Obwohl sich die Führungsetagen der Bedrohung durch Cyberkriminelle zunehmend bewusst werden, haben viele immer noch ein veraltetes Bild von Cyberkriminellen. Wir stellen uns vermummte „Hacker“ vor, die allein in einem Keller arbeiten. Und genau das zeigt natürlich das Stockfoto, das den meisten Medienartikeln über Cyberangriffe beiliegt.
Die Realität sieht heute so aus, dass es sich bei vielen Bedrohungsakteuren nicht um Schurken handelt, sondern um solche, die als Teil hochentwickelter und organisierter Gruppen agieren und mit anderen Gruppen innerhalb eines größeren Ökosystems von Spezialisten zusammenarbeiten. Diese Gruppen verfügen im Laufe der Zeit über beträchtliche finanzielle Mittel, die sie aus den Erlösen kommerziell motivierter Angriffe oder durch Zahlungen von Staaten beziehen, die ihre Aktivitäten sponsern oder direkt in Auftrag geben. Sie nutzen diese Ressourcen, um ihre nachfolgenden Angriffe zu verbessern, indem sie für die Infrastruktur bezahlen oder sogar die Mitarbeiter ihrer Ziele bestechen, um sich den ersten Zugang zu verschaffen.
Zu wissen, wie diese Angriffsgruppen vorgehen, ist nicht nur interessant, sondern liefert auch wertvolle Informationen, die Unternehmen dabei helfen können, ihre Sicherheitslage zu stärken. Zu wissen, was die Angreifer motiviert, wie sie denken und vorgehen und was sie letztlich erreichen wollen, verschafft Vorteile bei der Frontverteidigung, der Strategieplanung und – im schlimmsten Fall – bei der Vorfallbewältigung.
1) Cyberkriminelle arbeiten zusammen und werden dadurch zu Spezialisten.
Bei einem Einkaufsbummel im Darknet stoßen Sie auf Einzelpersonen oder Teams, die mit ihren Fähigkeiten in bestimmten Elementen der Angriffs-Kill-Chain werben. Es gibt Teams, die sich ausschließlich mit dem Password-Spraying beschäftigen, andere sind auf den Zugriff spezialisiert und wieder andere organisieren für jeden „Kunden“, der zahlt, einen Ransomware-Angriff. Sie schließen sich in Angriffsgruppen zusammen, die sich regelmäßig weiterentwickeln (daher auch die seltsamen Namen), und passen jedes Mal die vereinbarte Gruppenethik und Herangehensweise an, um internen Debatten und Machtkämpfen Rechnung zu tragen. Was können wir daraus lernen? Abgesehen davon, wie wichtig Bedrohungsinformationen sind, um über Trends und aktuelle Bedrohungen auf dem Laufenden zu bleiben, können wir lernen, dass Zusammenarbeit sehr wirkungsvoll ist. Wenn Sicherheitsteams sich vernetzen und Informationen austauschen – und bereit sind, im Interesse aller mit der Konkurrenz zusammenzuarbeiten –, können auch wir flexibel, gut informiert und vorbereitet sein. Und auch innerhalb der Organisation ist diese Zusammenarbeit von entscheidender Bedeutung. Zu häufig sind die Sicherheitstools voneinander getrennt und bieten dem Sicherheitsteam nicht die nötige Gesamtansicht, um eine Kill Chain mit mehreren Vektoren zu erkennen. Um hochorganisierte Angriffe zu unterbinden, müssen Sicherheitsteams dafür sorgen, dass ihre Sicherheitstools eng integriert sind und relevante Informationen, wie etwa Indikatoren für eine Kompromittierung, in Echtzeit austauschen können.
2) Böswillige Akteure nutzen für ihre Angriffe die Cloud-Infrastruktur.
Sie tun dies aus verschiedenen Gründen. Cloud-Infrastrukturen sind von Natur aus agil. Angreifer können ihre Infrastruktur schnell und kostengünstig hochfahren – und sie dann wieder demontieren und neu starten, wenn ihr Betrieb kompromittiert ist. Darüber hinaus profitieren sie von der Tatsache, dass sie sich vor älteren Sicherheitstechnologien tarnen können, indem sie dieselben Cloud-Dienste verwenden wie die Organisationen, die sie im Visier haben. Herkömmliche Sicherheitsmaßnahmen können nicht einmal zwischen den wichtigen Komponenten von Microsoft Office 365 – etwa von der Organisation genehmigten Instanzen von Microsoft Teams – und Drittanbieterkonten unterscheiden. Bei Angriffen aus der Cloud sind sie also „Wölfe im Schafspelz“ und können oft problemlos durch offene Ports gelangen. Was lernen wir hier? Nutzen Sie Cloud-Sicherheit sowohl wegen der Skalierbarkeit und Kostenvorteile als auch, weil Ihre Sicherheit so einen Angriff viel besser erkennen kann. Wenden Sie einen Zero-Trust-Ansatz nicht nur für den Netzwerkzugriff, sondern auch für die Cloud-Sicherheit und den Datenschutz an.
3) Schlechte Schauspieler sind innovativ.
