Cyber Defense Archive - SITS

Threat Intelligence (TI), auch Cyber Threat Intelligence (CTI) genannt, liefert detaillierte und direkt umsetzbare Informationen zur Vermeidung und Bekämpfung von Cyber-Sicherheitsbedrohungen für Unternehmen und Organisationen. TI umfasst detaillierte, umsetzbare Bedrohungsinformationen, die Sicherheitsteams proaktives Handeln ermöglicht. Anhand von TI lassen sich gesteuerte und manuelle Maßnahmen ergreifen, um Cyber-Angriffe zu verhindern, bevor sie auftreten. Darüber hinaus helfen die Bedrohungsinformationen dabei, Angriffe schneller zu erkennen und darauf zu reagieren.

Warum ist Threat Intelligence so wichtig?

Nur mit aktuellen und detaillierten Informationen können Schutzlösungen, wie etwa eine Endpoint Detection and Response-Lösung, kurz EDR, bereits vor einem Angriff wissen, welche Bereiche eines Unternehmensnetzwerks aktuell im Fokus von Angreifern liegen. Neben EDR nutzen auch NDR-, SIEM- oder XDR-Lösungen diese Daten zur Verbesserung der Verteidigung.

Aber gute Threat Intelligence ist nicht nur wichtig für Schutzlösungen. Auch SOC-Teams eines Unternehmens und deren Threat Hunter nutzen die detaillieren Informationen, um direkt Schwachstellen im Unternehmensnetzwerk zu identifizieren und geeignete Gegenmaßnahmen einzuleiten. Setzt ein Unternehmen auf ein Managed-SOC-Team, setzt auch dieses Team Threat Intelligence ein.

Quellen für Threat Intelligence

Sicherheitsanalysten erstellen Bedrohungsinformationen, indem sie „rohe“ Bedrohungsdaten aus verschiedenen Quellen sammeln. Anschließend korrelieren und analysieren sie diese Daten, um Trends, Muster und Beziehungen im Zusammenhang mit tatsächlichen oder potenziellen Bedrohungen aufzudecken.

Eine Plattform, die solche Informationen liefert, ist zum Beispiel AV-ATLASs. Dort finden sich die ausgewerteten Bedrohungsdaten, die von den AV-TEST-Experten gesammelt und von den Analyse-Systemen des Instituts bereitgestellt werden. Die Plattform ist in der Basis-Version für jedermann kostenlos zugänglich und zeigt einen eindrucksvollen Ausschnitt der verfügbaren TI-Daten. Für Unternehmen stellt das System auch Threat Intelligence Feeds bereit, die sich mit Schutzlösungen verknüpfen lassen oder Threat Hunter mit passenden Tools nutzen können. Wie Maik Morgenstern, CTO der AV-TEST und selbst Threat Hunter, anmerkt: „Für die Auswertung eines potenziellen Vorfalls ist gute Threat Intelligence, zum Beispiel in Form von IoC – Indicators of Compromise – für Schutzlösungen sowie Threat Hunter unerlässlich. Mit Hilfe der in der TI enthaltenen TTPs – Tactics, Techniques, and Procedures – lässt sich eine IT-Security-Abwehr- oder Verteidigungsstrategie erst verlässlich planen und umsetzen.“

Weitere Quellen für Threat Intelligence sind CTI-Reports, wie der von AV-TEST, die in kurzen Zeitfenstern, hier wöchentlich, die Sicherheitslage beschreiben und über Angriffskampagnen von APT-Gruppen berichten. Aber auch über große Zeiträume angelegte Reports, wie zum Beispiel Check Point Software’s 2023 Cyber Security Report liefern wichtige Threat Intelligence in einer internationalen Übersicht. Der Bericht nennt Trends, besonders gefährdete Branchen, oft genutzte Angriffs-Tools und Taktiken, sowie Hintergründe zu Netzwerk- und Cloud-Angriffen. Weniger international ausgerichtet, aber nicht weniger informativ ist der aktuelle AV-TEST-Report „Cyber-Vorfälle in Zahlen: Das Jahr 2023“, der frei zum Download steht.

Was steckt alles in Threat Intelligence?

Die verfügbaren Threat Intelligence Feeds haben teils verschiedene Inhalte. Einige Schlüsselkomponenten sind:

