Grundlagen der Cybersicherheit
Sinnvolle Abwehrmaßnahmen
Fortsetzung des Artikels von Teil 1
Phishing, Brute Force und Man in the Middle
Brute-Force-Angriffe (von englisch „rohe Gewalt“) gleichen der Brechstange bei Einbrüchen: Ziel ist es, Zugänge durch wiederholte Eingabe möglicher Nutzer-Passwort-Kombinationen aufzubrechen. Nach dem Prinzip „Versuch und Irrtum“ versuchen Cyberkriminelle, mittels rechenleistungsstarker Computer und automatisierter Tools die richtige Kombination aus Name und zugehörigem Passwort ihrer Opfer zu knacken. Immer leistungsfähigere Computersysteme in Kombination mit Passwörtern, die häufig schwach und vielfach zudem für mehrere Nutzerkonten im Einsatz sind, machen Brute-Force-Attacken zum lohnenden Geschäftsmodell.
Bei MITM-Angriffen (Man in the Middle) wiederum versuchen Cyberkriminelle, als Mittelstation an einer Kommunikation zwischen Sender und Empfänger teilzunehmen. Hierbei lesen Angreifer Kommunikationsinhalte mit oder manipulieren sie, indem sie sich gegenüber dem Sender als Empfänger und gegenüber dem Empfänger als Sender ausgeben. Auf diese Weise kann ein Angreifer zum Beispiel Zugangsdaten ausspionieren und verwerten.
Phishing als Betrugsversuch zielt frontal auf das schwächste Glied in jeder Abwehrkette: den Menschen. Gut gefälschte E-Mails mit einer Handlungsaufforderung von bekannten Absendern, etwa der eigenen Hausbank, führen oft dazu, dass ein Empfänger seine Zugangsdaten auf einer ebenfalls gefälschten Website preisgibt. Kriminelle versenden solche Phishing-Nachrichten willkürlich an eine Vielzahl von E-Mail-Konten, in der Hoffnung, dass einige Empfänger auf diese E-Mail hereinfallen, diese für echt halten und wie vom Angreifer gewollt reagieren. Die wenig schöne Überraschung dieses nicht gezielt auf einzelne Empfänger ausgeführten Angriffs ist meist ein leeres Bankkonto.
Spear-Phishing hingegen ist eine Betrugsvariante, die auf bestimmte Personen oder Organisationen abzielt. Die Angreifer spionieren dabei ihre Opfer über Wochen und Monate aus, bringen Gewohnheiten und Präferenzen in Erfahrung und erstellen ein individuelles Persönlichkeitsprofil. Dankder gesammelten Daten können sie maßgeschneiderte, personenbezogene Phishing-Angriffe realisieren. Die hohe Glaubwürdigkeit der Angriffe erhöht die Erfolgsquote dieses Betrugsversuchs.
Über Phishing, Brute-Force- und MITM-Attacken gestohlene Anmeldeinformationen nutzen nichts bei Logins, die durch eine Zwei- oder Mehr-Faktor-Authentifizierung (2FA/MFA) geschützt sind. Die FIDO-Alliance hat mit FIDO2 sogar einen Login-Standard entwickelt, der gar kein Passwort erfordert und trotzdem extrem sicher ist. Voraussetzung ist der Faktor „Haben“ in Form eines Hardware-Tokens. Ein realistisches Restrisiko gestohlener Identitäten bleibt für den Nutzer, sofern er die identische Kombination aus Benutzername und Passwort auch für andere Konten verwendet, die nur statische Anmeldeinformationen voraussetzen.
DoS- und DDoS-Attacken
DoS- und DDoS-Angriffe (Denial of Service, Distributed Denial of Service) sind nicht neu, doch als Angriffsmethode nach wie vor gebräuchlich: Beim Versuch, vorhandene Systeme mit einer Vielzahl von Anfragen zu überlasten und damit außer Betrieb zu setzen, gibt es unterschiedliche Angriffsformen, darunter Syn-Flooding, Ping-Flooding und Mail-Bombing. Der Schaden liegt bei allen Angriffsmethoden in der zeitweisen Nichtverfügbarkeit der IT-Systeme. Insbesondere in umsatzstarken Zeiten im E-Commerce-Bereich (Black Friday, Cyber Monday, Vorweihnachts- und Weihnachtsgeschäft) beobachtet das BSI einen Anstieg solcher Aktivitäten. Einige Unternehmen mögen dies verschmerzen können, doch für einen Online-Shop-Betreiber ist solch ein koordinierter Angriff mitunter eine existenzielle Bedrohung: Bis der Shop wieder verfügbar ist, kann er keine Online-Bestellungen abwickeln und somit kein Geld verdienen. Neben dem finanziellen Schaden ist die Reputation des Online-Shops bei mehrfacher Nichtverfügbarkeit ebenfalls beschädigt.
Einige der DoS-Angriffe nutzen Bugs und Sicherheitslücken gezielt aus. Das zeitnahe Verteilen von Sicherheits-Updates schützt deshalb vor einigen Cyberangriffen. Außerdem lassen sich Angriffsflächen vermeiden, indem man verhindert, dass Web-Applikationen Zugriff auf Ports, Protokolle oder Applikationen erhalten, die für eine Kommunikation im größeren Umfang nicht ausgelegt sind. Dabei kann es sehr hilfreich sein, die Infrastruktur hinter einem CDN (Content Distribution Network) oder einem Load-Balancer zu platzieren, denn dies kann den Datenverkehr zwischen Front- und Backend begrenzen.
Die üblichen Verdächtigen
Gegen die üblichen Verdächtigen bei Cyberangriffen schützen somit die üblichen Verdächtigen der Cyberabwehr. Anti-Malware-Multiscanner plus Dateidesinfektion bieten angesichts zahlreicher täglich neuer Malware-Varianten den bestmöglichen Schutz auch vor Zero-Day-Attacken. Die Angst vor gestohlenen Identitäten verliert ihren Schrecken durch 2FA und MFA. Und bei DoS- oder DDoS-Angriffen erweisen sich die Verkleinerung der Angriffsfläche sowie die Entkoppelung von Front- und Backend als sehr wirkungsvoll.
Robert Korherr ist Geschäftsführer von Prosoft.
- Sinnvolle Abwehrmaßnahmen
- Phishing, Brute Force und Man in the Middle
Lesen Sie mehr zum Thema
