Zum Inhalt springen Zur Navigation springen
Webinar: Cyberattacken – Szenarien & Best Practices

Webinar: Cyberattacken – Szenarien & Best Practices

Kaum ein Monat vergeht, in dem die Medien nicht über die nächste kritische Sicherheitslücke in IT-Systemen berichten. Und dabei stellt deren Ausnutzung bei Cyberattacken nur die Spitze des Eisbergs dar. Dennoch treffen wir in der Praxis immer noch häufig auf Verantwortliche, die sich scheuen, vorab in Maßnahmen der Risikominderung zu investieren. Erst bei der Aufarbeitung des IT-Sicherheitsvorfalls kommt dann die Erkenntnis: Hätten wir das mal früher gewusst.

Cyberattacke: Wie alles beginnt

Geht man das Thema Cyberattacke chronologisch an, so beginnt es für die Angreifer mit dem Finden von Einfallstoren. Ganz vorne mit dabei ist das Phishing. Es wird geschätzt, dass an etwa 91 % aller Cyberangriffe mit einer Phishing-E-Mail beginnen. Allein in Deutschland wurden im Jahre 2020 laut BSI rund 1,5 Milliarden solcher E-Mails täglich versandt.

Mit dem seitdem anwachsenden Markt an AI-Lösungen ist davon auszugehen, dass diese Zahlen sich mehr als verdreifacht haben. Dies lässt sich auch durch den Global Threat Report 2024 von Crowdstrike-Sicherheitsforschern belegen, in dem von etwa 7.1 Milliarden täglich empfangenen Phishing-Mails in Deutschland gesprochen wird.

Grob zusammengefasst handelt es sich bei einer Phishing-Mail um eine E-Mail, die vom Angreifer versandt wird und in der dieser vortäuscht, jemand anderes zu sein. Dadurch soll der Empfänger der Mail dazu verleitet werden, Informationen preiszugeben, die im weiteren Verlauf des Angriffs verwendet werden können. So kann es sein, dass sich der Angreifer als ein Vorgesetzter ausgibt, der das Opfer unmittelbar nach Geld fragt. Bei diesem Beispiel ist in der Regel sowohl der Schaden überschaubar als auch die Methode auffällig, da spätestens nach der Zahlung der Betrug auffällt.

Es kann aber auch genauso gut sein, dass sich der Angreifer als Kollege oder Geschäftspartner ausgibt, der dem Opfer eine Datei zur Ansicht schicken möchte. Hinter dem Link steckt jedoch statt einem legitimen Dokument entweder

  1. eine Anmeldemaske, die dem Diebstahl von Anmeldedaten für (beispielsweise) Microsoft 365 dient;
  2. oder aber eine herunterladbare Datei, die dem Angreifer eine Backdoor verschafft, über die dieser auf das System des Opfers zugreifen kann.

Zwei mögliche Verläufe der Cyberattacke

Beim Ersteren läuft es meist darauf hinaus, dass Daten aus dem Microsoft 365 Tenant entwendet werden und anschließend der Exchange-Online-Dienst genutzt wird, um die Phishing-Attacke auf die gefundenen Kontakte weiter auszubreiten und so Zugriff auf weitere Tenants zu erlangen.

Erlangt ein Angreifer jedoch Zugriff auf einen Rechner im Unternehmensnetzwerk, indem er die platzierte Backdoor ausnutzt, so kann er über laterale Bewegung im Netzwerk unter Umständen Zugriff auf weitere Systeme gewinnen und sich über sogenannte Privilege Escalation erweiterte Rechte zuweisen. Hat der Angreifer erstmal einen Domain Controller unter seiner Kontrolle, lässt sich von hier aus der nächste Schritt des Angriffs ausführen.

Die Verschlüsselung durch Ransomware

Der Angreifer kann vom Domain Controller aus nicht nur besonders praktisch nach interessanten Systemen und damit auch nach sensiblen Daten suchen, um diese im Nachgang zu exfiltrieren, sondern er kann auch zentral seine Ransomware starten, um die Systeme zu verschlüsseln. Aber wozu sollte er das wollen?