  • Bedrohungen, die Unternehmen betreffen: Dabei geht es meist um aktuelle Kampagnen gegen bestimmte Branchen, zum Beispiel deren Lieferketten, die im Fokus von Angreifern stehen und um die Art und Weise, wie diese Attacken ausgeführt werden.
  • Bedrohungsakteure: Mit Hintergrunddaten zu APT-Gruppen und anderen Angreifern lassen sich Abwehrstrategien aus deren bisherigem Vorgehen entwickeln.
  • TTPs – Tactics, Techniques, and Procedures: TTP informiert über Techniken und Werkzeuge, die Angreifer bei ihren Attacken einsetzen.
  • IoCs – Indicators of Compromise: Diese Daten benennen Signale bzw. verdächtige Vorgänge, mit der sich eine Cyber-Attacke ankündigt und identifizieren lässt.
  • Ausgewertete Daten-Streams und Dateien: Aus einem Feed mit gefährlichen URLs wird zum Beispiel eine Endpoint-Schutzlösungen mit EDR versorgt. Diese verhindert aufgrund aktueller Informationen, dass Mitarbeitende eines Unternehmens auf gefährliche Websites gelangen oder als gefährlich klassifizierte Downloads durchführen.
  • Schwachstellenauswertungen: Hinweise zu neuen Schwachstellen, für die es noch keine Patches, aber bereits einen Walktrough oder vorläufige Gegenmaßnahmen gibt, wie etwa die Sperrung eines Netzwerk-Ports oder das Herabstufen von Nutzerrechten.

Die verschiedenen Arten von Threat Intelligence

Die Experten unterteilen Threat Intelligence häufig in drei Kategorien: strategisch, taktisch und operativ. Da diese Einteilung nicht standardisiert sind, wandern die Unterpunkte je nach bearbeitendem Experten etwas in den Kategorien. Klassisch sind sie wie folgt aufgeteilt:

  • Strategische Threat Intelligence: Diese Analyse ist stark zusammengefasst und richtet sich an Nicht-Experten, etwa Vorstandsmitglieder. Dabei wird der Fokus nur auf bedrohte Bereiche gelegt. Weiterhin stehen aktuelle Trends im Mittelpunkt die oft aus öffentlichen Reports stammen. Das Ganze ist eine Art Risikobarometer.
  • Taktische Threat Intelligence: Dabei werden bereits erste praktische Schritte eingeleitet und etwa IoCs genutzt, um Netzwerke zu prüfen und wahrscheinliche Angriffe abzuwehren. Die Informationen kommen meist per TI- oder CTI-Feed und werden in der Regel automatisiert ausgewertet.
  • Operative Threat Intelligence: Dieser Teil bezeichnet die TI während und nach einem Angriff. So werden aktuelle Informationen zu den Taktiken, Techniken und Verfahren (TTP) der Angreifer bewertet und genutzt. Aber auch nach der abgewehrten Attacke gilt es Rückschlüsse zu ziehen, etwa auf Angriffsziele: Hatten es die Angreifer auf bestimmte Daten abgesehen, und falls ja, welche? Oder ist der Angriff vielleicht nur als Test der einzelnen Verteidigungspunkte zu bewerten und der richtige Angriff steht erst noch aus?

Lebenszyklus von Threat Intelligence

Wenn Security-Experten vom Lebenszyklus einer Cyber-Bedrohung sprechen, meinen sie damit eine Aufteilung nach folgenden „Phasen der Bedrohung“:

  • Planning (Richtung)
  • Collection (Erfassung)
  • Processing (Verarbeitung)
  • Analysis (Analyse)
  • Dissemination (Verteilung)
  • Feedback

Dieser Prozess ist nicht einmalig, sondern sollte für eine perfekte und kostenoptimierte Cyber-Verteidigung immer wieder durchgespielt werden.

In der Phase „Richtung“ gilt es, Ziele für die Threat Intelligence zu setzen, etwa welche Teile des Unternehmens besonders geschützt werden müssen und welche Folgen ein Angriff haben könnte.

In der 2. Phase „Erfassung“ werden die Daten und IT-Strukturbereiche definiert, die in der 1. Phase als besonders gefährdet erkannt wurden. In dieser Phase sollte sich ein Unternehmen für die Datenquellen seiner zukünftige Threat Intelligence entscheiden, etwa Reports, Blogs, CTI-Feeds von Sicherheitsanbietern oder auch Metadaten aus dem eigenen Netzwerk, die etwa EDR oder SIEM liefern.

In der 3. Phase „Verarbeitung“ muss geklärt werden, wie der Strom an Information sinnvoll verarbeitet wird. Können verfügbare Systeme diese Feeds bereits direkt verwerten und haben SOC und Threat Hunter die richtigen Tools?

Ist das geklärt, geht es in die Phase 4, die „Analyse“. Dabei sollen die Informationen ausgewertet und in praktisch verwertbare Erkenntnisse transformiert werden. Die Ergebnisse dieser Prüfung zeigen auch schnell, ob noch wichtige Security-Tools fehlen und ob etwas das aktuelle Security-Budget ausreichend bemessen ist.

Die Phasen 5 und 6, „Verteilung“ und „Feedback“, nutzen die eigentlichen Erkenntnisse des Lebenszyklus von Threat Intelligence. Die Schlussfolgerungen müssen innerhalb der unterschiedlichen Teams eines Unternehmens umgesetzt werden, etwa dem SOC und der klassischen IT-Abteilung. Aber auch die Unternehmensleitung sollte in diese Phasen eingebunden sein. In der Feedback-Phase müssen die Verantwortlichen Abteilungs- und Projektleiter sicherstellen, dass alle Phasen zuvor auch sinnvoll für die Sicherheitsanforderungen und -ziele umgesetzt sind.

