IT-Security

Rohde & Schwarz: So schützen sich Unternehmen vor neuen Cyberangriffen

14.02.2022 - Aktuelle Verschärfungen der IT-Sicherheitsgesetze und -verordnungen zeigen: Insbesondere KRITIS-Unternehmen sollen noch besser vor Cyberattacken geschützt werden, damit sie neuen Hackergruppen wie Hive die Stirn bieten können. Kein leichtes Unterfangen angesichts der vielen neuen Angriffstrends. Clemens A. Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity, erklärt, welches die fünf wichtigsten sind und wie man sich schützen kann.

1. Neue Erpressungsvarianten
Cyberkriminelle Erpressungsmethoden haben sich spürbar ausgeweitet. Insbesondere Schutzgeld- und Schweigegelderpressungen im Zusammenhang mit Ransomware-Angriffen sind verstärkt auf dem Vormarsch. Dies ist eine zentrale Erkenntnis aus dem BSI-Lagebericht für das Jahr 2021 zur IT-Sicherheit in Deutschland. Jüngstes Beispiel ist die Hackergruppe Hive. Seit Mitte des vergangenen Jahres versendet dieses Netzwerk massiv Phishing-Mails an Unternehmen, um Schadsoftware auf Computern zu platzieren. Mit Erfolg: Im November 2021 wurde neben dem Ceconomy-Konzern, zu dem die Elektrofachmärkte Media Markt und Saturn gehören, auch der Medizin-Dienstleister Medatixx Opfer einer solchen Attacke.

Neu im Vergleich zu herkömmlichen Ransomware-Angriffen: Cyberkriminelle verschlüsseln die Daten nicht mehr nur, um ein Lösegeld zu erpressen, sondern ziehen sie nun auch von den Servern der Opfer ab – verbunden mit der Drohung, sensible Unternehmensdaten online zu veröffentlichen, falls nicht gezahlt wird. Die Strategie eines Datenbackups geht also nicht mehr auf. Das macht diese Angriffe noch gefährlicher als herkömmliche Ransomware.

Mit konventionellen Security-Strategien ist ein Schutz vor der Hive-Gruppe nicht möglich. Denn das Tool-Set der genutzten Schadsoftware variiert stark. Klassische Antiviren-Scanner haben keine Chance, mit der Erkennung hinterher zu kommen. Das perfide: Häufig kommen Tools zum Einsatz, die auch für andere Funktionen im IT-System benötigt werden – und daher nicht einfach ausgeschaltet werden können.

2. Erpresser ­wählen finanz­starke Opfer gezielt aus
Als „Big Game Hunting“ – Großwildjagd – wird der gezielte Erpressungsangriff auf finanzstarke Unternehmen bezeichnet. Die Höhe des Lösegelds machten die Angreifer dabei beispielsweise an öffentlich verfügbaren Informationen über ihre Opfer, wie etwa der Unternehmensgröße oder den Quartalszahlen fest, schreibt das BSI in seinem Bericht. Außerdem würden Netzwerke von Unternehmen vor dem eigentlichen Angriff ausspioniert, um geeignete Ziele auszumachen. Dabei kommen mehrstufige Angriffsstrategien zum Einsatz. Das BSI beschreibt diese wie folgt: Zunächst wird der Trojaner Emotet eingeschleust. Er dient als Türöffner. Daraufhin wird die Schadsoftware „Trickbot“ nachgeladen, um das Netzwerk auszuspionieren, Passwörter auszuspähen und Konten einzusehen. Bei besonders lohnenswerten Zielen wurde dann die Ransomware „Ryuk“ aufgespielt und Lösegeld erpresst.

Die Gefahr von Ransomware steigt auch deshalb, weil Emotet zurück ist. Vor einem Jahr verkündeten deutsche Sicherheitsbehörden noch das Ende der laut Bundeskriminalamt gefährlichsten Software der Welt. Doch der Trojaner wird jetzt erneut verbreitet. Wird Emotet einmal eingeschleust, kann die Software beliebige weitere Malware nachladen. Emotet gilt daher auch als Türöffner für andere Kriminelle. Sie können Zugänge zu Emotet-infizierten Computern mieten und dadurch ihre eigenen Schadprogramme verbreiten, etwa Ransomware.

3. Massenhaft neue Virusvarianten  
Laut BSI nahm die Zahl neuer Schadprogrammvarianten im letzten Berichtszeitraum täglich um durchschnittlich etwas mehr als 394.000 zu. Das entspricht einer Steigerung von 22 Prozent. Zeitweise wurden Spitzenwerte von täglich 553.000 neuen Varianten erreicht. Diese Zahlen machen deutlich, wie stark der Cybercrime-Markt gewachsen ist und wie professionell die Akteure vorgehen. Die Varianten sind besonders gefährlich, denn gängige Firewalls und Antivirenprogramme können nur Malware stoppen, die ihnen bereits bekannt ist. Je größer die Zahl neuer und unbekannter Angriffsarten, desto größer ist die Wahrscheinlichkeit, dass diese unbemerkt in die IT-Netze von Unternehmen gelangen.

4. Angreifer setzen auf Doppelschlag
Das BSI hat beobachtet, dass Angreifer während eines laufenden Angriffs zusätzliche Angriffe auf ein Unternehmen starten. So setzen einzelne Angreifer etwa während der Verhandlung eines Lösegelds zusätzlich DDoS-Angriffe ein, um das Opfer weiter unter Druck zu setzen. Wenn beispielsweise ein Online-Versandhändler aufgrund eines Ransomware-Angriffs auf eine Webpräsenz ausweicht, die weniger gegen DDoS-Angriffe geschützt ist, würde ein DDoS-Angriff auf diese Präsenz die Bewältigung des Ransomware-Angriffs noch zusätzlich erschweren.   

