Suchen

Datensicherheit Vorsicht – Cyberkriminelle stehlen Daten über Fernzugriffstools

| Redakteur: Dipl.-Ing. (FH) Reinhold Schäfer

Ob Finanzinstitute oder Unternehmen aus Telekommunikation, Industrie, Transport und Logistik – viele europäische Branchen haben mit Cyberangriffen zu kämpfen.

Firma zum Thema

Haupteinfallstore in das Datennetz europäischer Unternehmen.
Haupteinfallstore in das Datennetz europäischer Unternehmen.
(Bild: Kaspersky)

Fast ein Viertel (24 %) der weltweit von Kaspersky analysierten Angriffsvorfälle im vergangenen Jahr betrafen Europa. Das ist Platz zwei nach dem Mittleren Osten (32,6 %) [1]. Am häufigsten lösten verdächtige Dateien (36,2 %), bereits verschlüsselte Daten (21,3 %) oder verdächtige Aktivitäten an den Endpoints (10,6 %) eine Vorfallreaktion bei Unternehmen aus.

Das Problem dabei: Die Hälfte der Vorfälle wird erst nach einigen Wochen entdeckt, der Schaden ist also bereits entstanden. Darüber hinaus stehen ein Viertel der Sicherheitsvorfälle in Verbindung mit legitimen Verwaltungs- und Fernzugriffstools, die Sicherheitslösungen als Angriffe nur schwer erkennen können und die in Zeiten des Arbeitens von Zuhause sich großer Beliebtheit erfreuen.

Unternehmen erkennen Cyberangriffe zum einen an auffälligen negativen Auswirkungen wie verschlüsselten Daten, Geldverlust oder geleakten Daten sowie aufgrund von Warnungen, die sie von ihren Sicherheitslösungen erhalten. Bei der Analyse der Vorfallreaktionen in Europa stellten die Kaspersky-Experten fest, dass in mehr als einem Drittel (35,3 %) der Fälle ausgenutzte Programmschwachstellen das Einfallstor in das Unternehmensdatennetz waren. Als weitere erste Angriffsvektoren konnten:

  • schädliche E-Mails (29,4 %),
  • externe Datenträger (11,8 %),
  • Ausnutzung von Schwachstellen aufgrund fehlerhafter Konfiguration (11,8 %),
  • eleakte Zugangsdaten (5,9 %) sowie
  • Insider (5,9 %) identifiziert werden.

Betroffen sind dabei Unternehmen jeglicher Branche. So stammten die von Kaspersky analysierten Incident Responses von Organisationen im Bereich Finanzen (25,4 %), Telekommunikation (16,9 %), Industrie (16,9 %) oder Transport (13,6 %). Etwa jede zwölfte (8,5 %) wurde bei Behörden gemeldet.

Verwaltungs- und Fernzugrifftools sind Risiko für Unternehmen

Waren die Angreifer erst einmal im Datennetz, missbrauchten sie in 25 % der analysierten Angriffe legitime Tools, um Schaden anzurichten. Diese dienen eigentlich IT- und Netzwerkadministratoren unter anderem dazu, Fehler zu beheben und den Mitarbeitern technischen Support zu bieten. Allerdings können Cyberkriminelle damit Prozesse auf Endpunkten ausführen, auf vertrauliche Informationen zugreifen und diese extrahieren, wobei verschiedene Sicherheitskontrollen zur Erkennung von Malware umgangen werden.

Bei der Analyse der Angriffsvorfälle (Incident Responses) konnten die Kaspersky-Experten 18 verschiedene legitime Tools identifizieren, die von Angreifern für schädliche Zwecke missbraucht wurden. Bei der Hälfte der in Europa analysierten Fälle (50 %) wurden das mächtige Verwaltungstool Powershell, das für viele Zwecke verwendet werden kann, vom Sammeln von Informationen bis zum Ausführen von Malware, und Psexec, das zum Starten von Prozessen auf Remote-Endpunkten verwendet wird, genutzt. Softperfect Network Scanner, mit dem Informationen zu Datennetzumgebungen abgerufen werden,werden in 37,5 % der Angriffe benutzt.

„Um nicht erkannt zu werden und in einem gefährdeten Datennetz so lange wie möglich unsichtbar zu bleiben, verwenden Angreifer häufig Software, die für normale Nutzeraktivitäten, Administratoraufgaben und Systemdiagnosen entwickelt wurde“, erklärt Konstantin Sapronov, Leiter des globalen Notfallteams bei Kaspersky. „Mit diesen Tools können Angreifer Informationen über Unternehmensnetzwerke sammeln und sich darin bewegen, Software- und Hardwareeinstellungen ändern oder sogar schädliche Aktionen ausführen – sie könnten legitime Software verwenden, um Kundendaten zu verschlüsseln. Diese bereits vorhandene Software kann Angreifern dabei helfen, unter dem Radar von Sicherheitsanalysten zu bleiben, weil sie den Angriff häufig erst erkennen, nachdem der Schaden angerichtet wurde. Es ist aus vielen Gründen nicht möglich, diese Tools auszuschließen. Ordnungsgemäß eingesetzte Protokollierungs- und Überwachungssysteme helfen jedoch dabei, verdächtige Aktivitäten im Datennetz und komplexe Angriffe in früheren Phasen zu erkennen.“

Unternehmen sollten die Implementierung einer Endpoint-Detection-and-Response-Lösung mit einem MDR-Service in Betracht ziehen, um solche Angriffe rechtzeitig erkennen und darauf reagieren zu können. Die Ergebnisse der ATT&CK-Evaluierung belegen die Bedeutung einer umfassenden Lösung, die ein vollautomatisches mehrschichtiges Sicherheitsprodukt und einen manuellen Threat-Hunting-Service kombiniert.

Kaspersky-Schutztipps für Unternehmen

Den Zugriff auf Remoteverwaltungstools von externen IP-Adressen beschränken und sicherstellen, dass auf Fernbedienungsschnittstellen nur von einer begrenzten Anzahl von Endpunkten aus zugegriffen werden kann.

Eine strenge Passwort-Richtlinie für alle IT-Systeme und den Einsatz von Multi-Faktor-Authentifizierung durchsetzen.

  • Mitarbeitern eingeschränkte Privilegien anbieten und Konten mit hohen Privilegien nur denjenigen gewähren, die dies zur Erfüllung ihrer Aufgabe benötigen.
  • Installation einer dedizierten Sicherheitslösung wie Kaspersky Endpoint Security for Business auf allen Windows-, Linux- und Mac-OS-Endpunkten. Dies ermöglicht den Schutz vor bekannten und unbekannten Cyberbedrohungen und bietet eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
  • SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels Threat Intelligence ermöglichen, damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt.
  • Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten. Auf diese Weise können wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht wurden.

Weitere Erkenntnisse des Incident Response Analyst Report von Kaspersky sind hier verfügbar.

(ID:46810564)