Die IoT-Welt wächst und mit ihr die Sicherheitsbedrohungen

Das Internet der Dinge (Internet of Things = IoT) verändert die Arbeitswelt. Hersteller integrieren zunehmend fortschrittliche Technologien wie Cloud Computing, Datenanalyse und maschinelles Lernen in ihre Produkte. Die potentielle Wertschöpfung durch IoT ist bereits jetzt riesig und wächst stetig weiter. McKinsey schätzt, dass die IoT-Wertschöpfungsrate bis 2030 weltweit 12,5 Milliarden US-Dollar erreichen könnte. Davon profitiert aktuell insbesondere hochspezialisierte Wirtschaftsbereiche. Von Anwendungen in der Medizintechnik, der Logistik und im Verkehr bis hin zu Lösungen für smarte Fabriken – IoT ebnet den Weg für einen umfassenderen digitalen Wandel, der riesige Datenmengen erzeugt, speichert, analysiert und über ein ständig wachsendes globales Netz überträgt.

Palo Alto Networks zufolge führt die rasche Entwicklung und Einführung von IoT-Technologie bereits zu einem Wandel der Geschäftsabläufe. IoT-Geräte machen heute wahrscheinlich schon weit mehr 30 Prozent aller Geräte in Unternehmensnetzwerken aus. Die von diesen Geräten gesammelten Daten liefern eine Fülle wertvoller Informationen, die Entscheidungsfindung in Echtzeit und die Erstellung präziser Prognosemodelle ermöglichen. Darüber hinaus ist das Internet der Dinge ein wichtiger Wegbereiter für den digitalen Wandel in Unternehmen und hat das Potenzial, die Produktivität von Angestellten, die Unternehmenseffizienz und die Rentabilität zu steigern sowie die Erfahrungen der Belegschaft insgesamt zu verbessern.

IoT-Sicherheit gewinnt an Bedeutung – auch für Cyber-Kriminelle

Die Kehrseite der Medaille: Die Verknüpfung von Produktionsanlagen (Operational Technology = OT) mit IoT-Technologien und anderen fortschrittlichen Lösungen bietet neue Angriffspunkte für Cyberangriffe. Milliarden von vernetzten Geräten schaffen schließlich jede Menge potenzieller Schwachstellen in Unternehmen. So hat sich laut McKinsey mit der zunehmenden Vernetzung die Zahl der Angriffsmöglichkeiten drastisch erhöht. Vor dem Einsatz von IoT musste ein großes Unternehmensnetzwerk möglicherweise bis zu 500.000 angreifbare Endpunkte berücksichtigen, während IoT ein IoT-Netzwerk Millionen oder sogar mehrere Millionen solcher Endpunkte umfassen kann.

Wie groß die Bedrohung durch die Nutzung von IoT-Geräten tatsächlich ausfällt, zeigt ein aktueller Bericht von Asimily mit  dem Titel «IoT Device Security in 2024: The High Cost of Doing Nothing». Er analysiert aufkommende Angriffstrends, die auf IoT-Infrastrukturen abzielen, und skizziert mögliche Konsequenzen für Unternehmen, die keine ausreichenden Schutzmaßnahmen ergreifen. Dem Bericht zufolge zählen vor allem bereits bekannte Sicherheitslücken zu den größten Problemen: 34 der 39 am häufigsten genutzten IoT-Schwachstellen sind im Durchschnitt bereits länger als drei Jahre bekannt. Router machen 75 Prozent der infizierten IoT-Geräte aus, da sie als Gateways für den Zugriff auf andere Knoten in einem Netzwerk dienen. Sicherheitskameras, digitale Beschilderungssysteme, medizinische Geräte und industrielle Kontrollsysteme gehören ebenfalls zu den am häufigsten angegriffenen Geräten.

Risiken beim Einsatz von IoT in Unternehmen

Je nach Anwendung birgt eine Sicherheitsverletzung in einer industriellen IoT-Umgebung verschiedene Risiken. Angefangen bei der Preisgabe wichtiger Informationen, die für den Betrieb des Unternehmens oder die Herstellung eines Produkts entscheidend sind, über Beschädigung industrieller Steuerungssysteme bis hin zur Kompromittierung der hergestellten Produkte. Ein Beispiel: Ein Angreifer verschafft sich Zugang zum Netzwerk eines Autozulieferers und manipuliert unbemerkt die Maschineneinstellungen eines Bremsenbauteils. Das kann dazu führen, dass die Bremsen bei Belastung plötzlich versagen. Sowohl der materielle als auch der immaterielle Schaden für das Unternehmen ist kaum zu beziffern.

