Es ist ein rasant wachsender Zweig der Kriminalität: Seit einigen Jahren steigt die Zahl von Cyberangriffen auf Unternehmen und andere Organisationen rapide an. Vor allem aus dem Ausland verzeichnen das Bundeskriminalamt und der Branchenverband Bitkom erhebliche Zuwachsraten für das Jahr 2023. Die Attacken verfolgen als Ziele in erster Linie Diebstahl von Daten, Spionage und Sabotage. Doch Unternehmen können durchaus wirksame Maßnahmen zum Schutz ihrer IT-Sicherheit ergreifen, um Cyberattacken erfolgreich abzuwehren oder von vornherein zu verhindern.
Nach dem sogenannten „Bundeslagebild Cybercrime“ des Bundeskriminalamts für 2023 stehen vor allem finanzstarke Unternehmen im Visier der Angriffe. Mehr als 800 Unternehmen haben in diesem Zusammenhang allein Erpressungsversuche durch Ransomware angezeigt: Rund 16,1 Milliarden Euro erpressten die Täter:innen nach einer Untersuchung des Branchenverbands Bitkom mit verschlüsselten oder gestohlenen Daten. Doch auch kleine und mittelständische Unternehmen haben immer häufiger unter Attacken zu leiden – nach wie vor stellen sie für Kriminelle aufgrund oft unzureichender Cyber-Security ein leicht verwundbares Ziel dar.
Welch Angriffsarten es gibt und wie Sie in Ihrem Unternehmen die IT-Sicherheit erhöhen, um es besser gegen Cyberangriffe zu wappnen, erfahren Sie in diesem Artikel.
Ganz allgemein bezeichnet ein Cyberangriff beziehungsweise eine Cyberattacke den Versuch, unbefugt und vorsätzlich auf Daten zuzugreifen, um diese zu manipulieren oder zu stehlen. Auch IT-Systeme insgesamt können das Ziel von Cyberangriffen werden, beispielsweise mit dem Ziel, diese lahmzulegen, um wirtschaftlichen Schaden zu erzeugen und/oder Lösegeld zu erpressen. Im Unterschied zu weitverbreiteter und wahllos gestreuter Malware wie Viren und Würmern erfolgt ein Cyberangriff gezielt durch eine oder mehrere Personen. Ziele sind dabei meist Unternehmen, nichtstaatliche Organisationen und staatliche Institutionen.
Nahezu jedes in einem Netzwerk befindliche Endgerät kann Ziel eines Cyberangriffs sein. Dies gilt für PCs, Tablets, Smartphones, smarte Unterhaltungselektronik, IoT-Geräte und vieles mehr, betrifft aber in der Praxis vor allem Serversysteme. Im schlimmsten Fall kann ein Cyberangriff schwerwiegende Konsequenzen auch für Privatpersonen haben – wenn er sich gegen Fahrzeuge, Krankenhäuser, Kraftwerke oder Verkehrssicherungssysteme wendet.
Die Ziele von Cyberangriffen können sich stark voneinander unterscheiden. Kriminelle können damit unter anderem diese Absichten verfolgen:
Diebstahl: Dies umfasst sowohl sensible Geschäftsdaten jeglicher Art als auch konkrete finanzielle Ressourcen wie Geld auf Bankkonten, Aktien, Kryptowährungen und so weiter.
Erpressung: Kriminelle erpressen Dritte nach dem Raub von gestohlenem Wissen mit dessen Weiterverkauf oder Veröffentlichung. Eine andere Erpressungsmethode der Angreifer:innen besteht darin, IT-Systeme zu sperren, die sie erst wieder freigeben, nachdem die Opfer dafür gezahlt haben.
Spionage: Darunter fällt die klassische Betriebsspionage wie auch die staatliche Spionage, die sich beispielsweise gegen Regierungsmitglieder oder die kritische Infrastruktur anderer Staaten richten kann.
Sabotage: Die gezielte Manipulation oder Beschädigung von IT-Systemen soll diese (temporär) unbrauchbar machen, etwa die vernetzten Produktionsanlagen eines Mitbewerbers oder den Online-Shop eines marktführenden Unternehmens.
„Hacktivismus“: Cyberkriminelle mit politischen Motiven greifen Unternehmen, Organisationen oder Einzelpersonen an, um diesen zu schaden oder auf deren Aktivitäten aufmerksam zu machen.
Bei Angriffen auf IT-Systeme kommt meist eine Schadsoftware (englisch: Malware) zum Einsatz. Gängige Malware bei Cyberangriffen sind Trojaner und Ransomware. Diese Schadprogramme sind teilweise so hoch entwickelt, dass handelsübliche Antivirensoftware nur unzureichenden Schutz gegen sie bietet.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.
Aktuelle Studien des Bundeskriminalamts (BKA) kommen zu dem Ergebnis, dass Cyberkriminelle ihre Attacken immer professioneller planen und durchführen. IT-Sicherheitsexpert:innen sprechen hierbei von Cybercrime-as-a-Service (CaaS): Die Kriminellen verkaufen im Darknet Schadsoftware oder komplette Serverinfrastrukturen, die sie speziell für kriminelle Aktivitäten gebaut haben.
