Experten der Cyberark Research Labs in Newton bei Boston, Massachusetts, haben zahlreiche Cyber-Angriffe detailliert analysiert. Eine Auswertung der Angriffsmethoden und -techniken ist nach Angaben des Unternehmens von essenzieller Bedeutung, um adäquate Abwehrmaßnahmen ergreifen zu können. Bei den untersuchten Sicherheitsvorfällen hat sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert.
Schritt 1: Diebstahl und Nutzung von Zugangsdaten
Prinzipiell sind zunächst zwei Angriffsarten zu unterscheiden: der Insider- und der externe Angriff. Der Unterschied liegt darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befindet und über einen Account-Zugriff mit Zugangsdaten verfügt. Der externe Angreifer hingegen hat keinen Account und muss erst den Perimeter-Schutzwall überwinden. Hierfür gibt es mehrere Möglichkeiten, weit verbreitet sind zum Beispiel Phishing-Attacken. Die weiteren Schritte in der Fortsetzung des Angriffs sind identisch – gleichgültig, ob ein Insider oder Externer der Akteur ist: immer geht es dann um die missbräuchliche Nutzung von Zugangsdaten.
Schritt 2: Erweiterung der Privilegien
Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nur eingeschränkte Rechte besitzen, bestehen zwei Möglichkeiten. Erstens kann er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt. Zweitens kann er auch versuchen, auf einen anderen Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel sind dabei lokale Administrator-Konten. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.
Schritt 3: Zugriff auf Zielsysteme
Schritt 3 lässt sich in drei Stufen untergliedern. Zunächst testet der Angreifer, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschließend verschafft er sich Zugriff auf weitere Accounts, indem er zum Beispiel Passwort-Hashes entwendet. In einem letzten Schritt versucht der Angreifer dann, auf das Zielsystem zuzugreifen. Ist dies nicht möglich, wiederholt er die Stufen 2 und 3. Es ist dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten.
Schritt 4: Vollendung des Angriffs
Im letzten Schritt erreicht der Angreifer sein Ziel. Beispiele sind der Diebstahl vertraulicher Daten oder geistigen Eigentums oder die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen. Sobald Schritt 4 vollzogen ist, ist für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerken – zum Beispiel einen laufenden Datenabfluss –, kann es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb ist es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.
"Die jüngste Vergangenheit hat gezeigt, dass es mit herkömmlichen Sicherheitsmaßnahmen unmöglich ist, alle Angreifer außerhalb des eigenen Perimeters zu halten. Liegt ein Insider-Angriff vor, ist das ohnehin nicht möglich", erklärt Michael Kleist, Regional Director DACH bei Cyberark in Düsseldorf. "Zwar ist Perimeter-Sicherheit wichtig, aber Unternehmen sollten sich nicht ausschließlich darauf verlassen, Angriffe am Schutzwall stoppen zu können. Ebenso wichtig ist es, Attacken in späteren Phasen zuverlässig zu unterbrechen. Und dafür gibt es mehrere Best Practices."