IoT ist anfällig für Schwachstellen

Die industrielle IoT-Architektur bezieht sich auf die Sammlung aller IoT-Elemente in intelligenten Fabriken. Obwohl sie sich von Unternehmen zu Unternehmen unterscheidet, umfasst sie immer Geräte mit Sensoren und Aktoren, Netzwerkelemente, Datenbanken, Analysewerkzeuge und Geschäftsanwendungen. Jede Komponente birgt spezifische Sicherheitsrisiken für die gesamte Produktionsumgebung.

Wie Palo Alto Networks erläutert, ist jedes vernetzte IoT-Gerät ohne robuste Sicherheitsvorkehrungen anfällig für Einbrüche, Kompromittierungen und die Kontrolle durch böswillige Akteure, die in das System eindringen, Nutzerdaten stehlen und Systeme zum Absturz bringen. Da sich immer mehr unterschiedliche IoT-Geräte mit dem Netz verbinden, vergrößert sich gleichzeitig die Angriffsfläche dramatisch. Dies hat zur Folge, dass die gesamte Netzwerksicherheit in Bezug auf die Integrität und den Schutz des am wenigsten sicheren Geräts abnimmt. Zusätzlich zu diesen Herausforderungen sind 98 Prozent des gesamten Datenverkehrs von IoT-Geräten meist unverschlüsselt, wodurch vertrauliche Daten einem hohen Risiko ausgesetzt sind.

Verschiedene Angriffe auf das industrielle IoT zielen darauf ab, die Sicherheit verschiedener Elemente des IoT-Ökosystems zu beeinträchtigen, z. B. die Netzwerkkommunikation, IoT- und OT-Software und -Anwendungen sowie physische Geräte. DDoS, Geräte-Hijacking oder Spoofing und Man in the Middle-Angriffe sind nur einige der Sicherheitsprobleme in diesem Zusammenhang. Die Folgen eines einzelnen Cyber-Angriffs sind je nach Angriffsziel unterschiedlich, doch am häufigsten und gefährlichsten ist die Offenlegung sensibler Daten. Die Tabelle zeigt die häufigsten IoT-Angriffe und ihre Auswirkungen auf OT-Fabriken.

IoT-Angriffsrisiken im Überblick

Angriffe Auswirkungen
Hardware
  • Reverse engineering
  • Physical tampering
  • RF jamming
  • Denial-of-sleep attack
  • Side-channel attacks
  • Counterfeit hardware
  • Configuration manipulation
  • Zugang zu sensiblen Informationen
  • Datenflusskontrolle
  • Ressourcenvernichtung
  • Serverabschaltung

 

 

 

Software
  • Malware, Ransomware, Spyware
  • Bot/botnets
  • Blended threats
  • Rootkits
  • Forced deadlock
  • Exploitation of trusted identifiers
  • Code injection
  • Brute-force attacks
  • SQL injections
  • Cross-site scripting (XSS)
  • Offenlegung sensibler Daten
  • Unterbrechung von Daten
  • Unbrauchbarkeit von Software
  • Blockierung des Zugriffs auf Dateien
  • Denial of Service
 

 

Kommunikation
  • DoS/DDoS attacks
  • Eavesdropping (sniffing and spoofing attacks)
  • Man-in-the-middle attacks
  • Session hijacking
  • DNS tunneling
  • Port scanning
  • Protocol manipulation attacks
  • Jamming
  • Traffic analysis
  • Sinkhole attacks
  • URL poisoning
  • Netzwerküberflutung und -überlastung
  • Datendiebstahl
  • Unbefugter Zugriff auf Datenbanken
  • Systemabstürze
  • Malware-Tunneling
  • Routing-Schleifen

Sicherheit im IoT erreichen

Bei IoT-Geräten handelt es sich um zweckgebundene Produkte, die eine begrenzte Anzahl von Aktionen ausführen. Beispielsweise stellen sie eine Verbindung zu einem Netzwerk her und übertragen und empfangen Daten. Typische Beispiel für IoT-Geräte in Unternehmen sind zudem Barcode-Scanner, intelligente Glühbirnen und Sicherheitskameras sowie Mess- und Regelsensoren. IoT-Geräte unterscheiden sich von IT-Geräten wie PCs zum einen dadurch, dass sie in der Regel nur eine spezifische Aufgabe haben. Außerdem unterstützen viele keine Software-Updates und Sicherheits-Patches. Wird eine Schwachstelle in Software oder Firmware gefunden, ist es schwierig, sie vor Ausnutzung und Kompromittierung zu schützen. Ein weiterer Unterschied besteht darin, dass IoT-Geräte oft auch unbemerkt in einem Netzwerk auftauchen. Darüber hinaus ist ihr einzigartiges Netzwerkverhalten für Administratoren, die eher an die Verwaltung von Notebooks und Desktops gewöhnt sind, aufgrund ihrer speziellen Bauweise problematisch. Aus diesen Gründen ist es zwingend erforderlich, dass alle Unternehmen ihre Cyber-Sicherheitsmaßnahmen weiterentwickeln und proaktive Schritte durchführen, um dieser zunehmend komplexen IoT/OT-Bedrohungslandschaft zu begegnen.

