Cyberangriff

Angreifer variieren ihre Hacking-Techniken je nach Ziel, Ressourcen und Zielsetzung. Manche Angriffe zielen darauf ab, Zugangsdaten zu stehlen, andere sperren Systeme, um Lösegeld zu erpressen, und wieder andere sammeln im Stillen über einen längeren Zeitraum Daten. Die folgenden Angriffe stellen die häufigsten und schädlichsten Bedrohungen dar, denen Organisationen heute ausgesetzt sind.

Malware & Ransomware

Malware ist ein Oberbegriff für jegliche Software, die absichtlich entwickelt wurde, um Schaden anzurichten, Daten zu stehlen oder unbefugten Zugriff auf Systeme zu erlangen. Zu dieser Kategorie gehören Viren, Trojaner, Spyware, Keylogger und Würmer. Angreifer verbreiten Schadsoftware über infizierte E-Mail-Anhänge, kompromittierte Websites, schädliche Downloads und Software-Schwachstellen.

Ransomware ist eine Form von Schadsoftware, die dazu dient, Daten zu verschlüsseln oder Systeme zu sperren und anschließend ein Lösegeld für deren Freigabe zu fordern.

Ein Ransomware-Angriff besteht jedoch nicht nur aus dem Einsatz von Ransomware. Es handelt sich um einen mehrstufigen Einbruch, bei dem die Angreifer zunächst Zugang erlangen, sich dauerhaft festsetzen, ihre Berechtigungen erweitern, sich lateral über die Systeme bewegen und häufig sensible Daten exfiltrieren, bevor sie als letzten Schritt Ransomware einsetzen, um den Betrieb zu stören und die Zahlung zu erzwingen.

Moderne Ransomware-Gruppen kombinieren Verschlüsselung mit Datendiebstahl und Erpressung und machen so aus der Kompromittierung umfassender Netzwerke ein hochprofitables kriminelles Geschäftsmodell.

WatchGuards Internet-Sicherheitsbericht für das vierte Quartal 2024 wurde festgestellt, dass Zero-Day-Malware wieder auf 53 % der Erkennungen angestiegen ist. Der Bericht dokumentierte auch einen Anstieg der Kryptomining-Aktivitäten um 141 %, da Angreifer die steigenden Kryptowährungswerte ausnutzten.

Social Engineering & Phishing

Social Engineering nutzt die menschliche Psychologie anstelle technischer Schwachstellen aus, um Benutzer dazu zu verleiten, sensible Daten preiszugeben oder Zugang zu gesicherten Systemen zu gewähren. Diese Art von Angriff ist recht komplex, da er Vertrauen, Dringlichkeit oder Autorität ausnutzt, um Sicherheitskontrollen zu umgehen, die sowohl heuristisch als auch technisch sind.

Phishing ist die häufigste Form. Angreifer versenden E-Mails, die den Anschein erwecken, von legitimen Absendern wie Banken, Lieferanten oder internen IT-Abteilungen zu stammen, und fordern die Empfänger auf, auf Links zu klicken, Anhänge zu öffnen oder Zugangsdaten anzugeben. Die meisten Sicherheitslücken beruhen auf dem menschlichen Faktor, das heißt, sie benötigen jemanden am anderen Ende, über den sie agieren können. Dies umfasst Phishing, Pretexting, Missbrauch von Zugangsdaten, Fehler und Interaktionen mit Schadsoftware.

KI-gestützte Angriffe haben Phishing überzeugender gemacht. WatchGuard verzeichnete im dritten Quartal 2024 einen Anstieg signaturbasierter Angriffe um 40 Prozent, was darauf hindeutet, dass Angreifer verstärkt auf Social-Engineering-Taktiken setzen, um ihre Kampagnen durchzuführen. Angreifer nutzen heute große Sprachmodelle, um grammatikalisch korrekte E-Mails in mehreren Sprachen zu verfassen, personalisierte Nachrichten auf Basis gesammelter Social-Media-Daten zu erstellen und realistische Sprachanrufe zu generieren, die Führungskräfte oder Kollegen imitieren.

Beim Pretexting wird ein erfundenes Szenario geschaffen, um Informationen zu erlangen. Ein Angreifer könnte sich als Helpdesk-Techniker ausgeben, der anruft, um ein Passwort zu "überprüfen", oder als Lieferant, der Zahlungsdetails für eine Rechnung anfordert. Diese Angriffe basieren darauf, Glaubwürdigkeit aufzubauen und normale Geschäftsprozesse auszunutzen.

DoS- und DDoS-Angriffe

Denial-of-Service-Angriffe (DoS) und verteilte Denial-of-Service-Angriffe (DDoS) zielen darauf ab, einen Online-Dienst durch Überlastung mit Datenverkehr unzugänglich zu machen. Bei einem DoS-Angriff überflutet eine einzelne Quelle ein Ziel mit Anfragen. Bei einem DDoS-Angriff nutzen Angreifer mehrere kompromittierte Geräte, um gleichzeitig Datenverkehr aus vielen verschiedenen Quellen zu erzeugen.

Angreifer nutzen häufig Botnetze, also Netzwerke infizierter Computer oder IoT-Geräte, die ferngesteuert werden, um DDoS-Angriffe zu starten. Diese Botnetze können Millionen von Anfragen pro Sekunde generieren, wodurch Serverressourcen erschöpft, die Netzwerkbandbreite überlastet oder Anwendungen zum Absturz gebracht werden.

DDoS-Angriffe dienen auch als Nebelkerze. Angreifer starten einen gut sichtbaren DDoS-Angriff, um die Sicherheitsteams abzulenken, während sie gleichzeitig Daten stehlen oder Schadsoftware an anderer Stelle im Netzwerk einsetzen. Die überwältigende Flut an Angriffsverkehr verschleiert die parallel stattfindenden, weitaus gefährlicheren Eindringversuche.

