Was ist ein Cyberangriff?

Die Beweggründe für Cyberangriffe können unterschiedlich sein, aber es gibt drei Hauptkategorien: 

1. Kriminell
2. Politisch 
3. Persönlich

Kriminell motivierte Angreifer streben nach finanziellem Gewinn durch Gelddiebstahl, Datendiebstahl oder Betriebsunterbrechung. Cyberkriminelle können sich in ein Bankkonto hacken, um direkt Geld zu stehlen, oder sie nutzen Social Engineering, um Menschen dazu zu bringen, ihnen Geld zu schicken. Hacker können Daten stehlen und sie für Identitätsdiebstahl nutzen oder sie im Dark Web verkaufen.

Erpressung ist eine weitere Taktik, die verwendet wird. Hacker können Ransomware, DDoS-Angriffe oder andere Methoden nutzen, um Daten oder Geräte als „Geisel“ zu halten, bis ein Unternehmen ein Lösegeld zahlt. Laut dem jüngsten X-Force Threat Intelligence Index betrafen 32 Prozent der Cybervorfälle jedoch den Diebstahl und Verkauf von Daten und nicht die Verschlüsselung zur Erpressung.

Persönlich motivierte Angreifer, z. B. verärgerte aktuelle oder ehemalige Mitarbeiter, suchen in erster Linie Vergeltung für eine vermeintliche Kränkung. Sie können Geld erbeuten, vertrauliche Daten stehlen oder die Systeme eines Unternehmens stören.

Politisch motivierte Angreifer werden oft mit Cyberkrieg, Cyberterrorismus oder „Hacktivismus“ in Verbindung gebracht. In der Cyberkriegsführung zielen nationalstaatliche Akteure häufig auf die Regierungsbehörden oder kritischen Infrastrukturen ihrer Feinde ab. Seit Beginn des Russland-Ukraine-Krieges kam es in beiden Ländern beispielsweise schon zu mehreren Cyberangriffen auf wichtige Institutionen (Link befindet sich außerhalb ibm.com). Aktivistische Hacker, sogenannte „Hacktivisten“, fügen ihren Opfern keinen großen Schaden zu. Stattdessen machen sie in der Regel auf ihre Anliegen aufmerksam, indem sie ihre Angriffe in der Öffentlichkeit bekannt machen.

Zu den selteneren Beweggründen für Cyberangriffe gehören Unternehmensspionage, bei der Hacker geistiges Eigentum stehlen, um sich einen unfairen Vorteil gegenüber der Konkurrenz zu verschaffen, und sogenannte Red-Hat-Hacker, die die Sicherheitslücken eines Systems ausnutzen, um andere vor ihnen zu warnen. Und dann gibt es noch eine letzte Kategorie – nämlich Hacker, die einfach nur die intellektuelle Herausforderung genießen.

Sowohl kriminelle Organisationen als auch staatliche Akteure und Privatpersonen können Cyberangriffe starten. Eine Möglichkeit, diese Akteure zu klassifizieren, besteht darin, zwischen externen und internen Akteuren zu unterscheiden.

Externe Akteure sind nicht berechtigt, ein Netzwerk oder ein Gerät zu nutzen, dringen aber trotzdem in sie ein. Zu den externen Cyberbedrohungsakteuren gehören organisierte kriminelle Gruppen, professionelle Hacker, staatliche Akteure, Amateur-Hacker und Hacktivisten.

Interne Akteure sind Benutzer, die autorisierten und legitimen Zugang zu den Assets eines Unternehmens haben und ihre Privilegien absichtlich oder unbeabsichtigt missbrauchen. Diese Kategorie umfasst Mitarbeiter, Geschäftspartner, Kunden, Auftragnehmer und Anbieter mit Systemzugriff.

Während fahrlässige Benutzer ihre Unternehmen gefährden können, handelt es sich nur dann um einen Cyberangriff, wenn der Benutzer seine Privilegien absichtlich für böswillige Aktivitäten nutzt. Ein Mitarbeiter, der nachlässig ist und vertrauliche Informationen auf einem nicht gesicherten Laufwerk speichert, begeht keinen Cyberangriff – aber ein verärgerter Mitarbeiter, der wissentlich Kopien vertraulicher Daten zur persönlichen Bereicherung anfertigt, schon. 