Die wichtigsten IoT-Sicherheitsmaßnahmen

Die folgenden Maßnahmen der SITS-Checkliste für IoT-Sicherheitsmaßnahmen sind daher unerlässlich, um eine wirksame Sicherheitsstrategie zu implementieren und die mit IoT/OT-Bedrohungen verbundenen Risiken zu verringern:

  • Zero-Trust-Architektur implementieren
  • Überblick über alle Geräte behalten
  • Schwachstellen proaktiv identifizieren
  • Gesamten Datenverkehrs überprüfen
  • Echtzeit-Überwachung einrichten
  • Regelmäßige Updates sicherstellen
  • Veraltete Geräte aufspüren
  • Sicherheitsrisikobewertung durchführen
  • Einrichtung einer industriellen entmilitarisierten Zone (IDMZ)

Fazit IoT Security

Die Einführung von IoT- und OT-Geräten bietet Unternehmen erhebliche Vorteile, birgt aber auch große Risiken. Ein moderner Zero-Trust-Ansatz ist erforderlich, um IoT- und OT-Geräte in großem Maßstab effizient und sicher zu verwalten. Führungskräfte müssen die Cybersicherheit darüber hinaus auf allen Organisationsebenen berücksichtigen, indem sie Sicherheitsrichtlinien einführen, Schutzmechanismen implementieren und ihre Mitarbeiter schulen. Wenn Sie auf der Suche nach einem zuverlässigen Partner sind, der Sie beim Schutz Ihrer IoT-Systeme berät und unterstützt, steht Ihnen SITS gerne zur Seite.

Im Oktober 2023 kam es in 72 Kommunen im südlichen Westfalen zum Supergau in der Behörden-IT. In der Nacht hatten Hacker den kommunalen IT-Dienstleister mittels Ransomware angegriffen. Neben den Verwaltungen fielen auch bei Schulen die Systeme aus. Ähnlich erging es der Messe Essen, die ebenfalls mit Ransomware bedroht wurde:  Cyberkriminelle kaperten den Kartenshop und stahlen personenbezogene Daten wie Adressen und E-Mails. Ein stabiles Sicherheitsnetz kann folgenschweren Ransomware-Attacken den Schrecken nehmen.

Was ist Ransomware?

Was Ransomware so gefährlich macht, erklärt bereits ihr Name: Diese Schad-Software (Malware) blockiert den Zugriff auf Computersysteme oder Dateien, bis eine Geldsumme (Englisch: Ransom) gezahlt wird. Normalerweise verschlüsselt die Software die Dateien auf dem Gerät des Opfers, so dass diese nicht mehr zugänglich sind. Um den Decryption-Schlüssel für die abgegriffenen Informationen zurückzuerhalten, sollen Firmen, Behörden oder Organisationen den Hackern Lösegeld zahlen.

Warum ist Ransomware so gefährlich?

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gab es 2023 mehr als 2.000 Schwachstellen in Software-Produkten. Das ist ein Zuwachs von 24 Prozent im Vergleich zum Vorjahr. 66 Prozent aller Spam-Mails waren versteckte Cyber-Angriffe. Vor allem für Unternehmen und Behörden ist Ransomware laut BSI die Top-Bedrohung schlechthin. Durchschnittlich 775 E-Mails mit Schadprogrammen wurden an jedem Tag im Berichtszeitraum in deutschen Regierungsnetzen abgefangen. Hinzukommen 370 Webseiten, die im Durchschnitt jeden Tag aufgrund von Schadprogrammen für den Zugriff gesperrt werden mussten.

Es ist die Mischung aus finanziellen Anreizen und zerstörerischer Kraft, die Ransomware so gefährlich macht. Zudem entwickeln Hacker Ransomware-Attacken ständig weiter und es kommen immer raffiniertere Techniken zum Einsatz, etwa neue Verschlüsselungsmethoden, anonyme Zahlungssysteme wie Krypto-Währungen und Social Engineering. Auf diese Risiken müssen Sie sich einstellen:

  • Datenschutzverletzungen: Manchmal drohen Angreifer mit der Freigabe sensibler Daten, sollte kein Lösegeld gezahlt werden. Das kann zu Datenschutzverletzungen, Bußgeldern und rechtlicher Haftung für das betroffene Unternehmen führen.
  • Finanzielle Schäden: Ransomware-Angriffe können Einzelpersonen, Unternehmen und Organisationen finanziell treffen, denn sie sind oft gezwungen, Lösegeld zu zahlen, um wieder Zugriff auf ihre Dateien zu erhalten. Vorsicht: Selbst, wenn gezahlt wird, gibt es keine Garantie, dass der Entschlüsselungsschlüssel auch mitgeteilt wird oder dass die Entschlüsselung wirklich funktioniert.
  • Störungen und Zeitverlust: Ransomware-Angriffe können Betriebsabläufe erheblich stören, was zu Ausfallzeiten, Produktivitätsverlusten und Image-Schäden führt.
  • Schnelle Ausbreitung: Ransomware kann sich schnell über Netzwerke und Geräte ausbreiten und mehrere Systeme innerhalb eines Unternehmens oder zwischen verschiedenen Firmen infizieren. Sie kann Unternehmen, Staaten und kritische Infrastrukturen weltweit treffen und weitreichende Störungen verursachen.

