lolloj - Fotolia
Die Evolution der Cyber Kill Chain
Kriminelle passen ihre Vorgehensweise schnell an neue Situationen an und verbringen viel Zeit mit dem Auskundschaften. Unternehmen müssen sich auf die Security-Grundlagen besinnen.
Seit Anfang 2020 hat sich die Bedrohungslage in Sachen Cyberkriminalität verschärft, unter anderem da Kriminelle ihre Taktiken als Reaktion auf die Pandemie angepasst haben. Da immer mehr Mitarbeiter von zu Hause aus arbeiten, sind die traditionellen Sicherheitsvorkehrungen, auf die sich Unternehmen verlassen haben, nicht mehr ausreichend – etwa Systeme zum Schutz und zur Erkennung von Eindringlingen, Firewalls in Unternehmensqualität, Systeme zum Schutz vor Datenverlust, Schwachstellenscans und Patch-Management sowie ein sicheres Netzwerk.
Doch wie nutzen Angreifer diese Lage für sich aus? Die kriminelle Cyber Kill Chain besteht grundsätzlich aus sieben Hauptgliedern: Auskundschaftung, Bewaffnung, Lieferung, Ausbeutung, Aufstellung, Befehl, beziehungsweise Kontrolle sowie schließlich dem Einleiten der Maßnahmen, die sich gegen ihr jeweiliges Ziel richten. Da Mitarbeiter, die von zu Hause aus arbeiten, oft nicht dasselbe Maß an IT-Sicherheit genießen wie im Büro, sind sie anfälliger für Hacker. In Zeiten, in denen die Belegschaft vieler Unternehmen zunehmend von verschiedenen Standorten aus arbeitet, investieren Cyberkriminelle mehr Zeit in die Cyber-Kill-Chain-Phasen, was eine große Bedrohung für die Unternehmenssicherheit darstellt.
In vielen Fällen machen sich die Angreifer die weiterhin vorherrschende Verunsicherung zunutze, indem sie Köder verwenden, die sich auf die aktuelle Pandemie beziehen. Zum Beispiel durch den Versand von Phishing-E-Mails, die mit gefälschten Informationen zu COVID-19 verbunden sind, wie zum Beispiel Einladungen zu Impfterminen. Da zu wenige Unternehmen Phänomenen wie diesen Aufmerksamkeit schenken, können Cyberkriminelle deren Abwehrsysteme, die oft sowohl zeit- als auch ressourcenarm aufgebaut wurden, leicht durchbrechen.
Die Herausforderungen der Arbeit von zu Hause aus
Die Arbeitswelt hat sich verändert, vielleicht für immer, aber in Hinblick auf die Fortschritte im Zuge der COVID-19-Impfungen wird sich wahrscheinlich langfristig eine hybride Mischung aus Remote Work und Büroarbeit etablieren. Insgesamt zeichnet sich ab, dass ein flexibler Ansatz auch nach der Pandemie für unsere Arbeitsweise wichtig ist, wie auch eine Bitkom-Studie aus dem Dezember 2020 zeigt.
Hier gab jeder dritte Befragte (35 Prozent) an, den Arbeitsort auch nach der Pandemie flexibel zu wählen, 8 Prozent sagten aus, sie werden ausschließlich im Home-Office arbeiten, während 27 Prozent dies zumindest teilweise tun werden. Unter diesem neuen Paradigma müssen Unternehmen die Sicherheitsrisiken, die dieses Arbeitsmodell mit sich bringen könnte, überdenken und sich nach Lösungen umsehen, die diesen Wechsel bewältigen können.
Denn: Auch bezogen auf den Faktor Mensch führt das Verschwimmen der Grenzen zwischen Privat- und Berufsleben zu einer Vielzahl von Herausforderungen im Bereich der Cybersicherheit, denen Unternehmen nur schwer begegnen können.
Arbeiten Angestellte von zu Hause aus, gibt es keine zentrale Garantie, dass das Netzwerk des Mitarbeiters sicher ist. Es gibt weder eine der vor Ort installierten Schutzmaßnahmen, noch hat das IT-Team den gleichen Einblick. Zu eher unkomplizierten Unterbrechungen bei der IT-Einrichtung kommen noch die zusätzlichen Ablenkungen und der Druck, der auf den Mitarbeitern lastet, wenn sie im Home-Office arbeiten.
Dies führt zu Verhaltensweisen, die in einer kontrollierten Büroumgebung normalerweise nicht vorkommen würden. Zum Beispiel: Firmengeräte werden für nicht geschäftliche Zwecke genutzt, etwa für den Unterricht der Kinder zu Hause oder zum Spielen. Dies ist darauf zurückzuführen, dass Unternehmen grundsätzlich weniger Kontrolle darüber haben, welche Anwendungen auf dem Endgerät installiert sind und wie diese genutzt werden.
Ein abgelenkter Mitarbeiter ist viel eher bereit, Abstriche zu machen, auf schadhafte Links zu klicken und auf Phishing-Betrügereien hereinzufallen. Darüber hinaus ist es für Remote-Mitarbeiter schwieriger, online Vertrauen aufzubauen und der fehlende menschliche Kontakt bei dieser Art der Arbeit macht es gesichtslosen Angreifern leichter, zuzuschlagen.
In einer Büroumgebung auf der anderen Seite können Mitarbeiter ihre Kollegen in der IT-Abteilung schnell in ihrer gewohnten Umgebung nach einer kürzlich erhaltenen E-Mail oder einem Link fragen. Bei der Fernarbeit hingegen kann es länger dauern, Betrugsversuche zu verifizieren. Der jüngste Hackerangriff auf EA Games hat dieses Problem verdeutlicht, da die Cyberkriminellen in diesem Fall die Anmeldedaten bestimmter Mitarbeiter erlangten. Mit diesen Anmeldedaten schickten sie dann Slack-Nachrichten an den IT-Support, gaben sich als Angestellte aus und verschafften sich so Zugang zum Unternehmensnetzwerk von EA.
