Es ist ein rasant wachsender Zweig der Kriminalität: Seit einigen Jahren steigt die Zahl von Cyberangriffen auf Unternehmen und andere Organisationen rapide an. Vor allem aus dem Ausland verzeichnen das Bundeskriminalamt und der Branchenverband Bitkom erhebliche Zuwachsraten für das Jahr 2023. Die Attacken verfolgen als Ziele in erster Linie Diebstahl von Daten, Spionage und Sabotage. Doch Unternehmen können durchaus wirksame Maßnahmen zum Schutz ihrer IT-Sicherheit ergreifen, um Cyberattacken erfolgreich abzuwehren oder von vornherein zu verhindern.
Nach dem sogenannten „Bundeslagebild Cybercrime“ des Bundeskriminalamts für 2023 stehen vor allem finanzstarke Unternehmen im Visier der Angriffe. Mehr als 800 Unternehmen haben in diesem Zusammenhang allein Erpressungsversuche durch Ransomware angezeigt: Rund 16,1 Milliarden Euro erpressten die Täter:innen nach einer Untersuchung des Branchenverbands Bitkom mit verschlüsselten oder gestohlenen Daten. Doch auch kleine und mittelständische Unternehmen haben immer häufiger unter Attacken zu leiden – nach wie vor stellen sie für Kriminelle aufgrund oft unzureichender Cyber-Security ein leicht verwundbares Ziel dar.
Welch Angriffsarten es gibt und wie Sie in Ihrem Unternehmen die IT-Sicherheit erhöhen, um es besser gegen Cyberangriffe zu wappnen, erfahren Sie in diesem Artikel.
Ganz allgemein bezeichnet ein Cyberangriff beziehungsweise eine Cyberattacke den Versuch, unbefugt und vorsätzlich auf Daten zuzugreifen, um diese zu manipulieren oder zu stehlen. Auch IT-Systeme insgesamt können das Ziel von Cyberangriffen werden, beispielsweise mit dem Ziel, diese lahmzulegen, um wirtschaftlichen Schaden zu erzeugen und/oder Lösegeld zu erpressen. Im Unterschied zu weitverbreiteter und wahllos gestreuter Malware wie Viren und Würmern erfolgt ein Cyberangriff gezielt durch eine oder mehrere Personen. Ziele sind dabei meist Unternehmen, nichtstaatliche Organisationen und staatliche Institutionen.
Nahezu jedes in einem Netzwerk befindliche Endgerät kann Ziel eines Cyberangriffs sein. Dies gilt für PCs, Tablets, Smartphones, smarte Unterhaltungselektronik, IoT-Geräte und vieles mehr, betrifft aber in der Praxis vor allem Serversysteme. Im schlimmsten Fall kann ein Cyberangriff schwerwiegende Konsequenzen auch für Privatpersonen haben – wenn er sich gegen Fahrzeuge, Krankenhäuser, Kraftwerke oder Verkehrssicherungssysteme wendet.
Die Ziele von Cyberangriffen können sich stark voneinander unterscheiden. Kriminelle können damit unter anderem diese Absichten verfolgen:
Diebstahl: Dies umfasst sowohl sensible Geschäftsdaten jeglicher Art als auch konkrete finanzielle Ressourcen wie Geld auf Bankkonten, Aktien, Kryptowährungen und so weiter.
Erpressung: Kriminelle erpressen Dritte nach dem Raub von gestohlenem Wissen mit dessen Weiterverkauf oder Veröffentlichung. Eine andere Erpressungsmethode der Angreifer:innen besteht darin, IT-Systeme zu sperren, die sie erst wieder freigeben, nachdem die Opfer dafür gezahlt haben.
Spionage: Darunter fällt die klassische Betriebsspionage wie auch die staatliche Spionage, die sich beispielsweise gegen Regierungsmitglieder oder die kritische Infrastruktur anderer Staaten richten kann.
Sabotage: Die gezielte Manipulation oder Beschädigung von IT-Systemen soll diese (temporär) unbrauchbar machen, etwa die vernetzten Produktionsanlagen eines Mitbewerbers oder den Online-Shop eines marktführenden Unternehmens.
„Hacktivismus“: Cyberkriminelle mit politischen Motiven greifen Unternehmen, Organisationen oder Einzelpersonen an, um diesen zu schaden oder auf deren Aktivitäten aufmerksam zu machen.
Bei Angriffen auf IT-Systeme kommt meist eine Schadsoftware (englisch: Malware) zum Einsatz. Gängige Malware bei Cyberangriffen sind Trojaner und Ransomware. Diese Schadprogramme sind teilweise so hoch entwickelt, dass handelsübliche Antivirensoftware nur unzureichenden Schutz gegen sie bietet.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.
