Definition eines Cyberangriffs und gängige Arten von Cyberangriffen
2023 Mid-Year Threat ReportInhaltsübersicht
Ein Cyberangriff – auch Cybersicherheitsangriff genannt – ist jede Form einer böswilligen Aktivität, die auf IT-Systeme und/oder die sie nutzenden Personen abzielt, um sich unbefugten Zugriff auf die darin enthaltenen Systeme und Daten zu verschaffen.
Kriminelle versuchen typischerweise, einen Angriff aus finanziellen Gründen durchzuführen, in anderen Fällen besteht das Ziel jedoch darin, den Betrieb zu stören, indem sie den Zugriff auf IT-Systeme sperren. Bei den Bedrohungsakteuren kann es sich um eine einzelne Person handeln, die versucht, an gestohlene Zugangsdaten zu gelangen und Sie für Lösegeld zu erpressen, bis hin zu einem staatlich geförderten Kontingent, das den Betrieb auf fremdem Boden stören möchte. Was auch immer die Beweggründe sein mögen, die meisten IT-Netzwerke – und die Menschen, die sie verwalten – werden im Laufe ihres Lebens irgendeiner Art von Angriff ausgesetzt sein und müssen darauf vorbereitet sein.
Wer jemals historische Schlachten studiert hat, weiß, dass keine der anderen gleicht. Dennoch kommen auf dem Schlachtfeld häufig ähnliche Strategien und Taktiken zum Einsatz, weil sie sich mit der Zeit als effektiv erwiesen haben. Vergleichsweise gilt auch, dass ein krimineller Hacker beim Versuch, in ein Unternehmen einzudringen, nur dann sein Vorgehen von Grund auf neu überlegt, wenn dies gefordert ist: Er wird geläufige Hacking-Methoden einsetzen, die sich als effektiv erwiesen haben, wie Malware, Phishing oder Cross-Site-Scripting (XSS).
Ganz gleich, ob Sie versuchen, die Schlagzeilen über den neuesten Datenverstoß zu verstehen oder eine Analyse eines Vorfalls in Ihrem eigenen Unternehmen aufzustellen, ist es hilfreich, die verschiedenen Angriffsvektoren zu kennen, die ein böswilliger Akteur einsetzt, um Schaden anzurichten. Es folgt ein Überblick über einige der geläufigsten Angriffsarten, die wir aktuell erleben.
Als „Malware“ werden verschiedene Arten von schädlicher Software wie Viren und Ransomware bezeichnet. Sobald Sie Malware in Ihrem Computer haben, kann sie allen möglichen Schaden auslösen, angefangen bei der Kontrolle über Ihren Rechner und der Überwachung Ihrer Handlungen und Tastatureingaben bis zur stillen Weiterleitung aller Arten vertraulicher Daten von Ihrem Computer oder aus Ihrem Netzwerk an die Schaltstelle des Angreifers.
Angreifer setzen unterschiedlichste Methoden ein, um Malware auf Ihrem Rechner einzurichten, jedoch ist dazu zu einem gewissen Zeitpunkt häufig eine Handlung seitens des Benutzers erforderlich, um die Malware zu installieren. Zu diesen Handlungen zählen möglicherweise das Anklicken eines Links zum Download einer Datei oder das Öffnen eines augenscheinlich harmlosen Anhangs (wie ein Word-Dokument oder eine PDF-Datei), in der sich aber tatsächlich ein Malware-Installationsprogramm befindet.
Bei einem Phishing-Angriff schickt ein Angreifer Ihnen vielleicht eine E-Mail zu, die von jemandem zu stammen scheint, dem Sie vertrauen, wie Ihrem Chef oder einem Unternehmen, mit dem Sie zusammenarbeiten. Die E-Mail scheint legitim zu sein und enthält ein dringliches Anliegen (z. B. wurde ein Betrugsversuch in Ihrem Konto erkannt). Der E-Mail wurde eine Anlage beigefügt, die Sie öffnen sollen, oder sie enthält einen Link, den Sie anklicken sollen. Durch Öffnen des bösartigen Anhangs installieren Sie Malware auf Ihrem Computer.
Wenn Sie den Link anklicken, gelangen Sie möglicherweise auf eine legitim aussehende Website, die Sie zum Einloggen auffordert, um auf die wichtige Datei zuzugreifen – aber bei dieser Website handelt es sich tatsächlich um eine Falle, die bei der Anmeldung Ihre Zugangsdaten erfasst. Zur Bekämpfung von Phishing-Versuchen ist es unerlässlich, sich der Bedeutung der Überprüfung von E-Mail-Absendern und Anhängen/Links bewusst zu sein.
