DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­ab­fluss ver­hindern!

Sie können nicht ver­hindern, dass ihr Unter­nehmen gezielt ange­griffen wird. Sie können aber einen mög­lichen Daten­dieb­stahl unter­binden.

  

 

Eine erschre­ckende Analyse von Angriffs­ak­ti­vi­täten liefert die aktuelle Studie von Vectra , ein Unter­nehmen, das Netz­werks­über­wa­chungs­tech­no­logien anbietet. Vectra kann anhand gewisser Ver­hal­tens­muster schäd­liche Akti­vi­täten in Netz­werken ent­decken und nach­weisen, bevor diese ihr Werk voll­enden.
In jedem ein­zelnen unter­suchten Unter­neh­mens­netzwerk wurde min­destens ein gezielter Angriff nach­ge­wiesen. Aller­dings waren die Angriffe in unter­schied­lichen Schwe­re­graden und Angriffs­stadien. Ein end­gül­tiger Datenabfluss/Datendiebstahl hatte im Betrach­tungs­zeitraum bei den wenigsten statt­ge­funden. Vectra unter­teilt die Angriffe in unter­schied­liche Ver­hal­tens­muster.


Ein­dringen ins Unter­neh­mens­netzwerk
Im ersten Schritt, der Command und Control Phase, ver­suchen die Angreifer einen Fuß in die Tür des Unter­neh­mens­netz­werkes zu bekommen. Es wird ein Schädling im Netzwerk plat­ziert, der mit seiner Kon­troll­station, den Cyber­kri­mi­nellen, kom­mu­ni­zieren soll. Diese erste Angriffs­phase wurde in 32 % der unter­suchten Fälle nach­ge­wiesen. In Phase 1 läuft der Angriff aber noch nicht voll­kommen auto­ma­ti­siert ab. Der Schädling lauert jetzt so lange im Netzwerk, bis es ihm gelingt, zum Bei­spiel zusätz­liche manuelle user­be­zogene Anmelde-Infor­­ma­­tionen zu erhalten. In dieser Phase kann er seine Wirkung noch nicht ent­falten, ihm fehlen noch Infor­ma­tionen, um los­zu­legen.


Aus­breiten im Unter­neh­mens­netzwerk
Nach dieser ersten Phase kann der Angriff ver­schiedene Ausmaße annehmen. Etwa 18 % der iden­ti­fi­zierten Bedro­hungen beschäf­tigten sich damit ein Botnetz ein­zu­richten. Im Botnetz selbst erfolgt eine weitere Auf­ga­ben­teilung bei den Schäd­lingen: 85 % waren zuständig für Klick­betrug, 5 % für Brute Force Angriffe auf andere Ziele und 4 % für aus­ge­hende Denial-of-Service Attacken. Für andere Angriffs­arten muss der Schädling tiefer ins Unter­neh­mens­netzwerk ein­dringen. 13 % der Gesamt­an­griffe ent­fallen auf diesen Typus.


Zusätzlich gibt es noch seit­liche Angriffe oder auch „Neben­kriegs­schau­plätze“. Hier stellen sich die unter­schied­lichen Sze­narien wie folgt dar: 56% der late­ralen Angriffe waren Brute Force Attacken. Brute-Force-Angriffe werden von Hackern durch­ge­führt, die ver­suchen ein Passwort zu knacken, indem eine Software in schneller Abfolge ver­schiedene Zei­chen­kom­bi­na­tionen aus­pro­biert. Von diesen wie­derum waren 22 % auto­ma­ti­sierte Repli­ka­tionen. Bei 16 % han­delte es sich um Ker­be­ro­s­at­tacken; also Angriffe die gestohlene Anmelde-Infor­­ma­­tionen nutzen, um ihr Werk zu voll­enden. Sämt­liche laterale Akti­vi­täten liefen ver­deckt im Netzwerk, waren aber zum Unter­su­chungs­zeit­punkt noch nicht erfolg­reich.


Wie können die Angreifer so lange im Ver­bor­genen agieren
Zusätzlich wurde noch unter­sucht, wie es den Angreifern gelang, ihre Akti­vi­täten im Ver­bor­genen laufen zu lassen. Es wurde ent­weder eine gefälschte Brow­ser­ak­ti­vität vor­ge­täuscht, neue Domains gene­riert, das anonyme externe TOR-Netzwerk wurde genutzt oder aber ein Remote-Zugriff von außen durch­ge­führt.
Die gute Nach­richt: Zu einem rich­tigen Daten­dieb­stahl kam es im Betrach­tungs­zeitraum nur in 3 % der Fälle.


Für die Unter­nehmen bietet dieses Ergebnis eine große Chance, denn selbst wenn sich die Ein­dring­linge bereits im Unter­neh­mens­netzwerk befinden, können sie im Rahmen der Netz­werk­über­wa­chung erkannt und aus­ge­schaltet werden.


Fazit
In der Studie wurden 40 Unter­nehmen aller Größen und Branchen mit ins­gesamt 250.000 End­ge­räten betrachtet. Damit ist sie nicht unbe­dingt reprä­sen­tativ. Aber sie zeigt dennoch ein­drücklich, wohin die Reise für die IT-Sicherheit zukünftig geht. Die Angreifer gelangen mitt­ler­weile fast immer ins Unter­neh­mens­netzwerk. Sie können dort aber nicht immer erfolg­reich agieren. Denn neue Tech­no­logien bieten die Mög­lichkeit, diese Angriffe zu erkennen und aus­zu­schalten bevor ein kom­pletter Daten­ab­fluss statt­findet.

Bild: © l‑vista / pixelio.de

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.