Cyberangriff! Was nun? Wie Unternehmen gezielt reagieren und vorbeugen

Illustration Absmeier foto freepik

Früher oder später trifft es jedes Unternehmen. Wie können sie Angriffe erkennen, im Ernstfall angemessen reagieren und sich besser gegen Cybercrime-as-a-Service schützen? Ein kurzer Leitfaden für die IT-Sicherheit in Zeiten von »Cybercrime-as-a-Service«.

 

Eines vorweg: Deutsche Unternehmen machen vieles richtig. Bei ihren Bemühungen um die Cyber-Security bekommen interne und extern Fachkräfte tatkräftige Unterstützung vom Bundesamt für Sicherheit in der Informationstechnik (BSI), dessen Angebot von Basisinformationen zum IT-Grundschutz über Themen wie Cloud Computing bis hin zur kostenlosen Mitgliedschaft in der Allianz für Cybersicherheit reicht.

Und doch stellt sich auch bei vorbildlicher Praxis nicht die Frage, ob das Unternehmensnetzwerk durch einen Cyberangriff kompromittiert wird, sondern wann. Klar ist auch, dass es sich kein Unternehmen leisten kann, erst im Ernstfall darüber nachzudenken, was vor, während und nach einem Vorfall zu tun ist.

 

Bedrohung durch organisierten Cybercrime

In den letzten Jahren hat sich die Bedrohungslandschaft dramatisch verändert: Nach staatlich unterstützten Advanced Persistent Threats (APT) prägen heute internationale, kommerziell getriebene Netzwerke das Geschehen. Nach Angaben des Bundeskriminalamtes haben die Auslandstaten im Jahr 2023 im Vergleich zum Vorjahr um rund 28 Prozent zugenommen. Kriminelle Dienstleistungen werden mittlerweile im industriellen Maßstab nach dem Geschäftsmodell »Cybercrime as a Service« angeboten. Hochspezialisierte Banden teilen sich die Aufgaben vom operativen Geschäft über das Management bis hin zum Overhead.

 

Die häufigsten Angriffsarten

Die vorherrschende Angriffsart der kommerziellen Cybercrime-Szene ist Ransomware. Nach einer bundesweiten Auswertung des BKA und der Landeskriminalämter haben im vergangenen Jahr mehr als 800 Unternehmen und Institutionen entsprechende Fälle gemeldet, wobei von einer hohen Dunkelziffer auszugehen ist. Bei einem Ransomware-Angriff verschaffen sich die verschiedenen Angreifer zunächst Zugang zum Unternehmensnetzwerk. Sie sehen sich um, entwenden Daten und verschleiern ihre Spuren durch Verschlüsselung. Ziel ist es, die Opfer arbeitsunfähig zu machen und zu erpressen, oft sogar doppelt: erst durch Verschlüsselung und dann mit der Drohung, die gestohlenen Daten zu veröffentlichen.

Weit verbreitet ist auch die Bedrohung durch Business E-Mail Compromise (BEC). Bei dieser Methode, vor der kürzlich die Cybercrime-Stelle Nordrhein-Westfalen warnte, schleichen sich Angreifer in die E-Mail-Daten und -Kommunikation von Mitarbeitenden ein, um finanzielle Transaktionen zu manipulieren. Sie ermitteln relevante Kontaktpersonen wie Kunden, Partner oder Rechnungssachbearbeiter, um ihre Opfer unter falscher Identität zu einer Überweisung zu verleiten.

 

Wo setzen die Angreifer an?

Die initiale Kompromittierung erfolgt in der Regel über den Menschen: Mittels Phishing versuchen die Angreifer, ihre Opfer zur Preisgabe von Zugangsdaten zu bewegen, indem sie sich in der Unternehmenshierarchie immer weiter nach oben arbeiten. Dabei machen es unerfahrene Organisationen den Kriminellen oft leicht, indem sie Kontaktinformationen einschließlich der Position auf ihrer Website veröffentlichen. Stellenausschreibungen mit Angaben zu den im Unternehmen verwendeten Anwendungen geben unnötige Hinweise auf mögliche technische Schwachstellen.

