SPONSORED-POST Dossier in Kooperation mit Infoguard

Cyberattacken - stärken Sie Ihre Abwehr!

Uhr
von Mathias Fuchs, Head of Investigation & Intelligence, Infoguard

Nephilim, Ryuk, Conti und Co. fordern die Cybersicherheit von Schweizer Unternehmen heraus. Da reichen hohe Sicherheitsmauern alleine nicht mehr aus. Es gilt, den Fokus auf die Erkennung und rasche Reaktion auf Cyberattacken zu legen und so die Abwehr gegen Hackerangriffe nachhaltig zu stärken.

Mathias Fuchs, Head of Investigation & Intelligence, Infoguard. (Source: zVg)
Mathias Fuchs, Head of Investigation & Intelligence, Infoguard. (Source: zVg)

Angesichts der steigenden Zahl von Cyberangriffen, die immer ausgeklügelter werden, müssen Unternehmen stetig ihre Sicherheitsmassnahmen anpassen und verbessern. Dies zeigen zahlreiche Angriffe auf Schweizer Unternehmen in den letzten Jahren. So wurde etwa ein Schweizer Industrieunternehmen im letzten Jahr Opfer einer gezielten Cyberattacke mit der Ransomware "Nephilim". Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Für die Wiederherstellung und Analyse wurde das CSIRT (Computer Security Incident Response Team) von Infoguard beigezogen.

RDP, Citrix und VPN – initiale Angriffsvektoren

Aktuell sind viele Angriffe auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen. Diese sind leider sehr oft nicht mit einer Multi-Faktor-Authentisierung geschützt. Dies erlaubt es Angreifern, zum einen Brute-Force-Angriffe durchzuführen und zum anderen sich mit legitimen Zugangsdaten einzuloggen, die sie zuvor durch Phishing-Angriffe auf gefälschten Login-Portalen gestohlen haben. Manchmal gelingt es den Angreifern bereits zu Beginn, den Account eines Domänenadministrators zu knacken, was den weiteren Angriff natürlich massiv vereinfacht und beschleunigt. Nicht zu vernachlässigen sind aber nach wie vor gezielte (Spear-)Phishing-E-Mails, die aktiven Content enthalten. Obschon diese Angriffsform schon lange bekannt ist, ist sie auch heute noch sehr erfolgreich.

Cyberattacken werden minutiös vorbereitet

Gelingt es den Angreifern über diesen Weg ein Backdoor zu installieren, haben sie einen permanenten Zugang zum Unternehmensnetzwerk und können jederzeit mit ihrem Command-&-Control(C2)-Server kommunizieren. Oftmals bleiben diese Aktionen vom betroffenen Unternehmen unentdeckt, da die Detektionsmassnahmen fehlen. Ist der Angreifer einmal im Netz, versucht er, weitere Informationen über das Zielnetzwerk zu sammeln. Um sich lateral durch das Netz zu bewegen, gezielt "Bridgeheads" aufzubauen und von dort aus den weiteren Angriff durchzuführen.

Der eigentliche Angriff geht blitzschnell

Der eigentliche Angriff, sprich die Entwendung von sensiblen Unternehmensdaten und die Verschlüsselung des Netzwerks, geschieht dann sehr schnell – und dauert oft weniger als 48 Stunden. Hat der Angreifer die gewünschten Informationen entwendet, startet der zweite Teil des Angriffs – die Verschlüsselung von Systemen im Unternehmensnetzwerk, vorrangig Server­systeme. Was danach folgt, kennt man aus entsprechenden Medienberichten: Erpressung in Millionenhöhe, die in Kryptowährung zu bezahlen ist. Bei Nichtbezahlung drohen die Erpresser mit der Veröffentlichung der entwendeten Daten. Diese Forderung ist ernst zu nehmen, denn oftmals wird ein Teil dieser Daten kurzzeitig im Darknet publiziert, was den Druck auf das betroffene Unternehmen zusätzlich erhöht.

Bei der Bewältigung einer solchen Situation braucht das betroffene Unternehmen den sofortigen Zugriff auf Spezialisten. Oft fehlt es intern aber an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Denn ausser technischen Hürden gilt es, auch die Kunden, Geschäftspartner und nicht zuletzt die Mitarbeitenden sowie eventuell die Öffentlichkeit zu informieren. Daher empfiehlt sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Cyberangriffs vorab zu klären. Mithilfe eines CSIRT in einem dedizierten Cyber Defence Center lassen sich die Dauer eines Sicherheitsvorfalls und der dadurch verursachte Schaden minimieren.