Aktuelle Studien des Bundeskriminalamts (BKA) kommen zu dem Ergebnis, dass Cyberkriminelle ihre Attacken immer professioneller planen und durchführen. IT-Sicherheitsexpert:innen sprechen hierbei von Cybercrime-as-a-Service (CaaS): Die Kriminellen verkaufen im Darknet Schadsoftware oder komplette Serverinfrastrukturen, die sie speziell für kriminelle Aktivitäten gebaut haben.
Ein bekanntes Beispiel dafür ist der 2019 von der Polizei abgeschaltete „CyberBunker“ in Rheinland-Pfalz, in dessen Räumlichkeiten die Betreiber:innen mehr als 400 Server für eine Darknet-Infrastruktur zur Verfügung stellten.
Außerdem bieten zahlreiche Hackergruppen ihre Dienstleistungen in einschlägigen Internetforen zum Kauf an. Gegen Bezahlung führen sie Attacken auf industrielle und öffentliche Infrastrukturen sowie auf die IT von Regierungseinrichtungen durch. Besonders im Rahmen der globalen Konflikte der vergangenen Jahre gibt es für dieses kriminelle Geschäftsmodell eine steigende Nachfrage.
Diese Arten von Cyberangriffen gibt es
Staatliche Spionage und Datendiebstahl: Advanced Persistent Threats
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Advanced Persistent Threats (kurz APTs, zu Deutsch: fortgeschrittene anhaltende Bedrohungen) als eine Reihe von Cyberangriffen durch gut ausgebildete und häufig von Staaten gesteuerte Angreifer:innen. Zweck dieser Attacken sind meist Spionage und/oder Sabotage – und das von den Opfern unbemerkt über einen längeren Zeitraum hinweg.
Diese Angriffe bedrohen laut BSI im Grunde jedes Unternehmen, das vertrauliche und/oder geschäftskritische Informationen auf IT-Systemen verarbeitet; oder dessen Erfolg von der Verfügbarkeit seiner IT-Systeme abhängt.
Kleine und mittelständische Unternehmen, die in ihrem Marktsegment Weltmarktführer sind (sogenannte „Hidden Champions“), rücken besonders in den Fokus cyberkrimineller Aktivitäten. Auch Banken, Medienkonzerne, Forschungs- und Militäreinrichtungen sind Ziele von Cyberangriffen im Auftrag von Staaten. Daneben sind vor allem Behörden und Organisationen der sogenannten Kritischen Infrastrukturen (KRITIS) besonders gefährdet.
Netzwerke mit DoS- und DDoS-Attacken überlasten
Expert:innen sprechen von einem Denial-of-Service-Angriff (DoS), wenn Kriminelle Webserver mit einer großen Zahl von Anfragen regelrecht „bombardieren“. Dadurch wollen sie beispielsweise Webserver überfordern, sodass diese nicht mehr zuverlässig arbeiten können. Diese Anfragen auf Server erfolgen unter Umständen parallel von zahlreichen Rechnern, die von einer Schadsoftware gekapert wurden. In diesem Fall handelt es sich um einen Distributed-Denial-of-Service-Angriff (DDoS).
DoS- und DDoS-Angriffe verfolgen nicht den Zweck, Zugriffsrechte für die infizierten Systeme zu erlangen. Stattdessen steht die gezielte Störung von Arbeitsprozessen im Vordergrund. So sind beispielsweise Webseiten von Regierungsbehörden ein beliebtes Angriffsziel, um sie für längere Zeit außer Betrieb zu setzen. Auch Webseiten großer Onlineversandhäuser hatten in der Vergangenheit unter DDoS-Angriffen zu leiden.
Es gibt unterschiedliche Arten von DoS- und DDoS-Angriffen, von denen wir die bekanntesten im Folgenden exemplarisch genauer vorstellen:
Botnet: Ein Botnet besteht aus mehreren mit einer Schadsoftware infizierten Rechnern, die einen simultanen Angriff auf ein bestimmtes Ziel ausführen. Die Besitzer:innen der jeweiligen Endgeräte merken meist nicht, dass sie Teil eines kriminellen Angriffs sind. Unter Umständen erfolgt der Angriff durch ein Botnet über viele Millionen Endgeräte, die überall auf der Welt verteilt stehen. Daher ist es sehr schwer nachzuvollziehen, was der eigentliche Ausgangspunkt einer Botnet-Attacke ist.