Ein bekanntes Beispiel dafür ist der 2019 von der Polizei abgeschaltete „CyberBunker“ in Rheinland-Pfalz, in dessen Räumlichkeiten die Betreiber:innen mehr als 400 Server für eine Darknet-Infrastruktur zur Verfügung stellten.
Außerdem bieten zahlreiche Hackergruppen ihre Dienstleistungen in einschlägigen Internetforen zum Kauf an. Gegen Bezahlung führen sie Attacken auf industrielle und öffentliche Infrastrukturen sowie auf die IT von Regierungseinrichtungen durch. Besonders im Rahmen der globalen Konflikte der vergangenen Jahre gibt es für dieses kriminelle Geschäftsmodell eine steigende Nachfrage.
Diese Arten von Cyberangriffen gibt es
Staatliche Spionage und Datendiebstahl: Advanced Persistent Threats
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Advanced Persistent Threats (kurz APTs, zu Deutsch: fortgeschrittene anhaltende Bedrohungen) als eine Reihe von Cyberangriffen durch gut ausgebildete und häufig von Staaten gesteuerte Angreifer:innen. Zweck dieser Attacken sind meist Spionage und/oder Sabotage – und das von den Opfern unbemerkt über einen längeren Zeitraum hinweg.
Diese Angriffe bedrohen laut BSI im Grunde jedes Unternehmen, das vertrauliche und/oder geschäftskritische Informationen auf IT-Systemen verarbeitet; oder dessen Erfolg von der Verfügbarkeit seiner IT-Systeme abhängt.
Kleine und mittelständische Unternehmen, die in ihrem Marktsegment Weltmarktführer sind (sogenannte „Hidden Champions“), rücken besonders in den Fokus cyberkrimineller Aktivitäten. Auch Banken, Medienkonzerne, Forschungs- und Militäreinrichtungen sind Ziele von Cyberangriffen im Auftrag von Staaten. Daneben sind vor allem Behörden und Organisationen der sogenannten Kritischen Infrastrukturen (KRITIS) besonders gefährdet.
Netzwerke mit DoS- und DDoS-Attacken überlasten
Expert:innen sprechen von einem Denial-of-Service-Angriff (DoS), wenn Kriminelle Webserver mit einer großen Zahl von Anfragen regelrecht „bombardieren“. Dadurch wollen sie beispielsweise Webserver überfordern, sodass diese nicht mehr zuverlässig arbeiten können. Diese Anfragen auf Server erfolgen unter Umständen parallel von zahlreichen Rechnern, die von einer Schadsoftware gekapert wurden. In diesem Fall handelt es sich um einen Distributed-Denial-of-Service-Angriff (DDoS).
DoS- und DDoS-Angriffe verfolgen nicht den Zweck, Zugriffsrechte für die infizierten Systeme zu erlangen. Stattdessen steht die gezielte Störung von Arbeitsprozessen im Vordergrund. So sind beispielsweise Webseiten von Regierungsbehörden ein beliebtes Angriffsziel, um sie für längere Zeit außer Betrieb zu setzen. Auch Webseiten großer Onlineversandhäuser hatten in der Vergangenheit unter DDoS-Angriffen zu leiden.
Es gibt unterschiedliche Arten von DoS- und DDoS-Angriffen, von denen wir die bekanntesten im Folgenden exemplarisch genauer vorstellen:
Botnet: Ein Botnet besteht aus mehreren mit einer Schadsoftware infizierten Rechnern, die einen simultanen Angriff auf ein bestimmtes Ziel ausführen. Die Besitzer:innen der jeweiligen Endgeräte merken meist nicht, dass sie Teil eines kriminellen Angriffs sind. Unter Umständen erfolgt der Angriff durch ein Botnet über viele Millionen Endgeräte, die überall auf der Welt verteilt stehen. Daher ist es sehr schwer nachzuvollziehen, was der eigentliche Ausgangspunkt einer Botnet-Attacke ist.
Smurf-Angriffe: Ein Smurfprogramm (deutsch: Schlumpfprogramm) nutzt Schwachstellen im Internetprotokoll (IP) und im Internet-Control-Message-Protocol (ICMP) aus. Die Schadsoftware sendet eine falsche IP-Adresse mit einer angehängten sogenannten ICMP-Ping-Nachricht. Diese Nachricht fordert Netzwerkknotenrechner auf, nach Erhalt dieses „Pakets“ eine Antwort zu senden.
Doch nun senden alle Geräte im angegriffenen Netz eine Antwort an sich selbst: Die gefälschte Absender-IP-Adresse entspricht der IP-Adresse aller im Netzwerk operierenden Endgeräte. Es entsteht eine Endlosschleife, die das Netzwerk überlastet. Der namentliche Bezug auf die zwergenhaften Schlümpfe-Comicfiguren soll verdeutlichen, dass ein massenhafter Angriff vieler kleiner Systeme ein einzelnes großes System durchaus außer Betrieb setzen kann.