Einige Beispiele, wie Ransomware Computer infiziert, sind Malvertising (bösartige Werbung auf legitimen Websites), Phishing-Mails (mit gefährlichen Links oder Anhängen) oder Exploit-Kits, die Schwachstellen in Software, Betriebssystemen oder Netzwerkdiensten automatisiert ausnutzen. Hinzukommen Drive by Downloads, kompromittierte Webseiten, die Ransomware automatisch auf die Systeme von Website-Besuchern herunterladen).

Welche Arten von Ransomware gibt es?

Außerdem gibt es verschiedene Formen von Ransomware, die sich in der Art ihrer Angriffsvektoren und Verhaltensweisen unterscheiden.

  • Locker Ransomware: Bei dieser Sperrbildschirm-Variante wird der Zugriff auf den Computer oder spezielle Funktionen des Betriebssystems gesperrt.
  • Encrypting Ransomware: Dateien werden auf dem infizierten System mithilfe starker Verschlüsselungsalgorithmen verschlüsselt.
  • Master Boot Record (MBR) Ransomware: Sie infiziert den MBR eines Computers, was dazu führen kann, dass das Betriebssystem nicht mehr richtig startet.
  • Mobile Ransomware: Diese Schadsoftware zielt auf mobile Geräte wie Smartphones und Tablets ab. Sie kann sich über infizierte Apps, schädliche Links oder Drive by-Downloads verbreiten und persönliche Daten verschlüsseln und den Zugriff blockieren.
  • Netzwerk-Ransomware: Sie breitet sich innerhalb eines Netzwerks aus und infiziert mehrere Computer oder Server. Gemeinsam genutzte Netzwerkressourcen, Schwachstellen in Netzwerkprotokollen oder ungesicherte Remote Desktop-Verbindungen sind das Eingangstor für Hacker.
  • Dox- oder Leakware: Hierbei drohen Angreifer, gestohlene oder verschlüsselte Daten der Opfer zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Diese Form von Ransomware zielt darauf ab, Opfer durch die Veröffentlichung sensibler Informationen zu erpressen, anstatt nur den Zugriff auf Dateien zu verweigern.
  • Ransomware as a-Service (RaaS): Cyber-Kriminelle bieten sogar Ransomware-Kits als Abonnement an. Durch vorgefertigte Tools können so selbst technisch Unerfahrenere Ransomware-Angriffe in die Wege leiten.

Wie erkennt und bekämpft man Ransomware?

Die frühzeitige Aufdeckung von Ransomware ist entscheidend, um die Auswirkungen auf Ihr System und Ihre Daten möglichst klein zu halten. Hierauf sollten Sie diesbezüglich achten:

  1. Installieren Sie verlässliche Antiviren- und Anti-Malware-Software!
  2. Setzen Sie auf verhaltensbasierte Detection: Es gibt verhaltensbasierte Erkennungstechniken, die Ransomware anhand ihrer Aktionen und nicht anhand ihrer Signatur identifizieren. Hierzu gehören die Überwachung des Systemverhaltens auf ungewöhnliche Dateiverschlüsselungsmuster oder Versuche, Systemeinstellungen zu ändern.
  3. Klären Sie Mitarbeitende über die Risiken von Ransomware auf und sensibilisieren Sie sie, verdächtige Aktivitäten auf ihren Computern zu melden. So können IT- und Sicherheitsteams schneller auf potenzielle Ransomware-Infektionen reagieren und Auswirkungen reduzieren.
  4. Nutzen Sie Mechanismen zur Erkennung von Anomalien. Dies können eine plötzliche Zunahme von Dateiverschlüsselungsaktivitäten, unbefugte Zugriffsversuche oder ungewöhnliche Netzwerkverkehrsmuster sein.
  5. Verwenden Sie Tools zur Überwachung der Dateiintegrität, um Änderungen an Dateien und Verzeichnissen zu verfolgen.
  6. Analysieren Sie den Netzwerkverkehr auf Anzeichen von Ransomware-Kommunikation, etwa Verbindungen zu bekannten Befehls- und Kontrollservern, die von Ransomware-Betreibern verwendet werden. Intrusion Detection and Prevention Systeme (IDPS) helfen, verdächtige Verbindungen in Echtzeit zu blockieren.
  7. Überwachen Sie Benutzeraktivitäten in Ihrem Netzwerk, um ungewöhnliche Aktionen zu erkennen.
  8. Setzen Sie Lösungen für Endpoint Detection and Response (EDR) ein, die Echtzeiteinblicke in die Aktivitäten von Endgeräten bieten und eine schnelle Reaktion auf potenzielle Bedrohungen ermöglichen.
  9. Implementieren Sie SIEM-Lösungen, die Sicherheitsereignisdaten aus verschiedenen Quellen in Ihrem Netzwerk sammeln und analysieren. Mit SIEM-Plattformen lassen sich Ereignisse korrelieren, potenzielle Sicherheitsvorfälle identifizieren und die Reaktion auf Ransomware-Angriffe erleichtern.

