Ein Cyberangriff ist jeder unbefugte Zugriff auf Computersysteme, digitale Geräte oder Netzwerke, der explizit darauf abzielt, Daten, Apps oder andere digitale Ressourcen zu verändern, zu blockieren, zu kontrollieren, zu löschen, zu zerstören, zu deaktivieren, zu stören, offenzulegen, zu manipulieren oder zu stehlen. Es gibt viele Gründe für einen Cyberangriff und noch mehr Arten von Cyberangriffen. Gemeinsam haben sie, dass es Cyberangriffe schon fast so lange gibt wie digitale Systeme selbst. Mit der zunehmenden Nutzung dieser Systeme stiegen auch Umfang, Geschwindigkeit und Raffinesse der Cyberattacken.
Was ist das Ziel von Cyberangriffen?
Cyberangriffe zielen darauf ab, Schaden anzurichten – doch ihre Ziele variieren je nach Zielorganisation und Täter. Zu den häufigsten Gründen für einen Cyberangriff gehören:
- Wirtschaftsspionage
- Cyberkriegsführung oder Cyberspionage gegen einen anderen Staat
- Finanzieller Gewinn
- Hacktivismus, der politisch oder anderweitig motiviert sein kann oder ein bestimmtes Ziel verfolgt
- Anerkennung und Erfolg (d. h. Angeberei)
- Vergeltung durch einen Insider aufgrund eines Konflikts
Wer verübt Cyberangriffe?
Personen, die den folgenden Kategorien angehören, führen die meisten Cyberangriffe aus:
- Kriminelle Organisationen
- Von der Regierung unterstützte Gruppen
- Allein handelnde Einzelpersonen
- Böswillige Insider
Wer ist am stärksten von Cyberangriffen betroffen?
Ein Cyberangriff hat fast immer ein bestimmtes Ziel. Oft werden Cyberangriffe gestartet, um etwas zu bekommen, das für den Täter von Wert ist, wie:
- Finanzielle Daten
- Kundenlisten
- Kundendaten (z. B. personenbezogene Daten und andere sensible Informationen)
- Störung (z. B. zur Ablenkung zur Begehung einer anderen Straftat, Vergeltung)
- E-Mail-Adressen
- Geistiges Eigentum (z. B. Geschäftsgeheimnisse oder Produktdesigns)
- Anmeldedaten
- Geld
Der Täter wählt sein Ziel basierend auf dem Grund für den Cyberangriff aus. Sobald ein Zielunternehmen ausgewählt wurde, richtet sich der Angriff auf Einzelpersonen.
Cyberangreifer suchen nach Personen, die leicht zu kompromittieren sind, wie Personen mit leicht auffindbaren Identitäten (z. B. Personen mit öffentlich zugänglichen Kontaktdaten auf Blogs, Unternehmenswebsites oder Social Media-Plattformen).
Bei den angegriffenen Personen handelt es sich häufig nicht um die Führungskräfte eines Unternehmens (z. B. C-Level-Führungskräfte oder Direktoren), sondern eher um Personen, die Zugang zu den Führungskräften haben, wie die Assistenten eines leitenden Angestellten.
Die Unternehmen, die am häufigsten Ziel eines Cyberangriffs werden, gehören zu verschiedenen Branchen, darunter:
- Kritische Infrastruktur
- Bildung
- Energie- und Versorgungsunternehmen
- Finanzinstitute
- Regierungs- und Militärbehörden
- Gesundheits- und medizinische Einrichtungen
Was sind die Auswirkungen von Cyberangriffen für Unternehmen?
Obgleich die kurzfristigen Auswirkungen eines Cyberangriffs auf ein Unternehmen erheblich sein können, können die langfristigen Folgen noch schlimmer ausfallen. Wenn Cyberangriffe erfolgreich sind, können sie einem Unternehmen in vielen Bereichen großen Schaden zufügen, darunter:
Unterbrechung des laufenden Betriebs
Eine Unterbrechung des Betriebs aufgrund eines Cyberangriffs führt zu Ausfallzeiten und verzögerten Services, die schwerwiegende Auswirkungen auf das gesamte Unternehmen haben können – sie beeinträchtigen die Produktivität, verursachen finanzielle Verluste und gefährden in einigen Fällen sogar Menschenleben.