Smurf-Angriffe: Ein Smurfprogramm (deutsch: Schlumpfprogramm) nutzt Schwachstellen im Internetprotokoll (IP) und im Internet-Control-Message-Protocol (ICMP) aus. Die Schadsoftware sendet eine falsche IP-Adresse mit einer angehängten sogenannten ICMP-Ping-Nachricht. Diese Nachricht fordert Netzwerkknotenrechner auf, nach Erhalt dieses „Pakets“ eine Antwort zu senden.
Doch nun senden alle Geräte im angegriffenen Netz eine Antwort an sich selbst: Die gefälschte Absender-IP-Adresse entspricht der IP-Adresse aller im Netzwerk operierenden Endgeräte. Es entsteht eine Endlosschleife, die das Netzwerk überlastet. Der namentliche Bezug auf die zwergenhaften Schlümpfe-Comicfiguren soll verdeutlichen, dass ein massenhafter Angriff vieler kleiner Systeme ein einzelnes großes System durchaus außer Betrieb setzen kann.
Teardrop-Angriffe:Ein Teardrop-Angriff sendet ein fragmentiertes (zerstückeltes) Datenpaket an den Server des potenziellen Opfers. In manchen Unternehmen arbeiten noch immer veraltete Versionen von Windows oder Linux. Diese enthalten teilweise einen Fehler bei der Wiederzusammenführung der TCP/IP-Fragmentierung. Genau diesen Fehler nutzen die Cyberkriminellen aus: Bei einem Teardrop-Angriff sendet ein:e Angreifer:in ein bewusst falsch aufgeteiltes Datenpaket. Der empfangende Server scheitert aufgrund des TCP/IP-Fehlers am Zusammenführen der Pakete. Die Folge: Das gesamte Betriebssystem oder bestimmte Anwendungen stürzen ab.
TCP-Syn-Flooding: Stellt ein Client eine TCP-Verbindung zu einem Server her, führen beide Akteure einen sogenannten „Three-Way-Handshake“ durch. Dieser ist nötig, damit die Verbindung zustande kommt. Im Ablauf der Handshake-Kommunikation sendet der Client ein Bestätigungspaket an den Server. Ein:e Angreifer:in unterschlägt diesen Teil der Kommunikation jedoch. Der Server des Opfers wartet nun vergeblich auf die Antwort: Es kommt zu einer Zeitüberschreitung und das System setzt aus.
Ping of Death: Größere Datenpakete werden innerhalb von Netzwerken immer dann automatisch verkleinert, wenn sie die zulässige sogenannte Maximum-Transmission-Unit (MTU) überschreiten. Jedes verkleinerte Paket enthält eine Speicheradresse (Offset), die sagt, wie das Paket wieder zusammengesetzt werden muss. Cyberkriminelle können das Offset manipulieren und dadurch die wieder zusammengesetzten Pakete vergrößern. Das Zielsystem kann auf die plötzlich „angewachsenen“ Pakete häufig nicht schnell genug reagieren. Es kommt zu einem Systemausfall.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Bei dieser Angriffsmethode suchen Cyberkriminelle nach unzureichend abgesicherten Internetseiten und „schmuggeln“ ein schädliches Skript in den HTTP- oder PHP-Code der Webseite ein. Dieses modifizierte Skript ermöglicht es, eine Schadsoftware direkt auf dem Rechner von Besucher:innen der Seite(n) zu installieren.
Häufig werden Nutzer:innen Opfer eines Drive-by-Downloads („Download im Vorbeifahren“), wenn sie eine Webseite besuchen oder auf ein Pop-up-Fenster klicken. Das Klicken auf die Schaltflächen ist jedoch nicht zwingend notwendig, da viele Varianten dieser Cyberattacke bereits beim Klick auf die Ursprungsseite eines Pop-ups ihr unheilvolles Werk beginnen.
Kennwortangriffe
Kennwortangriffe sind erfolgreich, wenn Nutzer:innen unsichere Passwörter verwenden. Besonders der sogenannte „Wörterbuchangriff“ zielt darauf ab, schwache Passwörter zu identifizieren. Dabei kommt eine spezielle Wörterbuchsoftware zum Einsatz: Das Tool testet tausende Wörterbucheinträge sowie gängige Passwörter und kombiniert sie mit Zahlen und Sonderzeichen.
Eine ältere, aber bei Hacker:innen immer noch beliebte Methode zum Ausspähen von Kennwörtern ist der Brute-Force-Angriff. Ein solcher Angriff mithilfe von Wörterbuch-Tools kann unter Umständen mehrere Monate dauern, je nach Komplexität des zu erratenen Passworts.
