Die Wege von Cyber-Kriminellen ins Unternehmen

Immer wieder hört man von Cyber-Angriffen und dem Eindringen von Hackern in Institutionen und Unternehmen. Doch was bedeutet das genau? Wie gehen Cyber-Kriminelle vor, um in ein Unternehmen einzudringen? In diesem Artikel beschreiben wir beispielhafte Szenarien.
 

Motivation

Das Thema Cyber-Sicherheit ist mittlerweile in aller Munde. Regelmäßig gibt es neue Schlagzeilen, wenn es kriminellen Hackern gelungen ist, in eine Organisation einzudringen. Ein kurzer Blick auf die beunruhigenden Zahlen verdeutlicht das Ausmaß der Bedrohung:
  • 3 von 5 Unternehmen in Deutschland wurden im Jahr 2023 mindestens einmal Opfer einer Cyber-Attacke
  • 4,5 Millionen Euro durchschnittlicher Schaden pro Vorfall
  • 206 Milliarden Euro Gesamtschaden deutscher Unternehmen im Zusammenhang mit Diebstahl, Industriespionage und Sabotage (2023)
  • 3+ Monate bis zur Rückkehr zum Normalbetrieb
  • 52 % der Unternehmen fühlen sich durch Cyber-Angriffe in ihrer Existenz bedroht
  • ca. 20 % der Unternehmen stehen nach einem erfolgreichen Angriff am Rande der Insolvenz
Dass Unternehmen Angriffen auf ihre IT ausgesetzt sind, ist nichts Neues. Durch die zunehmende Digitalisierung und Vernetzung unterschiedlichster Geräte und Systeme sind die IT-Landschaften heute jedoch deutlich komplexer geworden. Wo früher Büro- und Produktionsnetze getrennt waren, eröffnen sich heute technisch viele neue Möglichkeiten:
  • Zunehmender Einsatz von Clouddiensten 
  • Datenaustausch über diverse Lieferanten- oder Kundenportale
  • Im Internet exponierte Microservices und APIs für smarte Produkte und Sensoren
  • Vernetzung von OT-Infrastrukturen

Die Herausforderung besteht darin, ein homogenes Sicherheitsniveau aufzubauen und aufrechtzuerhalten, da die Angriffsfläche durch die Vielzahl an Geräten erheblich größer geworden ist.
 

Angreifer aus dem Internet: Die digitale Aufklärung

Angreifer können sich an jedem Ort der Welt befinden und versuchen, das Unternehmen über das Internet anzugreifen. Zu diesem Zweck erkundet er die Internetpräsenz des Unternehmens. Als mögliche Einfallstore dienen Systeme, die Daten von externen Quellen empfangen und verarbeiten. Dazu gehören:
  • Internetauftritte und Unternehmensportale
  • Cloud-Umgebungen
  • Perimeter-Systeme (z.B. Firewalls, VPN-Gateways)
  • Arbeitsplatzsysteme und Mobiltelefone von Mitarbeitern (z.B. über Phishing)
Für die Ausführung eines Angriffs stehen den Angreifern verschiedene öffentlich im Internet verfügbare Datenquellen zur Verfügung. Ein besonders relevantes Beispiel ist die Suchmaschine Shodan. Shodan ist eine Suchmaschine, die kontinuierlich das Internet nach erreichbaren Servern durchsucht. Sie prüft, welche Netzwerkdienste diese bereitstellen, und speichert die ermittelten Informationen, inklusive Screenshots, in einer Datenbank. Die umfangreiche Suchfunktion erlaubt es Angreifern, gezielt nach:
  • öffentlich zugänglichen Kameras zu suchen, um Einblicke in sensible Unternehmensbereiche zu erhalten, wie z.B. Büroflächen, Lager und Produktionshallen.
  • RDP-Diensten zu suchen, die für den Remote-Zugriff auf Desktop-Systeme verwendet werden, zu filtern. Hierbei können Informationen zu angemeldeten Nutzerinnen und Nutzern sowie Accounts sichtbar werden.
  • Anwendungen der Organisation zu suchen, wie Verwaltungssoftware, Steuerungsprogramme und Krankenhausinformationssysteme, zu erkunden.

Es bedarf lediglich geringen Aufwands, um diese wertvolle Informationen zu sammeln, die für die Vorbereitung gezielter Angriffe, wie beispielsweise Phishing, genutzt werden können. Im schlimmsten Fall finden die Kriminellen direkt ein System, das ihnen Zugang gewährt.
 

Angreifer vor Ort: Die physische Erkundung

Angreifer beschränken sich nicht nur auf die Auskundschaftung von Unternehmen im Internet. Darüber hinaus besteht die Möglichkeit, dass sie direkt an den Unternehmensstandorten nach Sicherheitslücken suchen. Der Standort selbst stellt eine signifikante Angriffsfläche dar, sowohl innerhalb des Gebäudes als auch in dessen Umgebung:
  • Drahtlosnetzwerke (z.B. Wi-Fi, Bluetooth) sind oft auch außerhalb des Gebäudes verfügbar und können somit unbemerkt von außerhalb angegriffen werden.
  • IoT-Netzwerke (z.B. LoRaWAN, ZigBee) können Schwachstellen aufweisen, die Angreifer ausnutzen können.
  • Ungesicherte Netzwerkanschlüsse in (semi-)öffentlichen Bereichen (z.B. Lobby, Cafeteria, Parkhaus, Konferenzraum) bieten Hackern die Möglichkeit, sich unbemerkt Zugang zu verschaffen.
  • Ungesicherte Gebäudezugänge und Sicherheitsbereiche können es Cyber-Kriminellen erleichtern, physisch in das Unternehmen einzudringen.
  • Ungesperrte Arbeitsplatzsysteme sind eine Einladung für Angreifer, die interne Daten und Systeme zu kompromittieren.
 

Interner Angriff: Die Bedrohung von innen

Ein Eindringen von Angreifern in das interne Netzwerk kann auf unterschiedlichen Wegen erfolgen, beispielsweise über das Internet oder durch die Überwindung von Sicherheitsmaßnahmen vor Ort. Neben den externen Angriffen von außen darf die interne Angriffsfläche nicht außer Acht gelassen werden.

Interne Angriffe können von verschiedenen (böswilligen) Akteuren ausgehen, darunter auch unzufriedene Mitarbeiterinnen und Mitarbeiter, die das Unternehmen absichtlich schädigen oder vertrauliche Informationen stehlen möchten. Vielmehr verleitet das unbedachte Öffnen von Phishing-E-Mails durch unbedachte Handlungen das Unternehmen ungewollt zum Auslöser für Sicherheitsrisiken. Phishing-Angriffe sind in ihrer Effektivität besonders hervorzuheben, da sie darauf abzielen, das Vertrauen der Mitarbeiterinnen und Mitarbeiter zu gewinnen und Zugang zu sensiblen Informationen zu erhalten. Als Resultat kommt es in vielen Fällen zur Kompromittierung von Mitarbeiterkonten. In solchen Fällen agieren Cyber-Kriminelle im Kontext aller Berechtigungen des kompromittierten Mitarbeiters, was schwerwiegende Folgen für die Datensicherheit haben kann.