Insider berichten: In diesen 5 Phasen haben Hacker beim Angriff Probleme 

| 23 Mai 2022

Zu jeder Phase eines Hacker-Angriffs passende Schutzmaßnahmen ergreifen: So funktioniert’s. 

Wer die typische Vorgehensweise von Cyber-Kriminellen kennt, kann sich besser gegen Hacker-Angriffe schützen. Denn auch mittelständische Unternehmen sind mehr denn je gefordert, sich gegen Bedrohungen für Netze, Server und Daten zu wappnen. Zwei IT-Security-Experten bringen Licht ins Dunkel: Hamza Jabara, der als „Pentester“ die IT-Sicherheit von Unternehmen prüft, und Felix Zech, der mit automatisierten Lösungen für optimale Schutzmaßnahmen sorgt. 



Die Gefahr durch Cyber-Angriffe war noch nie größer  


Die Aufregung im Zuge der Log4J-Sicherheitslücke war nur ein Vorgeschmack auf die neue Cyber-Bedrohungslage 2022: „Seit dem ersten Tag des Ukraine-Krieges haben wir einen sprunghaften Anstieg der Cyber-Kriminalität bemerkt“, berichtet der IT-Security-Consultant Hamza Jabara von Konica Minolta. „Ziele von Angriffen sind nicht nur Regierungsserver und -websites, Medienunternehmen, militärische Netze oder kritische Infrastrukturen. Denn mit breit gestreuten Drive-by-Attacken durchforsten Hacker das Netz automatisch nach offenen Hintertüren und Sicherheitslücken.“ Welche Netzwerke sich als anfällig erweisen, ist für die Kriminellen zunächst zweitrangig. Angegriffen wird schließlich, wer sich als leichtes Ziel erweist. Dadurch sieht sich auch der europäische Mittelstand massiv gefährdet. Berichte häufen sich, in denen mit Ransomware und Verschlüsselungstrojanern Lösegelder erpresst werden – welche die verzweifelten Unternehmen schließlich bezahlen. „Damit finanzieren sie unfreiwillig weitere kriminelle oder sogar kriegerische Aktivitäten“, erklärt Felix Zech, Presales Consultant bei baramundi software: „Der globale Cyber-Krieg hat längst begonnen.“ 

 

So läuft ein typischer Hacker-Angriff ab  
 

Die Häufung der Angriffe mag neu sein – doch das Vorgehen, mit dem Cyber-Kriminelle den Mittelstand bedrohen, hat sich kaum verändert. Ein typischer Hacker-Angriff läuft in fünf Phasen ab, wie unsere Cyber-Security-Profis berichten:  
 

  • Informationen sammeln  

  • Angriff vorbereiten  

  • Erstmalig eindringen  

  • Kontrolle erlangen  

  • Mission abschließen  


Das alles erfolgt nicht spontan an einem Tag, sondern wird über Wochen oder Monate vorbereitet. Dadurch gibt es häufig noch gewisse Chancen, Schlimmeres zu verhindern. Der wirkungsvollste Schutz ist aber, gar nicht erst Sicherheitslücken offen zu lassen – darüber sind sich die IT-Experten einig. 

 

Cyber-Angriff Schritt für Schritt: White-Hat-Hacker vs. Security-Experte  
 

Doch was genau passiert bei Hacker Angriffen und woher wissen Unternehmen, ob sie darauf vorbereitet sind? Damit beschäftigt sich Hamza Jabara Tag für Tag. Denn sein Job ist es, als „Pentester“ realistische Angriffs-Szenarien bei Unternehmen durchzuführen – und damit Sicherheitslücken schonungslos aufzudecken. „Ich nutze dieselben Tricks und Tools, die auch Cyber-Kriminelle verwenden würden“, sagt er. „Deshalb nennt man mich auch einen White-Hat-Hacker, der für die gute Seite arbeitet.“ Felix Zech steht auf einer anderen Position in der Cyber-Abwehr: Er implementiert für Unternehmen Software-Lösungen von baramundi, die bestimmte Sicherheitslücken automatisch erkennt und bei der Beseitigung hilft. „Unsere gemeinsame Mission ist es, Schwachstellen zeitnah zu schließen.“  

  
Unser Pentester erklärt Schritt für Schritt, wie ein Hacker-Angriff abläuft – während der Presales Consultant weiß, was dagegen hilft.      

