Der Kampf gegen Cyberkriminalität erfordert einen vielschichtigen Ansatz, denn ihre Erscheinungsformen sind vielfältig und nehmen im Zuge der rasanten technologischen Entwicklung stetig an Umfang und Professionalität zu.

Auch die Akteure hinter den Angriffen und ihre Motive sind unterschiedlich und reichen von Profihackern mit rein finanziellem Antrieb bis zu Innentätern, die aus persönlicher Rache handeln.

Folgende fünf Bedrohungsakteure sollten IT-Verantwortliche bei der Ausarbeitung ihrer Sicherheitsstrategie im Blick haben:

1. Organisierte Cyberkriminalität

Die wohl größte Cyber-Bedrohung geht heute von Kriminellen aus, die mit ihren Angriffen schlicht und einfach Geld verdienen wollen. Egal ob der Diebstahl und anschließende Verkauf von lukrativen Daten, Cybererpressung mit Ransomware oder Kryptojacking, die Online-Welt hält vielfältige Möglichkeiten bereit, um illegal sehr schnell sehr viel Geld zu verdienen. Verglichen mit „analogen“ Angriffen, verspricht digitale Kriminalität den Tätern dabei eine höhere Rendite bei einem deutlich geringeren Risiko. Dies liegt nicht zuletzt an immer professioneller organisierten Hacker-Gruppen sowie vielfältigen Malware-Kits, die über das Darknet theoretisch jeden zum Hacker machen.

Die Opfer kommen dabei aus allen Bereichen – von multinationalen Konzernen bis zu Behörden und kleinen Firmen – wobei KMUs mittlerweile ein besonders beliebtes Angriffsziel sind. Lukrative Daten und wertvolles geistiges Eigentum treffen hier oft auf geringes Security-Budget und ausgeprägten Fachkräftemangel.

So schützen Sie sich vor Profi-Hackern: Um sich vor externen Bedrohungen wie Malware- oder Ransomware-Infektionen zu schützen, ist es wichtig, dass Ihr Netzwerk und Ihre Endgeräte durch eine umfassende und vor allem mehrschichtige Intrusion Detection and Response-Lösung geschützt sind. Traditionelle, signaturbasierte Endpunktschutz-Lösungen sollten Sie ein für alle Mal hinter sich lassen, da sie den ausgeklügelten Angriffsmethoden – man denke etwa an Speicher-basierte Malware – nicht mehr gerecht werden. Stattdessen sollten Sie auf eine Technologie setzen, die in der Lage ist, abnormales Verhalten sowohl vor als auch während der Ausführung zu erkennen, befallene Systeme zu isolieren, und zudem über Rollback-Funktionen zur schnellen Wiederherstellung der Systeme verfügt.

Erstellen Sie zudem einen Incident Response-Plan, damit Ihre Mitarbeiter im Fall eines Cyberangriffs weiß, welche Schritte zu tun sind und schnell und besonnen reagieren kann.

2. APT-Angreifer: Spionage und politische Manipulationen

Unter Advanced Persistent Threats (APT) versteht man zielgerichtete Angriffe auf kritische IT-Infrastrukturen und vertrauliche Daten. Dabei stehen nicht nur Nationalstaaten, Behörden oder Großkonzerne im Visier der Angreifer, sondern vermehrt auch Mittelstandsunternehmen, die aufgrund ihrer sensiblen Daten zur Zielscheibe werden oder als Mittelsmann missbraucht werden. Egal ob IP-Missbrauch durch Geheimdienste oder Zero-Day-Schwachstellen wie EternalBlue, APT-Aktivitäten können dramatische Schäden anrichten.

So schützen Sie sich vor APT-Angreifern: Grundsätzlich erfordert die Abwehr gezielter APT-Angriffe ähnliche Abwehrstrategien wie der Kampf gegen herkömmliche Cyberkriminalität. Darüber hinaus lohnt sich aber eine Sicherheitsrisikobewertung, die gezielt nach Vermögenswerten (wie etwa geistiges Eigentum) Ihres Unternehmens Ausschau hält, die für Nationalstaaten attraktiv wären. Arbeiten Sie hier mit Bedrohungsanalyse-Frameworks wie etwa MITRE ATT&CK, die Ihnen die nötigen Informationen liefern.