Finanzielle Verluste
Zu den finanziellen Verlusten für Unternehmen im Falle eines Cyberangriffs gehören:
- Diebstahl sensibler Finanzdaten
- Betrügerische Transaktionen
- Lösegeldforderungen zur Entsperrung verschlüsselter Daten sowie damit verbundene Geldstrafen und Rechtskosten
- Zeitlicher und finanzieller Aufwand für die Untersuchung und Abwehr eines Cyberangriffs
Verlust von geistigem Eigentum
Cyberangriffe zielen in der Regel auf geistiges Eigentum ab, z. B. firmeneigene Informationen, Forschungsergebnisse, Daten und Geschäftsgeheimnisse. Dies kann nicht nur den Wettbewerbsvorteil und die Marktposition eines Unternehmens gefährden, sondern auch andere Auswirkungen, wie vergeudete Projektinvestitionen und entgangenen Umsätze, haben.
Konsequenzen betreffend die Einhaltung von Gesetzen und Vorschriften
Unternehmen riskieren als Folge eines Cyberangriffs schwerwiegende rechtliche und regulatorische Konsequenzen. Wenn ein Cyberangriff die Folge eines Versagens der Sicherheitsmaßnahmen ist, könnte ein Unternehmen gegen Datenschutzgesetze, Branchenvorschriften und vertragliche Verpflichtungen verstoßen. Jeder dieser Punkte kann zu Geldstrafen, rechtlicher Haftung und Gerichtsverfahren führen.
Risiken für die nationale Sicherheit
Die nationale Sicherheit kann gefährdet sein, wenn ein Cyberangriff eine Regierungsbehörde zum Ziel hat. So könnte ein Cyberangriff beispielsweise sensible Informationen offenlegen, wichtige Dienste unterbrechen oder die nationale Verteidigung gefährden, wenn kritische Infrastrukturen, Regierungssysteme oder militärische Einrichtungen angegriffen werden.
Rufschädigung
Ein Cyberangriff, insbesondere eine Datenpanne, führt häufig zu einer erheblichen Schädigung des Rufs von Regierungen und Unternehmen, wie:
- Mangelndes Vertrauen bei Kunden, Partnern und in der Öffentlichkeit
- Verlust von Kunden, Partnern und Geschäftsmöglichkeiten
- Negative Publicity und Schädigung des Rufs der Marke
Arten von Cyberangriffen
Cyberangriffe werden in mehrere Kategorien eingeteilt. So gibt es aktive und passive Cyberangriffe.
Ein aktiver Cyberangriff zielt darauf ab, die Vertraulichkeit, Integrität oder Verfügbarkeit eines Systems zu beeinträchtigen (die CIA-Triade bestehend aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) ist die Grundlage von Cybersicherheitssystemen). Ein passiver Cyberangriff hat keine Auswirkungen auf Systeme, sondern zielt auf den Zugriff auf Daten ab.
Eine weitere Möglichkeit, einen Cyberangriff zu klassifizieren, ist die Einteilung in syntaktische oder semantische Angriffe. Ein syntaktischer Cyberangriff nutzt bösartige Software, die einen Computer über verschiedene Kanäle infiziert. Bösartige Software kann den Zugriff auf Dateien blockieren, Daten zerstören, den Systembetrieb stören, Systeme funktionsunfähig machen oder Informationen stehlen.
Ein semantischer Cyberangriff verfolgt einen subtileren Ansatz, indem er das Verhalten der Zielperson manipuliert. Obwohl bösartige Software hier auch manchmal eingesetzt wird, liegt der Schwerpunkt weniger auf der Software, sondern darauf, das Ziel dazu zu bringen, eine gewünschte Aktion auszuführen. Phishing und Ransomware kombinieren beispielsweise einen syntaktischen Cyberangriff mit einem semantischen Ansatz.
