicht hattest Du die richtige, zündende Idee und verdienst schon eine anständige Menge Geld. Dann möchtest Du dieses Geld mit Sicherheit nicht an irgendwelche Hacker überweisen müssen. Du kannst einiges tun, um dieses Horror-Szenarium nicht wahr werden zu lassen.

Wer Angriffe abwehren will, sollte sich mit der Thematik beschäftigen. „Ransom“ ist das englische Wort für „Lösegeld“ und somit ist im Prinzip alles gesagt.  Ransomware ist eine Erpressungssoftware, mit deren Hilfe Cyperkriminelle ganze IT-Systeme infiltrieren, verschlüsseln und somit blockieren. Ransomware ist ein Mitglied der Malware-Familie. Malware setzt sich aus dem Wort „malicious“ (schädlich) und Software zusammen. Als Malware werden beispielsweise auch Trojaner und Viren klassifiziert.

Im Falle eines Angriffs solltest Du oder Deine zuständigen Fachleute wissen, wie Ihr schnell und angemessen reagieren könnt. Ein im Vorfeld zusammengestellter Krisenleitfaden mit ausgearbeiteten "Was ist wenn" Algorithmen, erleichtert die Abwehr einer plötzlichen, unerwarteten Attacke.


Aufräumen, Prüfen, Entfernen


Die routinemäßige Überprüfung und ununterbrochene, exakte Dokumentation der Zugriffsrechte von Beschäftigten, Lieferanten und Kunden ist eine Voraussetzung dafür, dass keine unbefugten Nutzer ins Netzwerk oder in den Online Shop eindringen können. Sofern Du kein Alleinkämpfer bist, solltest Du dem Prinzip der geringsten Privilegien folgen. Das bedeutet; Zugriffsrechte sind so zu beschränken, dass nur so viele Rechte vergeben werden, wie unbedingt nötig sind.

Je kleiner die Angriffsfläche auf unternehmenskritische Ressourcen für die Hacker ist, um so sicherer sind Deine Daten. Bei der Attacke auf das Unternehmen Colonial Pipeline konnte im nach hinein ein inaktives VPN-Konto identifiziert werden, welches den Kriminellen als Zutrittstür diente. Du siehst an diesem Beispiel, wie wichtig die ordnungsgemäße Verwaltung deines IT-Umfeldes und dessen Schnittstellen ist. Überflüssige Zugriffsmöglichkeiten sollten routinemäßig geprüft und gegebenenfalls gekappt werden.


Aktualisieren, updaten und nochmals aktualisieren


Der Angriff durch eine Schadsoftware startet oft, indem eine Lücke im Betriebssystem oder in einer anderen Applikation genutzt wird. Als nächstes setzen die Cyperkriminellen in der Regel eine Reconnaissance-Malware ein. Damit verschaffen sie sich vor dem eigentlichen Angriff Informationen über die vorhandene Netzwerkumgebung, um dann die Malware gezielt auszurollen und vertrauliche Daten zu identifizieren. IT-Umgebungen, welche nicht up to date sind, bieten ein besonders leichtes und somit erstrebenswertes Angriffsziel. Darum ist es nötig, dass Dein IT-Team sofort nach dem Erscheinen eines Patches diesen aufspielt. Je geschäftskritischer deine infizierten IT-Systeme sind, um so schneller solltest Du sicherstellen, dass gehandelt wird, selbst dann, wenn das mit Ausfällen wegen Wartung verbunden ist.  Jede Verzögerung öffnet zeitgleich ein Fenster, in dem die Hacker Schwachstellen nutzen können.


Unverzichtbar sind Backups


Funktionierende Backups sind ein Bestandteil, um Deine IT-Sicherheit zu gewährleisten. Die Betonung liegt hier auf „funktionierende“ Backups. Ein Backup ist schnell erstellt, aber es muss sich auch wieder einspielen lassen und zwar so, dass das System zeitnah und vollständig funktioniert. Um das zu gewährleisten, sollten die Rücksicherungen regelmäßig getestet werden. Sollte Dein Unternehmen ein Opfer werden, dann kann das IT-Systeme mit dem Backup wiederhergestellt werden.