Bedrohungsakteure brechen in der Regel in Computernetze ein, weil sie hinter etwas Bestimmtem her sind. Die häufigsten Ziele sind:

• Geld
• Finanzdaten von Unternehmen
• Kundenverzeichnisse
• Kundendaten, einschließlich personenbezogene Daten (Personally Identifiable Information; PII) oder andere vertrauliche Daten
• E-Mail-Adressen und Anmeldeberechtigungsnachweise
• Geistiges Eigentum, wie Geschäftsgeheimnisse oder Produktentwicklungen

In einigen Fällen möchten Cyberangreifer überhaupt nichts stehlen. Vielmehr wollen sie Informationssysteme oder die IT-Infrastruktur stören, um ein Unternehmen, eine Regierungsbehörde oder ein anderes Ziel zu schädigen. 

Cyberkriminelle verwenden viele ausgeklügelte Tools und Techniken, um Cyberangriffe auf die IT-Systeme von Unternehmen, private PCs und andere Ziele zu initiieren. Zu den häufigsten Arten von Cyberangriffen gehören:

Malware ist eine Schadsoftware, die dazu führt, dass infizierte Systeme nicht mehr funktionsfähig sind. Malware kann Daten vernichten, Informationen stehlen oder sogar Dateien löschen, die für ein funktionierendes Betriebssystem unerlässlich sind. Malware gibt es in vielen Formen, darunter:

• Trojanische Pferde sind als nützliche Programme getarnt oder verstecken sich in legitimer Software. Ziel ist es, Benutzer zur Installation zu verleiten. Ein Remote-Access-Trojaner (RAT) schafft eine geheime Hintertür auf dem Gerät des Opfers, während ein Dropper-Trojaner zusätzliche Malware installiert, sobald er Fuß gefasst hat.
  
  
• Ransomware ist hochentwickelte Malware, die starke Verschlüsselung nutzt, um Daten oder Systeme in Geiselhaft zu nehmen. Als Gegenleistung für die Freigabe des Systems und die Wiederherstellung der Funktionalität verlangen Cyberkriminelle dann eine entsprechende Lösegeldzahlung. Laut dem X-Force Threat Intelligence Index von IBM ist Ransomware mit 17 % aller Angriffe die zweithäufigste Art von Cyberangriff.
  
  
• Scareware verwendet gefälschte Nachrichten, um Opfern Angst zu machen und sie dazu zu bringen, Malware herunterzuladen oder vertrauliche Informationen an einen Betrüger weiterzugeben.
  
  
• Spyware ist eine Art Malware, die vertrauliche Informationen wie Benutzernamen, Kennwörter und Kreditkartennummern heimlich erfasst. Diese Informationen werden dann an den Hacker gesendet.
  
  
• Rootkits sind Malware-Pakete, mit denen Hacker Administrator-Zugriffsrechte auf das Betriebssystem oder andere Assets eines Computers erhalten können.
  
  
• Computerwürmer sind sich selbst replizierender schädlicher Programmcode, der sich automatisch zwischen Apps und Geräten verbreiten kann. 

Social-Engineering-Angriffe bringen Menschen dazu, Dinge zu tun, die sie nicht tun sollten, z. B. Informationen weiterzugeben, die sie nicht weitergeben sollten, Software herunterzuladen, die sie nicht herunterladen sollten, oder Geld an Kriminelle zu senden.

Phishing ist einer der am weitesten verbreiteten Social-Engineering-Angriffe. Dem Bericht „Cost of a Data Breach“ zufolge ist er die zweithäufigste Ursache für Datenschutzverletzungen. Ein typischer Phishing-Scam verwendet gefälschte E-Mails oder Textnachrichten, um die Anmeldedaten von Benutzern zu stehlen, vertrauliche Daten auszuspionieren oder Malware zu verbreiten. Phishing-Nachrichten sehen oft so aus, als würden sie von einer legitimen Quelle stammen. In der Regel werden die Opfer aufgefordert, auf einen Hyperlink zu klicken, der sie auf eine schädliche Website führt, oder einen E-Mail-Anhang zu öffnen, der sich als Malware entpuppt.

Cyberkriminelle haben aber auch komplexere Phishing-Methoden entwickelt. Spear-Phishing ist ein sehr gezielter Angriff, der eine bestimmte Person manipuliert, oft indem Informationen aus den öffentlichen Social-Media-Profilen des Opfers verwendet werden, um die Täuschung überzeugender zu machen. Whale Phishing ist eine Art des Spear-Phishing, die speziell auf hochrangige Unternehmensvertreter abzielt. Bei einem BEC-Betrug (Business Email Compromise) stellen sich Cyberkriminelle als Führungskräfte, Lieferanten oder andere Geschäftspartner heraus, um Opfer dazu zu verleiten, Geld zu überweisen oder sensible Daten preiszugeben. 