Beispiele für syntaktische Cyberangriffsvektoren
Cross-Site-Scripting
Ein Cross-Site-Scripting- oder XSS-Cyberangriff fügt einer legitimen Webseite oder App bösartigen Code hinzu. Wenn ein Benutzer die kompromittierte Seite oder App besucht, wird der bösartige Code automatisch im Webbrowser des Benutzers ausgeführt. Cross-Site-Scripting wird in der Regel dazu verwendet, vertrauliche Informationen zu stehlen, die in Formulare auf der seriösen Website eingegeben werden, oder den Besucher auf eine gefälschte, betrügerische Website weiterzuleiten.
Denial-of-Service
Ein verteilter Denial-of-Service-Angriff (DDoS) überflutet den Server eines Ziels mit einer überwältigenden Anzahl von gleichzeitigen Datenanfragen. Dieser künstliche Datentraffic wird häufig von Botnets erzeugt, einem Netzwerk aus kompromittierten Geräten (z. B. Geräte des Internets der Dinge, mobile Geräte und Laptops), die mit Malware infiziert wurden.
Diese Malware verschafft Cyberkriminellen Zugang zu der Computerleistung, die sie für einen DDoS-Angriff benötigen. Das Volumen und die Geschwindigkeit des Datentraffics machen es den Servern unmöglich, seriöse Anfragen zu bearbeiten, wodurch der normale Betrieb gestört wird. Oft wird ein DDos-Angriff eingesetzt, um Sicherheitsteams von einem anderen Angriffsvektor abzulenken.
Domain Name System Spoofing
Beim DNS-Spoofing oder DNS-Poisoning werden DNS-Einträge heimlich geändert und die IP-Adresse (Internetprotokoll) einer seriösen Website durch eine Adresse ersetzt, die auf eine betrügerische Version dieser Website weiterleitet. Von dieser betrügerischen Website aus stehlen Cyberkriminelle Daten oder verbreiten Malware.
DNS-Tunneling
DNS-Tunneling ist ein raffinierter syntaktischer Cyberangriff. Cyberkriminelle verschaffen sich einen dauerhaften Systemzugang (d. h. einen Tunnel) zu den Systemen der Zielpersonen und schaffen so einen Zugang, der Firewalls und andere Sicherheitsmaßnahmen umgeht
Der betrügerische Datentraffic wird dann in Paketen durch den DNS-Tunnel geleitet. DNS-Tunnel werden auch zur heimlichen Extraktion von Daten oder zur Herstellung von Verbindungen zwischen Malware und einem Command-and-Control-Server verwendet.
Drive-by-Malware
Cyberkriminelle infizieren oft seriöse Websites mit Malware. Wenn ein Benutzer eine infizierte Website besucht, wird sein System ebenfalls infiziert.
Fileless
Bei einem dateilosen Cyberangriff (Fileless) werden Schwachstellen in seriöser Software ausgenutzt, um bösartigen Code in den Speicher eines Systems einzufügen. Dateilose Cyberangriffe ändern in der Regel Systemkonfigurationen oder stehlen Passwörter.
Trojaner
Trojaner sind nach dem trojanischen Pferd benannt, das von den Griechen im Trojanischen Krieg eingesetzt wurde. Bei einem Cyberangriff sieht ein Trojaner harmlos aus, enthält aber eine bösartige Nutzlast. Trojaner werden für verschiedene Arten von Cyberangriffen verwendet. Sie sind als Apps getarnt oder in seriöse Software eingebettet, um Benutzer zur Installation zu verleiten.
Remote-Access-Trojaner
Ein Remote-Access-Trojaner bzw. RAT erstellt eine geheime Hintertür zum Zielsystem und verwendet diese dann, um sich Zugang zum System und zum Trojaner zu verschaffen. Der Cyberangriff wird von einem Trojaner ausgeführt, der danach zusätzliche Malware installiert.