Info: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige Hinweise zur Abwehr von Ransomare-Angriffen zusammengestellt. Zu den zentralen Aspekten, die Unternehmen in ihrer Sicherheitsstrategie abdecken sollten, zählt das BSI Patches und Updates, Remote-Zugänge, Maßnahmen für E-Mails und Makros, die Ausführung von Programmen, Virenschutz, Administrator-Konten, Netzwerksegmentierung, Backups und Datensicherungskonzept, Netzlaufwerke sowie ein Notfallplan für das „Worst-Case-Szenario“ (alle Systeme im Netzwerk sind verschlüsselt und ein Erpressungsschreiben liegt vor).

Wenn es in der Cyber-Sicherheit um Threat Hunting geht, gleiten die Gespräche oft in eine Welle von Fachbegriffen ab, wie IoA – Indicator of Attack, IoC – Indicators of Compromise oder TTP – Tactics, Techniques and Procedures. Die Begriffe sind natürlich wichtig, aber sie sagen wenig über das Konzept aus, welches hinter Threat Hunting steht und was diese Technik ausmacht.

Wer sind die Threat Hunter?

Nicht alle Threat Hunter haben die gleichen Aufgaben bei der Suche nach neuen Angriffswellen oder der Auswertung von Codes, Skripten sowie klassischen Daten- und Datenbank-Analysen. Grob eingeteilt ergeben sich vier Gruppen, wobei die ersten drei mehr Daten liefern, die auch Threat Hunter in Unternehmen als Thread Intelligence nutzen:

  • Evangelisten: Diese Fachleute sind zwar keine direkten Threat Hunter, haben aber teils seit Jahrzehnten einen hervorragenden Überblick über die jeweils aktuelle IT-Bedrohungslandschaft und wissen, wie sie bereits ausgewertete Daten interpretieren müssen. Sie liefern wichtiges Datenmaterial, das zu Thread Intelligence-Daten wird. Ein Beispiel dafür ist der Computersicherheits-Experte und Threat Hunter Mikko Hyppönen. Er jagte schon in Netz die Angreifer und wertete ihre Daten aus, als all diese Begrifflichkeiten noch nicht definiert waren. Es lohnt sich, seine Auftritte und Vorträge zu verfolgen. Seine Vorhersagen, auch für viele Jahre in die Zukunft, bewahrheiten sich leider nur zu oft, wie etwa sein frühes Zitat zu IoT: „if it’s smart, it’s vulnerable“.
  • Forscher: An vielen Universitäten forschen Expertenteams und betreiben Threat Hunting, indem sie untersuchen, was alles mit neuen Techniken möglich ist und welche Wege Angreifer aktuell nutzen und in Zukunft nutzen werden. Ganz vorne dabei sind hier etwa das amerikanische MIT CSAIL oder auch das Fraunhofer Institut SIT.
  • Heads: Einige Spezialisten wollen offiziell gar nicht bekannt sein, sondern stehen ausschließlich untereinander in Kontakt und tauschen sich aus. Etwas bekannter ist das Check Point Research-Team, welches in seinem Blog beschreibt, wie es erst Threat Hunting betreibt und danach den genauen Ablauf eines Malware-Angriffs in allen Schritten analysiert. Etwa, wie ein Angriff auf ein Mobile Device Management-System – MDM – ablief. Zuerst stellte das Team die Taktik vor und dann jagte es dem Angriff Schritt für Schritt hinterher. Die Dokumentation zeigt dabei die Skripte, Codes, verwendete Ports und Tools. Aber auch Institute, wie etwa das AV-TEST-Institut, betreiben aktives Threat Hunting. AV-TEST nutzt dazu eigene Analyse-Maschinen und produziert durch deren Datenstrom und Voranalysen viele Informationen als „Threat Intelligence“ (TI) – die Grundlage für Threat Hunting.
  • SecOps-Experten: Diese größte Gruppe ist die eigentliche Säule des täglichen Threat Huntings. Sie profitieren von den Analysen der Evangelisten, Forscher und Heads. Diese Experten arbeiten in vielen SecOps-Abteilungen von Security-Herstellern und Dienstleistern, die Managed SOC als Service anbieten. Viele Detection-Systeme produzieren Datenströmen mit Anomalien, die zuerst mit Machine Learning (ML) oder KI ausgewertet werden. Der wichtige Rest, die eigentliche Threat Intelligence, dient dann zur Untersuchung und zum Threat Hunting. Durch die permanente Auswertung erkennen die Spezialisten Teams Anfälligkeiten und geben diese als Erkennungsdaten weiter. Diese sorgen für die passende Abwehr von Exploits, klassifizieren Schwachstellen oder leiten Gegenmaßnahmen zu Angriffskampagnen ein.