Neuausrichtung auf Auskundschaftung
Leider haben Cyberkriminelle genau die Sicherheitsprobleme erkannt, die die Arbeit von zu Hause aus für Unternehmen und Mitarbeiter mit sich bringt, und passen ihr Verhalten nun an, um daraus Nutzen zu ziehen.
„Cyberangriffe lassen sich nicht immer verhindern, aber mit den richtigen (technischen) Maßnahmen und Schulungen kann die Durchführung eines erfolgreichen Angriffs erschwert werden.“
Chris Vaughan, Tanium
Die erste Stufe der Cyber-Kill-Chain ist somit die Auskundschaftung, bei der Cyberkriminelle ihre Ziele beobachten. In dieser Phase wird heute mehr Zeit denn je verbracht. Lange bevor sie Malware verschicken, verbringen Cyberkriminelle Zeit damit, ein Profil der Personen zu erstellen, die sie ins Visier nehmen.
Dadurch, dass sie ihre Bemühungen auf die Anpassung und Personalisierung konzentrieren, ist es deutlich wahrscheinlicher, dass ihre Ziele getäuscht werden. Dieses Ausspähen wird zusätzlich durch Aktivitäten in den sozialen Medien unterstützt, was bei der Auswahl der Opfer helfen kann. So sind beispielsweise erst im Juni dieses Jahres über 700 Millionen Nutzerdaten von LinkedIn in die Hände von Cyberkriminellen geraten.
Aber dieses Maß an Personalisierung wird nicht nur bei Einzelpersonen angewandt. Angreifer zielen nun auch gezielter auf Unternehmen ab. In den letzten Monaten wurden einige Betriebe des Gesundheitswesens sowie Bildungseinrichtungen beispielsweise zum Ziel von Ransomware-Angriffen.
Wenn Cyberkriminelle ein Unternehmen ins Visier nehmen, ist es wahrscheinlich, dass sie es auf Personen in Machtpositionen oder auf Menschen, die diesen nahestehen, abgesehen haben. Heutige Angreifer nutzen beispielsweise Phishing-Angriffe, um die Endgeräte von Mitarbeitern im Home-Office zu kompromittieren und deren Anmeldedaten zu sammeln. Anschließend warten die Kriminellen geduldig darauf, dass diese sich wieder über das VPN verbinden, um auf die Umgebung zuzugreifen. Dieser Ansatz ermöglicht es den Hackern, wie ein legitimer Benutzer zu erscheinen. Auch bei der Attacke auf Colonial Pipeline wurde ähnlich vorgegangen. Hier verwendete der Angreifer kompromittierte Passwörter, um sich über das VPN Zugang zu verschaffen.
Zu den Grundlagen zurückkehren
Was können Unternehmen also konkret tun, um sich zu schützen? Das erste, was es zu beachten gilt ist es, sich auf die Grundlagen zu besinnen und einen wirksamen Plan für Sicherheitsverletzungen aufzustellen. Es ist zunächst von entscheidender Bedeutung, die Endgeräte des Unternehmens vollständig zu überwachen, sie auf Schwachstellen zu überprüfen und sicherzustellen, dass sie mit Patches versehen sind. Die Sicherung von Cloud-Netzwerken trägt dazu bei, den unerwünschten Zugriff auf Unternehmensdaten zu verhindern, und es ist wichtig, dass jegliche Software sowie Antivirenprogramme regelmäßig aktualisiert werden, um den Schutz aufrechtzuerhalten.
Die Einführung von Zero-Trust-Modellen in Unternehmen zur Verhinderung von Cyberbedrohungen sollte ebenfalls zur Normalität werden, da dieser Ansatz die Mitarbeiter dazu ermutigt, nichts innerhalb oder außerhalb des Unternehmenssystems zu vertrauen. Firmen, die alle Netze als feindlich betrachten, können sich somit einen Vorteil bei der Verteidigung ihrer Perimeter verschaffen. Dies wird immer wichtiger in Zeiten, in denen Mitarbeiter langsam wieder ins Büro zurückkehren und oftmals hybrid arbeiten.
Branchen, die immer wieder Ziel von Angriffen sind, wie das Gesundheits- und Bildungswesen, sollten eine umfassende Backup-Strategie und einen Wiederherstellungsplan für die Zeit nach einem möglichen Angriff einführen. Auf diese Weise können Unternehmen Ausfallzeiten reduzieren und möglicherweise die Zahlung eines Lösegelds vermeiden. Schließlich dürfen Betriebe die Bedeutung der Zwei-Faktor-Authentifizierung (2FA) nicht außer Acht lassen und sollten sicherstellen, dass sie ihre Sicherheitsvorkehrungen regelmäßig testen.
Da Angriffe in der Regel damit beginnen, dass ein Mitarbeiter auf einen bösartigen Link in einer E-Mail klickt, und da hybride Arbeitsformen immer beliebter werden, ist die Einführung von Schulungsprogrammen, die die Mitarbeiter über Phishing-Betrug und Spam-E-Mails aufklären, von entscheidender Bedeutung. Denn: Cyberangriffe lassen sich nicht immer verhindern, aber mit den richtigen (technischen) Maßnahmen und Schulungen kann die Durchführung eines erfolgreichen Angriffs erschwert werden. Wenn diese Schritte unternommen werden, können Unternehmen sicher sein, dass sie besser vor der Evolution der Cyber Kill Chain geschützt sind.
Über den Autor:
Chris Vaughan ist AVP Technical Account Management bei Tanium.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.