Denial-of-Service (DoS)- und Distributed Denial-of-Service (DDoS)-Angriffe fluten die Ressourcen eines Systems mit betrügerischem Datenverkehr. Dieser überlastet das System, senkt seine Leistungsfähigkeit und verhindert Antworten auf legitime Anfragen. Ein Denial-of-Service-Angriff kann einzeln durchgeführt werden (sozusagen als Selbstzweck) oder als Mittel, um von einem weiteren Angriff abzulenken.

Der Unterschied zwischen DoS-Attacken und DDoS-Angriffen besteht einfach darin, dass Erstere eine einzige Quelle nutzen, um betrügerischen Datenverkehr zu generieren, während Letztere mehrere Quellen verwenden. DDoS-Angriffe werden häufig mit einem Botnet durchgeführt, einem Netz aus mit dem Internet verbundenen und mit Malware infizierten Geräten, das von einem Hacker kontrolliert wird. Botnets können Laptops, Smartphones und IoT-Geräte (Internet der Dinge) enthalten. Opfer wissen oft nicht, wann ein Botnet ihre Geräte gekapert hat.

Eine Kontokompromittierung ist ein Angriff, bei dem Hacker das Konto eines legitimen Benutzers für böswillige Aktivitäten nutzen. Cyberkriminelle können auf viele verschiedene Arten in das Konto eines Benutzers eindringen. Sie können Berechtigungsnachweise durch Phishing-Angriffe stehlen oder gestohlene Passwortdatenbanken im Dark Web kaufen. Sie können Tools wie Hashcat und John the Ripper verwenden, um Kennwortverschlüsselungen zu knacken, oder Brute-Force-Attacken durchführen, bei denen sie automatisierte Skripte oder Bots ausführen, um potenzielle Kennwörter zu generieren und zu testen, bis eines funktioniert.

Bei einem Man-in-the-Middle-Angriff (MiTM), auch Janusangriff genannt, fängt ein Hacker heimlich die Kommunikation zwischen zwei Personen oder zwischen einem Benutzer und einem Server ab. MitM-Angriffe werden häufig über ungesicherte öffentliche WLAN-Netzwerke durchgeführt, in denen es für Bedrohungsakteure relativ einfach ist, den Datenverkehr auszuspionieren.

Hacker können die E-Mails eines Benutzers lesen oder die E-Mails sogar heimlich ändern, bevor sie den Empfänger erreichen. Bei einem Session-Hijacking-Angriff unterbricht der Hacker die Verbindung zwischen einem Benutzer und einem Server, auf dem wichtige Assets wie eine vertrauliche Unternehmensdatenbank gehostet werden. Der Hacker tauscht seine IP-Adresse mit der des Benutzers aus, sodass der Server glaubt, dass es sich um einen legitimen Benutzer handelt, der bei einer legitimen Sitzung angemeldet ist. Dies gibt dem Hacker freie Hand, um Daten zu stehlen oder andere Schäden zu verursachen. 

Angriffe auf die Lieferkette sind Cyberangriffe, bei denen Hacker in ein Unternehmen eindringen, indem sie dessen Softwareanbieter, Materiallieferanten und andere Dienstleister ins Visier nehmen. Da diese oft auf die ein oder andere Weise mit den Netzen ihrer Kunden verbunden sind, können Hacker das Netz dieser Anbieter als Angriffsvektor nutzen, um auf mehrere Ziele gleichzeitig zuzugreifen.

Beispielsweise haben russische staatliche Akteure im Jahr 2020 den Softwareanbieter SolarWinds gehackt und unter dem Deckmantel eines Software-Updates Malware an dessen Kunden gesendet (Link befindet sich außerhalb von ibm.com). Die Malware ermöglichte es russischen Spionen, über die Dienste von SolarWinds auf die vertraulichen Daten verschiedener US-Regierungsbehörden zuzugreifen, darunter das Finanz-, Justiz- und Außenministerium. 

Unternehmen können Cyberangriffe durch Cybersicherheitssysteme und -strategien reduzieren. Unter Cybersicherheit versteht man den Schutz kritischer Systeme und vertraulicher Informationen vor digitalen Angriffen durch eine Kombination aus Technologie, Mitarbeitern und Prozessen. 

Viele Unternehmen implementieren eine Bedrohungsmanagementstrategie, um ihre wichtigsten Assets und Ressourcen zu identifizieren und zu schützen. Bedrohungsmanagement kann verschiedene Richtlinien und Sicherheitslösungen umfassen, etwa:

• Plattformen und Richtlinien für das Identity und Access Management (IAM), einschließlich des Zugriffsprinzip der geringsten Berechtigung, der Multi-Faktor-Authentifizierung und starker Kennwortrichtlinien, können sicherstellen, dass nur bestimmte Personen Zugriff auf bestimmte Ressourcen haben. Unternehmen können auch verlangen, dass Remote-Mitarbeiter virtuelle private Netze (VPNs) verwenden, wenn sie über ungesichertes WLAN auf sensible Ressourcen zugreifen.
   
