Security-Kolumne
Datum:
Dieser Artikel wurde verfasst von
Senior Manager, Incident Response
Im ersten Teil dieser Serie sind wir bereits auf typische Probleme im Change- und Patchmanagement, sowie unzureichende personelle und finanzielle Ressourcen als Ursache für Cyberangriffe eingegangen. Im zweiten Teil beleuchten wir Probleme, wie mangelnde Awareness und berichten über weitere Erfahrungen aus vergangenen Fällen des Incident Response Teams von BDO.
Phishing und Social Engineering sind und bleiben Dauerbrenner. Wahrscheinlich hat jeder schonmal eine entsprechend fingierte E-Mail in seinem Postfach gehabt oder einen unseriösen Anruf erlebt, mit dem Ziel, seine Zugangsdaten an unsicherer Stelle preiszugeben oder einen verdächtigen Anhang zu öffnen. Und es funktioniert. Bei vielen unserer untersuchten Vorfälle stellte sich heraus: Die Zugangsdaten sind irgendwo abhandengekommen, der Link in der E-Mail wurde geklickt oder das Passwort des Accounts ist in einem Daten-Leak enthalten und wurde im Darknet veröffentlicht.
Phishing Angriffe haben sich in den letzten Jahren weiterentwickelt. Vor Jahren waren die meisten Angriffe leicht zu erkennen, da entsprechende E-Mails fragwürdige Inhalte und massive Rechtschreibfehler enthielten. Doch in den letzten Jahren wird die Erkennung für das ungeübte Auge immer schwieriger. Cyber-Kriminelle können über andere Schwachstellen an Daten gelangen, die sie dann verwenden, um täuschend echte E-Mail-Kommunikationen zu fingieren. Im Jahr 2018 gab es sogar eine explizite Warnung des BSI vor der Schadsoftware Emotet, da der Trojaner in der Lage war Inhalte aus bestehender E-Mail-Kommunikation auszuleiten und für weitere Angriffe zu missbrauchen, so dass die gefälschten E-Mails Verweise auf die vorherige Kommunikation und valide Absender enthielten. Man könnte sagen es entstand die „nächste Generation“ der Phishing-E-Mails. Im Jahr 2021 gab es über mehrere Schwachstellen in Microsoft Exchange, erneut die Möglichkeit, E-Mail-Daten zu entwenden und für künftige Phishing Kampagnen zu missbrauchen. Die bekannteste Gruppe, die damals mit den Angriffen in Verbindung gebracht wurde, war die staatliche Hackergruppe „Hafnium“ aus China.
In den letzten Jahren entwickelten sich die Angriffsstrategien erneut weiter, um auch Sicherheitsmechanismen, wie Multifaktor Authentifizierung (MFA) umgehen zu können. In letzter Zeit konnten wir vor allem gezielte Phishing Kampagnen auf Microsoft Cloud (M365) Umgebungen beobachten, bei denen nicht nur der Benutzername und das Passwort, sondern auch der zweite Faktor in Form des MFA-Tokens abgefragt wurde. Hat das Opfer einmal seinen Token auf einer gefälschten Website eingegeben, können sich die Kriminellen in der Cloud Umgebung anmelden, auf alle Nutzerdaten zugreifen und oftmals auch eigene Geräte für MFA hinterlegen, um sich langfristig den Zugang zum Account zu sichern. Das perfide: Die initialen Phishing E-Mails stammen oft von validen Absendern, die zuvor selbst Opfer eines Phishing Angriffs geworden sind und deren Konten dabei übernommen wurden. So verbreiten sich die Cyber-Kriminellen immer weiter über die verschiedenen M365 Umgebungen hinweg. Wie so ein Angriff im Hintergrund abläuft, haben wir in folgendem Beitrag dargestellt: MFA-Phishing als Initial Access im Red Teaming
Einen hundertprozentigen Schutz gegen Phishing Angriffe gibt es nicht. Vielmehr müssen verschiedene Bemühungen ineinandergreifen, um das Risiko möglichst zu minimieren. Technische Maßnahmen, wie entsprechende Spamfilter oder E-Mail Gateways, welche eine Erkennung von Malware oder Phishing beinhalten, reduzieren in erster Instanz die Angriffsfläche. Auch wenn Multifaktor-Authentifizierung, wie oben gezeigt, umgangen werden kann, stellt sie trotzdem eine zusätzliche Hürde für Angriffe dar und sollte für sensible oder aus dem Internet erreichbare Zugänge aktiviert sein. Weitere technische Maßnahmen, wie die Überprüfung des Herkunftslandes bei Anmeldungen aus dem Internet und deren Einschränkung auf freigegebene Länder (sogenanntes Geoblocking) oder auch das Limitieren von Zugriffen bei Cloud Umgebungen über festgeschriebene Zugriffsregeln stärken die Sicherheit und erschweren Missbrauch. Im Umfeld von Microsoft 365 kann dies beispielsweise über sogenannte Conditional Access Policies geschehen.