5. Kritische Infrastrukturen ­besonders gefährdet
Mitte Juli 2021 nahmen Cyberkriminelle mit einem Verschlüsselungstrojaner das städtische Klinikum im niedersächsischen Wolfenbüttel ins Visier, um Lösegeld zu erpressen. Mehrere Tage waren deshalb die IT-Systeme der Klinik außer Betrieb. Die Stadtwerke Wismar befanden sich nach einem Hackerangriff im Herbst 2021 noch bis zum Jahresanfang im Notbetrieb. Folgen für die Versorgung der Bevölkerung hatte dieser Vorfall zwar nicht. Doch die Beispiele zeigen, wie akut die Bedrohungslage für Betreiber Kritischer Infrastrukturen derzeit ist.

Ein besonders spektakuläres Beispiel auf ein KRITIS-Unternehmen war auch der Angriff auf den Pipeline-Betreiber „Colonial Pipeline“ im Mai 2021 – mit immensen Auswirkungen auf die Versorgungslage mit Treibstoff in den USA. Eine Studie von Techconsult aus dem Herbst 2021 (siehe Infokasten) unterstreicht die hohe Gefährdung von KRITIS-Unternehmen: Demnach sind bereits 35 Prozent aller Unternehmen, die zu den KRITIS zählen, in den vergangenen zwölf Monaten Opfer eines Angriffs aus dem Internet geworden.

Aufgrund der sich zuspitzenden Bedrohungslage trat am 1. Januar 2022 eine neue KRITIS-Verordnung in Kraft. Die Zuordnung von Unternehmen und Anlagen zu den kritischen Infrastrukturen wird dabei verschärft. Unternehmen, die in diese Kategorie fallen, müssen ab sofort die besonders strengen Schutzmaßnahmen und Meldepflichten aus dem IT-Sicherheitsgesetz 2.0 umsetzen. Besonders stark betroffen von den Änderungen sind der Energie- sowie der Transport- und Verkehrssektor. Hier sind die Schwellenwerte für die KRITIS-Zuordnung teilweise deutlich gesunken. Die Folge: Ungefähr die Hälfte der neuen KRITIS-Unternehmen kommt aus diesen beiden Sektoren.   
   
Schutz durch proaktive Isolation
Die gute Nachricht ist: Man kann sich gegen diese neuen Cybercrime-Attacken schützen. Eine zentrale Rolle spielt dabei die Absicherung des Internets – denn 70 Prozent der Hackerangriffe kommen aus dem World Wide Web. Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, wie der R&S-Browser in the Box. Kommt dieser zum Einsatz, haben auch neue Virusvarianten keine Chance, denn die Lösung setzt nicht auf ein reaktives Erkennen und Abwehren, sondern auf eine proaktive Isolation. „Auf keinen Fall sollten Unternehmen alleine auf die Vorsicht der Mitarbeiter setzen“, warnt Schulz. „E-Mails mit schädlichen Anhängen werden immer professioneller. Der Fehler eines einzigen Mitarbeiters, der einen solchen Anhang versehentlich öffnet, kann dazu führen, dass ein ganzes Unternehmen oder eine Behörde offline genommen werden muss.“

Neben der Absicherung des Internets sollten weitere Schutzmaßnahmen vorgenommen werden – bspw. die Verschlüsselung der Endgeräte, eine hochsichere VPN-Verbindung und die Absicherung des heimischen WLANs. Eine Web Application Firewall verhindert zudem, dass die Website zum Einfallstor für Ransomware wird und sie kann DDos-Angriffe stoppen. „Mit einem solchen 360-Grad-Schutz erschweren Unternehmen einen Angriff erheblich“, betont Schulz. „Die Täter werden abgeschreckt und suchen sich stattdessen ein leichteres Opfer.“

Gravierende Folgen
Das Research- und Analystenhaus Techconsult hat zusammen mit dem IT-Sicherheitsspezialisten Rohde & Schwarz Cybersecurity 200 KRITIS-Unternehmen mit mehr als 250 Mitarbeitenden zur Gefahr von Angriffen aus dem Internet befragt. 35 Prozent aller Unternehmen, die zu den Kritischen Infrastrukturen (KRITIS) zählen, sind demnach in den vergangenen zwölf Monaten Opfer eines Angriffs aus dem Internet geworden – mit zum Teil gravierenden Folgen für die Betriebsabläufe. Jeder dritte Angriff stellte sogar eine erhebliche Gefahr für Dritte dar. Ein weiteres Ergebnis: Die gewählten Sicherheitsmaßnahmen sind meist ungeeignet. So setzt beispielsweise knapp die Hälfte der Befragten beim Schutz vor schädlichen Links und E-Mail-Anhängen auf die Vorsicht der Mitarbeitenden. Gleichzeitig sind jedoch laut der Studie die häufigsten Angriffe auf KRITIS-Unternehmen Phishing-Attacken (56 Prozent) – also eine Angriffsart, die Mitarbeitende dazu verleiten sollen, infizierte Anhänge oder Links zu öffnen.

Kontakt

Rohde & Schwarz Cybersecurity GmbH

Mühldorfstraße 15
81671 München
Deutschland

+49 30 65884 222