Ein SQL-Injektionsangriff zielt speziell auf diese Art von Server ab und verwendet bösartigen Code, um den Server dazu zu bringen, Informationen preiszugeben, die er normalerweise nicht preisgibt. Dies ist besonders problematisch, wenn der Server private Kundeninformationen von der Website speichert, z. B. Kreditkartennummern, Benutzernamen und Passwörter (Anmeldeinformationen) oder andere persönlich identifizierbare Informationen, die für einen Angreifer verlockende und lukrative Ziele darstellen.
Ein SQL-Injektionsangriff nutzt eine der bekannten SQL-Schwachstellen aus, die die Ausführung schädlichen Codes auf dem SQL-Server überhaupt erst möglich machen. Wenn beispielsweise ein SQL-Server für Injektionsangriffe anfällig ist, ist der Angreifer möglicherweise in der Lage, auf das Suchfeld einer Website zuzugreifen und Code einzugeben, der den SQL-Server der Website zwingt, alle gespeicherten Benutzernamen und Passwörter für die Website freizugeben.
Ähnlich wie bei einem SQL-Injektionsangriff geht es bei einem Cross-Site Scripting-Angriff auch um die Injektion von bösartigem Code in eine Website, allerdings wird die Website selber nicht angegriffen. Stattdessen läuft der injizierte bösartige Code nur im Webbrowser des Benutzers, wenn dieser die betroffene Website besucht, und nimmt sich direkt den Besucher vor, aber nicht die Website.
Eine der häufigsten Weisen, wie ein Angreifer einen Cross-Site-Scripting-Angriff ausführen kann, ist die Injektion bösartigen Codes in einen Kommentar oder ein Skript, das automatisch ausgeführt wird. Beispielsweise könnte er einen Link zu einem schädlichen JavaScript in einen Kommentar in einem Blog einbetten.
Cross-Site-Scripting-Angriffe können den Ruf einer Website erheblich schädigen, indem sie die Benutzerinformationen gefährden, ohne dass Anzeichen dafür vorliegen, dass überhaupt etwas Bösartiges aufgetreten ist.
Bei einem Denial-of-Service-Angriff (DoS) wird eine Website mit mehr Datenverkehr überschwemmt, als sie verarbeiten kann, und der Server der Website wird überlastet. Es wird für die Website so gut wie unmöglich, Besuchern ihren Inhalt anzuzeigen, wenn sie aufgerufen wird.
Dies kann aus legitimen Gründen geschehen, beispielsweise bei einem großen Ereignis in den Medien, wenn Besucher die Website einer Zeitung übermäßig aufrufen, um mehr zu erfahren. Häufig ist dieses Verkehrsaufkommen jedoch bösartig, wenn ein Angreifer eine Website mit exzessivem Datenverkehr überschwemmt, um sie für alle Benutzer lahmzulegen. In einigen Fällen werden diese DoS-Angriffe von vielen Computern gleichzeitig ausgeführt.
Beim Session-Hijacking wird Ihre Sitzung vom Angreifer gekapert, indem er die Sitzungs-ID erfasst und sich als der Computer ausgibt, der etwas anfordert. Dadurch kann er sich als legitimer Benutzer anmelden und auf Informationen auf dem Webserver zugreifen, die nicht zur Freigabe vorgesehen sind.
Angreifer können die Sitzungs-ID auf unterschiedlichste Weise stehlen, z. B. bei einem Cross-Site-Scripting-Angriff, mit dem Sitzungs-IDs abgerufen werden. Ein Angreifer kann wahlweise auch die Sitzung als solche in Beschlag nehmen, um sich zwischen den anfordernden Computer und den Remote-Server zu schalten und vorzugeben, die andere Partei in der Sitzung zu sein. Auf diese Weise kann er Informationen aus beiden Richtungen abfangen. Darum werden diese Angriffe häufig als Man-in-the-Middle-Angriffe bezeichnet.
Das Verwenden von Zugangsdaten erfolgt, wenn jemand dieselben Informationen für unterschiedliche Webseiten verwendet. Das ist zwar bequem, zeigt aber später häufig Nachteile für den Nutzer. Obwohl es empfohlen wird, eindeutige Passwörter zu verwenden, nutzen viele Menschen immer noch dieselben für verschiedene Logins. Damit gibt man Angreifern leichtes Spiel.
Sobald Angreifer eine Sammlung von Benutzernamen und Passwörtern einer kompromittierten Website oder eines Dienstes haben (diese lassen sich auf beliebigen Schwarzmarkt-Websites im Internet leicht erwerben), gehen sie davon aus, dass sie sich mit denselben Zugangsdaten auch auf anderen Websites einloggen können. Bei den Zugangsdaten ist Abwechslung entscheidend. Es gibt Passwort-Manager, die hilfreich sein können, wenn es darum geht, die verschiedenen Zugangsdaten zu überblicken.