Verschiedene Formen von Schadsoftware (Malware)
Häufig nutzen Cyberkriminelle verschiedene Arten von Schadsoftware (englisch: Malware), um Angriffe auf IT-Systeme durchzuführen. Im folgenden Abschnitt stellen wir Ihnen exemplarisch fünf Malware-Typen vor, die Kriminelle für Angriffe verwendeten.
Trojaner: Ein Trojaner versteckt sich in einem zunächst unverdächtig wirkenden E-Mail-Anhang – beispielsweise in einem Bild oder einem Dokument. Wenn jemand die infizierte Datei aufruft, nistet sich die Schadsoftware auf dem Computer ein. Trojaner sammeln vertrauliche Daten wie Passwörter und Adressen, die sie unbemerkt an diejenigen weiterleiten, die die Schadsoftware kontrollieren.
Virus: Als Viren bezeichnen Expert:innen Dateien, die etwa über infizierte E-Mails oder Downloads aus unseriösen Quellen auf den Computer gelangen. Dort „besetzen“ die Viren beispielsweise das Betriebssystem. Computerviren können sich selbst kopieren und erst auf einem einzelnen und dann auf mehreren oder allen Computern in einem Netzwerk Schäden anrichten. Dies betrifft nicht nur Endgeräte wie PCs, Tablets oder Smartphones: Viren können auch Fertigungsmaschinen mit Zugang zum Internet of Things (IoT) beschädigen.
Ransomware: Wenn Ransomware (deutsch: Erpressungssoftware) in ein System eingedrungen ist, verbreitet sie sich sehr schnell und verschlüsselt alle gespeicherten Daten. Die Nutzer:innen sollen daraufhin einen Geldbetrag an die kriminellen Urheber:innen der Schadsoftware senden. Erst nach Zahlung dieses Lösegeldes erhalten sie einen Code zum Entschlüsseln der Dateien – wenn überhaupt.
Spyware: Diese Form der Schadsoftware übermittelt Cyberkriminellen private und vertrauliche Informationen bestimmter Personen. Dies betrifft beispielsweise Angaben zu deren Online-Gewohnheiten oder -Käufen. Es gibt verschiedene Formen von Spyware: Abgewandelte Varianten können zum Beispiel die Tastenanschläge einer Tastatur, Kreditkarteninformationen, Passwörter oder Anmeldedaten ausspähen.
Dropper: Ein Dropper ist keine eigenständige Schadsoftware, sondern ein Hilfsprogramm, das es ermöglicht, die eigentliche Malware nachzuladen und zu installieren. Cyberkriminelle verwenden Dropper, um die Signaturerkennung von Antivirensoftware zu umgehen. Viele Cyber-Security-Tools versuchen anhand von Signaturen schädliche Codes zu blockieren und zu isolieren. Wird die Signatur einer Schadsoftware erkannt, können die Verursacher:innen den Dropper allerdings sehr schnell anpassen, ohne den gesamten Schadcode umschreiben zu müssen.
Man-in-the-Middle-Angriff (MitM)
Bei einem Man-in-the-Middle-Angriff (übersetzt: „Mann in der Mitte“-Angriff) schalten sich Cyberkriminelle in die digitale Kommunikation zwischen zwei Nutzer:innen oder in einen Kontakt zwischen Client und Server. Die häufigsten MitM-Angriffsmethoden sind:
IP-Spoofing/Session-Hijacking: Von IP-Spoofing (übersetzt: verschleiern, vortäuschen einer IP) sprechen Expert:innen, wenn Angreifer:innen einem System vorgaukeln, dass es mit einem vertrauenswürdigen Client kommuniziert. Der angreifende Client sendet ein Datenpaket an das Zielsystem. Dieses Paket enthält anstelle der eigentlichen IP-Quelladresse des Cyberkriminellen die IP eines vertrauenswürdigen Clients. Der Zielhost nimmt das Paket an und gewährt dem Angreifenden dadurch Zutritt zum System. Eine andere Bezeichnung für dieses Vorgehen ist Session-Hijacking, da Cyberkriminelle bildlich einen Client „entführen“ (englisch: hijack).
Replay-Angriff: Hierbei verwenden Kriminelle zuvor gesammelte Daten, um an geschützte Dateien zu gelangen. Die Eindringlinge täuschen eine bekannte Identität vor und greifen damit auf fremde Datenbestände zu. Dies geschieht in etwa so: Nutzer:in A sendet einen sogenannten Hashcode (kryptische Zeichenfolge) an Nutzer:in B. Ein Hashcode entsteht durch die Umrechnung eines Passworts in ein anderes, nicht mehr so leicht entzifferbares Format. Fängt nun eine dritte Person den Hashcode ab, kann diese dritte Person Nutzer:in B vorgaukeln, Nutzer:in A zu sein. Um an ihr Ziel zu gelangen, müssen die Cyberkriminellen in diesem Fall noch nicht einmal das verwendete Passwort kennen.