Double Extortion

Unter dem Stichwort Double Extortion versteht man die Erpressung des Opfers auf doppeltem Weg. Hierbei wird nicht nur damit Druck ausgeübt, dass sensible Daten abgeflossen sind und diese ggfs. weiterverkauft oder einfach im Darknet veröffentlicht werden (sollte das Opfer ein angesetztes Lösegeld nicht zahlen wollen). Vielmehr wird auch im letzten Schritt eine Ransomware auf allen möglichen Systemen ausgeführt, die diese zu solch einem Grad verschlüsselt, dass sie zwar noch hochfahren, aber nicht mehr zum Arbeiten genutzt werden können. Das dient sowohl dazu, Zeit bei der Verschlüsselung zu sparen, ermöglicht aber auch, dem Opfer ein Schreiben zu hinterlassen, in dem die Forderungen formuliert sind, und gleichzeitig aufzuzeigen, wie fatal es um seine Daten ist.

Das Erpresserschreiben

Diese sogenannte Ransom-Note liegt dann auf möglichst allen Ebenen des Systems als nicht zu übersehende Text-Datei. Der Inhalt unterscheidet sich je nach Angreifergruppe. Sie beinhaltet aber fast immer eine zu zahlende Summe, die in Kryptowährung beglichen werden soll, eine Onionbrowser-Adresse, über die Kontakt zum Angreifer aufgenommen werden kann, und eine Anleitung, wie diese Adresse aufzurufen ist.

Kontaktaufnahme durch die Angreifer

Obwohl dringend dazu geraten wird, die Erpressersumme nicht zu zahlen, gibt es gewiss Fälle, in denen der wirtschaftliche Schaden um so einen Faktor größer ausfällt, wenn dies nicht geschieht, dass Unternehmen doch auf das Angebot eingehen und den Betrag zahlen.

Dabei ist es vermutlich auch hilfreich zu wissen, dass Angreifer bei einer Kontaktaufnahme durch das Opfer auch mal bereit sind, in Verhandlungen zu gehen und die anfangs genannte Summe, je nach Kooperation, nochmal um einen signifikanten Betrag gesenkt werden kann.

Aber selbst wenn nicht beabsichtigt wird, ein Lösegeld zu zahlen, kann es sinnvoll sein, den Kontakt zu den Angreifern aufzunehmen, um so etwas Zeit für die Aufarbeitung des Vorfalls zu gewinnen, bevor die Daten im Darknet veröffentlicht werden.

Es durch Prävention erst gar nicht dazu kommen lassen

Besser als entscheiden zu müssen, ob und wie viel man als Unternehmen bereit ist zu zahlen, ist es natürlich, es erst gar nicht so weit kommen zu lassen. Dafür existieren einige technische und organisatorische Maßnahmen, wie etwa Netzwerksegmentierung, Berechtigungskonzepte oder ein geeignetes Backupkonzept, aber auch organisatorische Maßnahmen, wie etwa Notfallsimulationen, Notfallpläne oder allgemeine Awareness Schulungen der Mitarbeiter.

Webinar zum Thema: Deep Dive Cybersecurity Reloaded

Diese und weitere Maßnahmen sowie einen praxisnahen Einblick in das Thema Cyberangriffe werden wir Ihnen als Gast in der Best Practices-Serie von Taylor Wessing präsentieren. Dabei liegt unser Hauptaugenmerk auf dem Management von IT-Risiken. Wir zeigen Abläufe und Verfahren der Angreifer, die uns im Rahmen der Incident Response begegnen, stellen präventive Maßnahmen vor und berichten über Fallstricke bei der Aufarbeitung von IT-Sicherheitsvorfällen, die ein Unternehmen kennen sollte.

Wir laden Sie herzlich zur Teilnahme ein. Interessierte haben die Möglichkeit, sich über den folgenden Link für das Webinar anzumelden. Die Veranstaltung ist kostenlos.

Dienstag, den 03. September 2024
von 12:00 bis 13:00 Uhr

Hier können Sie sich anmelden

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.