Aus technischer Sicht sind Firewalls und VPN-Gateways die wichtigsten Einfallstore, die über das Internet erreichbar, aber nicht ausreichend geschützt sind. Zum Beispiel, weil der Zugang nicht durch eine Multi-Faktor-Authentifizierung (MFA) gesichert, oder die Software nicht aktuell ist. Eine weitere potenzielle Schwachstelle sind persönliche Webzugänge zu Cloud-Diensten wie Microsoft 365. Sind diese nicht ausreichend gesichert, gelingt es Angreifern häufig, sich über den Browser als »Organisation« anzumelden und Zugriff auf Unternehmensdaten zu erhalten. Da die meisten Benutzer hauptsächlich mit Office-Anwendungen arbeiten, wird die Absicherung des Webzugangs oft außer Acht gelassen.

 

Schon wenige Tage nach der Attacke übernehmen Angreifer das System.

 

 

Wie Angriffe erkennen?

Viele Unternehmen bemerken einen Cyberangriff erst, wenn es bereits zu spät ist oder kurz davor. Ursachen sind unter anderem unzureichende Sicherheitsvorkehrungen oder fehlende Frühwarnsysteme, so dass Anomalien in der Systemlandschaft nicht rechtzeitig erkannt werden. Nicht selten wird der Angriff erst entdeckt, wenn bestimmte Prozesse oder Apps nicht mehr funktionieren oder wenn aktuelle Warnmeldungen von Sicherheitsanbietern überprüft werden.

 

Im Ernstfall Ruhe bewahren

So schlimm es auf den ersten Blick auch aussehen mag: Bei einem Cyberangriff lautet die goldene Regel: Ruhe bewahren, auch bei Verschlüsselung. Denn wer im Ernstfall überstürzt handelt und die Server abschaltet, verschlimmert die Situation unter Umständen nur, da wertvolle Beweise vernichtet werden. Zudem ist das kriminelle Ziel in der Regel bereits erreicht, wenn der Angriff bekannt wird. Während staatlich organisierte Angreifer nach einem erfolgreichen Zugriff ohnehin erst einmal abwarten, vergeht bei finanziell motivierten Angriffen immer etwas Zeit, bis der nächste Teilschritt erfolgt. So verkaufen beispielsweise Initial Access Broker ihr Projekt nach erfolgreichem Zugriff an einen Ransomware-as-a-Service-Anbieter, der das Unternehmen dann meist auch noch durch Datenexfiltration und Systemverschlüsselung handlungsunfähig macht.

 

Professionelle Arbeitsteilung von Ransomware-Banden.

 

 

Angemessen reagieren

Wie Unternehmen und Dienstleister richtig auf einen Cyberangriff reagieren, hängt vom jeweiligen Szenario ab. In einem ersten Schritt ist es ratsam, herauszufinden, welche Daten gestohlen wurden und als wie kritisch diese zu bewerten sind. Bei sensiblen Informationen wie personenbezogenen Daten oder unternehmenskritischen Patenten sollte sofort die »Notbremse« gezogen werden, um den Schaden zu begrenzen. Dies ist beispielsweise der Fall, wenn der Angreifer die Privilegien eines Domain-Administrators erlangt hat oder wenn VIPs wie die Geschäftsführung oder andere wichtige Personen betroffen sind. Ein weiterer Fall für die Notbremse ist die erpresserische Drohung, kritische Informationen zu veröffentlichen, eventuell sogar in einem politischen Kontext.

Kein direkter Handlungsbedarf besteht hingegen, wenn lediglich eine Hintertür eingebaut wurde, aber keine Verhaltensänderung festzustellen ist. In diesem Fall ist die Backdoor zu schließen und der Vorfall umfassend zu analysieren. Ähnlich verhält es sich, wenn das Netzwerk nur kleinflächig und abgrenzbar mit Schadcode infiziert ist oder nur unkritische Daten abgeflossen sind.

 

Notfallkonzept unerlässlich

Da es keinen absoluten Schutz vor Cyberangriffen gibt, ist das wirksamste Instrument für den Ernstfall ein sofort umsetzbarer Notfallplan. Dieser im Vorfeld zu entwickelnde Handlungsleitfaden legt Krisenstäbe und Maßnahmen fest, so dass klar ist, wer wofür zuständig ist und wie gezielt auf verschiedene Bedrohungsszenarien reagiert werden soll. Infolge einer gründlichen Risikoabschätzung wird auch festgelegt, welche Daten, Informationen und Server unbedingt geschützt werden müssen und welche kriminellen Handlungen im Ernstfall noch toleriert werden und welche nicht.

 

Was ist die rote Line für Ihr Unternehmen?