Viele Cyberangriffe zielen auf den Menschen als entscheidende Schwachstelle und nutzen Arglosigkeit, Unwissen oder emotionale Reaktionen aus.
Social Engineering: Schwachstelle Mensch
Laut dem US-Sicherheitsunternehmen Palo Alto Networks stellt das Social Engineering (frei übersetzt: Soziale Manipulation) aktuell eine der größten Gefahren für die IT-Sicherheit von Unternehmen dar. Die meisten erfolgreichen Datendiebstähle und Spionageangriffe laufen heute nach dem Muster von Phishing-Angriffen ab. Im Folgenden erfahren Sie, wie diese Attacken funktionieren:
Phishing: Bei einem Phishing-Angriff kommen E-Mails zum Einsatz, die nur auf den ersten Blick einen vertrauenswürdigen Absender haben. Mit solchen E-Mails wollen Cyberkriminelle persönliche Informationen abgreifen oder die Empfänger:innen zu einer bestimmten Handlung verleiten.
Phishing-E-Mail fordern zum Beispiel dazu auf, Passwörter, Kreditkartennummern oder andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann direkt bei den Kriminellen, die sie etwa im Darknet verkaufen oder für eigene Zwecke nutzen.
Phishing-Angriffe erfolgen teilweise auch über E-Mail-Anhänge, mit denen Schadsoftware auf einen Rechner gelangt. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf der vermeintlich seriöse Apps zum Download bereitstehen. Kriminelle haben diese Apps jedoch mit Schadsoftware „bestückt“.
Spear-Phishing: Sogenannte Spear-Phishing-Angriffe sind gezielte Phishing-Attacken. Die Cyberkriminellen erkunden im Vorfeld die Identität ihrer Opfer und senden ihnen dann individuell angepasste Nachrichten. Diese Nachrichten enthalten meist im Betreff einen für das Opfer relevanten Begriff, beispielsweise die Dienstanweisung eines Vorgesetzten. Für die Adressat:innen ist es oft schwer zu erkennen, dass die Mails in Wirklichkeit von Kriminellen stammen. Häufig verschaffen sich Angreifer:innen durch solche E-Mails Zugriff auf Firmennetzwerke.
SQL-Injektion
Besonders datenbankgestützte Webseiten können Ziel von SQL-Einschleusungs-Attacken sein. SQL steht für Structured Query Language (übersetzt: Strukturierte Abfragesprache). Cyberkriminelle durchsuchen Datenbanken gezielt nach Schwachstellen, lesen Daten aus der Ferne aus und verändern sie. Gelingt die SQL-Einschleusung, übernehmen die Angreifer:innen effektiv die administrative Ebene der Datenbank und können beispielsweise bereits gelöschte Daten wiederherstellen, das Betriebssystem steuern oder die gesamte Datenbank zerstören beziehungsweise verschlüsseln.
Cross-Site-Scripting (XXS)
Cross-Site-Scripting gehört zu den häufigsten Angriffsmethoden. Durch eine Sicherheitslücke beim Client oder auf dem Server können Angreifende Schadcode in eine eigentlich vertrauenswürdige Umgebung einbauen.
Sicherheitsexpert:innen unterscheiden zwischen drei Formen des Cross-Site-Scriptings:
Reflektiertes Cross-Site-Scripting: Kriminelle kompromittieren den Code einer Webseite und senden das Skript an einen Webserver. Dieser schickt das Skript an den Client zurück, ohne es zu kontrollieren. Nun können Angreifende beispielsweise Passwörter auf einer von ihnen manipulierten Webseite abfangen. Die Nutzer:innen merken nicht, dass die von ihnen als seriös wahrgenommene Webseite temporär unter der Kontrolle von Cyberkriminellen stand, beziehungsweise eine gefälschte Eingabemaske enthielt.
Persistentes Cross-Site-Scripting: Bei dieser XXS-Variante speichern Webserver schädliche Skripte und liefern diese bei Aufruf an einen Client. Besonders Blogs und Internetforen sind Ziel dieser Angriffe. Teilweise werden dabei Benutzerdaten gespeichert und ohne Überprüfung ausgegeben. Klicken nun Nutzer:innen beispielsweise einen Foreneintrag an, lösen sie das manipulierte Skript unbemerkt aus.
