Warum sich jedes Unternehmen als Bank betrachten sollte

Autor/Redakteur: Michael Scheffler, Country Manager DACH von Varonis Systems/gg

Es sieht fast nach einer Zeitenwende aus: Im Dezember 2020 wurden rund 18.000 Unternehmen und Organisationen (darunter auch prominente wie einige US-amerikanische Ministerien und Teile des Pentagons) zu potenziellen Opfern des Sunburst-Angriffs, bei dem Angreifer die Systeme von SolarWinds kompromittierten und Malware in Updates der weit verbreiteten Orion-Netzwerkmanagement-Produkte des Unternehmens einfügten. Und nur wenige Wochen später stellte eine neue Sicherheitslücke in Microsoft Exchange-Servern Sicherheitsverantwortliche von mindestens 30.000 betroffenen Unternehmen vor große Herausforderungen – bis heute.

Bild: Varonis Systems

Hinter beiden Angriffen werden staatlich unterstützte Hacker vermutet, denen es gelang, unbemerkt in das innerste von Systemen und Prozessen einzudringen. So nutzten die Angreifer hinter der SolarWinds-Supply-Chain-Attacke offensichtlich ihren Zugang, um bei Microsoft Einblick in den Exchange-Quellcode zu nehmen, den sie für die Suche nach Schwachstellen wie diesen nutzen konnten.

Herausforderungen nehmen zu

Wir müssen erkennen, dass unsere Sicherheit nicht nur einzelne Unternehmen und Einrichtungen betrifft, sondern stark mit anderen verzahnt ist. Wir sind alle voneinander abhängig. Angriffe auf Supply-Chains waren schon immer denkbar, doch jetzt werden sie in großem Stil in der Praxis umgesetzt. Was zuvor zwar als möglich, aber unwahrscheinlich erschien, ist nun Realität. Und wir können und müssen davon ausgehen, dass weitere Angriffe dieser Art folgen werden.

Durch Kryptowährungen sind Angreifer in der Lage, erbeutete Daten leicht zu monetarisieren. Sie suchen unerbittlich nach Schwachstellen und nutzen diese aus, um in den Opfer-Systemen Fuß zu fassen. Sie gelangen dann an Unternehmensdaten, die sie durch Exfiltration, Verschlüsselung und Erpressung zu Geld machen. Auf ihrem Weg dorthin rütteln sie an jeder Tür, probieren jedes Schloss, jedes Fenster und jeden Schornstein aus, um einen Weg hinein zu finden. Man kann durchaus davon ausgehen, dass jedes verwundbare und mit dem Internet verbundene System bereits kompromittiert wurde. Und jedes mit dem Internet verbundene System mit einem Login – ob verwundbar oder nicht – ist wahrscheinlich gerade jetzt in diesem Augenblick einem Brute Force-Angriff ausgesetzt, bei dem Angreifer unzählige Kombinationen von Benutzernamen und Passwörtern ausprobieren, bis sie eine finden, die funktioniert.

Neue Taktiken, altes Vorgehen

Cyberkriminelle entwickeln ihre Methoden, Techniken und Taktiken stets weiter und passen sie an die Umstände an: Während der Pandemie begannen viele Angriffe mit Schwachstellen in VPN-Geräten, Remote-Access-Servern und File-Transfer-Servern.  Aber auch Mitarbeiter lassen Angreifer (unabsichtlich) hinein, indem sie auf Links klicken, die sie dazu verleiten, Anmeldedaten preiszugeben oder bösartigen Code herunterzuladen. Dabei müssen die Angreifer nicht einmal mehr selbst über profunde Kenntnisse und Fähigkeiten verfügen, sondern können im Dark Web auf zahlreiche „Dienstleistungen“ zurückgreifen.

Sobald Angreifer die Kontrolle über einen Server oder Endpunkt erlangt haben, folgen sie in der Regel immer dem gleichen Schema: Sie richten ein Command and Control ein, um das erste System als Sprungbrett zu nutzen, erkunden heimlich weitere und kompromittieren wichtige Konten durch die Ausnutzung interner Schwachstellen, Sicherheitslücken oder durch weitere Brute-Force-Angriffe. Sie nutzen dann diese Konten, um Daten zu stehlen und Backdoors zu installieren, verschlüsseln die Dateien und stellen ihre Lösegeldforderung. Dieser Ablauf erstreckt sich in aller Regel über mehrere Tage und Wochen. Es geht aber auch schneller: Die „Zerologon“-Schwachstelle in Active Directory ermöglicht eine Abkürzung, um eine ganze Domäne zu übernehmen. Innerhalb von zwei Stunden können Angreifer so vom erfolgreichen Phishing bis zur vollständigen Kontrolle gelangen.

Die meisten Unternehmen sind datengesteuert, auch wenn sich viele dessen nicht gewahr sind. Sie verfügen über wertvolle Daten und Informationen, die für Cyberkriminelle einen ganz realen Gegenwert in Bitcoins darstellen. Entsprechend erscheint es sinnvoll, jedes Unternehmen als eine Art Informations-Bank zu betrachten. Doch leider sind die wenigsten so gut wie echte Banken gesichert. Vielmehr verfügen sie über unzählige „Geldautomaten“ an jedem Standort und an jeder Ecke – mit einer direkten Verbindung zu den Tresoren. Und jede Woche taucht eine neue Schwachstelle in den Geldautomaten auf.