Für den richtigen Umgang mit einem akuten Cyberangriff empfiehlt das BSI das sogenannte »Rote Linien Konzept«, in dem neben Szenarien und Reaktionen auch Grenzen definiert werden, ab denen drastische Maßnahmen ergriffen werden müssen. Das Rote-Linien-Konzept eignet sich für staatlich gesteuerte Advanced Persistent Threats (APTs) ebenso wie für kommerziell motivierte Attacken international vernetzter Bandennetzwerke.

 

To-Dos nach dem Cyberangriff und Präventionsmaßnahmen

Nach jedem Vorfall ist es wichtig, die Ereignisse gründlich aufzuarbeiten, d.h. zu analysieren, welche Maßnahmen erfolgreich waren und wo Verbesserungspotenzial besteht. Eine gründliche Nachbereitung hilft, künftigen Angriffen besser vorzubeugen und die Widerstandsfähigkeit des Unternehmens zu stärken. Wertvolle Erkenntnisse sollten in die Cyber-Strategie und den Notfallplan einfließen.

Ein optimaler Schutz gegen Angriffe beginnt mit der genauen Kenntnis über die eigene Systemlandschaft. Denn nur so lassen sich auch ohne Tools eigene Prozesse, Applikationen und Services von kriminellen unterscheiden. Wer EDR oder weiterführende Response-Lösungen einsetzt, sollte auf eine hohe Erkennungsquote achten. Ein konsequentes Patch- und Update-Management sowie regelmäßige Backups an einem Speicherort außerhalb des Unternehmensnetzwerks sind ebenfalls unerlässlich.

Zudem sollten die Mitarbeitenden für das Thema Cybersecurity sensibilisiert werden, zum Beispiel für aktuelle Phishing-Methoden, die insbesondere durch künstliche Intelligenz immer raffinierter werden. Um Hackern das Erraten von Zugangsdaten zu erschweren, sollten die Mitarbeitenden dazu angehalten werden, auf keinen Fall dieselben Passwörter für private und berufliche Zwecke zu verwenden. Eine flächendeckende Multifaktor-Authentifizierung ist wichtiger als das Festhalten an einer nicht kompatiblen Anwendung.

Unter bestimmten Umständen kann es auch ratsam sein, auf externes Fachwissen zurückzugreifen. Insbesondere wenn interne Ressourcen fehlen, kann ein erfahrener Dienstleister bei der Erstellung eines Notfallplans oder bei der akuten Bekämpfung eines Cyberangriffs helfen und die Folgeschäden minimieren.

 

Managed Detection and Response (MDR)

Moderne Endpoint- und Detection-Tools können beim Erkennen potenzieller Angriffe unterstützen, doch für einen möglichst umfassenden Schutz vor Cyberattacken fehlt es meistens an der erforderlichen Expertise und den notwendigen personellen Ressourcen. Besser geeignet ist ein ganzheitlicher Managed Detection and Response (MDR) Ansatz, der nicht nur Schutzmaßnahmen wie Endpoint Detection and Response (EDR), sondern auch Incident Response, Compromise Assessments oder Data Breach Assessments umfasst.

Während dabei Incident Response eine schnelle Reaktion auf ungeplante Ereignisse oder Dienstunterbrechungen ermöglicht, spürt Compromise Assessments laufende Angriffe und installierte Malware auf. Data Breach Assessments forschen im Darkweb nach Hinweisen auf noch unentdeckte Angriffe. Werden diese Maßnahmen im Rahmen eines MDR-Ansatzes miteinander verzahnt, können Angriffe frühzeitig erkannt und effektiv abgewehrt werden.

 

Fazit

Ein wirksamer Schutz vor Cyberangriffen erfordert neben technischen Maßnahmen eine umfassende Vorbereitung und wirksame Präventionsmaßnahmen. Um bei einem akuten Vorfall angemessen reagieren zu können, ist ein Notfallkonzept unverzichtbar. Darüber hinaus können Unternehmen mit Hilfe von MDR-Angeboten Angriffe frühzeitig erkennen, angemessen reagieren und ihre Sicherheitsmaßnahmen kontinuierlich verbessern.