Zusätzlich müssen organisatorische Maßnahmen umgesetzt werden, um das Risiko durch den „Faktor Mensch“ zu vermindern. Ein gutes Awarenesskonzept und regelmäßige Schulungen der eigenen Mitarbeiterinnen und Mitarbeiter, sorgen für das nötige Wissen, die Angriffe zu erkennen und rechtzeitig zu melden. Insbesondere Schulungen mit praktischen Beispielen in Kombination mit der Durchführung einer Phishing Simulation, können Mitarbeiterinnen und Mitarbeitern dabei helfen, die gelernte Theorie in die Praxis umzusetzen.
Wir gehen davon aus, dass uns Phishing und Social Engineering Angriffe auch zukünftig noch lange begleiten werden. Zudem werden durch die rasante Entwicklung im Bereich der künstlichen Intelligenz neue Möglichkeiten für Angriffe eröffnet. Sei es durch das automatische Generieren von Texten in fehlerfreier natürlicher Sprache, oder das Erstellen von gefälschten Bild-, Video- oder Audioinhalten, sogenannter Deepfakes.
Das Szenario des Innentäters findet zugegebenermaßen in unserem Alltag nur sehr selten statt – die meisten Angriffe kommen von außen und nicht aus den eigenen Reihen. Dennoch gab es in den vergangenen Jahren auch ein paar besondere Fälle, bei denen wir ehemalige oder aktuelle Mitarbeiterinnen bzw. Mitarbeiter des Unternehmens als Täter identifizieren konnten.
Eines der häufigsten Szenarien mit dem wir dabei konfrontiert werden, ist das Entwenden von sensiblen Unternehmensdaten und die Mitnahme zur Konkurrenz, nachdem die Person das Unternehmen verlassen hat. In der Praxis ist dies meist sehr schwer nachzuvollziehen, da es technisch gesehen eine Vielzahl an Möglichkeiten zur Exfiltration von Daten gibt. Auch hinterlassen nicht alle Wege der Datenübertragungen hinreichend aussagekräftige Spuren, anhand dessen sich die Tat eindeutig belegen lässt. Der Klassiker bei unseren Vorfällen bleibt dennoch das Anstecken eines externen USB-Sticks.
Auch das Verhindern von solchen Vorfällen ist nicht leicht. Ein striktes Berechtigungskonzept, welches die Zugriffsrechte nur auf für die tatsächliche Arbeit notwendige Daten einschränkt, kann die Ausmaße vermindern. Auch ein gut umgesetzter Offboarding-Prozess, welcher Konten deaktiviert und Zugriffe schnell entzieht, verringert den Zeitraum, in dem ehemalige Angestellte Daten entwenden können. Zudem können das Einschränken und Monitoring von physischen Schnittstellen, wie den USB-Anschlüssen, unberechtigte Zugriffe verhindern. Ergänzend dazu kann das Schutzniveau weiter erhöht werden, wenn „Data Loss Prevention“ (DLP) Lösungen eingesetzt werden. Dabei wird auf den Endpunkten, im Netzwerk und der Cloud Umgebung eine Überwachung etabliert, die bei Verstößen und verdächtigen Zugriffen alarmiert, Verschlüsselung umsetzt oder unberechtigte Zugriffe unterbindet.
