Cyberkriminalität: Welche Maßnahmen wirklich vor Cyberangriffen schützen

Malware – zu Deutsch Schadsoftware – ist der Sammelbegriff für „bösartige“ Programme und Software, die von der Cyberkriminalität nur einem Zweck eingesetzt wird: Nutzern teils beträchtlichen Schaden zuzufügen. Computerviren haben meist einen hochgradig destruktiven Charakter. Es handelt sich dabei um einen Programmcode, der sich an eine Wirtsdatei andockt, das Betriebssystem infiltriert und sich dort selbstständig vermehrt. Sie verhindern die Ausführung von Betriebssystemen und Applikationen, infizieren oder löschen Dateien, beschädigen Hardware-Komponenten und machen diese nutzlos. Viren hängen sich vornehmlich als Payload an Dateien an oder geben vor, eine harmlose Datei (Datei-Spoofing) zu sein.

Von Computerwürmern bis zur Ransomware

Eine andere Bedrohung stellen Computerwürmer dar. Im Gegensatz zu Viren befallen sie meist keine Programme, sondern vornehmlich Speichermedien. Sie arbeiten zwar ähnlich wie ein Virus, aktivieren sich jedoch vollkommen selbstständig. Ohne Nachladen weiteren Schadcodes ist das Risiko von Würmern jedoch eher gering. Lediglich wenn ein eingeschleuster Wurm Schadcode nachladen kann, nimmt das Risiko zu.

Ransomware hingegen verhindert den Systemzugang und/oder verschlüsselt wichtige Daten. Für die Wiederfreigabe verlangen die Erpresser von den Opfern Lösegeld, das diese oft mit Kryptowährung zahlen müssen. Der Umgang mit Ransomware-Angriffen ist heikel. Man kann nicht sicher sein, dass das System nach Lösegeldzahlung auch tatsächlich wieder freigegeben wird. Laut dem „Global Threat Intelligence Report“ von NTT erreichte Ransomware bis Ende 2021 einen Anteil von zwölf Prozent, bezogen auf alle Malware-Angriffe. Alleine zwischen 2017 und 2021 wurden dabei Schäden in Höhe von rund 20 Milliarden US-Dollar verursacht.

Cyberkriminalität: Welche Strategie bietet Schutz vor Malware?

Bei täglich knapp 400.000 neuen Malware-Varianten (BSI Lagebericht IT-Sicherheit 2021) stoßen die Anti-Malware-Hersteller jedoch an ihre Grenzen. Hier hilft die Bündelung von mehreren Anti-Malware-Engines in einer einzigen Lösung. Durch Anti-Malware-Multiscanner entsteht eine Schwarmintelligenz, die Erkennungsraten von bis zu 99,9 Prozent ermöglicht. Darüber hinaus bestehende Restrisiken, beispielsweise durch Zero-Day-Malware, lassen sich durch Datei-Desinfektion eliminieren. Datei-Desinfektion geht davon aus, dass jede Datei, in die sich Malware einbetten lässt, auch Schadcode enthält und desinfiziert diese Daten. Riskante Dateiformate werden in risikolose Dateitypen umgewandelt, ohne die Funktion zu beeinflussen. Das Risiko, Opfer von Cyberkriminalität zu werden, lässt sich so bereits deutlich reduzieren.

Cyberangriffe per Brute-Force und Man-in-the-Middle

Brute-Force-Attacken („rohe Gewalt“) sind wie die Brechstange bei Einbrüchen. Nach dem Prinzip Versuch und Irrtum wollen Cyberkriminelle mittels rechenleistungsstarker Computer und automatisierter Tools die richtige Kombination aus Name und zugehörigem Passwort ihrer Opfer knacken. Bei dieser Angriffsmethode sollen Zugänge durch wiederholte Eingabe von möglichen Nutzer-Passwort-Kombinationen aufgebrochen werden. Immer leistungsfähigere Computersysteme und Passwörter, die meist schwach und vielfach auch noch für weitere unterschiedliche Accounts verwendet werden, machen Brute-Force-Attacken zum lohnenden Geschäftsmodell.

Durch Man-in-the-Middle-Angriffe versuchen Cyberkriminelle als Mittelstation an einer Kommunikation zwischen Sender und Empfänger teilzunehmen. Bei dieser Form von Cyberkriminalität werden Kommunikationsinhalte mitgelesen oder manipuliert, indem sich Angreifer gegenüber dem Sender als Empfänger und gegenüber dem Empfänger als Sender ausgeben. Auf diese Weise kann der Man-in-the-Middle auch Zugangsdaten ausspionieren und verwerten.