DOM-basiertes Cross-Site-Scripting: Die sogenannte DOM-basierte XSS-Schwachstelle erlaubt das Einbinden von beispielsweise JavaScript-Code in eine Internetseite. Im Gegensatz zum reflektierten und zum persistenten Cross-Site-Scripting geschieht dies allerdings nicht mithilfe der Webanwendung auf dem Server. Für das DOM-basierte Cross-Site-Scripting machen sich Hacker:innen Fehler im JavaScript-Code der Anwendung zunutze. Die Schwachstelle heißt DOM-basiert, da ein clientseitiges JavaScript Zugriff auf das sogenannte Document-Object-Model (DOM) einer Webseite besitzt. Dadurch hat es auch Zugriff auf die aufgerufene URL.
Mobiler Virenschutz für Mitarbeiter:innen
Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.
Ein Zero-Day-Exploit ist so invasiv, dass die IT des betroffenen Unternehmens im Prinzip „null Tage“ Zeit hat, um die entstandene Sicherheitslücke zu schließen. Allerdings kann es sein, dass es Tage, Wochen oder gar Monate dauert, bis diese Sicherheitslücke bemerkt wird. In dieser Zeit können Cyberkriminelle das unentdeckte Einfallstor nutzen, um die Unternehmens-IT etwa mit selbst geschriebenem Code zu korrumpieren. In der Vergangenheit erfolgten Zero-Day-Angriffe beispielsweise wiederholt über Sicherheitslücken in gängigen Betriebssystemen.
DNS-Tunneling
Um einen DNS-Tunneling-Angriff durchzuführen, benötigen Hacker:innen eine externe Netzwerkverbindung zu einem System. Durch erhalten sie Zugriff auf den vernetzten DNS-Server. Das sogenannte Domain Name System (DNS) ist ein gängiges Protokoll und gilt als zuverlässig und sicher. Viele Unternehmen vernachlässigen daher, ihren DNS-Verkehr auf ungewöhnliche Aktivitäten zu untersuchen.
Um bestehende Sicherheitssysteme zu umgehen, zerlegen die Angreifer:innen Schadcodes in kleine Bruchstücke und betten sie in DNS-Anfragen ein. Dadurch tarnen sie Datendiebstähle und die Kontrolle infizierter Geräte (C2-Kommunikation) im normalen DNS-Datenverkehr. Ist ein Gerät infiziert, veranlasst die Schadsoftware eine DNS-Anfrage. Der DNS-Server erhält die Anweisung, eine Verbindung zum Server der Cyberkriminellen herzustellen.
Durch diesen „Tunnel“ stehlen die Angreifer:innen Daten und können weitere Befehle an das IT-System senden. Die meisten Firewalls erkennen die in den DNS-Anfragen versteckten Schadcode-Bestandteile nicht.
KI-unterstützte Cyberangriffe
Die rasante Entwicklung von künstlicher Intelligenz (KI) seit 2022 hat dazu geführt, dass großangelegte Cyberangriffe noch leichter möglich sind. Während in der Vergangenheit große Teams für komplexe Angriffsoperationen notwendig waren, reichen mittlerweile wenige Personen dafür aus. Selbst unerfahrene Hacker:innen können mithilfe von KI umfassende Cyberattacken durchführen.
Zu den häufigsten Cyberangriffen, bei denen KI zum Einsatz kommt, zählen derzeit vor allem die Methoden des oben erläuterten Social Engineerings. Doch KI kann auch gezielt gegen IT-Systeme eingesetzt werden. Die häufigsten Einsatzgebiete sind derzeit:
Phishing: Die KI ahmt den Schreibstil von Bekannten oder Vorgesetzten detailgetreu nach, indem sie im Internet recherchierte Informationen zu einem Sprachmodell zusammenführt.
Spear-Phishing: Mittels Deep-Voice-Funktionen ahmt die KI menschliche Stimmen nach, die am Telefon kaum von echten zu unterscheiden sind. Andere generative KI-Anwendungen können Bilder und Videos produzieren, die den Opfern ihnen bekannte Personen zeigen, um sie damit gezielt zu „ködern“.
Zero-Day-Exploits: Die KI kann Sicherheitslücken in IT-Systemen schnell und effektiv finden.
Model-Poisoning: KI kann gegen andere KI-Modelle eingesetzt werden, um diese zu beeinflussen, etwa indem sie Lernprozesse durch das Einspeisen falscher Daten beeinflusst oder Hintertüren („Backdoors“) für spätere Cyberattacken in Systeme einbaut.