Yasin Ilgar,

Managing Cyber Defense Consultant

SECUINFRA GmbH

https://www.secuinfra.com/de/

 

 

2549 Artikel zu „IT-Sicherheit Tipps“

IT-Sicherheitsexperten geben Tipps, wie Unternehmen ihre Lieferketten vor IT-Angriffen schützen

Angriffe auf Lieferketten sind ein Trend, der bereits seit einigen Jahren anhält. Attacken wie die auf SolarWinds, bei der der Update-Server mit der Schadsoftware Sunburst verseucht wurde oder der Angriff auf Kasey im Juli 2021 mit der Malware REvil, in deren Folge Kassensysteme mehrerer Firmen weltweit betroffen waren, zeigen, dass die Angriffe hoch komplex und…

Rückkehr ins Büro: TÜV SÜD gibt Tipps zur IT-Sicherheit

Das Arbeiten im Home-Office während der Corona-Pandemie hat die Angriffsfläche für Cyberkriminelle spürbar vergrößert. Doch auch der Wechsel vom Home-Office zurück ins Büro bringt einige Risiken für die IT-Sicherheit mit sich. Die Experten von TÜV SÜD Sec-IT geben einen Überblick zu den wichtigsten Regeln für die IT-Sicherheit. »Grundsätzlich besteht die größte Gefahr darin, dass sich…

Green IT: 5 Tipps, wie Quality Engineering zur Nachhaltigkeit beiträgt

Mit der Digitalisierung steigt das Datenvolumen und der Energieverbrauch. Daher stehen Unternehmen jetzt vor der Herausforderung, ihre IT nachhaltiger zu gestalten. Auch das Qualitätsmanagement kann dazu einen wertvollen Beitrag leisten, indem es den CO2-Fußabdruck von Software verringert.   Rechenzentren sind für zwei Prozent des Energieverbrauchs weltweit verantwortlich, so der Jahresbericht der International Energy Agency (IEA).…

Whitepaper IT-Sicherheit:  Zur NIS2-Readiness in sechs Schritten

  Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor [1]. Besonders Ransomware-Attacken nehmen gravierend zu. Es geht nicht mehr darum, ob, sondern wann ein Unternehmen mit einem Cyberangriff konfrontiert wird – und wie sich dies bestmöglich abwenden lässt, um den Geschäftsbetrieb nicht…

Fünf IT-Tipps, um die Geschäftskontinuität zu sichern: Ganzheitliche Strategien für die eigene Business Continuity

Von Daten über Anwendungen bis hin zu einzelnen Workloads: »Wer an Business Continuity denkt, der muss das Thema mit Blick auf die eigene IT-Landschaft oft neu bewerten«, sagt Dr. Christoph Dietzel, Head of Global Products & Research beim Internetknoten-Betreiber DE-CIX. Warum diverse IT-Systeme resilienter sind. Was IT-Dienstleister wissen sollten. Und welche Rolle Cloud-Konnektivität spielt, um die Geschäftskontinuität zu sichern.

Warum die IT-Sicherheit für den Weg in die Cloud spricht – Safety First

Die Vorurteile gegenüber Cloud Computing sind so alt wie die Technologie selbst. Hartnäckig hält sich dabei auch die Meinung, Cloud-Lösungen seien besonders anfällig für Datenverluste und Cyberangriffe. Höchste Zeit, diese überholte Sichtweise zu ändern – denn ein genauerer Blick zeigt, dass die Wolke nicht nur widerstandsfähig ist, sondern Anwendern auch entscheidende Vorteile bietet, bei denen On-Premises-Ansätze nicht mithalten können.

Phishen nach den großen Fischen: Drei Säulen, um die IT-Sicherheit des C-Level zu verbessern

Zeit ist nicht nur Geld, sie ist vor allem Mangelware – das gilt insbesondere für Führungskräfte. Infolgedessen spenden diese ihrer digitalen Sicherheit in der Regel zu wenig Aufmerksamkeit. Mit schwerwiegenden Folgen, denn vor allem kompetente, wirtschaftlich motivierte Cyberkriminelle haben es auf das C-Level abgesehen. Es hat häufig umfassende Zugriffsrechte auf IT-Assets, darf Arbeitsaufträge verteilen und…

Cloud-Marktplätze verstehen: Neun Tipps für ISVs

Cloud-Marktplätze sind heute zu einem unverzichtbaren Dreh- und Angelpunkt für unabhängige Softwareanbieter (ISVs) geworden, um ihre Reichweite zu vergrößern, den Verkaufsprozess zu rationalisieren und Wachstum zu fördern. Erfolg ist jedoch nicht allein dadurch garantiert, dass ein Produkt auf einem Marktplatz gelistet ist. Um diese Plattformen optimal zu nutzen, müssen ISVs strategische Ansätze verfolgen, die ihre…