Teardrop-Angriffe:Ein Teardrop-Angriff sendet ein fragmentiertes (zerstückeltes) Datenpaket an den Server des potenziellen Opfers. In manchen Unternehmen arbeiten noch immer veraltete Versionen von Windows oder Linux. Diese enthalten teilweise einen Fehler bei der Wiederzusammenführung der TCP/IP-Fragmentierung. Genau diesen Fehler nutzen die Cyberkriminellen aus: Bei einem Teardrop-Angriff sendet ein:e Angreifer:in ein bewusst falsch aufgeteiltes Datenpaket. Der empfangende Server scheitert aufgrund des TCP/IP-Fehlers am Zusammenführen der Pakete. Die Folge: Das gesamte Betriebssystem oder bestimmte Anwendungen stürzen ab.
TCP-Syn-Flooding: Stellt ein Client eine TCP-Verbindung zu einem Server her, führen beide Akteure einen sogenannten „Three-Way-Handshake“ durch. Dieser ist nötig, damit die Verbindung zustande kommt. Im Ablauf der Handshake-Kommunikation sendet der Client ein Bestätigungspaket an den Server. Ein:e Angreifer:in unterschlägt diesen Teil der Kommunikation jedoch. Der Server des Opfers wartet nun vergeblich auf die Antwort: Es kommt zu einer Zeitüberschreitung und das System setzt aus.
Ping of Death: Größere Datenpakete werden innerhalb von Netzwerken immer dann automatisch verkleinert, wenn sie die zulässige sogenannte Maximum-Transmission-Unit (MTU) überschreiten. Jedes verkleinerte Paket enthält eine Speicheradresse (Offset), die sagt, wie das Paket wieder zusammengesetzt werden muss. Cyberkriminelle können das Offset manipulieren und dadurch die wieder zusammengesetzten Pakete vergrößern. Das Zielsystem kann auf die plötzlich „angewachsenen“ Pakete häufig nicht schnell genug reagieren. Es kommt zu einem Systemausfall.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Bei dieser Angriffsmethode suchen Cyberkriminelle nach unzureichend abgesicherten Internetseiten und „schmuggeln“ ein schädliches Skript in den HTTP- oder PHP-Code der Webseite ein. Dieses modifizierte Skript ermöglicht es, eine Schadsoftware direkt auf dem Rechner von Besucher:innen der Seite(n) zu installieren.
Häufig werden Nutzer:innen Opfer eines Drive-by-Downloads („Download im Vorbeifahren“), wenn sie eine Webseite besuchen oder auf ein Pop-up-Fenster klicken. Das Klicken auf die Schaltflächen ist jedoch nicht zwingend notwendig, da viele Varianten dieser Cyberattacke bereits beim Klick auf die Ursprungsseite eines Pop-ups ihr unheilvolles Werk beginnen.
Kennwortangriffe
Kennwortangriffe sind erfolgreich, wenn Nutzer:innen unsichere Passwörter verwenden. Besonders der sogenannte „Wörterbuchangriff“ zielt darauf ab, schwache Passwörter zu identifizieren. Dabei kommt eine spezielle Wörterbuchsoftware zum Einsatz: Das Tool testet tausende Wörterbucheinträge sowie gängige Passwörter und kombiniert sie mit Zahlen und Sonderzeichen.
Eine ältere, aber bei Hacker:innen immer noch beliebte Methode zum Ausspähen von Kennwörtern ist der Brute-Force-Angriff. Ein solcher Angriff mithilfe von Wörterbuch-Tools kann unter Umständen mehrere Monate dauern, je nach Komplexität des zu erratenen Passworts.
Verschiedene Formen von Schadsoftware (Malware)
Häufig nutzen Cyberkriminelle verschiedene Arten von Schadsoftware (englisch: Malware), um Angriffe auf IT-Systeme durchzuführen. Im folgenden Abschnitt stellen wir Ihnen exemplarisch fünf Malware-Typen vor, die Kriminelle für Angriffe verwendeten.
Trojaner: Ein Trojaner versteckt sich in einem zunächst unverdächtig wirkenden E-Mail-Anhang – beispielsweise in einem Bild oder einem Dokument. Wenn jemand die infizierte Datei aufruft, nistet sich die Schadsoftware auf dem Computer ein. Trojaner sammeln vertrauliche Daten wie Passwörter und Adressen, die sie unbemerkt an diejenigen weiterleiten, die die Schadsoftware kontrollieren.
Virus: Als Viren bezeichnen Expert:innen Dateien, die etwa über infizierte E-Mails oder Downloads aus unseriösen Quellen auf den Computer gelangen. Dort „besetzen“ die Viren beispielsweise das Betriebssystem. Computerviren können sich selbst kopieren und erst auf einem einzelnen und dann auf mehreren oder allen Computern in einem Netzwerk Schäden anrichten. Dies betrifft nicht nur Endgeräte wie PCs, Tablets oder Smartphones: Viren können auch Fertigungsmaschinen mit Zugang zum Internet of Things (IoT) beschädigen.
