Taktiken von Cyber-Angriffen

Für die verschiedenen Angriffsvektoren werden unterschiedliche Methoden und Taktiken eingesetzt. Bei einigen handelt es sich um Konzepte, die auf verschiedene Gruppen angewendet werden (z. B. Social Engineering), während andere Verfahren (z. B. Sniffing) Kriminellen das Aufspüren nützlicher Informationen für weitere Angriffe ermöglichen.

SOCIAL ENGINEERING

Bei Social Engineering spielt der Faktor Mensch eine zentrale Rolle. Der Angreifer denkt sich eine überzeugende Geschichte aus, die den Benutzer dazu verleiten soll, bestimmte Aktionen durchzuführen. Diese Vorgehensweise gilt derzeit als die gefährlichste und effektivste Angriffstaktik. Der Mensch ist immer das schwächste Glied in der Sicherheitskette. Mit entsprechender Kreativität seitens der Angreifer lassen sich Menschen so manipulieren, dass sie nahezu alles tun.

Wenn Social Engineering zudem mit einer Konto- und Identitätsübernahme kombiniert wird, lässt sich ein solcher Angriff schwerlich erkennen. Wird beispielsweise das Konto eines Vorgesetzten kompromittiert, wird es kaum einen Zweifel daran geben, dass eine E-Mail mit der Anweisung, einen Anhang zu öffnen, tatsächlich von ihm stammt. Daher benötigen Sie auch dann eine wirksame Cyber Security-Lösung, wenn Ihre Mitarbeiter grundsätzlich über Phishing-Betrug aufgeklärt sind.

KENNWORTANGRIFFE

Bei einem Kennwortangriff wird versucht, das Kennwort eines Benutzers in Erfahrung zu bringen bzw. es für illegale Zwecke zu nutzen. Um an das Kennwort eines Benutzers zu gelangen, nutzen Cyberkriminelle Password Sniffer, Wörterbuchangriffe und spezielle Programme zum Knacken von Kennwörtern.

Bei implementierter Mehrfachauthentifizierung sind Kennwortangriffe zwar meist nutzlos, dennoch führen sie die Angreifer oft zum Ziel. Diese Angriffe lassen sich durch einige einfache Verhaltensregeln (Kennwort nicht an Dritte weitergeben, nicht notieren, nicht für mehrere Dienste verwenden usw.) und die Verwendung starker, langer Kennwörter oder von Kennwortmanagern verhindern.

PHISHING- UND SPEARPHISHING-ANGRIFFE

Phishing ist ein Verfahren, bei dem gefälschte Mitteilungen (E-Mails, Meldungen, SMS und Websites) eingesetzt werden, die scheinbar von einer vertrauenswürdigen Quelle stammen. Der Angreifer imitiert legitime Dienstmarken und nutzt deren Reputation, um Benutzer dazu zu verleiten, ihre Anmeldedaten mitzuteilen. Beispiel: Durch Erstellen einer Seite, die dem Microsoft 365-Webportal ähnelt, können Cyberkriminelle im Hintergrund Benutzeranmeldedaten abgreifen. Dieses sehr häufig eingesetzte Angriffsverfahren geht oft mit Social Engineering einher. Phishing soll dazu verleiten, vertrauliche Daten (z. B. personenbezogene Informationen oder Kreditkartennummern) preiszugeben, Malware zu installieren oder eine infizierte oder böswillige Website zu besuchen.

Spearphishing verfolgt das gleiche Ziel, richtet sich jedoch an eine bestimmte Person, die in der Regel im Vorfeld über soziale Netzwerke ins Visier genommen wurde. Diese Taktik wirkt sehr überzeugend und ist ohne Erkennung durch eine Cyber Security-Lösung kaum auszumachen.

DRIVE-BY-ANGRIFFE

Ein Drive-by-Angriff ist eine verborgene und gefährliche Methode zur Verbreitung von Malware. Damit sind Aussagen wie „Ich brauche keine Cyber Security-Lösung, da ich nicht auf verdächtige Links klicke oder dubiose Websites öffne“ haltlos.

In der Regel nutzen Cyberkriminelle schlecht konfigurierte oder ungepatchte Websites aus und injizieren ein böswilliges Skript in eine der Seiten. Wenn ein Benutzer die Website aufruft, nutzt das Skript eine Schwachstelle im Browser oder einem Plug-in aus und installiert Malware auf dem Computer. Diese Skripte sind meist verschleiert und schwer zu erkennen. Die Angriffe heißen Drive-by-Angriffe, weil seitens des Opfers – abgesehen vom Aufruf der kompromittierten Website – keinerlei Aktion erforderlich ist.