 


1. Phase: Informationen sammeln  

 

 

Hamza Jabara: Der richtige Mix für den coolen Angriff  


 „Am Anfang sammeln Hacker alle möglichen Infos über exponierte Systeme. Also alles, was aus dem Internet öffentlich zugänglich ist: zum Beispiel Namen und Versionen von Servern und Diensten oder Infos zur Software, die im Einsatz ist. Das läuft teilweise automatisch und lässt sich kaum verhindern. So bekommen auch wir Pentester einen guten Mix für einen coolen Angriff.“ 
 

 

 Felix Zech: Informationen gar nicht erst preisgeben  

 

  „Abschotten ist nicht die Lösung. Zumal viele Angriffe gar nicht von außen, sondern von innen starten. Dabei muss es noch nicht mal einen Maulwurf geben. In öffentlich zugänglichen Büroräumen verrät ein kurzer Blick auf den Bildschirm den Namen des Virenscanners, Namen von Servern oder den Aufbau von E-Mail-Adressen im Unternehmen. Aber es gibt viele einfache Tools und Praktiken, die in der frühen Phase helfen. Die Windows-Anmeldung – und damit die Authentifizierung und Autorisierung im Netzwerk – ist in aller Regel wenig geschützt. Microsoft und Drittanbieter stellen sehr gute, teils inkludierte Tools bereit, die aber oft nicht genutzt werden. Die aber bewirken, dass einige sensible Daten gar nicht erst preisgegeben werden.“ 

 


 


2. Phase: Angriff vorbereiten  
 

Hamza Jabara: Hintertüren abklopfen und den Faktor Mensch nutzen  


 „Hacker versuchen nun, zu der eingesetzten Software verwundbare Versionen mit bekannten Sicherheitslücken zu finden. Oft zeigt sich hier schon die erste, rein technische Hintertür. Gleichzeitig beginnt aber auch die Vorbereitung des Social Engineering, also die Manipulation der Mitarbeitenden. Phishing, das Abgreifen von Passwörtern durch Vortäuschen einer Anmeldeseite, ist eine gängige Methode. Auch Bestandteile aus dem bekannten “CEO-Fraud” – zum Beispiel gefälschte Nachrichten, die vermeintlich vom obersten Management stammen – setzen wir bei Pentests ein. Das muss gut geplant werden, damit wir mit unserem simulierten Angriff zum Erfolg gelangen.“  

  

Felix Zech: Updates schließen die meisten Sicherheitslücken  


„Auch wenn es nicht so klingt: In dieser Phase kann ich den Hackern die größten Probleme bereiten. Mit aktuellen Software-Versionen gibt es einfach viel weniger potenzielle Schwachstellen. Neben regelmäßigen Updates gehört auch die Überprüfung von fehlerhaften Konfigurationen zur wirkungsvollen Abwehr – und die Beschränkung von Benutzer- und Dateizugriffsrechten. Hier gilt es, Sicherheit und Komfort für die Mitarbeitenden abzuwiegen.“  


 


 


3. Phase: Erstmalig eindringen  

 

Hamza Jabara: Der erste Kontakt zwischen Hacker und Unternehmen  


„Der Moment des ersten Angriffs ist sehr entscheidend. Jetzt verschicken die Hacker Phishing-Mails an eine Gruppe von Mitarbeitenden, führen Exploit-Codes aus oder schleusen Trojaner ein. Das alles passiert sehr unauffällig, Admins bekommen davon oft nichts mit. Wenn der Angriff von außen erfolgreich war und das Schlupfloch ausgenutzt wurde, ist der Rest oft sehr leicht. Denn innerhalb des Unternehmens sind die Netzwerke und Systeme meistens viel schlechter geschützt. Sehr hilfreich ist dabei zum Beispiel die Microsoft Power Shell in Kombination mit zu großzügigen Nutzerberechtigungen. So kann ich als Angreifer weitere Rechte im System erhalten.“  