Threat Intelligence – TI – die Quelle der Threat Hunter

Einfach übersetzt ist Threat Intelligence die Sammlung aller Informationen, die Threat Hunter zur Untersuchung von Anomalien nutzen. Fragt man den CTO und Threat Hunter Maik Morgenstern von AV-TEST, so ist klar „ohne gute Threat Intelligence aus verschiedenen Quellen und IT-Security-Tools kann Threat Hunting nicht funktionieren“.

Ein solcher Datenstrom kann sich aus vielen Teilen zusammensetzen. Arbeiten Threat Hunter zum Beispiel im SecOps eines Unternehmens, so nutzen sie alle Daten, die ihnen die lokalen Security-Tools zur Verfügung stellen. Das sind neben Netzwerkprotokollen und Strukturdaten zur IT-Infrastruktur besonders Daten einer EDR-, XDR- (mit NDR) oder SIEM-Lösung. Die Tools kennen die IT-Struktur und zeichnen alle Datenbewegungen im Netz auf, erkennen Abhängigkeiten von Software und deren Kommunikation im Netzwerk, vom Client-PC bis hin zur Cloud-Anwendung.

Meist prüfen Threat Hunter auffällige Vorgänge, Anomalien oder recherchieren nach Schwachstellen aufgrund von Hinweisen oder bereits veröffentlichten Schwachstellen. Bestenfalls sind diese bereits als CVE (Common Vulnerabilities and Exposures) in einer öffentlichen Datenbank beschrieben. Experte Maik Morgenstern von AV-TEST kennt hierzu ein praktisches Beispiel: „Ist etwa bekannt, dass eine aktuelle Malware-Kampagne nach einer Infizierung den Port 777 zur Kommunikation nutzt, so kann ein Threat Hunter auch Checks durchführen, ob sein Unternehmen vielleicht betroffen ist und den Angriff so verfolgen. Er kann aber auch Schaden abwenden, indem er dem Port intensiver überwachen lässt oder sogar präventiv sperrt.“

Erst Threat Hunter, dann Forensiker

Threat Hunter suchen unablässig im eigenen Netzwerk nach Anomalien oder anderen Auffälligkeiten. Dazu nutzen sie Threat Intelligence, das Wissen aus aktuellen Vorfällen, die woanders abgelaufen sind. Finden sie die gesuchten Vorgänge, ausgeführte Dateien und Zugänge, übergeben sie diese wichtigen Informationen meist an das Incident Response-Team, welches den Angriff stoppt. Dabei helfen wieder EDR-, XDR- (mit NDR) oder SIEM-Lösungen, da sich über diese schnell umfassende Netzwerkregeln und weitere Aktionen ausrollen lassen und die weitere Überwachung sicherstellen lässt. Erst wenn der Angriff und alle Zugriffe eingedämmt sind, kommen Forensiker zum Zug, da sie die besseren Analysten für gefährliche Skripte, Codes oder zum Angriff genutzte Malware sind.

Warum für CISOs und CTOs Threat Hunting wichtig ist

  • Threat Hunting gibt es einen besseren Überblick über die aktuelle Bedrohungslage im eignen Netzwerk. Wird eine Gefahr oder ein Angriff ermittelt, geht es weiter mit dem Incident Response-Team und abschließender Forensik.
  • Threat Hunter nutzen nicht nur vorhandene IT-Security-Analyse-Systeme, wie EDR-, XDR- (mit NDR) oder SIEM-Lösungen, die mit Endpoint-Security zusammenarbeiten. Sie können darüber hinaus Systeme trainieren, Regeln implementieren und so Angriffsvektoren verkleinern.
  • Threat Hunter sind meist gut vernetzt und haben so auch tiefe Einblicke in Foren, die potentielle Angreifer nutzen, um sich auszutauschen. Threat Hunter durchsuchen das Darknet, in dem oft gestohlene Zugänge oder andere Unternehmensdaten von Kriminellen gehandelt werden. Eine solche Recherche kann auch einen Datenverlust oder einen digitalen Einbruch ans Licht bringen, den bislang noch niemand bemerkt hat.
  • Jeder CISO und CTO sollte selbst einmal zehn Minuten lang Threat Hunting betreiben, etwa über einen Blick in Shodan.io, eine Suchmaschine für per Internet verbundene Geräte mit IP-Adresse. Sucht man dort etwa nach „VMware vCenter“-Server, welche ohne Patch via Port 443 angreifbar sind, präsentiert Shodan im Test über 1.700 angreifbare Server. Ist auch ihr Unternehmen in der Liste mit dabei?