Ransomware: Wenn Ransomware (deutsch: Erpressungssoftware) in ein System eingedrungen ist, verbreitet sie sich sehr schnell und verschlüsselt alle gespeicherten Daten. Die Nutzer:innen sollen daraufhin einen Geldbetrag an die kriminellen Urheber:innen der Schadsoftware senden. Erst nach Zahlung dieses Lösegeldes erhalten sie einen Code zum Entschlüsseln der Dateien – wenn überhaupt.
Spyware: Diese Form der Schadsoftware übermittelt Cyberkriminellen private und vertrauliche Informationen bestimmter Personen. Dies betrifft beispielsweise Angaben zu deren Online-Gewohnheiten oder -Käufen. Es gibt verschiedene Formen von Spyware: Abgewandelte Varianten können zum Beispiel die Tastenanschläge einer Tastatur, Kreditkarteninformationen, Passwörter oder Anmeldedaten ausspähen.
Dropper: Ein Dropper ist keine eigenständige Schadsoftware, sondern ein Hilfsprogramm, das es ermöglicht, die eigentliche Malware nachzuladen und zu installieren. Cyberkriminelle verwenden Dropper, um die Signaturerkennung von Antivirensoftware zu umgehen. Viele Cyber-Security-Tools versuchen anhand von Signaturen schädliche Codes zu blockieren und zu isolieren. Wird die Signatur einer Schadsoftware erkannt, können die Verursacher:innen den Dropper allerdings sehr schnell anpassen, ohne den gesamten Schadcode umschreiben zu müssen.
Man-in-the-Middle-Angriff (MitM)
Bei einem Man-in-the-Middle-Angriff (übersetzt: „Mann in der Mitte“-Angriff) schalten sich Cyberkriminelle in die digitale Kommunikation zwischen zwei Nutzer:innen oder in einen Kontakt zwischen Client und Server. Die häufigsten MitM-Angriffsmethoden sind:
IP-Spoofing/Session-Hijacking: Von IP-Spoofing (übersetzt: verschleiern, vortäuschen einer IP) sprechen Expert:innen, wenn Angreifer:innen einem System vorgaukeln, dass es mit einem vertrauenswürdigen Client kommuniziert. Der angreifende Client sendet ein Datenpaket an das Zielsystem. Dieses Paket enthält anstelle der eigentlichen IP-Quelladresse des Cyberkriminellen die IP eines vertrauenswürdigen Clients. Der Zielhost nimmt das Paket an und gewährt dem Angreifenden dadurch Zutritt zum System. Eine andere Bezeichnung für dieses Vorgehen ist Session-Hijacking, da Cyberkriminelle bildlich einen Client „entführen“ (englisch: hijack).
Replay-Angriff: Hierbei verwenden Kriminelle zuvor gesammelte Daten, um an geschützte Dateien zu gelangen. Die Eindringlinge täuschen eine bekannte Identität vor und greifen damit auf fremde Datenbestände zu. Dies geschieht in etwa so: Nutzer:in A sendet einen sogenannten Hashcode (kryptische Zeichenfolge) an Nutzer:in B. Ein Hashcode entsteht durch die Umrechnung eines Passworts in ein anderes, nicht mehr so leicht entzifferbares Format. Fängt nun eine dritte Person den Hashcode ab, kann diese dritte Person Nutzer:in B vorgaukeln, Nutzer:in A zu sein. Um an ihr Ziel zu gelangen, müssen die Cyberkriminellen in diesem Fall noch nicht einmal das verwendete Passwort kennen.
Viele Cyberangriffe zielen auf den Menschen als entscheidende Schwachstelle und nutzen Arglosigkeit, Unwissen oder emotionale Reaktionen aus.
Social Engineering: Schwachstelle Mensch
Laut dem US-Sicherheitsunternehmen Palo Alto Networks stellt das Social Engineering (frei übersetzt: Soziale Manipulation) aktuell eine der größten Gefahren für die IT-Sicherheit von Unternehmen dar. Die meisten erfolgreichen Datendiebstähle und Spionageangriffe laufen heute nach dem Muster von Phishing-Angriffen ab. Im Folgenden erfahren Sie, wie diese Attacken funktionieren:
Phishing: Bei einem Phishing-Angriff kommen E-Mails zum Einsatz, die nur auf den ersten Blick einen vertrauenswürdigen Absender haben. Mit solchen E-Mails wollen Cyberkriminelle persönliche Informationen abgreifen oder die Empfänger:innen zu einer bestimmten Handlung verleiten.
Phishing-E-Mail fordern zum Beispiel dazu auf, Passwörter, Kreditkartennummern oder andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann direkt bei den Kriminellen, die sie etwa im Darknet verkaufen oder für eigene Zwecke nutzen.
