Geschäft mit gestohlenen Informationen
Lockruf der Logdaten
Fortsetzung des Artikels von Teil 1
Vorteile für Kriminelle
Der Kauf solcher Logs erleichtert es Kriminellen, ihre Aktivitäten zu skalieren. Cloud-Techniken stellen ihnen dabei zusätzliche Rechenleistung, Speicherplatz und Bandbreite zur Verfügung – ganz wie bei legalen Unternehmen. Zudem müssen sie aufgrund der großen Verfügbarkeit und Varianz gestohlener Informationen in solchen Plattformen nur noch nach genau den Daten suchen, die sie benötigen – und diese nicht mehr selbst von ihren Opfern beschaffen. Befinden sich darunter Zugangsdaten zu geschäftlichen Accounts, können auch Unternehmen leicht ins Visier geraten. Verfügen diese nur über schwache Sicherheitsvorkehrungen, fehlt ihnen wahrscheinlich die Zeit, um das Eindringen in ihre Systeme zu bemerken und angemessene Gegenmaßnahmen zu ergreifen.
Noch schlimmer ist, dass viele Unternehmen möglicherweise einen Angriff überhaupt nicht erkennen, da die Kriminellen durch die Verwendung legitimer Zugangsdaten viele Sicherheitslösungen leicht umgehen können. Zudem erlaubt es die einfache Verfügbarkeit einer großen Informationsmenge den Angreifern, eine größere Anzahl von Opfern ins Visier nehmen. Verschiedene Tools zur Datenanalyse und -exfiltration erleichtern ihnen dabei das Vorgehen. Diese sind ebenfalls im Untergrund – teilweise als Open-Source-Code – erhältlich und ermöglichen unter anderem die automatisierte Suche nach bestimmten Arten von Informationen, beispielsweise Benutzernamen und Passwörtern.
Bild 3. zeigt einen Screenshot der Benutzeroberfläche eines dieser Programme. Die Option, Daten gezielt auszuwählen, lässt eine weitere Spezialisierung der Kriminellen auf bestimmte Arten von Angriffen erwarten. Dies hat auch zur Folge, dass die Angreifer gestohlene Informationen zukünftig noch umfassender und effizienter ausnutzen können.
Unternehmen sollten deshalb Strategien zur Verhinderung und Eindämmung von Datenverlusten als integralen Bestandteil ihrer täglichen Abläufe implementieren. Ein möglicher Ansatz dafür ist die Einführung des Least-Privilege-Prinzips, um die Verwendung, Zuweisung und Konfiguration von Benutzerzugriffen auf Rechner, Netzwerke und Anwendungen zu kontrollieren. Mit diesem Ansatz können sie das Risiko reduzieren, dass böswillige Akteure Zugriff auf kritische Systeme und sensible Daten erhalten. Um Angreifer daran zu hindern, potenziell anfällige Dienste und Einstellungen auszunutzen, sollten Unternehmen auch die Sicherheitskonfiguration von Netzwerk-Infrastrukturgeräten mittels eines gründlichen Konfigurations-Management- und Änderungskontroll-Prozesses festlegen, implementieren und aktiv verwalten.
Ein weiterer wichtiger Aspekt sind Awareness- und Schulungsprogramme für Mitarbeiter. Mit ihnen können Unternehmen Bedrohungen effektiv begegnen, die zum Beispiel durch das Herunterladen bösartiger Apps, die Weitergabe von Passwörtern, die Nutzung ungesicherter Netzwerke und das Klicken auf bösartige Links entstehen. Zudem ist es empfehlenswert, dass Unternehmen in ihre Fähigkeiten zu Erkennung und Beseitigung von Angriffen (Detection and Response) investieren. Diese sollten möglichst die gesamte IT-Infrastruktur wie E-Mail, Endpunkte, Netzwerk, Server und Cloud-Instanzen umfassen, um das Abfließen sensibler Daten oder die Kompromittierung kritischer Systeme innerhalb des Netzwerks zu verhindern.
Richard Werner ist Business Consultant bei Trend Micro, www.trendmicro.de.
- Lockruf der Logdaten
- Vorteile für Kriminelle
Lesen Sie mehr zum Thema