Sicherheit wird noch sichtbarer – IT-Sicherheitskennzeichen für mobile Endgeräte

Mobile IT-Geräte wie Smartphones und Tablets speichern und verarbeiten eine Vielzahl relevanter und zum Teil persönlicher Daten wie Fotos, Videos, Textnachrichten und Kontakte. Ein angemessenes IT-Sicherheitsniveau mobiler Endgeräte ist ein wesentlicher Baustein für den Schutz dieser Daten und damit auch der Verbraucherinnen und Verbraucher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt nun die…

Quiet Constraint: Vier Tipps, wie Mitarbeiter ihr Wissen teilen

  James Micklethwait, Vice President bei Kahoot, verrät, was man unter Quiet Constraint versteht, wie schädlich dieser Trend für ein Unternehmen sein kann, und was Sie dagegen tun können.   2022 war das Jahr des Quiet Quitting. Mit der »inneren Kündigung« entschieden sich zahlreiche Berufstätige dazu, nur noch die nötigste Arbeit zu leisten, ohne sich…

IT-Sicherheit als zentrale Herausforderung

Unternehmen in Deutschland und weltweit stufen laut des Allianz Risk Barometer 2024 Cybervorfälle als ihr größtes Risiko ein. Managed Security Service Provider wie byon unterstützen mit Herstellern wie Fortinet gerade mittelständische Unternehmen dabei, dieses Risiko in den Griff zu bekommen.   Die IT-Sicherheit ist für mittelständische Unternehmen in Deutschland eine zentrale Herausforderung. Sie ist mit…

Vier Tipps für verbesserte Cybersicherheit in KMU

Cyberangriffe betreffen nur Großunternehmen, soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken. Doch gerade dort fehlen oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten. Nils Gerhardt, CTO von Utimaco gibt vier Tipps,…

Abwesenheits- und Urlaubsverwaltung: Tipps für Unternehmen

Mitarbeiter machen Urlaub, absolvieren Sabbaticals, werden krank, nehmen sich Elternzeit oder arbeiten von zuhause aus. All die genannten Aspekte führen dazu, dass der Angestellte nicht vor Ort zur Verfügung steht. Verfolgt der Betrieb ein effektives Abwesenheitsmanagement, werden Personalengpässe und eine Störung der Prozesse von vornherein vermieden.   Das Urlaubs- und Abwesenheitsmanagement gehört dabei zu den…

Sicherheitsbedenken von 1.200 IT-Sicherheitsentscheidern

Bitdefender hat seinen 2024 Cybersecurity Assessment Report vorgestellt. Für die Studie befragten die unabhängigen Marktforscher von Censuswide professionelle Sicherheitsverantwortliche nach ihren Bedenken, Vorgehen und wichtigsten Herausforderungen, mit denen sich Unternehmen konfrontiert sehen. Die augenfälligsten Ergebnisse sind die hohe Angst vor künstlicher Intelligenz, eine Zunahme von Data Breaches in Deutschland um 12,7 % gegenüber 2023 und…

Security by Design, Zero Trust und Deep Observability: Dreifaltigkeit der IT-Sicherheit

Ali Moniri, Senior Sales Engineer bei Gigamon, weiß: Security by Design und Deep Observability müssen für optimale Netzwerksicherheit Hand in Hand gehen.   Wer Softwareprodukte entwickelt, hat schon einmal von Security by Design als idealen Sicherheitsansatz gehört. Dabei handelt es sich um ein Design-Konzept, bei dem das Produkt über den gesamten Entwicklungsprozess hinweg – von…

Experten warnen: Diese gängigen Gerätesicherheitstipps könnten Diebe anziehen

„Viele vermeintliche Sicherheitsmaßnahmen sind nur eine Illusion – eine Art, sich sicher zu fühlen, ohne das Risiko tatsächlich zu mindern“, sagt Josh Gordon, Technologieexperte bei Geonode. Unsere Mobilgeräte speichern eine Schatzkiste voller persönlicher Informationen und sind deshalb ein Hauptziel für Diebe. Manchmal richtet gut gemeinter Sicherheitsrat mehr Schaden an als er nützt – so können…

Sicherheit im Internet der Dinge (IoT) verbessern: Tipps zum Schutz der vernetzten Welt

Das Internet der Dinge (IoT) hat sich zu einer der wegweisendsten Technologien des 21. Jahrhunderts entwickelt. Vom vernetzten Kühlschrank über smarte Autos bis hin zu intelligenten Thermostaten: Die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und Wirtschaft verändert, sondern unseren Alltag revolutioniert. »Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für…