Phishing-Angriffe erfolgen teilweise auch über E-Mail-Anhänge, mit denen Schadsoftware auf einen Rechner gelangt. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf der vermeintlich seriöse Apps zum Download bereitstehen. Kriminelle haben diese Apps jedoch mit Schadsoftware „bestückt“.
Spear-Phishing: Sogenannte Spear-Phishing-Angriffe sind gezielte Phishing-Attacken. Die Cyberkriminellen erkunden im Vorfeld die Identität ihrer Opfer und senden ihnen dann individuell angepasste Nachrichten. Diese Nachrichten enthalten meist im Betreff einen für das Opfer relevanten Begriff, beispielsweise die Dienstanweisung eines Vorgesetzten. Für die Adressat:innen ist es oft schwer zu erkennen, dass die Mails in Wirklichkeit von Kriminellen stammen. Häufig verschaffen sich Angreifer:innen durch solche E-Mails Zugriff auf Firmennetzwerke.
SQL-Injektion
Besonders datenbankgestützte Webseiten können Ziel von SQL-Einschleusungs-Attacken sein. SQL steht für Structured Query Language (übersetzt: Strukturierte Abfragesprache). Cyberkriminelle durchsuchen Datenbanken gezielt nach Schwachstellen, lesen Daten aus der Ferne aus und verändern sie. Gelingt die SQL-Einschleusung, übernehmen die Angreifer:innen effektiv die administrative Ebene der Datenbank und können beispielsweise bereits gelöschte Daten wiederherstellen, das Betriebssystem steuern oder die gesamte Datenbank zerstören beziehungsweise verschlüsseln.
Cross-Site-Scripting (XXS)
Cross-Site-Scripting gehört zu den häufigsten Angriffsmethoden. Durch eine Sicherheitslücke beim Client oder auf dem Server können Angreifende Schadcode in eine eigentlich vertrauenswürdige Umgebung einbauen.
Sicherheitsexpert:innen unterscheiden zwischen drei Formen des Cross-Site-Scriptings:
Reflektiertes Cross-Site-Scripting: Kriminelle kompromittieren den Code einer Webseite und senden das Skript an einen Webserver. Dieser schickt das Skript an den Client zurück, ohne es zu kontrollieren. Nun können Angreifende beispielsweise Passwörter auf einer von ihnen manipulierten Webseite abfangen. Die Nutzer:innen merken nicht, dass die von ihnen als seriös wahrgenommene Webseite temporär unter der Kontrolle von Cyberkriminellen stand, beziehungsweise eine gefälschte Eingabemaske enthielt.
Persistentes Cross-Site-Scripting: Bei dieser XXS-Variante speichern Webserver schädliche Skripte und liefern diese bei Aufruf an einen Client. Besonders Blogs und Internetforen sind Ziel dieser Angriffe. Teilweise werden dabei Benutzerdaten gespeichert und ohne Überprüfung ausgegeben. Klicken nun Nutzer:innen beispielsweise einen Foreneintrag an, lösen sie das manipulierte Skript unbemerkt aus.
DOM-basiertes Cross-Site-Scripting: Die sogenannte DOM-basierte XSS-Schwachstelle erlaubt das Einbinden von beispielsweise JavaScript-Code in eine Internetseite. Im Gegensatz zum reflektierten und zum persistenten Cross-Site-Scripting geschieht dies allerdings nicht mithilfe der Webanwendung auf dem Server. Für das DOM-basierte Cross-Site-Scripting machen sich Hacker:innen Fehler im JavaScript-Code der Anwendung zunutze. Die Schwachstelle heißt DOM-basiert, da ein clientseitiges JavaScript Zugriff auf das sogenannte Document-Object-Model (DOM) einer Webseite besitzt. Dadurch hat es auch Zugriff auf die aufgerufene URL.
Mobiler Virenschutz für Mitarbeiter:innen
Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.
Ein Zero-Day-Exploit ist so invasiv, dass die IT des betroffenen Unternehmens im Prinzip „null Tage“ Zeit hat, um die entstandene Sicherheitslücke zu schließen. Allerdings kann es sein, dass es Tage, Wochen oder gar Monate dauert, bis diese Sicherheitslücke bemerkt wird. In dieser Zeit können Cyberkriminelle das unentdeckte Einfallstor nutzen, um die Unternehmens-IT etwa mit selbst geschriebenem Code zu korrumpieren. In der Vergangenheit erfolgten Zero-Day-Angriffe beispielsweise wiederholt über Sicherheitslücken in gängigen Betriebssystemen.
DNS-Tunneling
Um einen DNS-Tunneling-Angriff durchzuführen, benötigen Hacker:innen eine externe Netzwerkverbindung zu einem System. Durch erhalten sie Zugriff auf den vernetzten DNS-Server. Das sogenannte Domain Name System (DNS) ist ein gängiges Protokoll und gilt als zuverlässig und sicher. Viele Unternehmen vernachlässigen daher, ihren DNS-Verkehr auf ungewöhnliche Aktivitäten zu untersuchen.