Doch nicht jeder, den wir in der Vergangenheit als verdächtigen Akteur identifizieren konnten, hat tatsächlich eine schädigende Absicht bei seinen Handlungen verfolgt. Bei einzelnen Fällen mit Innentätern waren wir mit über das normale Maß hinausgehenden technisch versierten Angestellten konfrontiert. Getrieben waren diese, soweit wir dies beurteilen konnten, vor allem von Neugier, sowie der Absicht ihren Arbeitsalltag erleichtern zu wollen oder vermeintlich im Sinne des Unternehmens zu handeln. So gab es einmal einen Lagermitarbeiter, welcher seinen Handscanner derart manipulierte, dass er eine Schwachstelle ausnutzte, um auf die interne Lagersoftware zuzugreifen. Anschließend nutzte er diesen Zugriff, um Bugs in der Software zu beheben.
Bei einem anderen Fall detektierte das betroffene Unternehmen Angriffe auf wichtige zentrale Server. Unsere Untersuchung konnte die Angriffe auf eine Person zurückführen, welcher als Penetrationstester für das Unternehmen arbeitete und ohne die Freigabe dafür zu haben, nach Schwachstellen innerhalb der internen Systeme suchte. Ob dies dazu diente die Sicherheit zu verbessern, oder doch bösartige Absichten dahinterstanden, konnte in dem Fall nicht aufgeklärt werden.
Auch bei Innentätern ist es für die Aufklärung hilfreich, Sicherheitssoftware, wie Firewalls, EDRs oder ein SIEM zu implementieren, um Sicherheitsereignisse innerhalb der Infrastruktur zu beobachten und bei Verstößen alarmiert zu werden. Beim Besetzen von besonders kritischen Stellen im Unternehmen empfiehlt es sich, Hintergrundchecks bei den Bewerberinnen und Bewerbern durchzuführen und z. B. ein polizeiliches Führungszeugnis zu verlangen. Bei Verdachtsfällen sollte zudem professionelle Unterstützung in Form eines IT-Forensik-Dienstleisters hinzugezogen werden, um wichtige Daten gerichtsfest zu sichern und aufzubereiten, falls ein Rechtsstreit angestrebt wird.
Fazit
In den vergangenen Beiträgen konnten wir zeigen, dass sich Cyberangriffe auf vielfältige technische und organisatorische Ursachen zurückführen lassen. Natürlich konnten wir dabei nicht auf alle Ursachen aus der Praxis eingehen, das hätte den Umfang des Beitrages überschritten. Neben den schon genannten Problemen gibt es auch Vorfälle, bei denen Dienstleister das Unternehmen ungewollt kompromittiert haben, Firewall Regeln durch Unaufmerksamkeit zu freizügig konfiguriert wurden oder gängige Passwortrichtlinien missachtet wurden, und sich Zugänge einfach erraten ließen.
In der Praxis lässt sich ein Vorfall oftmals nicht nur auf eine eindeutige Ursache eingrenzen, sondern es handelt sich um eine Verzahnung von mehreren technischen Problemen und menschlichen Fehlentscheidungen. Die Angriffsfläche für ein Unternehmen ist groß und wir halten fest: einen hundertprozentigen Schutz gibt es nicht. Dennoch gilt: Auch wenn ein Angreifer die initiale Hürde in das Unternehmen überwunden hat, muss dies nicht zu einem Imageschaden, Komplettausfall oder enormen finanziellen Einbußen führen. Durch die im Beitrag genannten Maßnahmen konnten wir Anstöße liefern, die eigene Sicherheit zu erhöhen, die Angriffsfläche zu reduzieren und die Wehrfähigkeit gegen Bedrohungen zu stärken.
Sollen Sie bei der Einschätzung Ihres Sicherheitsniveaus, der Planung und Umsetzung von Sicherheitsmaßnahmen oder akute Unterstützung in einem Notfall benötigen, zögern Sie nicht uns zu kontaktieren.
Unsere Expertinnen und Experten für Cyber Sicherheit stehen Ihnen gerne zur Verfügung.