Kettenreaktion: Wie sich Cyber-Angriffe multiplizieren

Ein Beitrag zur Informationssicherheit

17. September 2019

1. Ein Angriff kommt selten allein

Wie im Beitrag vom Mai dargelegt, nimmt die Anzahl von Ransomware Angriffen nicht ab. Schlimmer noch: neuere Fälle zeigen auf, dass die Verschlüsselungstrojaner nur einen Teil der Schäden ausmachen. Besonders dort, wo Angreifer Zugriff auf Systeme erlangen, wird zuerst nach anderen Möglichkeiten gesucht um erpresserisch zu Geld zu kommen. Software zur Kontrolle der Zahlungsflüsse, Diebstahl von Maildaten oder Benutzernamen und Passwörter sind gängige Beispiele.

2. Der Stein kommt ins Rollen

Wenn die Angreifer einmal zu Daten gekommen sind, dienen diese oft als Ausgangslage für weitere Angriffe auf das gleiche oder auf neue Opfer. Beispielsweise ermöglicht die gestohlene Mailkommunikation zwischen einem Opfer und dessen Partnerfirma dazu, einen Vertrauensvorschuss hinsichtlich gezielten Phishing Attacken zu gewinnen. Der Angreifer antwortet dabei auf eine Nachricht von dieser Partnerfirma. Da Teile des Inhalts der Nachricht für die Partnerfirma bereits bekannt sind, ist die Wahrscheinlichkeit zur Ausführung schädlicher Inhalte deutlich höher als bei gängigen Phishing Mails.

Auch andere Formen des vernetzen Geschäftsalltags bieten Potential zur Ausweitung eines Angriffs. So ist es nicht unwahrscheinlich, dass die Zugangsdaten von Administratoren bei einem Opfer denjenigen entsprechen, welche Partnerfirmen einsetzen. Wohl setzen seriöse IT Anbieter unterschiedliche Passwörter bei ihren Kunden ein. Benutzernamen und Arbeitsweise sind jedoch oft gleich. Für die Angreifer gilt es dann lediglich herauszufinden, welche Kontakte des Opfers den gleichen IT Anbieter beauftragen. Diese Kontakte sind dann wesentlich einfacher zu «knackende» Ziele als völlig unbekannte Firmen.

3. Security Assessments

Gerade am Anfang besteht die Herausforderung innerhalb des Vorgestellten sinnvoll und richtig zu priorisieren. Die Resultate, welche in Planungsschritten gewonnen werden, zeigen häufig Schwachstellen auf, welche in ihrer Menge oder Grösse kaum auf einmal angegangen werden können. Ein typisches Hilfsmittel zur geeigneten Fokussierung ist ein Security Assessment. Besonders für KMUs ist es ratsam, dies mit einem professionellen Partner anzugehen. Ein solches Assessment muss nicht per se teuer sein. Zum Start reicht es oft schon, mittels gezielten Interviews und Stichproben die wirklich relevanten Verbesserungsschritte herauszufiltern. Dies dient der Unternehmung dann auch in der Budgetierung. Der vorgestellte Zyklus ist zwar nicht starr, aber in der Praxis zeigt sich, dass er oft dann wirksam wird, wenn Planungsschritte, welche auf das Budget Einfluss nehmen (wie eben ein Assessment) irgendwo im dritten Quartal des Jahres platziert werden und somit in Budgetrunden bereits klar ist, was im nächsten Jahr bezüglich Informationssicherheit unternommen werden sollte.

3. Lokale Angriffswellen

Oben beschriebene Szenarien erklären, warum sich Angriffe oft geografisch auf einen sehr engen Perimeter konzentrieren. Das erste Opfer wird zum Türöffner bei umliegenden Kontakten. Je mehr Firmen in der gleichen Region oder auch im gleichen virtuellen Raum betroffen sind, um so grösser wird der Hebel in den Händen der Angreifer.

Hinzu kommt, dass Betroffene erfolgreiche Angriffe aus Angst vor Reputationsschäden so geheim wie möglich halten wollen . Dieser Umstand dient aber leider auch dem Angreifer und setzt somit die Kontakte eines Opfers einem erhöhten Risiko aus.

3.1. Möglichkeiten zur Eindämmung

Lokale Angriffswellen bergen über einen längeren Zeitraum glücklicherweise auch für den Angreifer ein Risiko. Wird zu lange im gleichen «Teich gefischt», stehen den involvierten Forensikern deutlich mehr Daten zur Verfügung als bei Einzelfällen. Wohl hat die Strafverfolgung im Bereich Cyber-Kriminalität heute noch einen sehr schweren Stand. Wir lesen jedoch regelmässig von Festnahmen und erfolgreichen  Aufdeckungen. Zudem lassen sich die Schutzmassnahmen noch nicht betroffener Unternehmen besser auf die Angriffe abstimmen.

Diesen Vorteil, wenn auch gering, gilt es auszunutzen. Als Opfer kann hier mit gezielter Transparenz unterstützt werden. Und als «noch nicht betroffene» Firma hat man die Möglichkeit, sich in seinem lokalen Netzwerk auszutauschen und von Vorfällen bei anderen zu lernen.

Sind Sie genügend gut geschützt?

Die Unico beschäftigt sich tagtäglich intensiv mit dieser Thematik und ist jederzeit bereit, sich mit Ihnen über Erfahrungen, mögliche Massnahmen und die Analyse von Schwachstellen auszutauschen. Wir freuen uns auf Ihre Kontaktaufnahme!