Um bestehende Sicherheitssysteme zu umgehen, zerlegen die Angreifer:innen Schadcodes in kleine Bruchstücke und betten sie in DNS-Anfragen ein. Dadurch tarnen sie Datendiebstähle und die Kontrolle infizierter Geräte (C2-Kommunikation) im normalen DNS-Datenverkehr. Ist ein Gerät infiziert, veranlasst die Schadsoftware eine DNS-Anfrage. Der DNS-Server erhält die Anweisung, eine Verbindung zum Server der Cyberkriminellen herzustellen.
Durch diesen „Tunnel“ stehlen die Angreifer:innen Daten und können weitere Befehle an das IT-System senden. Die meisten Firewalls erkennen die in den DNS-Anfragen versteckten Schadcode-Bestandteile nicht.
KI-unterstützte Cyberangriffe
Die rasante Entwicklung von künstlicher Intelligenz (KI) seit 2022 hat dazu geführt, dass großangelegte Cyberangriffe noch leichter möglich sind. Während in der Vergangenheit große Teams für komplexe Angriffsoperationen notwendig waren, reichen mittlerweile wenige Personen dafür aus. Selbst unerfahrene Hacker:innen können mithilfe von KI umfassende Cyberattacken durchführen.
Zu den häufigsten Cyberangriffen, bei denen KI zum Einsatz kommt, zählen derzeit vor allem die Methoden des oben erläuterten Social Engineerings. Doch KI kann auch gezielt gegen IT-Systeme eingesetzt werden. Die häufigsten Einsatzgebiete sind derzeit:
Phishing: Die KI ahmt den Schreibstil von Bekannten oder Vorgesetzten detailgetreu nach, indem sie im Internet recherchierte Informationen zu einem Sprachmodell zusammenführt.
Spear-Phishing: Mittels Deep-Voice-Funktionen ahmt die KI menschliche Stimmen nach, die am Telefon kaum von echten zu unterscheiden sind. Andere generative KI-Anwendungen können Bilder und Videos produzieren, die den Opfern ihnen bekannte Personen zeigen, um sie damit gezielt zu „ködern“.
Zero-Day-Exploits: Die KI kann Sicherheitslücken in IT-Systemen schnell und effektiv finden.
Model-Poisoning: KI kann gegen andere KI-Modelle eingesetzt werden, um diese zu beeinflussen, etwa indem sie Lernprozesse durch das Einspeisen falscher Daten beeinflusst oder Hintertüren („Backdoors“) für spätere Cyberattacken in Systeme einbaut.
Auswirkungen für Unternehmen
Cyberangriffe können erhebliche Auswirkungen auf Unternehmen haben. Aufgrund ihrer Vielfältigkeit und der unterschiedlichen Ziele können die Attacken sämtliche Firmenbereiche, IT-Systeme und Personen auf jeder Hierarchieebene betreffen. Zusammengefasst kann ein erfolgreicher Cyberangriff die folgenden Auswirkungen mit sich bringen:
Unmittelbarer finanzieller Schaden durch Diebstahl von Geld, Anlagevermögen oder Firmenvermögen sowie durch Störung der Geschäftsprozesse
Mittel- und langfristige finanzielle Einbußen durch Diebstahl von Geschäftsgeheimnissen, Kommunikationsdaten, Imageschäden, Verlust von Aufträgen und Marktanteilen
Rechtliche Konsequenzen durch Kompromittierung der Datensicherheit
Vertrauensverlust bei Angestellten, Geschäftspartner:innen und Kund:innen
Checkliste: So erkennen Sie Cyberangriffe und schützen sich davor
Kriminelle suchen regelmäßig nach Schwachstellen in gängiger Software und in IT-Strukturen. Sie nutzen mögliche Sicherheitslücken für gezielte Angriffe auf Ihr Unternehmen aus. Doch Sie sind Cyberangriffen nicht schutzlos ausgeliefert, sondern verfügen über viele Möglichkeiten, um Ihr Unternehmen im Rahmen Ihrer Cyber-Security-Strategie zu schützen. Dazu gehören grundlegend:
Schulen Sie Ihre Belegschaft hinsichtlich der Gefahren von Cyberangriffen mittels regelmäßiger Secure Awareness Trainings. Der Mensch ist generell die größte Schwachstelle und dient Kriminellen als erfolgversprechendstes Ziel, um die Sicherheitsmaßnahmen von IT-Systemen zu überwinden.
Schützen Sie Ihre Netzwerkstrukturen mit Sicherheitsmaßnahmen wie Firewalls und einer Zero-Trust-Architektur. Nutzen Sie bevorzugt Virtual Private Networks (VPNs), wenn Mitarbeiter:innen auch mobil auf Ihr Firmennetzwerk zugreifen.
