Cyberkriminelle sind während der Krise in Goldgräberstimmung. Viele Leute befinden sich im Homeoffice und greifen von zu Hause aus auf Firmendaten zu. Die Angreifer machen sich diesen Umstand zunutze, um an den digital zirkulierenden Datenschatz von Firmen zu gelangen. Jürgen Venhorst, Country Manager DACH bei Netwrix nennt folgende fünf Angriffswege, die bevorzugt genutzt werden.
Brute-Force Eindringversuche
Der Angriff mittels Brute-Force-Brechstange ist eine uralte Taktik, die vielleicht niemals ganz verschwinden wird, da sie irgendwann zum Erfolg führt – wenn man nur genug Zeit hat. Da viele Unternehmen ihre Mitarbeiter aufgefordert haben, von zuhause aus zu arbeiten, ist die Gesamtzahl erfolgreicher und fehlgeschlagener Anmeldungen in letzter Zeit erheblich gestiegen. Die Angreifer nutzen den Schutz in der Masse und versuchen, sich unentdeckt in Firmennetze einzuschleusen.
Um potenzielle Brute-Force-Angriffe im Auge behalten zu können, müssen Unternehmen im Falle wiederholter und auffälliger Anmeldeversuche gewarnt werden. Verdächtige Verhaltensmuster sind beispielsweise Login-Versuche mehrerer Accounts von einem Endpunkt aus. Der IT-Sicherheitsbeauftrage sollte auch aufmerksam werden, falls ein bestimmter Account versucht, sich innerhalb kurzer Zeit von mehreren Endgeräten aus anzumelden.
Beides sind Anzeichen für automatisierte Angriffe. Darüber hinaus sollten Unternehmen auf Spitzen bei fehlgeschlagenen Anmeldeaktivitäten reagieren, die ein weiteres Anzeichen für einen Brute-Force-Angriff sein können. Die Angriffstechnik probiert so lange willkürliche Passwörter aus, bis sie einen Glückstreffer erzielt. Kein Mitarbeiter versucht hunderte Male mit einem falschen Passwort in das Firmennetz zu gelangen.
Gewährleisten Sie die Sicherheit von ADFS, VPN und Proxy-Servern
Menschen nutzen Cloud-Anwendungen und VPN-Tunnel derzeit viel häufiger, damit ihre Produktivität auch beim Arbeiten von zuhause aus gewährleistet bleibt. ADFS, VPN, Proxies und andere wichtige Dienste haben sich zu einem Teil des IT-Kerngeschäfts entwickelt und sind somit zu einem verlockenden Ziel für Hacker geworden, welche die bekannten Sicherheitslücken ausnutzen können.
Unternehmen müssen ihre Server auf Sicherheitslücken abklopfen, die von Angreifern ausgenutzt werden können. Sie sollten die weitverbreitetsten Schwachstellen unter die Lupe nehmen, wie beispielsweise veraltete Antivirenprogramme, fehlende Aktualisierungen von Betriebssystemen oder schädliche Software, die unbemerkt ins Firmennetz eingeschleust wurde.
Als zusätzliche Sicherheitsmaßnahme, die potenzielle Angreifer abwehrt und stundenlange Ermittlungsarbeit erspart, können Unternehmen Aufzeichnungen von Nutzersessions auf kritischen Servern erstellen. Wenn Angreifer trotz ausgelöster Warnmeldung nicht von ihrem Vorhaben ablassen, können IT-Experten sehen, was sich vom Zeitpunkt der Anmeldung bis zur Abmeldung abgespielt hat.
So können beispielsweise Sitzungen, die außerhalb eines geplanten Fensters stattfanden, oder Programme, die Angreifer ohne Whitelisting starten, nachvollzogen werden. Ein in flagranti ertappter Einbruchsversuch kann so im besten Falle direkt vereitelt werden. Falls das nicht gelingen sollte, so kann man durch die Aufzeichnungen die verursachten Schäden nachvollziehen und kompromittierte Systeme in kürzester Zeit wiederherstellen.
Erhöhung von Privilegien
In der Regel gefährden Hacker die Zugänge normaler Mitarbeiter, die über keine weitreichenden Berechtigungen verfügen. Angreifer sind deshalb oft dazu gezwungen einen Weg zu finden, ihre Privilegien zu erhöhen, um an wertvolle Daten zu gelangen. Dieser Schritt ist bei vielen Angriffsarten essenziell. Daher müssen Unternehmen schnell auf solche Vorfälle reagieren.
Wenn Benutzer einer bestimmten privilegierten Gruppe hinzugefügt werden sollte pauschal untersucht werden, ob es sich dabei um einen legitimen Vorgang handelt. Besonders temporäre Benutzer in privilegierten Gruppen geben Anlass zur Skepsis. Sie werden für kurze Zeit mit besonderen Zugriffsrechten versehen, die ihnen nach vollzogenem Angriff wieder entzogen werden. Dabei handelt es sich um ein klares Zeichen, dass jemand versucht seine Spuren zu verwischen.
Ransomware-Aktivität
Seit Ausbruch der Krise konnte ein Anstieg von Domain-Registrierungen und Phishing-E-Mails im Zusammenhang mit COVID-19 beobachtet werden, bei denen sich Malware in scheinbar nützlichen Inhalten verbirgt. Die Pandemie machte die Menschen in Bezug auf solche Täuschungstaktiken leichtgläubiger, so dass Ransomware wieder zurück an der Front ist.
Es gibt keinen einfachen Weg, das Eindringen von Ransomware zu verhindern, weil sie in den meisten Fällen von unaufmerksamen Mitarbeitern eingeschleust wird. Daher ist eine rechtzeitige Erkennung solcher Aktivitäten besonders wichtig. Unternehmen müssen gewarnt werden, wenn in kurzer Zeit überdurchschnittlich viele Dateien gelesen, verändert oder gelöscht werden.
Was proaktive Maßnahmen betrifft, so sollten Unternehmen neben den naheliegenden kontinuierlichen Benutzerschulungen dem Prinzip der minimalen Zugriffsrechte folgen und zusätzlich jeden Benutzer daran hindern, fremde Programme in Eigenregie zu installieren oder auszuführen. Diese einfachen Maßnahmen reduzieren die Wahrscheinlichkeit, Opfer von Ransomware-Angriffen zu werden ganz erheblich.
Kompromittierte Kontobewegungen
Die Umstellung von Büroarbeit auf Fernzugriff wird wahrscheinlich zu ersten Veränderungen der Zugriffsmuster von Benutzern führen, was sich für die Angreifer, die sich hinter kompromittierten Konten verbergen, als er erleichternder Umstand erweist.
Unternehmen, die ML-basierte Lösungen zur Erkennung von Verhaltensanomalien verwenden, müssen in den ersten Wochen nach dem flächendeckenden Umzug ins Home Office von einer höheren Anzahl an falsch-positiven Warnungen ausgehen. Der Algorithmus muss sich erst noch an die veränderten Zugriffsmuster gewöhnen und neue Anomalien definieren.
Es lohnt sich jedoch immer, auf abnormales Verhalten zu achten – insbesondere, wenn es um sensible Daten geht. Unternehmen müssen genau wissen, an welchem Speicherort sich vertrauliche Informationen befinden und wer was mit diesen Informationen macht. Nur wenn ein unbefugter Zugriff erkannt wird, kann er unterbunden und mögliche Schäden schnell behoben werden.