AUSNUTZUNG EINER ZERO-DAY- SCHWACHSTELLE

Eine Zero-Day-Schwachstelle ist eine Schwachstelle in der Software, die dem Anbieter noch nicht bekannt ist und für die daher noch kein Patch verfügbar ist. Sie haben folglich null Tage Zeit (Zero-Day), sich durch Patching entsprechend zu schützen. Eine Zero-Day-Schwachstelle geht meist mit einem Zero-Day-Exploit einher, der die Anfälligkeit ausnutzt. Sie ist mit einer durchschnittlichen Cyber Security-Lösung kaum zu erkennen, da dazu umfassende Systemkenntnisse und eine kontinuierliche Überwachung aller Anwendungen erforderlich sind. Früher oder später wird jede Schwachstelle einmal bekannt und die Lücke mit einem entsprechenden Sicherheits-Patch geschlossen. Die Problematik liegt darin, dass bis dahin Monate oder gar Jahre vergehen können.

Laptop Mann mit Schlüssel.png

SQL-INJEKTION

SQL (Structured Query Language) wird sehr oft in Servern, einschließlich Webservern, verwendet. Bei einer SQL-Injektion fügt der Angreifer böswilligen Code in einen Server ein, der SQL verwendet, und zwingt ihn dadurch, Informationen herauszugeben, die er normalerweise nicht herausgeben würde. So könnte ein Angreifer beispielsweise eine SQL-Injektion durchführen, indem er böswilligen Code in ein anfälliges Suchfeld auf einer Website einfügt, und damit alle Benutzerkonten für die Webanwendung erhalten.

XSS-ANGRIFFE (CROSS-SITE SCRIPTING)

Genau wie die SQL-Injektion ist auch Cross-Site Scripting (XSS) eine Art von Injektionsangriff, bei dem der Angreifer böswillige Skripte an den Inhalt vertrauenswürdiger Websites sendet. Bedingt durch unzureichende Konfiguration oder Schwachstellen lässt sich der Code einfach an Webapplikationen anhängen. Der böswillige Code wird mit dynamischem Inhalt gebündelt und anschließend an den Browser des Opfers gesendet. Die böswilligen Skripte bei diesen Exploits können verschiedene Sprachen verwenden, darunter JavaScript, Flash, HTML, Java und Ajax.

MALWARE-ANGRIFFE

Zahlreiche Cyber-Angriffe basieren auf böswilliger Software, die auch als Malware bezeichnet wird. Wie bereits erwähnt, kann Malware auf verschiedene Wege in ein System gelangen, z. B. durch Herunterladen und Aufrufen durch einen Benutzer, Installieren im Hintergrund via Drive-by oder unbemerktes Herunterladen und Ausführen durch Ausnutzen einer Schwachstelle.

MITM-ANGRIFFE (MAN-IN-THE-MIDDLE)

Bei einem Man-in-the-Middle-Angriff fängt der Angreifer Datenverkehr ab, um in der Übertragung befindliche Daten zu entwenden oder zu modifizieren, insbesondere Anmeldedaten, Kennwörter, Finanzdaten usw. Der Angreifer gibt sich als legitimer Dienst aus und übergibt den gesamten Datenverkehr wie ein Proxyserver. Diese Angriffe finden in der Regel in nicht gesicherten öffentlichen WLAN-Netzen statt, sodass sich der Angreifer einfach zwischen das Gerät des Besuchers und das Netzwerk schalten und auf diese Weise Malware installieren oder Benutzer auf eine böswillige Website umleiten kann. Es wird fälschlicherweise davon ausgegangen, HTTPS könne diese Angriffe verhindern. Bei der einfachen HTTPS-Verschlüsselung wird jedoch lediglich der Datenverkehr an das Server-Ende gesichert – die Authentizität des Server-Endpunkts wird jedoch nicht verifiziert.

brycks Acronis Banner.png

Dateilose Angriffe

​Dateilose Angriffe sind eine Art von Cyber-Angriffen, die häufig mit Malware und Exploits in Verbindung gebracht werden. Für dateilose Angriffe gibt es mehrere Definitionen, die sich geringfügig voneinander unterscheiden. Einfach ausgedrückt handelt es sich bei dateilosen Angriffen um Angriffe, bei denen keine konkrete böswillige Datei auf der Festplatte existiert.

Bei einem dateilosen Angriff werden legitime Anwendungen und Prozesse genutzt, um über sie böswillige Aktivitäten durchzuführen, z. B. Berechtigungseskalation, Payload-Übermittlung und Datenerfassung. Diese Taktik der Nutzung vorinstallierter, legitimer Software im Rahmen eines dateilosen Angriffs wird als „Living-off-the-Land“ bezeichnet. Oft werden nur in einzelnen Phasen einer Angriffskette dateilose Verfahren eingesetzt, sodass der Angriff insgesamt de facto nicht dateilos durchgeführt wird.

Wenn diese Aktivitäten ausschließlich innerhalb des Arbeitsspeichers (RAM) stattfinden, werden nach dem Neustart des Computers alle Spuren verwischt. Bei diesen Angriffen wird nichts Verdächtiges auf die Zielfestplatte geschrieben, weshalb dateilose Angriffe sehr resistent gegen Erkennungstechnologien, wie dateibasiertes Whitelisting, Signaturerkennung, Hardware-Verifizierung usw. sind. Sie hinterlassen nahezu keine Nachweise, die bei digitalen forensischen Untersuchungen herangezogen werden könnten, um den Angriff zu identifizieren oder später nachzuvollziehen.

