LackyVis - stock.adobe.com

Wie können Unternehmen Island-Hopping-Attacken begegnen?

Bei Island-Hopping-Attacken nehmen die Angreifer zuerst die Systeme eines IT-Dienstleisters ins Visier und dringen dann darüber in das Netz ihres eigentlichen Opfers ein.

Unternehmen müssen sich vor einer Vielzahl an unterschiedlichen Angriffsmöglichkeiten schützen, mit denen Hacker in ihr Netzwerk gelangen können. Eine der dabei in letzter Zeit häufiger zu beobachtenden Methoden basiert auf einer zunächst gegen eine Drittpartei durchgeführten Attacke, die Zugriff auf das Firmennetz hat. Im englischen Sprachgebrauch werden diese Art von Angriffen auch als Island Hopping bezeichnet, weil sich die Eindringlinge dabei wie von einer Insel hüpfend zu einer anderen bewegen. Sie sind eine Ergänzung zu Angriffen, bei denen erst schlechter gesicherte interne Maschinen ins Visier genommen werden oder bei denen sich die Eindringlinge lateral durch das Netzwerk bewegen, also direkt von Host zu Host springen.

Eine Island-Hopping-Attacke tritt auf, wenn sich ein Angreifer Zugang zu einer vertrauenswürdigen Drittpartei verschafft, die ihrerseits einen Zugriff auf das fragliche Firmennetz hat. Bei vielen IT-Dienstleistern ist das der Fall, wenn sie sich etwa um die Wartung der Systeme im Unternehmen kümmern. Dieser erste Erfolg wird dann verwendet, um weiter in die IT-Umgebung der ausgewählten Firma vorzudringen. Angriffe, bei denen Systeme von Dritten als Startpunkt genutzt werden, ähneln immer wieder auch Attacken durch Insider. Aus diesem Grund werden sie von Sicherheitsmaßnahmen am Perimeter nicht in jedem Fall aufgehalten.

Wie eine Island-Hopping-Attacke durchgeführt wird

Ein Angreifer, der sich gegen ein bestimmtes Unternehmen richtet, kann eine Island-Hopping-Attacke nutzen, um sich einen ersten Zugang zu dem Netzwerk zu verschaffen. Von dort kann aus er sich dann weiter voran arbeiten, um Zugriff auf weitere lokale Netzwerke, geistige Eigentümer oder andere sensible Daten zu erhalten. Dazu sucht er zuerst nach Firmen, die Dienstleistungen für ihn interessende Kunden bereitstellen. In der Folge attackiert er zuerst den Provider, um über ihn an sein eigentliches Opfer heranzukommen.

Strategien zum Schutz vor Island Hopping

  • Backups sind essentiell, wenn es um den Schutz vor Island-Hopping-Attacken geht. Korrekt funktionierende Datensicherungen sorgen dafür, dass etwa Ransomware-Angriffe oder andere Attacken ins Leere laufen.
  • Etwa gleich wichtig ist ein bereits im Vorfeld genau definiertes Vorgehen im Falle eines Security-Alarms. Dieser Plan kann dann sofort in Kraft treten, wenn ein Angriff festgestellt wurde.
  • Weiteren Schutz bietet das Zero-Trust-Modell zusammen mit einer Multifaktor-Authentifizierung und der Segmentierung des Netzwerks. Diese Kontrollen sorgen dafür, dass ein Angreifer keinen zusätzlichen Zugriff auf andere Bereiche des Firmennetzes erhält.

Erstellung eines Incident-Response-Plans gegen Island Hopping

Wenn es um die Erstellung eines Incident-Response-Plans gegen Island-Hopping-Attacken geht, gibt es mehrere Punkte, die eingebracht werden sollten. Zunächst sollten die Log-Dateien der betroffenen Systeme untersucht werden. So finden Sie heraus, welche weiteren Zugriffe es gab. Sobald ein Angreifer erst einmal seinen Fuß in ein Firmennetz bekommen hat, kann er diesen Zugang nutzen, um sich im gesamten Netzwerk festzusetzen. Häufig werden dafür sogenannte Watering-Hole-Attacken verwendet, bei denen sich der Eindringling von System zu System weiter voran arbeitet. Dabei werden zum Beispiel Hacker-Tools wie Mimikatz eingesetzt, um Passwörter zu knacken.

Unternehmen benötigen Werkzeuge zum Netzwerk- und Endpoint-Monitoring, um diese Art von Angriffen frühzeitig erkennen und stoppen zu können. Sie helfen ihnen auch dabei herauszufinden, wie umfangreich die Attacke ist und auf welche Systeme dabei zugegriffen wurde. Ein Überwachen neu angelegter Accounts und aller Änderungen an Systemen kann ebenfalls Hinweise darauf liefern, falls ein Benutzerkonto kompromittiert wurde. So lassen sich Island-Hopping-Attacken schneller stoppen. Um einen hartnäckigen Hacker aber wirklich aufzuhalten, sollten dieselben Maßnahmen auf die beteiligte dritte Partei ausgedehnt werden, die auf das Firmennetz oder auf von dem Unternehmen genutzte Cloud-Dienste Zugriff hat. Der Dienstleister sollte also ebenfalls seine Logs und Systeme überprüfen und bereinigen. Die meisten Kunden haben darauf allerdings keinen direkten Zugriff. Sie sollten jedoch auf eine Kooperation dringen.

Nächste Schritte

Was ist ein Port-Scan-Angriff und wie kann man sich schützen?

Wie kann man Angriffe mit dateiloser Schadsoftware erkennen?

So nutzen Hacker legitime Tools für Angriffe

Erfahren Sie mehr über Bedrohungen