• Eine umfassende Datensicherheitsplattform und DLP-Tools (Data Loss Prevention) können vertrauliche Daten verschlüsseln, deren Zugriff und Nutzung überwachen und Alerts auslösen, wenn verdächtige Aktivitäten erkannt werden. Unternehmen können auch regelmäßige Daten-Backups durchführen, um Schäden zu minimieren, wenn eine Datenschutzverletzung vorliegt.
  
  
• Firewalls können dabei helfen, Akteure, von denen eine Sicherheitsbedrohung ausgeht, von vornherein daran zu hindern, in das Netz einzudringen. Firewalls können auch schädlichen Datenverkehr blockieren, der aus dem Netz stammt, z. B. Malware, die versucht, mit einem Command-and-Control-Server zu kommunizieren.
   
• Schulungen zum Sicherheitsbewusstsein können Nutzern helfen, einige der häufigsten Cyberangriffsarten wie Phishing und andere Social-Engineering-Angriffe zu erkennen und zu vermeiden.
  
  
• Richtlinien für das Schwachstellenmanagement, einschließlich Patch-Management-Plänen und regelmäßigen Penetrationsprüfungen, können dabei helfen, Sicherheitslücken zu erkennen und zu schließen, bevor Hacker sie ausnutzen können.
  
  
• ASM-Tools (Attack Surface Management) können potenziell anfällige Ressourcen identifizieren, katalogisieren und beheben, bevor Cyberangreifer sie finden.
  
  
• Unified-Endpoint-Management- bzw. UEM-Tools können Sicherheitsrichtlinien und -kontrollinstrumente für alle Endpunkte im Unternehmensnetz einführen, darunter Laptops, Desktops und mobile Geräte.

Da es unmöglich ist, Cyberangriffe gänzlich zu verhindern, sollten Unternehmen eine kontinuierliche Sicherheitsüberwachung und Verfahren zur frühzeitigen Erkennung von Angriffen einsetzen, um laufende Cyberangriffe zu identifizieren und auf sie aufmerksam zu machen. Einige Beispiele:

• SIEM-Systeme (Security Information and Event Management) zentralisieren und verfolgen Alerts von verschiedenen internen Cybersicherheitstools, darunter Intrusion Detection Systems (IDS), Endpoint Detection and Response Systems (EDR) und andere Sicherheitslösungen.
  
  
• Threat-Intelligence-Plattformen bereiten Sicherheitsalarme auf, damit sie Sicherheitsteams dabei helfen, die Arten von Cybersicherheitsbedrohungen zu verstehen, mit denen sie konfrontiert werden könnten.
  
  
• Antivirus-Software kann Computersysteme regelmäßig auf Schadprogramme scannen und automatisch identifizierte Malware löschen.
  
  
• Proaktive Bedrohungsjagdprozesse können Cyberbedrohungen in einem Netz aufspüren, wie z. B. persistente komplexe Bedrohungen (Advanced Persistent Threats; APTs).

Unternehmen können auch Maßnahmen ergreifen, um eine geeignete Reaktion auf laufende Cyberangriffe und andere Cybersicherheitsvorfälle zu gewährleisten. Einige Beispiele:

• Incident-Response-Pläne können helfen, verschiedene Arten von Cyberangriffen einzudämmen und zu beseitigen, betroffene Systeme wiederherzustellen und die Ursachen für den Vorfall zu analysieren, um künftige Angriffe zu verhindern. Es ist erwiesen, dass Incident-Response-Pläne die Gesamtkosten von Cyberangriffen senken. Dem Bericht „Cost of a Data Breach“ zufolge haben Unternehmen mit formalen Incident-Response-Teams und -Plänen im Durchschnitt 58 % weniger Kosten für Datenschutzverletzungen.
  
  
• SOAR-Lösungen (Security Orchestration, Automation and Response) ermöglichen Sicherheitsteams, unterschiedliche Sicherheitstools in halb- oder vollautomatische Playbooks aufzunehmen, um in Echtzeit auf Cyberangriffe zu reagieren.
  
  
• Extended-Detection-and-Response- bzw. XDR-Lösungen integrieren Sicherheitstools und -vorgänge auf allen Sicherheitsebenen – Benutzern, Endpunkten, E-Mails, Anwendungen, Netzen, Cloud-Workloads und Daten. XDRs können dazu beitragen, komplexe Prozesse zur Verhinderung, Erkennung und Untersuchung von Cyberangriffen und zur Reaktion darauf (einschließlich der proaktiven Bedrohungsjagd) zu automatisieren.