Erfassen Sie in einer ganzheitlichen Strategie sämtliche Geräte in Ihrem Unternehmen mittels des sogenannten Unified Endpoint Managements (UEM). Dazu zählen auch Mobilgeräte und geschäftlich genutzte Privatgeräte Ihrer Belegschaft („Bring Your Own Device“).
Verwalten Sie sämtliche Software in Ihrem Unternehmen mittels einer zentralen Rechteverwaltung und einheitlicher Compliance-Richtlinien. Dazu zählt beispielsweise die Zwei-Faktor-Authentifizierung (2FA).
Sorgen Sie für eine stets aktuelle technische Ausstattung mittels des Device Lifecycle Managements, um keine Sicherheitslücken durch veraltete Hardware zuzulassen.
DLM als smarte Paketlösung: Jetzt verfügbar
Starten Sie jetzt mit Device Lifecycle Management so einfach und so schnell wie nie durch. Wir verwalten und konfigurieren Ihre mobilen Geräte und entlasten so Ihre IT-Abteilung. Durch effiziente Prozesse sparen Sie Kapazitäten und senken nachhaltig Kosten.
Preiswerte Lösung: Für den smarten Einstieg
Schnelle Verfügbarkeit: Bereitstellung ohne lange Vorlaufzeit
Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.
Schutz vor Ransomware, Phishing und anderen Bedrohungen
Optimal für IT-Admins in kleinen und mittleren Unternehmen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
Cyberattacken sind gezielte Angriffe auf IT-Systeme durch einzelne Cyberkriminelle oder organisierte Gruppen.
Cyberkriminelle führen ihre Attacken immer gezielter durch und professionalisieren sich zunehmend. Sie suchen regelmäßig in IT-Systemen, kommerzieller Software und Webseiten nach Schwachstellen und nutzen diese sofort für ihre Zwecke aus – mittlerweile auch mithilfe von künstlicher Intelligenz (KI).
Es existieren viele verschiedene Angriffsformen. Dazu zählen beispielsweise der gezielte Einsatz von Malware, die Überlastung von Netzwerken mittels DoS/DDoS-Attacken sowie der Diebstahl von Kennwörtern.
Viele Cyberangriffe zielen auf die „Schwachstelle Mensch“ ab, um die Sicherheitsmaßnahmen von IT-Systemen zu überwinden. Eine oft angewendete Vorgehensweise ist dabei das Social Engineering mittels Phishing-E-Mails.
Jedes Unternehmen sollte eigene IT-Sicherheitsrichtlinien aufstellen und diese konsequent umsetzen. Zu den wichtigsten Maßnahmen gehören ein einheitliches Geräte- und Software-Management mit strengen Sicherheitsrichtlinien, Zugangsbeschränkungen für das firmeneigene Netzwerk sowie regelmäßige Sicherheitsschulungen der Angestellten.
Sozialstation Hildebrand: Cybersecurity für mobile Endgeräte
Nicht nur Konzerne und mittelständische Unternehmen, sondern auch sogenannte SOHOs (Small Office/Home Office), also Betriebe mit bis zu 20 Beschäftigten, stehen zunehmend vor der Herausforderung, ihre digitalen Geräte vor Cyberbedrohungen wie Phishing, Malware und Datendiebstahl zu schützen. Besonders im Umgang mit sensiblen Daten, wie im Gesundheitswesen, sind umfassende Sicherheitslösungen unverzichtbar. Ein Best-Practice-Beispiel ist die Sozialstation Hildebrand GmbH, die ihre mobilen Geräte mit der Vodafone-Lösung "Lookout for Small Business" absichert.
Incident Response: So beugen Sie Cyberangriffen schlagkräftig vor
Incident Response unterstützt Unternehmen, wenn diese Opfer von IT-Angriffen werden und andere datenkritische Ereignisse auftreten. Die digitale Abwehr erkennt in kürzester Zeit relevante Vorfälle, ergreift Gegenmaßnahmen, mindert Schäden und stellt gestörte Abläufe schnell wieder her.
Sensible Geschäftsdaten sind zahlreichen Gefahren ausgesetzt – von innen wie von außen. Kommt es deshalb zu Schäden, kann ein Unternehmen viel Zeit, Geld und auch an Ansehen verlieren. Doch das können Sie vermeiden – mit einem schlagkräftigen Incident-Response-Management.
Ist Ihr Firmennetz sicher vor Viren und anderen digitalen Eindringlingen? Mit einem Virenscanner speziell für Unternehmen schützen Sie auch große Netzwerke und finden zuverlässig versteckte Schadsoftware. Doch was muss eine gute Antivirensoftware für den professionellen Einsatz können? Reicht in kleinen und mittelständischen Unternehmen vielleicht auch ein günstiges Produkt für den Cyberschutz?