Phishing zielt auf die Nutzer

Phishing als Betrugsversuch zielt frontal auf das schwächste Glied in jeder Abwehrkette, den Menschen. Gut gefakte E-Mails mit einer Handlungsaufforderung von bekannten Absendern, wie etwa der eigenen Hausbank, führen oft dazu, dass ein Empfänger seine Zugangsdaten auf einer ebenfalls gefakten Webseite leicht preisgibt. Cyberkriminelle versenden solche gefakten Nachrichten willkürlich an eine Vielzahl von E-Mail-Accounts, in der Hoffnung, dass einige Empfänger auf diese E-Mail reinfallen, diese für «echt» halten und wie vom Angreifer gewollt, entsprechend reagieren.

Über Phishing, Brute-Force- und Man-in-the-Middle-Attacken gestohlene Anmeldeinformationen sind bei Logins, die durch eine Zwei-Faktor-Authentifizierung (2FA) beziehungsweise eine Mehr-Faktor-Authentifizierung (MFA) geschützt werden, nutzlos. Die FIDO-Alliance hat mit FIDO2 sogar einen Login-Standard entwickelt, der überhaupt kein Passwort benötigt und trotzdem extrem sicher ist. Dazu ist der Faktor «Haben» in Form eines Hardware Token Voraussetzung.

Erhöhte Gefahr durch DoS- und DDoS-Attacken

Denial of Service Angriffe (DoS) und Distributed Denial of Service Angriffe (DDoS) sind nicht neu, doch als Angriffsmethode immer noch gebräuchlich. Insbesondere in Jahreszeiten mit umsatzstarken Onlineaktivitäten im E-Commerce-Bereich (Black Friday, Cyber Monday, Vorweihnachtsgeschäft, Weihnachtsgeschäft) beobachtet das BSI einen Anstieg solcher Aktivitäten. Beim Versuch, vorhandene Systeme mit einer Vielzahl von Anfragen zu überlasten und damit außer Betrieb zu setzen, gibt es unterschiedliche Formen des Angriffs, wie beispielsweise Syn-Flooding, Ping-Flooding und Mail-Bombing. Der Schaden liegt bei allen Angriffsmethoden in der zeitweisen Nichtverfügbarkeit der IT-Systeme. Einige Unternehmen mögen dies verschmerzen können, doch für einen Online-Shop-Betreiber ist so eine koordinierte Attacke mitunter existentiell.

Cyberkriminalität: Schutz vor DoS und DDoS

Einige der DoS-Angriffe nutzen Bugs und Sicherheitslücken gezielt aus. Patch-Management, also das zeitnahe Verteilen von Sicherheitsupdates, schützt allgemein vor Angriffe durch Cyberkriminalität. Außerdem lassen sich Angriffsflächen vermeiden, indem man verhindert, dass Web-Applikationen Zugriff auf Ports, Protokolle oder Applikationen erhalten, die für eine Kommunikation im größeren Umfang nicht ausgelegt sind. Dabei kann es sehr hilfreich sein, die Infrastruktur hinter CDN (Content Distribution Network) oder einem Load-Balancer zu platzieren, denn dies kann die Datenmengen zwischen Front- und Backend begrenzen.

Gegen die üblichen Verdächtigen bei Cyberangriffen schützen folgende Maßnahmen:

• Anti-Malware-Multiscanner plus Datei-Desinfektion bieten angesichts der hohen Anzahl täglich neuer Malware-Varianten den bestmöglichen Schutz, auch vor Zero-Day-Attacken.
• Die Angst vor gestohlenen Identitäten verliert Ihren Schrecken durch die Absicherung mit einer Zwei- oder Mehr-Faktor-Authentifizierung.
• Bei DoS- oder DDoS-Angriffen ist die Verkleinerung der Trefferfläche und die Entkoppelung von Front- und Backend wirkungsvoll.

Über den Autor: Robert Korherr ist Geschäftsführer der ProSoft GmbH. Das Unternehmen bietet effiziente IT-Security- & IT-Management-Lösungen sowie Managed Services und Support für die Sicherheit in der IT-Infrastruktur. Darüber hinaus unterstützt das Unternehmen als Value-Added-Distributor Hersteller bei der Markteinführung neuer Lösungen im deutschsprachigen Teil Europas. (sg)

Lesen Sie auch: Data Loss Prevention: ProSoft und CoSoSys bringen neue Lösung