3. Innentäter: Von Inkompetenz bis Böswilligkeit

Um Opfer von Cyberkriminalität zu werden, bedarf es jedoch keiner fremdländischen Geheimdienste, vielmehr ist der Feind oft näher als gedacht. Zu den so genannten Insider-Angreifern zählen nicht nur Bedrohungsakteure mit böswilligen Absichten, sondern auch fahrlässig handelnde und inkompetente Mitarbeiter. Letztere Gruppe wird vor allem vom Fachkräftemangel im IT-Bereich, Cybermüdigkeit und überarbeiteten wie schlecht geschulten Mitarbeitern genährt, kann mit den entsprechenden Gegenmaßnahmen jedoch zumindest teilweise kontrolliert werden kann. Innentäter, die aus Rache handeln und ihrem Unternehmen bewusst schaden wollen, sind hingegen deutlich schwerer in den Griff zu bekommen. Entwicklungen wie Cloud Computing und BYOD haben dies begünstigt, weshalb die Zahl der Innenangriffe in den letzten Jahren deutlich zugenommen hat.

So schützen Sie sich vor Insider-Angreifern:

Beim Kampf gegen interne Bedrohungen bedarf es einer strengen Überwachung des Nutzerverhaltens. Greift ein Mitarbeiter auf Dateien zu, die er für seine Arbeit gar nicht braucht? Findet dies zu unüblichen Zeiten, d.h. vielleicht mitten in der Nacht oder am Wochenende, statt? Um Innenangriffe so gut es geht zu verhindern bzw. frühzeitig aufzudecken, sollten Sie zum einen eine Rechtevergabe nach dem Least Privilege-Prinzip umsetzen. Zum anderen sollten Sie auf Security-Tools zurückgreifen, die Ihnen absolute Transparenz in Ihr Netzwerk gewähren. Alle Geräte im Netzwerk sollten über eine ordnungsgemäße Firewall und Mediensteuerung verfügen sowie Schutz vor Kompromittierungen durch Bluetooth- und andere Peripheriegeräte bieten.

4. Hacktivisten

Hacktivisten nutzen Cyberangriffe und Manipulationen über fremde Netzwerke als Protestmittel, um politische und ideologische Ziele durchzusetzen, Gegner zu diskreditieren und auf ihnen wichtige Themen aufmerksam zu machen. Prominente Opfer waren bereits die CIA, Sony Pictures aber auch die Regierungen der Philippinen und Thailands.

Bevorzugte Angriffsmethode ist sind dabei DDoS-Attacken auf Webservices über Botnets, die Verunstaltung von Unternehmenswebseiten sowie die Übernahme von Twitter- und anderen Social-Media-Accounts.

So schützen Sie sich vor Hacktivismus: Da hacktivistische Kampagnen vor allem auf Webservices und Anwendungen zielen, ist es wichtig, dass Sie neben einer modernen Sicherheitslösung alle Social Media-Accounts durch 2FA bzw. MFA absichern, eine starke Web Application-Firewall im Einsatz haben sowie eine Strategie zur Eindämmung von DDoS-Angriffen verfolgen. Dazu zählt die stetige Analyse ihres Netzwerkverkehrs, um anomale Anfragen schnell zu identifizieren und entsprechend reagieren zu können.

5. Gelegenheitshacker

Zu guter Letzt können auch Gelegenheitshacker, manchmal auch Scriptkiddies genannt, für Unternehmen zur Gefahr werden. Hierunter versteht man Personen, die ohne ein bestimmtes Ziel zu verfolgen und (zum Teil trotz mangelnder Hacking-Kenntnisse) versuchen, in fremde Computersysteme einzudringen. Das klingt zunächst harmlos, doch auch Angriffe ohne primäre finanzielle Motivation können große Schäden nach sich ziehen.

So schützen Sie sich vor Gelegenheitsangreifern: Phishing-Kits stehen bei Gelegenheits- und Anfänger-Hackern hoch im Kurs, da sie ihnen schnell und unkomplizierten Zugang zum Netzwerk verschaffen können. Deshalb sollten Sie neben einer umfassenden EDR-Lösung, spezielle Anti-Phishing-Strategien verfolgen, die unter anderem eine regelmäßige Schulung aller Mitarbeiter umfasst.

Fazit

Egal wer hinter einem Cyberangriff steckt oder welche Motive der Angreifer verfolgt, eine effektive Prävention und Abwehr beruht auf Aufklärung, einer minimalen Rechtevergabe, Netzwerktransparenz sowie einer modernen Verhaltensanalyse, die verdächtige und potenziell schädliche Aktivitäten – egal von wem – frühzeitig identifiziert.

Schnelle Hilfe bei Cyberangriffen gibt es für Unternehmen im Stadtgebiet Karlsruhe: seit einem Jahr sorgt die Notfallnummer 0800-Cyberwehr (0800-292379347) der Cyberwehr Baden-Württemberg, für fachliche Hilfe.