Wer einmal wertvolle Unternehmensdaten durch unterlassene Datensicherungen oder unzureichende Virenscans verloren hat, wird nie wieder am Sinn von Sicherheitsprotokollen und regelmäßigen Backups zweifeln. Mehr als 200 Milliarden Euro Schaden für die deutsche Wirtschaft durch Cyberattacken hat der Branchenverband Bitkom allein für das Jahr 2023 ermittelt. Viele Schäden sind vermeidbar, wenn Viren und Ransomware rechtzeitig erkannt werden.
Auch in Deutschland wird die Wirtschaft immer digitaler. Selbst Kleinunternehmen brauchen heute zwingend das Internet – und sei es nur für die Online-Steuererklärung oder für die Lohnbuchhaltung. Die große Mehrheit aller deutschen Firmen nutzt inzwischen regelmäßig Cloudlösungen, versendet täglich Daten über das Internet und arbeitet mit räumlich verteilten Arbeitsplätzen, die über unterschiedliche Netzwerke miteinander verbunden sind – oft auch über öffentliche Netzwerke wie das WLAN am Flughafen oder Bahnhof.
Dabei unterscheiden sich Unternehmensnetzwerke erheblich von privaten Netzen – und müssen deshalb auch ganz anders vor Cybergefahren geschützt werden. Die Hersteller von Antivirusprogrammen haben längst darauf reagiert und bieten dementsprechend angepasste Lösungen für kleine, mittlere und große Unternehmen an.
Erfahren Sie hier, welche Typen von Antivirusprogrammen es für Firmen gibt, was die Software von privat genutzten Virenscannern unterscheidet und welches Produkt am besten zu Ihren Anforderungen passt.
Passwort gestohlen: So reagieren Sie bei Datenpannen richtig
2024 wurde der bisher umfangreichste Datensatz mit gehackten Zugangsdaten namens „RocukYou2024“ in Umlauf gebracht. Mit fast 10 Milliarden Einträgen übertrifft diese Datensammlung alle bisherigen. Das zeigt, wie wichtig der Schutz von Passwörtern und Zugangsdaten in Ihrem Unternehmen ist.
Eine Datenpanne, auch als Datenleck oder Datenleak (engl. Leak für Leck) bezeichnet, tritt auf, wenn die Sicherheit von Informationen gefährdet ist – etwa, indem ihre Vertraulichkeit, Integrität oder Verfügbarkeit nicht gewährleistet sind. Konkret bedeutet das, dass unbefugte Personen auf sensible Daten zugreifen und diese manipulieren können; oder dass Sie auf wichtige Informationen nicht mehr zugreifen können.
Man spricht von einer Datenpanne, wenn eines der folgenden Ereignisse auftritt:
Personen können unbefugt auf Daten zugreifen.
Datensätze werden ungewollt oder unwissentlich verändert.
Informationen sind nicht mehr zugänglich oder wurden ungewollt in den Zugriffsrechten verändert.
Daten und Informationen gehen verloren.
Der RocukYou2024-Vorfall zwischen 2021 und 2024 ist nur Beispiel von vielen: Insgesamt haben Cyberkrirminelle in diesem Zeitraum über 1,5 Milliarden Zugangsdaten durch neue und alte Datenlecks und Datenpannen gesammelt. Sie verkaufen diese Daten teilweise über einschlägige Foren sowie das Darknet. Dieser negative Trend ließ sich bisher auch nicht durch moderne Sicherungsverfahren wie die Zwei-Faktor-Authentifizierung umkehren.
Wir erklären Ihnen, was Sie tun können, wenn auch Ihr Unternehmen von einem Passwortdiebstahl betroffen ist.
Cloud Security Alliance (CSA): Das steckt dahinter
2024 liegt der Umsatz auf dem Cloud-Sicherheits-Markt laut Prognosen bei circa 499,7 Millionen Euro – allein in Europa. Es geht um immer größere Mengen an sensiblen Daten in der Cloud. Die Angriffe von Cyberkriminellen nehmen immer mehr zu, ebenso wie die gesetzlichen Sicherheitsvorgaben. Die Sicherheits- und Compliance-Anforderungen an Unternehmen sind also hoch, die Kosten leider auch. Dabei gibt es kostengünstige Wege, um sicherzustellen, dass Ihre Daten in der Unternehmens-Cloud sicher sind: mit der Expertise der Cloud Security Alliance.
Um Cloud-Computing kommt kaum ein Unternehmen herum. Ob Sie ganze Rechenzentren in die Cloud auslagern oder lediglich auf einzelne Ressourcen oder Managed Services setzen: Bereits 2022 nutzten rund 84 Prozent der deutschen Firmen Anwendungen in der Cloud – Tendenz steigend.
Und wahrscheinlich stellen auch Sie sich die Frage: Wie sicher sind Ihre Daten in der Cloud wirklich? Funktioniert die Cloud-Security-Strategie Ihres Cloud-Anbieters? Damit Sie Antworten auf diese Fragen erhalten, bietet die Cloud Security Alliance (CSA) eine Vielzahl an Services an. Wir stellen die CSA vor und zeigen Ihnen, wie Ihr Unternehmen von den Services profitieren kann.