Spyware
Spyware wird über eine andere Art von Schadsoftware (z. B. Wurm, Virus oder Trojaner) in ein System eingeschleust. Ein Spyware-Angriff läuft meist im Hintergrund ab, ohne dass die Benutzer des Systems etwas von der Präsenz der Spyware mitbekommen. Spyware sammelt heimlich Daten (z. B. Kreditkartennummern, Benutzernamen und Passwörter) und sendet diese Informationen an die Cyberkriminellen, die den Angriff gestartet haben.
SQL-Injection
Eine SQL-Injection (Structured Query Language) ist ein Versuch, die Kontrolle über ein System zu übernehmen und Informationen auszuspionieren. Der betrügerische Code wird in die Backend-Datenbank einer Website oder App injiziert.
Sobald der Code platziert wurde, können Cyberkriminelle Schwachstellen in datengesteuerten Apps ausnutzen. So können sie beispielsweise Befehle über benutzerorientierte Felder wie Suchleisten und Anmeldefenster eingeben, die an die Datenbank weitergeleitet werden, welche die gewünschten sensiblen Daten (z. B. Kreditkartennummern oder persönliche Daten von Kunden) zurücksendet.
Viren
Ein Virus ist eine bösartige Software, die sich selbst repliziert und sich an eine andere Datei oder ein Programm anhängen kann, um sich zu verbreiten. Viren sind ein häufig genutzter Angriffsvektor im Internet und sind häufig in Dateidownloads und E-Mail-Anhängen zu finden. Sobald ein Download gestartet wird, wird der Virus aktiviert, repliziert sich und breitet sich auf andere Benutzer und Systeme aus.
Würmer
Würmer gelten als die am häufigsten verwendete Schadsoftware für syntaktische Cyberangriffe. Sie sind selbstreplizierend und können sich schnell über Apps und Geräte verbreiten. Wie Viren werden auch Würmer in der Regel über Dateidownloads und Anhänge verbreitet. Im Gegensatz zu Viren sind Würmer aber selbständig und nicht auf eine andere Datei angewiesen, um sich zu verbreiten. Würmer sind eine ausgeklügelte Schadsoftware und können über das Netzwerk, das sie infiltriert haben, Daten sammeln, die sie an einen bestimmten Ort übertragen.
Beispiele für semantische Cyberangriffsvektoren und -methoden
Identitätsbasiert
Ein identitätsbasierter Cyberangriff liegt vor, wenn Cyberkriminelle Anmeldedaten stehlen, um auf Systeme zuzugreifen und diese zu verwalten. Dort stehlen sie sensible Daten oder stören den Betrieb eines Unternehmens. Eine Art des identitätsbasierten Cyberangriffs ist Credential Stuffing, bei dem Cyberkriminelle gestohlene Anmeldedaten verwenden, um auf andere Systeme zuzugreifen. Eine andere Art des identitätsbasierten Angriffs ist der Brute-Force-Angriff, bei dem Angreifer durch Ausprobieren versuchen, Zugangsdaten (z. B. Benutzernamen, Passwörter und Verschlüsselungsschlüssel) zu erraten.
Man-in-the-Middle
Bei einem Man-in-the-Middle-Angriff verschaffen sich Cyberkriminelle Zugang zum System, indem sie die Kommunikation zwischen zwei Personen oder zwischen einem Benutzer und einem Server abfangen. Sobald der Zugang hergestellt ist, kann der Cyberkriminelle Daten stehlen, Malware verbreiten oder auf andere Systeme zugreifen.
Phishing
Phishing ist eine Form von Social Engineering, bei der E-Mail-Nachrichten so gestaltet werden, dass die Empfänger sie öffnen, auf betrügerische Links klicken, eine kompromittierte oder gefälschte Website besuchen, einen Anhang herunterladen und öffnen oder vertrauliche Informationen weitergeben. Phishing ist einer der am weitesten verbreiteten semantischen Cyberangriffsvektoren und stellt für Cyberkriminelle nach wie vor ein effektives Tool dar.
