Cyberangriff: Wie kann man sich schützen?

Ein Cyberangriff ist ein gezielter Angriff auf eine informationstechnische Infrastruktur. Dabei hat die Attacke das Ziel, die IT-Systeme ganz oder teilweise zu beeinträchtigen. Von außen nicht sichtbar, findet ein Cyberangriff ausschließlich im virtuellen Raum statt. Als Waffen werden Schad- oder Spähsoftware eingesetzt – beispielsweise Viren, Würmer oder Trojaner. Diese sind meist so gut verschlüsselt, dass es schwer ist, sie abzuwehren oder zurückzuverfolgen. Dadurch sind Rückschlüsse auf die Motive und die Identität des Täters nahezu unmöglich. Im Grunde genommen kann jeder Computer eines Netzwerkes Opfer eines Cyberangriffs werden. „Zur Prävention von Cyberattacken hat das Bundesamt für Sicherheit in der Informationstechnik für Privatpersonen und Unternehmen ein Informationsportal eingerichtet”, weist Anwalt Sören Riebenstahl hin.

Hinter einem Cyberangriff steckt fast immer kriminelle Energie. Meist planen Hacker ihre Attacke weit im Voraus. Sie identifizieren gezielt Schwachstellen in Unternehmenssystemen, um diese dann anzugreifen. Dabei klauen sie sensible Daten, verschlüsseln Informationen oder sperren wichtige Funktionen des Systems. Anschließend fordern sie ein Lösegeld, gegen dessen Zahlung sie ihren Angriff beenden. Dabei werden besonders oft Lösegeld-Trojaner eingesetzt. Über Mails oder gefälschte Programme gelangen sie über das Internet schnell auf einen Computer. Einmal aktiviert, sperren sie das Betriebssystem des Nutzers und stellen Lösegeld-Forderungen.

Ebenfalls ist Hacktivismus ein Motiv für Cyberangriffe. Dabei steht aber weniger das Erpressen von Lösegeld im Vordergrund. Vielmehr ist es ein Protestmittel, um politische und ideologische Ziele zu erreichen.

Um auf Rechnernetzen oder einzelnen Computern Daten abzugreifen, zu manipulieren oder zu löschen oder auch Informationssysteme zu zerstören, wenden Hacker unterschiedliche Methoden an. Folgend erklären wir die häufigsten Arten von Cyberangriffen

Malware bezeichnet schädliche Software wie Viren, Würmer, Trojaner, Spyware und Ransomware. Nachdem ein Nutzer auf einen gefährlichen Link oder einen Mail-Anhang geklickt hat, dringt sie in das Netzwerk ein. Anschließend kann die aktivierte Malware zum Beispiel Zugriffe blockieren, heimlich Informationen abrufen oder den Betrieb von Komponenten unterbrechen und somit das Netzwerk funktionsunfähig machen.

Wie können Sie Malware entfernen? Schutz bieten Malware-Scanner. Die Programme filtern im Hintergrund kontinuierlich alle Daten, isolieren infizierte Dateien und helfen so, Malware wie Trojaner zu entfernen.

Beim Phishing werden Mails versendet, die von einer seriösen Quelle zu stammen scheinen. Das vertraute Design soll Opfer dazu verlocken, auf einen mitgeschickten Link zu klicken und auf einer betrügerischen Webseite vertrauliche Daten wie Kreditkarten- und Anmeldeinformationen offenzulegen. Vorsicht: Auch Phishing-SMS sind im Umlauf.

Sie haben in einer Phishing-Mail einen Link geöffnet? Was können Sie tun? „Zunächst sollten Sie Ruhe bewahren. Das Gleiche gilt auch, wenn Sie sich beim Erhalt einer Phishing-Mail fragen, was zu tun ist. Denn solange Sie keine Informationen auf der Webseite eingegeben haben, sollten auch keine Daten abgefangen worden sein”, beruhigt Anwalt Sören Riebenstahl.

Ein Man-in-the-middle-Angriff ist eine Abhör-Attacke. Dabei schleust sich der Hacker in einen Informationsaustausch von zwei anderen Parteien ein. So kann er Daten herausfiltern und stehlen. Häufig sind unsichere öffentliche WLan-Netze hier der Angriffspunkt.

Denial of service bedeutet so viel wie etwas außer Betrieb setzen. Dabei passiert technisch bei einem Denial-of-service-Angriff Folgendes: Ein Server wird gezielt mit Anfragen überflutet, die das System überlasten. Infolgedessen können legitime Anfragen nicht mehr bearbeitet werden.

Eine SQL-Injection – Injection bedeutet Einschleusung – nutzt eine Sicherheitslücke in einer SQL-Datenbank. Dabei schleust der Hacker schädlichen Code in die Datenbank ein. Anschließend kann er Informationen auslesen, ändern, löschen oder sogar den kompletten Server übernehmen. „Hier sollte unbedingt auf die Sicherheit der eigenen Webseite geachtet werden. Denn eine SQL-Injection kann über ein anfälliges Suchfeld auf der Homepage erfolgen”, erklärt Rechtsanwalt Sören Riebenstahl.

