Jedes Jahr im Oktober erscheinen zu Halloween allerlei Geister und Monster, um ihre Nachbarschaft zu erschrecken. Während dies beim "Trick or Treating" nur ein harmloser Spass darstellt, ist es im Falle von Cyberkriminellen, die das ganze Jahr über ihr Unwesen treiben, eine echte Bedrohung. Da Oktober nicht nur als Halloween-Monat bekannt ist, sondern auch als "Cybersecurity Awareness Month", gibt Arctic Wolf einen Überblick über die wichtigsten Bedrohungen der Cybersicherheit.
Gestaltwandler: Identitätsdiebe mit tausend Gesichtern
Werwolf, Vampir oder Katzenmensch – das Bedrohliche an diesen Wesen ist, dass sie ihre wahre Identität verschleiern und so unbemerkt ihr Unwesen treiben können. Meister der Metamorphose gibt es auch im Cyberspace: Hacker haben den Identitätsdiebstahl perfektioniert. Durch Phishing und Social Engineering gelangen sie an Zugangsdaten, mit denen sie vorgeben, jemand anderes zu sein, um sich betrügerisch Zugriff auf fremde Netzwerke zu verschaffen, Daten abzuzapfen oder Überweisungen an ihre eigenen Konten zu veranlassen. Gemäss des Zero-Trust-Prinzips lautet hier die Devise: Vertraue niemanden, überprüfe alles. Identity- und Access-Management-Lösungen ermöglichen umfassende Kontrollen und Schutz von Zugängen.
Datensauger: von Innentätern bis Ransomware
Diese Spezies ist nicht nur nachts und im Mondlicht aktiv, sondern jederzeit auf der Jagd nach wertvollen Daten, um sie entweder im Darkweb zu verkaufen oder Unternehmen mit ihnen zu erpressen. Ransomware ist schon seit einigen Jahren eine beliebte Angriffsstrategie. Die Datensauger verschaffen sich dabei durch Social Engineering und geschickte Manipulation von Mitarbeitenden oder aber durch die Ausnutzung von Schwachstellen Zugang zu Netzwerken und Unternehmenssystemen, um dann Daten und Informationen abzusaugen. Doch Vorsicht: Täter, die es auf Datenschätze abgesehen haben, können auch im Unternehmen lauern. Rollenbasierte Zugangskontrollen können hier helfen.
Ghost(ing): wenn Sicherheitsalarme ignoriert werden
Den Begriff Ghosting kennt man vor allem aus zwischenmenschlichen Beziehungen: Wenn ein Freund sich zum Beispiel einfach nicht mehr meldet oder nicht mehr auf Nachrichten reagiert. Ein ähnliches Phänomen ist auch in der IT zu beobachten, wenn die Teams nicht mehr auf Warnmeldungen ihrer Sicherheitslösungen reagieren. Der Grund ist hier jedoch nicht mangelndes Interesse oder persönliche „Verstimmtheit“, sondern Überforderung angesichts der gigantischen Flut an unqualifizierten Alerts. Den Teams fehlen die personellen und fachlichen Kapazitäten, um allen Sicherheitswarnungen nachzugehen. Stattdessen schalten sie in einen „Ghosting“-Modus und ignorieren die Alarme; wichtige Sicherheitshinweise bleiben unbearbeitet. Man spricht in diesem Zusammenhang auch von einer sogenannten „Alert Fatique“. Diese ist gefährlich und erleichtert Angreifen ihr kriminelles Spiel. Externe Sicherheitspartner für das Security-Monitoring und Threat Detection and Response, wie Arctic Wolf, können Alarme vorqualifizieren und sicherstellen, dass die betroffenen Teams nur relevante Warnhinweise erhalten.
Untote leben länger: „Schläfer“-Malware
Dieses Vorgehen ist besonders heimtückisch: Hacker nutzen immer häufiger sogenannte „Schläfer“-Software, um Schadcodes in Systemen, Netzwerken oder mobilen Endgeräten zu verstecken. Diese „schlafende“ Malware ist geduldig und wartet nur auf den richtigen Augenblick, um dann mit voller Wucht zuzuschlagen. Das kann nach einem definierten Zeitraum oder nach festgelegten Aktionen, wie zum Beispiel dem Starten eines bestimmten Programms, geschehen. Weil sich das schädliche Potenzial dieser „Timing Bombs“ erst nach einer längeren Inkubationszeit entfaltet, ist ihre Identifizierung schwer.
Zombieapokalypse: IT-Experten am Rande der Belastbarkeit
Wenn Systeme allein an einem Tag mehrere hunderte Warnmeldungen schicken, das IT-Team unterbesetzt ist und statt Experten IT-Generalisten die Verantwortung für die IT-Sicherheit tragen, sind Überforderung und Burnout ein reales Risiko – ganz zu schweigen von dem Cyberrisiko, das entsteht, wenn relevanten Sicherheitsalarmen nicht nachgegangen und die -strategie nicht kontinuierlich an aktuelle Cyberentwicklungen angepasst wird. Damit aus Mitarbeitenden keine „Zombies“ werden und die IT-Sicherheit nicht gefährdet, können Unternehmen sich langfristig sicher aufstellen, indem sie ihre IT-Sicherheit bzw. das 24/7-Monitoring an externe SOC-as-a-Service-Partner auslagern, die neben der nötigen Technologie auch einen menschlichen Support in Form eines Concierge Security Teams mitbringen.
Mit roher Gewalt: Brute-Force-Angriffe
Es gibt viele verschiedene Typen von Hackern und Cyberkriminellen. Während einige Black Hats ganz gezielt grosse und besonders lukrative Unternehmen ins Visier nehmen, versuchen weniger erfahrene und technisch versierte Täter breit angelegte Angriffe, z. B. mit im Darkweb erhältlicher Ransomware-as-a-Service-Modelle oder in Form von sogenannten „Brute Force Angriffen“, bei denen sie mithilfe einer automatisierten Software durch Ausprobieren Passwörter, persönliche Identifikationsnummern (PINs) und andere Anmeldedaten entschlüsseln. Das ist nicht elegant, führt aber trotzdem häufig zum Erfolg. Und diese Beispiele zeigen auch: Kein Unternehmen ist vor diesen Angriffstaktiken sicher, denn hier wird Umsatz durch Masse gemacht. Mit gezielten Awareness-Trainings und Vorgaben für die Passworthygiene können Unternehmen das Risiko, Opfer eines solchen Angriffs zu werden, jedoch deutlich reduzieren.