Cyberangriff: Wie kann man sich schützen?

Ein Cyberangriff ist ein gezielter Angriff auf eine informationstechnische Infrastruktur. Dabei hat die Attacke das Ziel, die IT-Systeme ganz oder teilweise zu beeinträchtigen. Von außen nicht sichtbar, findet ein Cyberangriff ausschließlich im virtuellen Raum statt. Als Waffen werden Schad- oder Spähsoftware eingesetzt – beispielsweise Viren, Würmer oder Trojaner. Diese sind meist so gut verschlüsselt, dass es schwer ist, sie abzuwehren oder zurückzuverfolgen. Dadurch sind Rückschlüsse auf die Motive und die Identität des Täters nahezu unmöglich. Im Grunde genommen kann jeder Computer eines Netzwerkes Opfer eines Cyberangriffs werden. „Zur Prävention von Cyberattacken hat das Bundesamt für Sicherheit in der Informationstechnik für Privatpersonen und Unternehmen ein Informationsportal eingerichtet”, weist Anwalt Sören Riebenstahl hin.

Hinter einem Cyberangriff steckt fast immer kriminelle Energie. Meist planen Hacker ihre Attacke weit im Voraus. Sie identifizieren gezielt Schwachstellen in Unternehmenssystemen, um diese dann anzugreifen. Dabei klauen sie sensible Daten, verschlüsseln Informationen oder sperren wichtige Funktionen des Systems. Anschließend fordern sie ein Lösegeld, gegen dessen Zahlung sie ihren Angriff beenden. Dabei werden besonders oft Lösegeld-Trojaner eingesetzt. Über Mails oder gefälschte Programme gelangen sie über das Internet schnell auf einen Computer. Einmal aktiviert, sperren sie das Betriebssystem des Nutzers und stellen Lösegeld-Forderungen.

Ebenfalls ist Hacktivismus ein Motiv für Cyberangriffe. Dabei steht aber weniger das Erpressen von Lösegeld im Vordergrund. Vielmehr ist es ein Protestmittel, um politische und ideologische Ziele zu erreichen.

Um auf Rechnernetzen oder einzelnen Computern Daten abzugreifen, zu manipulieren oder zu löschen oder auch Informationssysteme zu zerstören, wenden Hacker unterschiedliche Methoden an. Folgend erklären wir die häufigsten Arten von Cyberangriffen

Malware bezeichnet schädliche Software wie Viren, Würmer, Trojaner, Spyware und Ransomware. Nachdem ein Nutzer auf einen gefährlichen Link oder einen Mail-Anhang geklickt hat, dringt sie in das Netzwerk ein. Anschließend kann die aktivierte Malware zum Beispiel Zugriffe blockieren, heimlich Informationen abrufen oder den Betrieb von Komponenten unterbrechen und somit das Netzwerk funktionsunfähig machen.

Wie können Sie Malware entfernen? Schutz bieten Malware-Scanner. Die Programme filtern im Hintergrund kontinuierlich alle Daten, isolieren infizierte Dateien und helfen so, Malware wie Trojaner zu entfernen.

Beim Phishing werden Mails versendet, die von einer seriösen Quelle zu stammen scheinen. Das vertraute Design soll Opfer dazu verlocken, auf einen mitgeschickten Link zu klicken und auf einer betrügerischen Webseite vertrauliche Daten wie Kreditkarten- und Anmeldeinformationen offenzulegen. Vorsicht: Auch Phishing-SMS sind im Umlauf.

Sie haben in einer Phishing-Mail einen Link geöffnet? Was können Sie tun? „Zunächst sollten Sie Ruhe bewahren. Das Gleiche gilt auch, wenn Sie sich beim Erhalt einer Phishing-Mail fragen, was zu tun ist. Denn solange Sie keine Informationen auf der Webseite eingegeben haben, sollten auch keine Daten abgefangen worden sein”, beruhigt Anwalt Sören Riebenstahl.

Ein Man-in-the-middle-Angriff ist eine Abhör-Attacke. Dabei schleust sich der Hacker in einen Informationsaustausch von zwei anderen Parteien ein. So kann er Daten herausfiltern und stehlen. Häufig sind unsichere öffentliche WLan-Netze hier der Angriffspunkt.

Denial of service bedeutet so viel wie etwas außer Betrieb setzen. Dabei passiert technisch bei einem Denial-of-service-Angriff Folgendes: Ein Server wird gezielt mit Anfragen überflutet, die das System überlasten. Infolgedessen können legitime Anfragen nicht mehr bearbeitet werden.

Eine SQL-Injection – Injection bedeutet Einschleusung – nutzt eine Sicherheitslücke in einer SQL-Datenbank. Dabei schleust der Hacker schädlichen Code in die Datenbank ein. Anschließend kann er Informationen auslesen, ändern, löschen oder sogar den kompletten Server übernehmen. „Hier sollte unbedingt auf die Sicherheit der eigenen Webseite geachtet werden. Denn eine SQL-Injection kann über ein anfälliges Suchfeld auf der Homepage erfolgen”, erklärt Rechtsanwalt Sören Riebenstahl.

Bei einem Zero Day Exploit greifen Hacker ein System über eine neu entdeckte Sicherheitslücke an. Dabei bezieht sich der Begriff Zero Day darauf, dass ein Entwickler erst mit dem Angriff von der Schwachstelle erfährt und somit bisher null Tage Zeit hatte, sie zu beheben. Solange die Lücke nicht durch ein Update geschlossen wurde, bedarf sie großer Aufmerksamkeit.