Allerdings ist es manchmal dann doch wieder etwas komplizierter. Denn Deine Sicherungen sind nicht 100 prozentig sicher und können eventuell gezielten Angriffen von spezialisierten Hackern nicht standhalten. Die neusten Ransomware Familien enthalten Funktionen, welche extra dafür programmiert wurden, nach lokalen Backups beziehungsweise nach in der Cloud abgelegten Sicherungen zu fahnden, um diese zu verschlüsseln. Falls Deine Systeme nicht nach der 3-2-1-Regel gesichert sind, bleibt Dir oft keine andere Wahl, als auf die Lösegeldforderung einzugehen oder auf Deine Daten zu verzichten.


Die 3-2-1-Regel funktioniert nach einem simplen Prinzip:


  • Du musst mindestens drei Kopien anlegen.
  • Sichere zwei dieser Backups auf unterschiedlichen Speichermedien (CD, Band, USB Stick, zusätzlicher Server oder PC, …).
  • Die dritte Kopie solltest Du extern, am besten außerhalb Deiner Wohnung oder des Firmengeländes, vielleicht bei Deiner Oma ;-) oder in einem Banksafe ablegen. Warum nicht in der Wohnung oder auf dem Firmengelände? Im Brandfall oder bei anderen Katastrophen sind, dank der auswärtigen Unterbringung, wenigstens Deine Daten gerettet.


Ransomware Angriffspunkte, das solltest Du wissen


Den Angreifern stehen einige Möglichkeiten zur Verfügung, um Arbeitsplätze oder Server zu infizieren. Wir möchten Dir im Folgenden die drei am häufigsten auftretenden Angriffspunkte erläutern:


1. Private Geräte und Smart Home bergen Risiken


Indem Du oder Deine Beschäftigten mit ungesicherten Privatgeräten auf das Unternehmensnetzwerk Zugriff haben, wird die Angriffsfläche für Hacker größer. Jedes Gerät, welches mit einem Netzwerk verbunden ist, egal ob es ein Handy, PC, Drucker, Laptop oder ein Smart Home Gerät ist, kann zum Sicherheitsloch werden. Letztlich kann Dein IT-Netzwerk durch Malware auf einem bereits infizierten Privatgerät geschädigt werden.


2. Spam sollte nicht unterschätzt werden


Die Kriminellen versenden E-Mails, welche eine URL oder einen Anhang enthält, über dem die  Malware heruntergeladen wird. Die enthaltenen Befehle tragen Informationen über das jeweilige IT-System sowie über das verbundene Netzwerk zusammen, bevor die Hacker ein auf die betroffene IT-Umgebung abgestimmte Malware installieren. Die skrupellosen Cyberangreifer verwenden perfide Methoden und nutzen beispielsweise das öffentliche Interesse an der Pandemie. Kaltblütig verbreiten sie Spam zum Thema Corona und nutzen die Angst der Menschen aus.

Laut des Microsoftkonzerns wurden allein im April des Jahres 2020 je Tag circa 60.000 Phishing-Nachrichten zum Thema Pandemie verschickt. Die Kriminellen gaben sich als eine öffentliche Stelle des amerikanischen Gesundheitsministeriums oder als die Weltgesundheitsorganisation aus.

Wenn Du Dir einen leistungsfähigen Spamfilter besorgst, wird der den Großteil der Spams filtern und damit stoppen. Somit kannst Du die Gefahr einer Infektion einschränken.


3. Fernzugriffe sind praktisch aber auch gefährlich


Die Kriminellen nutzen gern unzureichend gesicherte Fernzugriffstools, um sich in ein Netzwerke einzuhacken. Das Remotedesktopprotokoll (RDP) fungiert als der häufigste Angriffspunkt, oft wurden die bekannten Programme, wie Citrix, TeamViewer oder Kaseya gezielt mißbraucht.

Wir hoffen, wir konnten Dich für das Thema Cyberangriffe sensibilisieren und Dir gleichzeitig Wege zeigen, wie Du feindliche Angriffe abwehren beziehungsweise einschränken kannst, um Lösegeldforderungen zu vermeiden.