Auswirkungen für Unternehmen
Cyberangriffe können erhebliche Auswirkungen auf Unternehmen haben. Aufgrund ihrer Vielfältigkeit und der unterschiedlichen Ziele können die Attacken sämtliche Firmenbereiche, IT-Systeme und Personen auf jeder Hierarchieebene betreffen. Zusammengefasst kann ein erfolgreicher Cyberangriff die folgenden Auswirkungen mit sich bringen:
Unmittelbarer finanzieller Schaden durch Diebstahl von Geld, Anlagevermögen oder Firmenvermögen sowie durch Störung der Geschäftsprozesse
Mittel- und langfristige finanzielle Einbußen durch Diebstahl von Geschäftsgeheimnissen, Kommunikationsdaten, Imageschäden, Verlust von Aufträgen und Marktanteilen
Rechtliche Konsequenzen durch Kompromittierung der Datensicherheit
Vertrauensverlust bei Angestellten, Geschäftspartner:innen und Kund:innen
Checkliste: So erkennen Sie Cyberangriffe und schützen sich davor
Kriminelle suchen regelmäßig nach Schwachstellen in gängiger Software und in IT-Strukturen. Sie nutzen mögliche Sicherheitslücken für gezielte Angriffe auf Ihr Unternehmen aus. Doch Sie sind Cyberangriffen nicht schutzlos ausgeliefert, sondern verfügen über viele Möglichkeiten, um Ihr Unternehmen im Rahmen Ihrer Cyber-Security-Strategie zu schützen. Dazu gehören grundlegend:
Schulen Sie Ihre Belegschaft hinsichtlich der Gefahren von Cyberangriffen mittels regelmäßiger Secure Awareness Trainings. Der Mensch ist generell die größte Schwachstelle und dient Kriminellen als erfolgversprechendstes Ziel, um die Sicherheitsmaßnahmen von IT-Systemen zu überwinden.
Schützen Sie Ihre Netzwerkstrukturen mit Sicherheitsmaßnahmen wie Firewalls und einer Zero-Trust-Architektur. Nutzen Sie bevorzugt Virtual Private Networks (VPNs), wenn Mitarbeiter:innen auch mobil auf Ihr Firmennetzwerk zugreifen.
Erfassen Sie in einer ganzheitlichen Strategie sämtliche Geräte in Ihrem Unternehmen mittels des sogenannten Unified Endpoint Managements (UEM). Dazu zählen auch Mobilgeräte und geschäftlich genutzte Privatgeräte Ihrer Belegschaft („Bring Your Own Device“).
Verwalten Sie sämtliche Software in Ihrem Unternehmen mittels einer zentralen Rechteverwaltung und einheitlicher Compliance-Richtlinien. Dazu zählt beispielsweise die Zwei-Faktor-Authentifizierung (2FA).
Sorgen Sie für eine stets aktuelle technische Ausstattung mittels des Device Lifecycle Managements, um keine Sicherheitslücken durch veraltete Hardware zuzulassen.
DLM als smarte Paketlösung: Jetzt verfügbar
Starten Sie jetzt mit Device Lifecycle Management so einfach und so schnell wie nie durch. Wir verwalten und konfigurieren Ihre mobilen Geräte und entlasten so Ihre IT-Abteilung. Durch effiziente Prozesse sparen Sie Kapazitäten und senken nachhaltig Kosten.
Preiswerte Lösung: Für den smarten Einstieg
Schnelle Verfügbarkeit: Bereitstellung ohne lange Vorlaufzeit
Cyberattacken sind gezielte Angriffe auf IT-Systeme durch einzelne Cyberkriminelle oder organisierte Gruppen.
Cyberkriminelle führen ihre Attacken immer gezielter durch und professionalisieren sich zunehmend. Sie suchen regelmäßig in IT-Systemen, kommerzieller Software und Webseiten nach Schwachstellen und nutzen diese sofort für ihre Zwecke aus – mittlerweile auch mithilfe von künstlicher Intelligenz (KI).
Es existieren viele verschiedene Angriffsformen. Dazu zählen beispielsweise der gezielte Einsatz von Malware, die Überlastung von Netzwerken mittels DoS/DDoS-Attacken sowie der Diebstahl von Kennwörtern.
Viele Cyberangriffe zielen auf die „Schwachstelle Mensch“ ab, um die Sicherheitsmaßnahmen von IT-Systemen zu überwinden. Eine oft angewendete Vorgehensweise ist dabei das Social Engineering mittels Phishing-E-Mails.