SMiShing
SMiShing, auch SMS-Phishing genannt, wendet das Konzept des Phishings auf Textnachrichten an. Genau wie beim Phishing erhalten die Opfer SMS, die sie dazu verleiten sollen, auf einen betrügerischen Link zu klicken oder eine infizierte Datei zu öffnen.
Ransomware
Einer der meistgefürchteten semantischen Cyberangriffe ist Ransomware. Ransomware, eine Kombination aus Malware und menschlicher Interaktion, verschlüsselt in der Regel Dateien und Ordner auf lokalen Laufwerken, verbundenen Laufwerken und vernetzten Computern. Cyberkriminelle bieten der Zielperson dann an, ein Lösegeld zu zahlen, um ihre Daten zurückzuerlangen. In einigen Fällen besteht die Bedrohung darin, dass die Dateien verschlüsselt und unzugänglich bleiben. In anderen Fällen besteht die Bedrohung darin, dass sensible Informationen öffentlich zugänglich gemacht werden.
Scareware
Scareware ist eine weitere Form des Social Engineering, bei der gefälschte Nachrichten verwendet werden, um die Zielpersonen dazu zu bringen, eine gewünschte Aktion durchzuführen, z. B. eine gefälschte Website zu öffnen, betrügerische Software herunterzuladen oder vertrauliche Informationen preiszugeben. Ein Cyberkrimineller verschickt beispielsweise eine Nachricht, die scheinbar von den Strafverfolgungsbehörden kommt und behauptet, dass der Empfänger etwas tun muss, um ernsthafte – wenn auch erfundene – Konsequenzen zu vermeiden.
Lieferkette
Ein Cyberangriff auf die Lieferkette zielt auf Dritte ab, die Verbindungen zu einem Zielunternehmen haben. Oft sind diese Dritten weniger gut geschützt als das Zielunternehmen, weshalb sie leichter zu kompromittieren sind. Cyberkriminelle nutzen diese Schwachstellen als Einstiegspunkte, um ihren Angriff auf das Ziel zu starten.
Cyberangriffe erkennen
Das Stattfinden eines Cyberangriffs lässt sich nicht verhindern – aber wenn Sie die Anzeichen erkennen, können Sie Cyberkriminelle daran hindern, Erfolg zu haben. Zu den von Experten empfohlenen Tools und Ansätzen zur Erkennung eines Cyberangriffs gehören:
- Antiviren- und Antimalware-Software
- Informationen über Cyberbedrohungen
- Analysen der Cybersicherheit
- Erkennen von Endpunkt-Bedrohungen
- Kennzeichnung von ungewöhnlichen E-Mails
- Fallen für Eindringlinge oder Honeypots
- Erkennen von Netzwerkbedrohungen
- Erkennen von ungewöhnlichen Anmeldeaktivitäten
- Penetrationstests
- Proaktive Suche nach Bedrohungen
- Meldung eines Netzwerks, das langsamer als normal läuft
- Technologie zur Erkennung von Sicherheitsereignissen
- SIEM-Systeme (Security Information and Event Management), die Bedrohungsdaten enthalten
- Tools zur Erkennung von Bedrohungen
- Analyse des Benutzer- und Entitätsverhaltens (UEBA)
- Ein Plan zur systematischen Ransomware-Abwehr
So reagieren Sie auf Cyberangriffe
Eine schnelle Reaktion ist die effektivste Möglichkeit, um den Schaden und die Ausfallszeit im Falle eines Cyberangriffs zu minimieren. Die folgenden acht Schritte werden als Grundgerüst für einen Reaktionsplan auf Cyberangriffe empfohlen:
- Vorbereitung
Erstellen Sie einen Plan für den Umgang mit jenen Arten von Cyberangriffen, die das Unternehmen treffen könnten. - Erkennen und Analysieren
Verwenden Sie Tools zur frühzeitigen Erkennung verdächtiger Aktivitäten, die ein Anzeichen für einen Cyberangriff sein könnten. Falls ein Angriff bereits begonnen hat, analysieren Sie die verfügbaren Informationen, indem Sie Computer- und Netzwerkprotokolle auswerten, um die Quelle und den Umfang des Angriffs zu ermitteln. - Eindämmen des Angriffs