 

Felix Zech: Teure Firewall trifft auf laxes Sicherheitskonzept    

„Manches lässt einen mit den Ohren schlackern: So teuer die Firewall auch sein mag, so katastrophal ist oft der interne Umgang mit sicherheitsrelevanten Informationen. Dabei hilft es bereits, mittels Application Control das Ausführen unbekannter Programme zu unterbinden. Microsoft bietet hier den App Locker an. Das macht es für Angreifer viel komplizierter, eine schädigende Applikation zu starten. Auch wenn ich ein Eindringen in der Praxis kaum verhindern kann, sollte ich einen Angriff so schwierig wie möglich machen, damit es die Hacker richtig nervt. Wie beim Knacken eines Fahrradschlosses gilt nämlich: Wenn es einfach zu lange dauert und zu viel Lärm verursacht, werden leichtere Ziele gesucht.“  


 


 


4. Phase: Kontrolle erlangen  

 


Hamza Jabara: Hacker kommen, um zu bleiben  


„Der Virus oder Trojaner des Hackers ist jetzt im Netz angekommen und will die höchste Berechtigungsstufe erlangen. Im Pentest versuche ich nun, Persistenz zu realisieren – sprich: in ständigem Kontakt mit dem gehackten System und der Schadsoftware zu bleiben. Sogar dann, wenn befallene Geräte neu gestartet werden oder ein Update bekommen. Das Komplizierte daran: Mein Code muss ständig einen unbefugten Kommunikationskanal nach außen nutzen. Da aber so gut wie alle Kommunikation heutzutage verschlüsselt ist, können Admins das kaum nachvollziehen. Um an Admin-Rechte zu kommen, nutzen wir die Nachlässigkeit von IT-Abteilungen: Wir suchen Nutzer, die mehr Rechte als nötig haben oder die beim Löschen von Berechtigungen und Usern vergessen wurden.“  

  

Felix Zech: Bequemlichkeit schafft Angriffsfläche  
 

„Auch in dieser Phase sind es weniger die technischen Dinge, die zum Schutz beitragen – sondern vielmehr organisatorische. In Microsoft-Umgebungen gibt es eigentlich wirkungsvolle Mechanismen wie das Tiering-Modell: Berechtigungen sind in mehreren Schichten aufgebaut. Nutzer haben nur sehr wenige Rechte und können nur auf bestimmte Server zugreifen, die wiederum andere Server steuern. Für andere Aufgaben sind andere Nutzer mit gesonderten Rechten erforderlich. Das ist unkomfortabel für Hacker – aber leider auch für Mitarbeitende. Bequemer ist es natürlich, mit nur einem Account zu arbeiten, der viele Rechte hat. Ich kenne sogar einen Fall, indem der Admin einen Auto-Login eingerichtet und das Passwort im Klartext hinterlegt hatte. So haben Hacker natürlich leichtes Spiel.“ 

 


 


5. Phase: Mission abschließen  

 


Hamza Jabara: Jetzt können Hacker Schäden verursachen  


„Die letzte Phase ist der Höhepunkt des Hacker-Angriffs. Bis hierhin sind bereits Tage oder Wochen vergangen, in denen die Angreifer sich im Unternehmensnetz ausgebreitet haben. Während das aber lautlos und in der Regel unbemerkt passiert ist, wird nun auf einmal das Ausmaß der Schäden deutlich. Daten werden geleakt, Geheimnisse werden ausspioniert, mit Ransomware oder Verschlüsselungstrojanern werden die Unternehmen erpresst. Oft werden auch Crypto-Miner eingeschleust, um die Rechenleistung des Unternehmens unbemerkt zum Schürfen von Blockchain-Währungen zu nutzen.“  

  