Jedes Unternehmen sollte eigene IT-Sicherheitsrichtlinien aufstellen und diese konsequent umsetzen. Zu den wichtigsten Maßnahmen gehören ein einheitliches Geräte- und Software-Management mit strengen Sicherheitsrichtlinien, Zugangsbeschränkungen für das firmeneigene Netzwerk sowie regelmäßige Sicherheitsschulungen der Angestellten.
Informationssicherheit und ihre Schutzziele erklärt
Informationen sind auch in Ihrem Unternehmen ein wertvolles strategisches Kapital. Doch wie können Sie Informationen vor Cyber-Bedrohungen, Datendiebstahl und Manipulation schützen? Informationssicherheit als Schlüssel für vertrauenswürdige und flexible Geschäftsprozesse – hier erhalten Sie einen Überblick.
Nur, wenn Sie die zeitgemäße Sicherheitsstrategien implementieren, können Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gewährleisten. Sei es geistiges Eigentum, Kunden- oder Finanzdaten – der Schutz dieser sensiblen Informationen ist für Firmen überlebenswichtig. Informationssicherheit ist somit die Basis für Wettbewerbsfähigkeit, Compliance und Vertrauenswürdigkeit – hier erfahren Sie mehr über die Hintergründe.
Cyberattacken sind die wohl am schnellsten wachsende Bedrohung für Unternehmen – solange keine adäquaten Sicherheitskonzepte etabliert sind. Dabei sind Unternehmen diese Gefahren zwar bewusst – doch oft wird angenommen, dass man aufgrund seiner Größe oder seines Tätigkeitsfeldes für Cyberattacken nicht oder weniger interessant sei.
Virenschutz und Virenscanner: Virenarten, Funktionsweise von Scannern und ein Marktüberblick
Der Virenschutz privater Computer unterscheidet sich deutlich vom Malwareschutz im beruflichen Alltag von Unternehmen. Weder die Anforderungen noch die Bedrohungssituation sind vergleichbar. Die bei privaten Virenscannern noch akzeptable Verzögerung bei der Erkennung neuer Virusvarianten ist im Unternehmensumfeld nicht tolerierbar. Dabei müssen Virenscanner nicht nur Viren erkennen und bekämpfen, sondern vor einem ganzen Spektrum von Schadsoftware schützen.
Zu einem wirkungsvollen Virenschutz im Unternehmen gehört neben leistungsfähiger Scan- und Detektions-Software ein komplexes Antivirusmanagement. Es geht um die Abwehr sowie das Erkennen von Malware und Viren – und auch um die permanente Prüfung auf Schwachstellen innerhalb der IT-Infrastruktur des Unternehmens.
Session-Hijacking – So schützen Sie sich vor Identitätsdiebstahl im Netz
Beim Session-Hijacking gemäß Definition versuchen Angreifer:innen, aktive Benutzersessions (beispielsweise Besuche auf Webseiten mit Login) zu übernehmen und zu „entführen“. Nach erfolgreicher Übernahme einer Session ist es zum Beispiel möglich, geschützte Anwendungen zu nutzen oder geraubte Identitäten zu verwenden.
Cyberkriminelle gehen beim Session-Hijacking normalerweise in zwei Phasen vor. Am Anfang steht die Übernahme von TCP-Sessions (TCP Session-Hijacking) durch Ausspähen des Datenverkehrs. Danach erfolgt die Übernahme von Sessions bei unverschlüsselten HTTP-Zugriffen (PHP Session-Hijacking). Was genau sich hinter beidem verbirgt, welche Risiken entstehen und wie Sie sich davor schützen können, erfahren Sie hier.
Spam-Mails sind ein allgegenwärtiges Übel: Sie öffnen Ihren E-Mail-Account und werden von der Last an unverlangten Werbe-Mails nahezu erschlagen. Der massenhafte Versand dieses Datenmülls macht nach Schätzungen zwischen sechzig und neunzig Prozent aller weltweit versendeten E-Mails aus. Dabei sind Spam-Mails nicht nur ein erheblicher Störfaktor, sondern sie können auch richtig gefährlich werden.
Hinter vielen Spam-Mails verbirgt sich lediglich unverlangt versendete Werbung. Hinter anderen jedoch lauern Gefahren für Ihre geschäftlichen und persönlichen Daten: Phishing-E-Mails suggerieren seriöse Geschäftspartner:innen als Absender, Malware-E-Mails bringen Viren und andere Schadprogramme auf den Rechner oder verwandeln Ihren Computer seinerseits in eine Spam-Schleuder.
Wie Sie die verschiedenen Arten von Spam-Mails erkennen, wie Sie sich dagegen wappnen und warum das sofortige Löschen auf Dauer nicht unbedingt die beste Lösung darstellt, erfahren Sie in diesem Artikel.
