Stärken Sie Ihre Cybersicherheit

Cyberangriffe nehmen weiter zu und werden immer ausgeklügelter. Dies zeigen zahlreiche Sicherheitsvorfälle bei Schweizer Unternehmen in den letzten Jahren. So wurde beispielswiese ein Schweizer Industrie­unternehmen im letzten Jahr Opfer einer gezielten Cyberattacke mit der Ransomware «Nephilim». Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk.

Aktuell sind viele Angriffe auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen. Diese sind leider sehr oft nicht mit einer Multi-Faktor-Authentifizierung geschützt. Dies erlaubt es Angreifern zum einen, Brute-Force-Angriffe durchzuführen, und zum anderen, sich mit legitimen Zugangsdaten einzuloggen, die sie zuvor durch Phishing-Angriffe auf gefälschten Log­in-Portalen gestohlen haben.

Manchmal gelingt es den Angreifern bereits zu Beginn, den Account eines Domänenadministrators zu knacken, was den weiteren Angriff natürlich massiv vereinfacht und beschleunigt. Nicht zu vernachlässigen sind aber nach wie vor gezielte (Spear-)Phishing-E-Mails, die aktiven Content enthalten. Obschon diese Angriffsform schon lange bekannt ist, ist sie auch heute noch sehr erfolgreich.

Gelingt es den Angreifern über diesen Weg, eine Backdoor zu installieren, haben sie einen permanenten Zugang zum Unternehmensnetzwerk und können jederzeit mit ihrem Command&Control(C2)-Server kommunizieren. Oftmals bleiben diese Aktionen vom betroffenen Unternehmen unentdeckt, da die Detektionsmassnahmen fehlen. Für die C2-Verbindungen wird in den meisten Fällen das Angriffs-Framework «Cobalt Strike» eingesetzt.

Ist der Angreifer einmal im Netz, versucht er, weitere Informationen über das Zielnetzwerk zu sammeln. Um sich lateral durch das Netz zu bewegen und gezielt «Bridgeheads» aufzubauen, werden nicht selten bekannte Tools wie «PsExec» und «wmi» eingesetzt. Über die Bridgeheads werden dann weitere Angriffe durchgeführt. Manchmal kommt es auch vor, dass die Angreifer in dieser Phase ein noch viel lohnenderes Ziel entdecken, als das ursprünglich anvisierte. So werden beispielsweise kleine und mittel­ständische Unternehmen infiltriert, die aber wiederum lediglich als Sprungbrett zu grösseren Unternehmen missbraucht werden.

Der eigentliche Angriff, sprich die Entwendung sen­sitiver Unternehmensdaten und die Verschlüsselung des Netzwerks, geschieht dann sehr schnell – und dauert oft we­niger als 48 Stunden. Hat der Angreifer die ge­wünschten Informationen entwendet, startet der zweite Teil des Angriffs – die Verschlüsselung von Systemen im Unternehmensnetzwerk, vorrangig Server-Systeme.

Was danach folgt, kennt man aus entsprechenden Medien­berichten: Erpressung in Millionenhöhe. Bei Nichtbe­zahlung drohen die Erpresser mit der Veröffent­lichung der entwendeten Daten. Diese Drohung ist ernst zu nehmen, denn oftmals wird ein Teil dieser Daten kurzzeitig im Darknet publiziert, was den Druck auf das betroffene Unternehmen zusätzlich erhöht.

Bei der Bewältigung einer solchen Situation braucht das betroffene Unternehmen den sofortigen Zugriff auf Spe­zialisten. Oft fehlt es intern aber an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Denn nebst technischen Hürden gilt es, auch die Kunden, Geschäftspartner und nicht zuletzt die Mitarbeitenden sowie eventuell die Öffentlichkeit zu informieren.

Daher empfiehlt es sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Cyberangriffs vorab zu klären. Mithilfe eines Computer Security Incident Response Teams (CSIRT) – wie sie führende IT-Security-Anbieter haben – in einem dedizierten Cyber Defence Center lassen sich die Dauer eines Sicherheitsvorfalls und der dadurch verursachte Schaden minimieren. Denn die Teams legen grossen Wert auf den schnellen Wiederaufbau und die schnelle Wiederherstellung der Produktions- respektive Geschäftsfähigkeit des betroffenen Unternehmens.