Felix Zech: Wenn doch nur das Update gelaufen wäre  


„Jetzt ist es tatsächlich zu spät, den Schaden noch zu verhindern – Unternehmen können ihn nur noch eindämmen. Die bekannteste Sofortmaßnahme: Netzwerkstecker ziehen. Und die beste: einen Plan für die Incident Response in der Schublade haben. Am wichtigsten ist es aber, zu verhindern, dass es so weit kommt. Und dabei helfen ganz einfache Mittel: Updates erledigen, das interne Netzwerk schützen, Passwörter nicht mehrfach verwenden und sicher aufbewahren – im Idealfall in einem verschlüsselten Passwort-Tool. Schon bekommen Hacker ernsthafte Probleme.“  


 


 

Hacker-Angriffen vorbeugen mit System und Wissensvorsprung  


 So vielfältig die Bedrohungen durch Cyber-Kriminalität heute sind, so breit gefächert sind auch die Sicherheitsmaßnahmen für den Mittelstand. Felix Zech empfiehlt Lösungen des IT-Security-Spezialisten baramundi software: „Wir bieten IT-Sicherheit made in Germany an, zum Beispiel automatisiertes Update-Management, Schnittstellenkontrolle, Management von Verschlüsselung und Malware Protection“. Das Team um Hamza Jabara bei Konica Minolta hat neben internen und externen Pentests auch Schwachstellenanalysen, IT-Security-Workshops sowie Schulungen und Managed Services im Portfolio.  


 

Zur Person: Hamza Jabara & Felix Zech

Hamza Jabara arbeitet als Pentester und Security Consultant beim IT-Systemhaus Konica Minolta. Sein praktisches Wissen setzt er ein, um aktiv Sicherheitslücken bei Unternehmen zu finden – damit sie geschlossen werden können.  

Felix Zech vertreibt als Presales Consultant bei der baramundi software AG automatisierte Lösungen für mehr IT-Sicherheit in Unternehmen. Seine Erfahrung zeigt: Oft sind es Nachlässigkeiten, durch die Sicherheitslücken entstehen –  und diese lassen sich leicht vermeiden.


Wir helfen dem Mittelstand, die IT zu schützen  
 

Konica Minolta verfügt als eines der wichtigsten IT-Systemhäuser im europäischen Raum über mehrere Jahrzehnte Erfahrung: Wir beraten zu Cyber Security, decken Schwachstellen auf, entwickeln Konzepte für einen ganzheitlichen Schutz und unterstützen Unternehmen bei der Umsetzung von konkreten Maßnahmen. Gemeinsam mit renommierten Partnern wie baramundi möchten wir dazu beitragen, dass sich die europäischen Unternehmen gegen virtuelle Bedrohungen und reale Schäden effektiv schützen können.  


 

Wissensvorsprung für Ihr Cyber-Security-Konzept  


Erfahren Sie mehr über IT-Sicherheit – und verschaffen Sie sich einen entscheidenden Vorteil im ständigen Kampf um die Informationssicherheit. Unser Whitepaper stellen wir Ihnen nach Angabe Ihrer E-Mail-Adresse gern zur Verfügung.  

 

Jetzt herunterladen

Lesen Sie im Whitepaper, welche Gefahren durch Cyberangriffe drohen und wie gefährliche Lücken zuverlässig aufgespürt werden können, um diese schnell zu schließen:
 
•    Schwachstellen und Angriffsvektoren 
•    Sicherheitslücken aufspüren und schließen
•    Automatisiertes Schwachstellen- und Konfigurationsmanagement
•    Endpoint Security

Kostenloses Whitepaper

Das könnte Sie auch interessieren

Das könnte Sie auch interessieren

Mit regelmäßigen Updates von Konica Minolta

Wir informieren bereits mehr als 8.000 interessierte Abonnentinnen und Abonnenten über Trends rund um Digitalisierung, IT und Digital Office. Und immer nur dann, wenn es wirklich etwas Neues gibt – versprochen!
Jetzt Update abonnieren
Bleiben Sie auf dem Laufenden!