Das Domain Name System – DNS – ermöglicht es Anwendungen wie Webbrowsern, basierend auf Domänennamen zu arbeiten. DNS-Tunneling nutzt das DNS-Protokoll, um Datenverkehr als DNS zu tarnen. So bleiben Daten verborgen, die sonst über eine Internetverbindung geteilt werden. Letztlich werden DNS-Anfragen manipuliert, um schädliche Software unerkannt in ein System zu einzuschleusen.

Die meisten Cyberangriffe lassen sich vermeiden. Der Einsatz von Firewalls und VPN-Verbindungen senkt das Risiko einer Attacke erheblich.

Eine Firewall überwacht in einem Netzwerk den ein- und ausgehenden Datenverkehr. Dabei entscheidet sie auf Basis von definierten Regeln, welche Informationen zugelassen sind und welche nicht. Damit fungiert eine Firewall als Barriere zwischen kontrollierten Bereichen des internen Systems und nicht vertrauenswürdigen äußeren Netzwerken wie dem Internet.

Seit 25 Jahren bilden Firewalls eine zuverlässige Front gegen Cyberangriffe. Entweder basieren sie auf Hardware, auf Software oder auf einer Kombination aus beidem. Am häufigsten kommen folgende Arten zum Einsatz:

• Proxy-Firewalls dienen für eine bestimmte Anwendung als Gateway von einem Netzwerk zu einem anderen.
• Stateful Inspection-Firewalls entscheiden auf Grundlage von Status, Port und Protokoll, ob Datenverkehr zugelassen oder blockiert wird. Sie überwachen nach dem Öffnen einer Verbindung alle Aktivitäten, bis die Verbindung wieder geschlossen wird.
• Unified Threat Management (UTM)-Firewalls vereinen die Funktionen einer Stateful Inspection-Firewall mit Missbrauchserkennung und Anti-Viren-Detektor.
• Next-Generation-Firewalls (NGFW) sind in der Lage, auch deutlich komplexere Bedrohungen abzuwehren, wie Malware und Angriffe auf Anwendungen.

Unternehmen sollten immer eine Checkliste für den Fall eines Cyberangriffs festlegen. Auch wenn jede Attacke individuell ist, sorgt ein Notfall-Plan für ein koordiniertes zügiges Vorgehen. Daher empfiehlt es sich, bei einem Cyberangriff folgende Schritte zu befolgen:

Passwörter und Zugangsdaten ändern: Um den Zugriff der Angreifer zu unterbinden, sollten alle Passwörter und Zugangsdaten umgehend geändert werden.

Systeme offline nehmen: Schnelles Handeln erfordert das vorübergehende Offline-Nehmen der betroffenen Systeme, um eine weitere Ausbreitung des Angriffs zu verhindern.

Festlegung eines Notfall-Plans: Unternehmen sollten einen detaillierten Notfall-Plan für den Fall eines Cyberangriffs erstellen. Dies gewährleistet ein koordiniertes und effizientes Vorgehen.

IT-Team informieren: Die Information des IT-Teams ist entscheidend. Techniker können sofort Maßnahmen ergreifen, um den Schaden zu begrenzen, wie das Ändern von Zugangsdaten, die Isolierung von Systemen oder das vorübergehende Offline-Nehmen des Netzwerks.

Beweissicherung durch Audit-Logging: Zur Strafverfolgung und für Versicherungsansprüche ist es essenziell, sämtliche Ereignisse durch Audit-Logging zu protokollieren und zu sichern.

Konsultation von Rechtsexperten: Im Falle eines Angriffs sollten rechtliche Experten hinzugezogen werden, um die Einhaltung von Compliance-Anforderungen sicherzustellen.

Behörden informieren: Die Meldung des Vorfalls an die relevanten Behörden ist von großer Bedeutung, insbesondere bei rechtlichen Auswirkungen auf die Compliance. Dies gilt besonders bei der Verarbeitung von Daten, die unter die DSGVO oder HIPAA fallen.

Spezifische rechtliche Anforderungen prüfen: Anwälte sollten spezielle rechtliche Anforderungen im Zusammenhang mit Datenschutzbestimmungen klären und sicherstellen, dass diese erfüllt werden.

Ursachenanalyse durchführen: Nach dem Angriff ist eine gründliche Analyse erforderlich, um die Ursachen zu verstehen. Dies ermöglicht gezielte Verbesserungen in der Sicherheitsinfrastruktur.

Sicherheitsvorkehrungen verstärken: Auf Grundlage der Analyse sollten Unternehmen ihre Sicherheitsvorkehrungen ständig verbessern und aktualisieren, um gegen aktuelle Bedrohungen gewappnet zu sein.

Schulung der Mitarbeiter: Regelmäßige Schulungen der Mitarbeiter zu sicherheitsrelevanten Themen sind entscheidend, um die Sensibilisierung für potenzielle Bedrohungen zu stärken und sicherheitsbewusstes Verhalten zu fördern.

Unternehmen sollten überlegen, ob der Abschluss einer Cyberversicherung sinnvoll ist. Diese kann das finanzielle Risiko erheblich mindern und Schutz bieten, insbesondere vor den Folgen eines Cyberangriffs.