Bei einem Zero Day Exploit greifen Hacker ein System über eine neu entdeckte Sicherheitslücke an. Dabei bezieht sich der Begriff Zero Day darauf, dass ein Entwickler erst mit dem Angriff von der Schwachstelle erfährt und somit bisher null Tage Zeit hatte, sie zu beheben. Solange die Lücke nicht durch ein Update geschlossen wurde, bedarf sie großer Aufmerksamkeit.

Das Domain Name System – DNS – ermöglicht es Anwendungen wie Webbrowsern, basierend auf Domänennamen zu arbeiten. DNS-Tunneling nutzt das DNS-Protokoll, um Datenverkehr als DNS zu tarnen. So bleiben Daten verborgen, die sonst über eine Internetverbindung geteilt werden. Letztlich werden DNS-Anfragen manipuliert, um schädliche Software unerkannt in ein System zu einzuschleusen.

Die meisten Cyberangriffe lassen sich vermeiden. Der Einsatz von Firewalls und VPN-Verbindungen senkt das Risiko einer Attacke erheblich.

Eine Firewall überwacht in einem Netzwerk den ein- und ausgehenden Datenverkehr. Dabei entscheidet sie auf Basis von definierten Regeln, welche Informationen zugelassen sind und welche nicht. Damit fungiert eine Firewall als Barriere zwischen kontrollierten Bereichen des internen Systems und nicht vertrauenswürdigen äußeren Netzwerken wie dem Internet.

Seit 25 Jahren bilden Firewalls eine zuverlässige Front gegen Cyberangriffe. Entweder basieren sie auf Hardware, auf Software oder auf einer Kombination aus beidem. Am häufigsten kommen folgende Arten zum Einsatz:

• Proxy-Firewalls dienen für eine bestimmte Anwendung als Gateway von einem Netzwerk zu einem anderen.
• Stateful Inspection-Firewalls entscheiden auf Grundlage von Status, Port und Protokoll, ob Datenverkehr zugelassen oder blockiert wird. Sie überwachen nach dem Öffnen einer Verbindung alle Aktivitäten, bis die Verbindung wieder geschlossen wird.
• Unified Threat Management (UTM)-Firewalls vereinen die Funktionen einer Stateful Inspection-Firewall mit Missbrauchserkennung und Anti-Viren-Detektor.
• Next-Generation-Firewalls (NGFW) sind in der Lage, auch deutlich komplexere Bedrohungen abzuwehren, wie Malware und Angriffe auf Anwendungen.

VPN bedeutet virtuelles privates Netzwerk. Was ist eine VPN-Verbindung? Ein VPN-Zugang bietet die Möglichkeit, von außen auf ein bestehendes Netzwerk zuzugreifen. Dabei kann es sich um ein Unternehmens-, aber auch um ein privates Netzwerk handeln.

Oft wird VPN zur Kommunikation zwischen Unternehmensstandorten genutzt. Denn es sorgt dafür, dass Daten nicht von Unbefugten mitgelesen werden können. Darüber hinaus ermöglicht VPN den Zugriff auf Laufwerke, die auf dem unternehmenseigenen Server liegen und nur innerhalb des Unternehmensnetzwerks verfügbar sein sollen. „Mit anderen Worten: VPN verschlüsselt nicht nur Daten, sondern lässt einen externen Rechner auch zum virtuellen Teil eines Unternehmensnetzwerkes werden”, erläutert Rechtsanwalt Sören Riebenstahl.

Wenn es zu einem Cyberangriff gekommen ist, muss schnell gehandelt werden, um größere Kollateral-Schäden zu vermeiden. Daher sollten die beiden ersten Schritte immer sein:

• Passwörter und Zugangsdaten ändern
• Systeme offline nehmen

Unternehmen sollten immer eine Checkliste für den Fall eines Cyberangriffs festlegen. Auch wenn jede Attacke individuell ist, sorgt ein Notfall-Plan für ein koordiniertes zügiges Vorgehen. Daher empfiehlt es sich, bei einem Cyberangriff folgende Punkte zu befolgen:

• IT informieren: Die Techniker können sich darum kümmern, dass durch den Vorfall kein weiterer Schaden entsteht. Beispielsweise können sie die Zugangsdaten ändern, Systeme isolieren oder das Netzwerk offline nehmen.
• Beweise sichern: Sowohl für die Strafverfolgung als auch für die Versicherung ist es wichtig, alle Beweise zu sichern. Daher sollten von einem Audit-Logging alle Ereignisse aufgezeichnet und gespeichert werden.
• Behörden informieren: Ein Cyberangriff kann erhebliche rechtliche Auswirkungen auf die Compliance haben. Daher ist es wichtig festzulegen, wie die zuständigen Behörden informiert werden. „Besonders dann, wenn das Unternehmen mit Daten arbeitet, die unter die DSGVO oder das US-Gesetz HIPAA fallen. Denn hier müssen spezielle Anforderungen erfüllt werden”, weist Anwalt Sören Riebenstahl hin.

Ebenfalls sollte geprüft werden, ob für das Unternehmen der Abschluss einer Cyberversicherung sinnvoll ist. Diese kann das finanzielle Risiko eines Cyberangriffs erheblich senken.