Die Eindämmung ist von entscheidender Bedeutung, da sich Malware schnell über Systeme und Netzwerke verbreiten kann. - Beseitigung der betrügerischen Software und Schließen der verwendeten Schwachstellen
Sobald der Angriffsvektor identifiziert und eingedämmt wurde, sollte er neutralisiert und zerstört werden. Lücken sollten geschlossen und damit verbundene Schwachstellen beseitigt werden. - Bewertung des Schadens
Die Bewertungsphase kann dem Sicherheitsteam wertvolle Informationen liefern, die es zur Identifizierung noch bestehender Schwachstellen nutzen kann. Dies ist auch wichtig, da die Art der Daten und Systeme, die kompromittiert wurden, bestimmen kann, welche Folgemaßnahmen erforderlich sind, um alle rechtlichen und Compliance-Anforderungen zu erfüllen. - Beratung mit den Rechts- und Compliance-Teams des Unternehmens
Es ist wichtig, dass Sie die Offenlegungsanforderungen nach einem Cyberangriff kennen. Abhängig vom Umfang, Ausmaß und Inhalt des Cyberangriffs können die Anforderungen unterschiedlich sein – einige Maßnahmen sind sogar vorgeschrieben. - Benachrichtigung der betroffenen Parteien
Sobald die betroffenen Parteien, die benachrichtigt werden müssen, identifiziert sind, müssen sie rechtzeitig kontaktiert werden. Wenn Sie bereits vor einem Vorfall Entwürfe für diese Mitteilungen erstellt haben, können Sie einen reibungslosen Benachrichtigungsablauf sicherstellen und die Nachricht so formulieren, dass Ihr Ruf nicht zu viel Schaden nimmt. - Wiederherstellung
Der normale Betrieb sollte so schnell wie möglich wieder aufgenommen und alle verlorenen oder beschädigten Daten aus Backups wiederhergestellt werden.
Cyberangriffen vorbeugen
Cyberangriffe sind zwar allgegenwärtig und oft effektiv, es gibt aber viele Methoden, die den Start von Angriffen erschweren. Zu den häufig eingesetzten Lösungen und Taktiken zur Verhinderung von Cyberangriffen gehören:
- Sichern Sie Ihre Daten regelmäßig.
- Führen Sie regelmäßig Penetrationstests durch.
- Halten Sie Systeme und Apps mit den neuesten Patches und Versionen auf dem aktuellen Stand.
- Verwalten und überwachen Sie die Benutzeridentitäten genau.
- Lernen Sie aus früheren Cyberangriffsversuchen.
- Bieten Sie Schulungen zum Sicherheitsbewusstsein an.
- Setzen Sie eine Multi-Faktor-Authentifizierung und starke Passwörter voraus.
- Schränken Sie den Zugang zu Systemen und Daten ein und wenden Sie das Zero-Trust-Prinzip an.
- Überprüfen und testen Sie Reaktionspläne für Cyberangriffe regelmäßig.
- Use proven solutions, such as:
- Antiviren- und Antimalware
- Verwaltung von Angriffsflächen (ASM)
- Schichtübergreifende Erkennung und -antwort (XDR)
- Firewalls
- Identitäts- und Zugriffsverwaltung (IAM)
- Security Orchestration, Automation and Response (SOAR)
- Einheitliche Endpunktverwaltung (UEM)
So verringeren Sie Ihr Risiko
Dieser Überblick über Cyberangriffe ist ein erster Schritt, um zu verstehen, worum es sich dabei handelt. Nehmen Sie sich Zeit für eine gründliche Analyse und bewerten Sie, was Ihr Unternehmen zur Abwehr von Cyberangriffen unternehmen und die vorhandenen Reaktionspläne. Vorbeugung ist ideal, aber Cyberkriminelle sind raffiniert und finden immer wieder Wege, um selbst die besten Abwehrmaßnahmen zu umgehen. Daher ist es wichtig, Angriffe zu erkennen und einzudämmen, um den Schaden zu minimieren.