Einführung in Hacking-Szenarien

Intro

Wenn man Cyberkriminelle versteht, kann man den Gefahren der digitalen Welt und ausgeklügelten Cyberattacken schlau begegnen. Hier sechs Szenarien, wie moderne Security-Lösungen eine Unternehmens-IT vor Hackerangriffen schützen können.

Szenario 1: Ein Hacker infiziert einen Rechner im Netzwerk mit Schadsoftware

Viele moderne Security-Lösungen filtern sämtlichen Datenverkehr um illegitimen Traffic direkt auszusortieren (Beispiel E-Mail Spamfilter). Falls es trotz aller zusätzlich getroffener Maßnahmen dennoch zu einem Befall eines Systems kommt, ist dieses Gerät schnellstmöglich vom Netzwerk zu trennen. Um diesen Vorgang so schnell und komfortabel wie möglich zu gestalten, bieten viele Security-Lösungen z.B. ein zentrales Panel, über welches der Administrator ein Gerät mit sofortiger Wirkung vom Netzwerk trennen kann. Erste Lösungen erledigen das bereits automatisch. Diese Maßnahme schützt das restliche Netzwerk vor einer weiteren Verbreitung der Schadsoftware und minimiert die Ausfälle im Betrieb, sowie die Möglichkeiten des Hackers. In einem gut strukturierten Netzwerk liegen die meisten relevanten Daten auf einem, vermutlich zentralen, Server, womit ein Tausch des Gerätes der einzige zu erledigende Punkt ist. Falls sie Ihre Daten jedoch lokal speichern, da die Netzwerkanbindung des Servers nicht ausreichend ist, um flüssig mit den Daten zu arbeiten, ist es unbedingt nötig regelmäßige Backups der Daten zu erstellen und je nach Möglichkeit, außer Haus zu lagern.

Szenario 2: Der Hacker erpresst das Unternehmen mit einer Ransomware-Attacke

Dies ist wohl die Horrorvorstellung eines jeden Geschäftsführers. Potentieller Datenverlust, unendlicher Arbeitsaufwand, um das Problem zu beheben und obendrein wird man noch erpresst. Viele der angebotenen Softwarelösungen arbeiten darauf hin, solch ein Szenario gar nicht erst zuzulassen. Cloudbasierte Erkennung und Analyse sowie eine immer besser werdende heuristische Erkennung von Schadsoftware liefern hier einen gewaltigen Vorteil. Wer auf diese Technologien bewusst verzichtet, hat vermutlich den Ernst der Lage immer noch nicht verstanden. Falls jedoch all das nichts gebracht hat und sich ein Ransomware-Trojaner im Netzwerk verbreitet hat, hilft lediglich eine „Grundsanierung“ des Netzwerks. Hier ist es unabdinglich entsprechend aktuelle Backups zu haben.

Szenario 3: Das System schlägt zurück - Proaktive Verteidigung durch geschickte Fallen

Als Honeypots bezeichnet man einzelne Systeme oder sogar ganze Netzwerke, welche ein einziges Ziel verfolgen: Jegliche Aufmerksamkeit potentieller Angreifer auf sich ziehen. Ein meist bewusst verwundbares System dieser Art wird nahezu ausnahmslos die Aufmerksamkeit von Hackern auf sich ziehen. Wenn ein Hacker nun einen Honeypot angreift, weiß er zunächst nicht, dass es sich hierbei um einen Honeypot handelt. Der Hacker wird also das System auf die gleiche Weise angreifen, wie er es mit dem eigentlichen Ziel vorhatte. Jedoch wird der Angriff keinerlei verwertbare Daten liefern und das Unternehmen ist vorgewarnt. Der Administrator, und somit die Firma, ist nun im Vorteil, da sie weiß, dass und wie angegriffen wird. Das Unternehmen kann sich dann entsprechend zielgerichtet dagegen absichern. Wenn der Hacker merkt, dass er in einem Honeypot gelandet ist, wird die Attacke in den meisten Fällen abgebrochen. Diese Feststellung ist aber definitiv eine frustrierende Erfahrung, welche oftmals eine gewisse Vorlaufzeit bis zum nächsten Angriff mit sich bringt und dem Unternehmen wertvolle Zeit verschafft.

Szenario 4: Der Hacker versucht sich mit gestohlenen Nutzerdaten anzumelden

Im Grundsatz wäre diese Problematik in den meisten Fällen mit festen Zeiten in denen ein Login möglich ist gelöst. Jedoch gibt es verschiedenste Gründe warum diese Lösung für ein Unternehmen nicht funktioniert (z.B. Home Office, Auslandsreisen etc.). Weitere denkbare Lösungen wären zusätzlich geschaltete Sicherheitsmaßnahmen, also ein erweitertes Rechtesystem durch die entsprechende Security-Lösung, welches nur außerhalb der Geschäftszeiten greift (z.B. Zwei-Faktor-Authentifizierung). Somit ist der Zugriff, je nach Tageszeit, entweder überwacht oder erschwert.

Szenario 5: Der Hacker arbeitet mit einem Insider zusammen

Das Gemeine bei so einem Angriff ist leider, dass es keine wirkliche Präventivlösung für das Problem gibt. Mit einer durchdachten Kombination aller vorherigen Punkte kann man jedoch sehr effektiv Gegenmaßnahmen ergreifen. Ein erschwerter Zugriff, entsprechendes Logging, wann und von wem ein Zugriff stattfindet, sowie die Möglichkeit jederzeit und überall einen Rechner aus dem Netzwerk werfen zu können liefern hier viele Möglichkeiten.

Szenario 6: Der Hacker scannt das Netzwerk nach Schwachstellen

Um überhaupt in ein Netzwerk eindringen zu können, muss der Hacker in diesem Fall erst eine Schwachstelle bzw. einen Einstiegspunkt finden. Das heißt auch, dass das bisher unbekannte Netzwerk erforscht werden muss. Ein „ping“ gegen den Adressbereich liefert Informationen über erreichbare Geräte im Netzwerk, ein tiefergehender Scan mit Tools wie „nmap“ liefert sogar noch mehr Daten (z.B. das installierte Betriebssystem). All das muss der Hacker wissen, jedoch ist die Beschaffung der Informationen relativ „laut“. Laut heißt in diesem Fall, dass die eingesetzten Techniken oftmals relativ einfach zu erkennen sind. Natürlich ist ein „ping“ gegen das gesamte Netzwerk nicht automatisch ein Zeichen für einen laufenden Angriff, jedoch kann das kombinierte Vorhandensein mehrerer dieser Techniken ein starkes Indiz dafür sein. Als Präventivmaßnahme empfiehlt sich hier das eigene Netzwerk, in regelmäßigen Abständen, von Experten auf Schwachstellen prüfen zu lassen.

All das muss der Hacker wissen, jedoch ist die Beschaffung der Informationen relativ „laut“. Laut heißt in diesem Fall, dass die eingesetzten Techniken oftmals relativ einfach zu erkennen sind. Natürlich ist ein „ping“ gegen das gesamte Netzwerk nicht automatisch ein Zeichen für einen laufenden Angriff, jedoch kann das kombinierte Vorhandensein mehrerer dieser Techniken ein starkes Indiz dafür sein. Eine entsprechend gerüstete Security-Lösung könnte hier beispielsweise ein „Threatscore“-Model bereitstellen, welches den Angreifer bei zu häufigen Auffälligkeiten aus dem Netzwerk aussperrt oder anderweitig den Angriff unterbricht (z.B. Kommunikation nur einseitig, zum verdächtigen Gerät hin, erlauben).