Viele Organisationen betrachten Innovationen als grundsätzlich riskant – und das Ausprobieren neuer Dinge birgt zweifellos neue Risiken –, doch das Gegenteil trifft auch zu. Wenn Ihre Systeme, Tools und Vorgehensweisen nicht auf dem neuesten Stand sind, werden die Cyberkriminellen, die es auf Sie abgesehen haben, Ihre Verteidigungsanlagen überflügeln. Kriminelle ändern ständig ihre Vorgehensweise und ihr Geschäftsmodell. Ransomware war vor ein paar Jahren noch kein Thema und obwohl sie heute die Sicherheitsdiskussionen dominiert, entwickeln sich die Angreifer bereits weg vom ursprünglichen Ansatz „Bezahlen für die Freigabe der Daten“ und hin zu neuen Formen der Belästigung, wie etwa der Drohung mit öffentlicher Bloßstellung. Mit etwas Abstand und einer Rückschau auf das erste Halbjahr 2022 werden wir wahrscheinlich einen vollständigen Wandel von Ransomware hin zu Angriffen erleben, bei denen es vorrangig um Störungen geht. Dies ist Ausdruck veränderter, geopolitisch motivierter Motivationen. Angesichts dieser Innovationen dürfen wir in der Verteidigung nicht stehen bleiben. Bleiben Sie über aktuelle Trends bei Angriffsmethoden auf dem Laufenden und versuchen Sie, vorauszudenken und die Gelegenheit zu erkennen, bevor Ihr Angreifer sie tut, damit Sie sie vereiteln können. Dies kann beispielsweise einfach eine Verbesserung der Hygiene beim Patch-Management bedeuten oder auch die proaktive Schaffung besserer Transparenz über die „mysteriösen Ecken“ Ihrer IT-Anlagen (und hier meine ich ganz bestimmt die nicht genehmigte Cloud-Nutzung!). Ersetzen Sie außerdem Ihre veralteten Sicherheitsgeräte vor Ort (mit ihren langen Update- und Upgrade-Zyklen) durch moderne Cloud-Sicherheitsdienste, die mithilfe moderner Technologien, wie z. B. ML-gesteuerter KI, die Techniken zur Angriffserkennung und -minderung ständig weiterentwickeln.
4) Angreifer verfügen über eine gute Finanzierung.
Ich habe bereits erwähnt, dass es für Cyberkriminelle verschiedene Einnahmequellen gibt. Einige Angreifer finanzieren sich taktisch durch Ransomware-Angriffe oder über Shops im Darknet, die große Datenmengen oder spezielle Angriffsdienste verkaufen. Andere übernehmen reguläre „bezahlte“ Jobs für Nationalstaaten, doch hinter den feindlichen Linien ist sich jeder über den Zusammenhang zwischen Geld und Ergebnissen im Klaren. Ich empfehle, dass es sich lohnt, Ihren Stakeholdern dabei zu helfen, die Finanzierung der Angreifer zu verstehen, gegen die Sie sich verteidigen müssen. Selbst ein Teenager, der aus seiner Garage heraus Anschläge verübt, arbeitet nicht umsonst. Angriffe sind ein großes Geschäft ( Cybersecurity Ventures prognostiziert , dass der weltweite Schaden durch Cyberkriminalität bis 2025 die Marke von 10,5 Billionen US-Dollar pro Jahr erreichen wird. Das ist mehr als der Gewinn aus dem weltweiten Handel mit ALLEN wichtigen illegalen Drogen zusammen). Begründen Sie Ihr Sicherheitsbudget, indem Sie Ihrem Unternehmen die Kosten von Sicherheitseinsparungen aufzeigen (in diesem E-Book finden Sie außerdem einige nützliche Ratschläge zum Berechnen der Auswirkungen eines Datenverlusts). Und es muss auch kein ständiges Betteln sein, denn durch Ausgaben für Sicherheit lassen sich erhebliche Gewinne in anderen Kostenstellen erzielen. Was auch immer Sie tun, ziehen Sie nicht ohne die entsprechenden Ressourcen in die Schlacht.
5) Die meisten Angreifer sind opportunistisch.
Alles, was ich bisher gesagt habe, zeichnet das Bild äußerst berechnender und zielstrebiger Angreifer, doch die Realität ist, dass die meisten von ihnen unglaublich opportunistisch sind. Sie finden ihre Opfer oft, indem sie einfach nach einfachen Gelegenheiten suchen. Die Lehre daraus ist: Seien Sie nicht der, der leicht getroffen wird. Halten Sie Fenster und Türen geschlossen, dann werden die Angreifer höchstwahrscheinlich ein leichteres Ziel finden. Die überwiegende Mehrheit ist nicht hinter Ihrer Organisation her, sondern hinter Ihrem Geld. Um davon zu profitieren, müssen Sie lediglich vermeiden, das leichteste Ziel zu sein. Eine gute Sicherheitshygiene ist daher der Schlüssel. Es macht wirklich keinen Sinn, ein Vermögen für teure Firewalls und VPNs auszugeben, wenn Ihre Mitarbeiter Google Docs und AWS-Buckets in der Cloud offen lassen.
„Hacker“ ist ein Begriff, den ich immer vermeide, wenn ich über Bedrohungsakteure spreche. Es handelt sich um eine falsche Bezeichnung, die sowohl den vielen Menschen, die sich trotz fehlender schändlicher Aktivitäten mit diesem Begriff identifizieren, als auch den böswilligen Organisationen, die es darauf abgesehen haben, Unruhe zu stiften, keinen gerechten Dienst erweist. Wie die mysteriöse Figur mit dem Kapuzenpulli in den überstrapazierten Bildern vermittelt das Wort „Hacker“ eine veraltete und wenig hilfreiche Sicht auf das, womit wir es als Sicherheitsexperten genau zu tun haben.
Wenn einer Ihrer Stakeholder das nächste Mal von „Hackern“ spricht und Sie wissen, dass er sich dabei einsame Hobby-Hacker vorstellt, die in ihrem Keller operieren, nutzen Sie die Gelegenheit, ihm ein wenig darüber zu erzählen, wer diese Kriminellen wirklich sind, und helfen Sie ihm, aus den Fehlern der Übeltäter etwas zu lernen, um Ihr Unternehmen besser zu schützen.