----------

Cyberattacken werden verstärkt industrialisiert

Cybercrime wird stets professioneller. Statt ihre Angriffswerkezeuge selbst zu entwickeln, kaufen Cyberkriminelle diese vermehrt auf Marktplätzen ein. Wie ein externes CSIRT dabei helfen kann, trotzdem sicher zu bleiben, erklärt Mathias Fuchs, Head of Investigation & Intelligence, Infoguard. Interview: Colin Wallace

Auf welche Prozesse setzt Infoguard bei der ­Reaktion auf Bedrohungen?

Mathias Fuchs: Für uns ist es wichtig, Mensch und Maschine in der Erkennung und Reaktion ideal zu kombinieren. Das bedeutet, wir sehen die Technik, die wir einsetzen, als Enabler für die Cybersecurity-Analysten, schneller und gezielter Vorfälle analysieren zu können. Das stellt sicher, dass jeder eingehende Alarm so effizient wie möglich und gleichzeitig so tief wie nötig untersucht wird. Eine wichtige Rolle spielt auch, dass unsere Analysten je nach Kunde und Vorgabe die Möglichkeit haben, bei kritischen Alarmen einzelne Maschinen zu isolieren, um das weitere Ausbreiten von Angreifern in Netzen kurzfristig zu unterbinden. Das ist wichtig, um der Response-Komponente gerecht zu werden. Wir legen deshalb grossen Wert auf den schnellen Wiederaufbau und die schnelle Wiederherstellung der Produktions- respektive Geschäftsfähigkeit des betroffenen Unternehmens und dies ist nur mit einem CSIRT, der richtigen Technologie sowie der entsprechenden Erfahrung und dem Know-how von Analysten möglich.

Welche Trends hat Ihr CSIRT in letzter Zeit ­beobachten können?

Wir sehen verstärkt die Industrialisierung von Cyberattacken. Das bedeutet, dass sich kriminelle Angreifer die verschiedenen Komponenten einkaufen, die sie für einen Angriff benötigen. Dazu gehören neben Angriffswerkzeugen und Ransomware auch vorbereitete Zugänge zu Unternehmen. Man kann sich das so vorstellen: Eine Angreifergruppe bezieht Werkzeuge für die Attacke von einem Marktplatz, mietet Ransomware-as-a-Service von einem anderen Anbieter und kauft den Zugang zu einem Netzwerk von einem dritten Anbieter. Das führt zu einer gewissen Professionalisierung in allen Bereichen. Auf der anderen Seite stehen die Ransomware-Anbieter. Sie bieten nicht nur die Ransomware-Datei an, sondern wickeln auch den ganzen Bezahlprozess gegen eine Gebühr ab. Auch diese Akteure sind oft schwer zu fassen und haben viel Zeit und Geld, um sich zu professionalisieren. Kurzum, wir sehen immer mehr Angriffe, die mit einem sehr gut ausgestatteten Werkzeugkoffer durchgeführt werden – die aber zum Glück nicht immer optimal eingesetzt werden.

Welche neuen Herausforderungen ergeben sich für CSIRTS durch vermehrtes Homeoffice?

Unsere Arbeit ist eigentlich sogar an einigen Stellen einfacher geworden. Wenn wir Vorfälle untersuchen, gibt es üblicherweise sogenannte War-Rooms, in denen betroffene Kunden, Zulieferer und wir an einem Tisch sitzen. Da kann es schon mal chaotisch werden. Aktuell geschieht dies nun online, was oftmals effizienter ist. Die Herausforderungen liegen also weniger bei der Arbeit eines CSIRTs als vielmehr in der generellen Risikosituation für die Unternehmen durch das vermehrte Homeoffice.

Wie können Unternehmen ihre Mitarbeitenden auf Cyberattacken sensibilisieren?

Cyberattacken sind fast jede Woche in den Medien präsent. Solche aktuellen und realen Vorfälle gilt es zu nutzen und für die Sensibilisierung der Mitarbeitenden einzusetzen. Dabei ist es wichtig, den Mitarbeitenden die Auswirkungen auf sie persönlich aufzuzeigen, und nicht die Cyberbedrohung als diffuses Szenario zu transportieren. Hier muss man klar sagen, dass Cyberattacken Arbeitsplätze und im schlimmsten Fall sogar Menschenleben bedrohen können. Leider ist ein beliebtes Angriffsziel immer noch der Mensch – deshalb ist die Sensibilisierung der Mitarbeitenden so wichtig.

Welchen Rat geben Sie KMUs, die sich um ihre ­Cybersecurity sorgen?

Unternehmen sollen überprüfen, welche Komponenten ihrer Infrastruktur sie selbst betreiben müssen und unter welchen Voraussetzungen sie Dienstleistungen von Drittanbietern in Anspruch nehmen können. Für diese Fragestellung muss jedes Unternehmen für sich die passende Sourcing-Strategie und den geeigneten Partner finden.

Webcode
DPF8_209127