Identitätsbasierte Angriffe

Bei identitätsbasierten Angriffen geht es darum, gültige Benutzerdaten zu stehlen oder zu erraten, um Sicherheitsbarrieren zu umgehen. Sobald Angreifer legitime Zugangsdaten erlangt haben, erscheinen sie als autorisierte Benutzer und können sich in Systemen bewegen, ohne viele Sicherheitswarnungen auszulösen.

Beim Credential Stuffing werden gestohlene Benutzernamen- und Passwortkombinationen aus früheren Datenlecks verwendet, um sich bei anderen Diensten anzumelden. Da viele Menschen Passwörter wiederverwenden, setzen Angreifer automatisierte Tools ein, die Millionen von Anmeldeinformationenpaaren auf Zielwebseiten testen.

Session Hijacking liegt vor, wenn ein Angreifer ein gültiges Session-Token stiehlt oder abfängt. Dieses Token ist die Kennung, die dafür sorgt, dass Benutzer nach der Authentifizierung angemeldet bleiben. Mit diesem Token kann der Angreifer sich als der Benutzer ausgeben, ohne das eigentliche Passwort zu benötigen. Angreifer erlangen Sitzungstoken durch Malware, Netzwerk-Abfangen oder Cross-Site-Scripting-Angriffe.

Die Übernahme von Konten stellt das Endziel vieler identitätsbasierter Angriffe dar. Der Angreifer erlangt die volle, unbefugte Kontrolle über ein echtes Benutzerkonto und begeht damit faktisch einen digitalen Identitätsdiebstahl. Von dieser Position aus können sie auf sensible Daten zugreifen, Transaktionen autorisieren, sich gegenüber Kollegen oder Kunden als das Opfer ausgeben oder das kompromittierte Konto als Ausgangspunkt für Angriffe auf andere Systeme nutzen.

Spoofing

Beim Spoofing wird eine Kommunikation so verschleiert, dass sie den Anschein erweckt, von einer vertrauenswürdigen, legitimen Quelle zu stammen. Angreifer manipulieren identifizierende Informationen, um Empfänger und Sicherheitssysteme zu täuschen.

Beim E-Mail-Spoofing wird die Absenderadresse im E-Mail-Header verfälscht, sodass die Nachricht den Anschein erweckt, als käme sie von jemandem, den der Empfänger kennt oder dem er vertraut. Angreifer nutzen diese Technik, um Schadsoftware zu verbreiten, Anmeldeinformationen über gefälschte Anmeldeseiten zu sammeln oder Mitarbeiter dazu zu verleiten, Geld auf betrügerische Konten zu überweisen.

Durch Domain- und Website-Spoofing werden gefälschte Websites erstellt, die legitimen Websites täuschend ähnlich sehen. Angreifer registrieren ähnliche Domainnamen, kopieren das visuelle Design vertrauenswürdiger Websites und leiten Opfer über Phishing-E-Mails oder Suchmaschinenmanipulation auf diese Fälschungen um. Wer auf diesen gefälschten Webseiten Zugangsdaten oder Zahlungsinformationen eingibt, übergibt seine Daten direkt den Angreifern.

DNS-Spoofing, auch DNS-Cache-Poisoning genannt, manipuliert das Domain Name System, um Benutzer auf bösartige Webseiten umzuleiten, wenn sie legitime Adressen eingeben. Angreifer schleusen falsche DNS-Einträge in den Cache eines DNS-Resolvers ein, wodurch das System eine falsche IP-Adresse zurückgibt. Wenn Benutzer beispielsweise versuchen, die Website ihrer Bank zu besuchen, werden sie stattdessen auf eine vom Angreifer kontrollierte, täuschend echt aussehende Website weitergeleitet.

Man-in-the-Middle-Angriffe (MITM)

Man-in-the-Middle-Angriffe liegen vor, wenn ein Angreifer die Kommunikation zwischen zwei Parteien abfängt, um die gesendeten Daten abzuhören oder zu verändern. Keine der beiden Parteien ahnt, dass eine dritte Partei ihre Verbindung überwacht oder manipuliert. Diese Angriffe zielen auf unverschlüsselte Kommunikation, kompromittierte Netzwerke oder Schwachstellen in Authentifizierungsprotokollen ab.

Das Abhören von WLAN-Verbindungen ist eine gängige Form des Man-in-the-Middle-Angriffs. Angreifer installieren gefälschte drahtlose Zugangspunkte, die legitim erscheinen und oft als „Evil Twin“-Hotspots bezeichnet werden, an öffentlichen Orten wie Cafés, Flughäfen oder Hotels. Wenn sich Benutzer mit diesen bösartigen Netzwerken verbinden, kann der Angreifer den gesamten durchlaufenden Datenverkehr abfangen, einschließlich Anmeldeinformationen, E-Mail-Inhalte und Zahlungsinformationen. Da sich viele Menschen automatisch mit bekannten Netzwerknamen verbinden, sind diese gefälschten Hotspots dadurch erfolgreich, dass sie die Namen legitimer Netzwerke in der Umgebung imitieren.

Die Verteilung der Angriffe variiert je nach Region.WatchGuard-Daten für das dritte Quartal 2024 Die Zahlen zeigen, dass die EMEA-Region 53 % aller Malware-Angriffe nach Volumen ausmachte, was einer Verdopplung gegenüber dem Vorquartal entspricht, während der asiatisch-pazifische Raum 59 % der Netzwerkangriffe verzeichnete.