Weitere wissenswerte Artikel:

ctive_Support_png@200px.png

Online Erstberatung

Sie sind noch nicht sicher, ob brycks für Ihr Unternehmen das passende Angebot bietet oder möchten sich genauer über uns informieren? Kein Problem – Sie können jetzt einen kostenfreien Beratungstermin mit unseren Spezialisten buchen.

Beratungstermin buchen

Wir haben die Antworten!

Häufig gestellte Fragen

Dies ist eine sehr relevante Frage, die wir sehr ernst nehmen. Aus diesem Grund bieten wir eine Verschlüsselung für alle gesicherten Daten an und stellen sicher, dass diese in einem hochmodernen, zertifizierten Rechenzentrum gespeichert werden.

Wir nutzen zwei hochsichere und moderne Rechenzentren. Standardmäßig stellen wir die Services aus dem Rechenzentrum in Frankfurt am Main bereit. Alternativ oder ergänzend können Sie auch das Rechenzentrum in Lupfig, Schweiz nutzen. Natürlich können die Daten auch lokal auf einen unterstützten Storage Ihrer Wahl gesichert werden.

Ihre Daten werden bereits auf den Geräten in AES-256 Bit verschlüsselt. Dies entspricht auch Standards aus dem Bankgewerbe oder anderen sensiblen Bereichen. Darüber hinaus gibt es die Möglichkeit, Daten mit einem Schlüssel zu versehen, mit dem nur Sie Zugriff auf Ihre Daten haben.

Unsere eingesetzte Technologie unterstützt bereits heute zahlreiche Workloads und es werden kontinuierlich mehr. Aktuell können PCs/Notebooks, physikalische Server, virtuelle Maschinen, mobile Geräte, Microsoft 365, Microsoft Teams, Google G Suite und zahlreiche weitere Business Apps gesichert werden. Details finden Sie in unserer Leistungsbeschreibung oder fragen Sie einfach einen unserer Experten.

Das Cloud Backup dient der Sicherung Ihrer Daten aus verschiedensten Quellen und darüber hinaus ersten Funktionen zur Sicherheit gegen beispielsweise Ransomware oder einer Schwachstellenanalyse.

Die Cyber Protection dient dem Schutz von PCs/Notebooks, Servern und Virtuellen Maschinen. Hierin enthalten ist u. a. Antivirus, Web Protection, Festplattenüberwachung, Patchmanagement, Remotezugriff usw., um einem möglichen Datenverlust oder Datendiebstahl vorzubeugen.

Die Cloud Backup Features sind in dem „Cyber Protect Cloud“ Packet ebenfalls enthalten.

Hier sind wir sehr flexibel – Wie es am einfachsten für Ihr Unternehmen ist. Serviceleistungen können monatlich, quartalsweise oder jährlich berechnet werden. Die Zahlung kann per Überweisung, SEPA Basislastschrift, Kreditkarte oder Paypal erfolgen. Erlauben Sie uns bei der Zahlung per Kreditkarte und Paypal die wiederkehrenden Rechnungen einzuziehen - So müssen Sie nicht jede Rechnung manuell zahlen.

Sie können für Ihren gewünschten brycks Service entweder einen 30-tägigen Test starten oder diesen direkt online buchen. Wählen Sie den gewünschten Service dazu auf unserer Webseite aus und tragen die Anzahl der benötigten Workloads wie z. B. Server, PCs usw. ein (Dies kann später auch angepasst werden).

Nach der Bestellung erhalten Sie den Zugang zum Kundenbereich und sobald der Service aktiviert ist, den Zugriff auf die Konsole zur Verwaltung der Services. Wenn Sie einen Assisted oder Managed Service gebucht haben, kontaktiert Sie Ihr persönlicher Ansprechpartner, um einen Termin für das Onboarding zu vereinbaren.

Ja, in den Rechenzentren werden viele Petabyte Backupdaten von anderen Kunden gesichert. Ein wichtiger Faktor ist jedoch Ihre Internetanbindung. Sollte Ihre Internetanbindung nicht so schnell sein, gibt es zwei Möglichkeiten.

1. (Send-In-Service) Wir können Ihr initiales Backup einmalig auf einer Festplatte in das Rechenzentrum einsenden. Danach folgen nur noch die täglichen Änderungen Ihrer Daten, dies belastet die Internetverbindung in der Regel kaum.

2. Wir können Ihr Backup so konfigurieren, dass z. B. große und weniger wichtige Datenmengen auf einem lokalen Speicher bleiben und nur wirklich relevante Daten in das Rechenzentrum übertragen werden.

Daten, z. B. aus Microsoft 365 Sharepoint oder OneDrive, werden direkt Cloud-to-Cloud aus dem Microsoft Datacenter gesichert. Hier müssen Sie sich keine Gedanken über die Datenmengen machen.