Tatorte: Darknet und DeepWeb!
Tatorte: Darknet und DeepWeb
Die Plattformen, die für Cyberkriminalität genutzt werden, sind unterschiedlich. Hierbei wird häufig das DeepWeb (oder auch Hidden Web/Invisible Web) oder das Darknet genutzt. Teilweise wird auch unter dem Clearnet / Visible Net agiert. Im Gegensatz zum DeepWeb ist dieses – wie die Bezeichnung Oberflächenweb nahelegt – durch Suchmaschinen auffindbar. Die Begriffe DeepWeb und Darknet werden teils unterschiedlich genutzt und gewertet.
Das DeepWeb ist der Teil des Internets, welches bei einer Recherche über gängige Suchmaschinen wie Google nicht auffindbar ist. Das DeepWeb beinhaltet beispielsweise verschiedene Datenbanken, die geheim sind und illegale kostenpflichtige Inhalte zur Verfügung stellen. Der Zugang zum DeepWeb ist prinzipiell für jeden möglich.
Das Darknet hingegen stellt einen Bereich des DeepWebs dar. Im Darknet wird anonymes Surfen gewährleistet. Im DeepWeb ist die Gewährleistung von Anonymität nicht in demselben Umfang wie im Darknet möglich. Täter nutzen das Darknet häufig, um verschiedene Straftaten vorzubereiten. So hat sich bereits der Münchener Amokschütze 2016 seine Waffen aus dem Darknet beschafft. Den Zugang zum Darknet erhält man nur über eine bestimmte Software oder auch sog. „Tor-Browser“.
Internetkriminalität und die Strafverfolgungsbehörden
Viele Strafverfolgungsbehörden haben bundesweit auf die Digitalisierung und potenzielle Gefahren von Cyberkriminalität reagiert. In Nordrhein-Westfalen gibt es etwa eine Zentral- und Ansprechstelle für Cybercrime. Diese führt Ermittlungsverfahren im Bereich Internetkriminalität, die eine herausgehobene Bedeutung haben, durch. Weiterhin bildet sie eine wichtige Anlaufstelle für jegliche Fragestellungen in diesem Kontext für die Staatsanwaltschaft und Polizeibehörden, die in diesem Bereich häufig noch ungeschult sind.
Auch in Berlin gibt es eine Zentrale Ansprechstelle für Cybercrime im Landeskriminalamt Berlin. Hierbei arbeiten speziell ausgebildete Polizeivollzugsbeamte zusammen mit IT-Spezialisten und der Staatsanwaltschaft zusammen. Darüber hinaus gibt es in Berlin vier Staatsanwälte, die sich speziell nur um dieses Spektrum kümmern (Abteilung „Cyberkriminalität“).
Die Strafverfolgungsbehörden haben auch in weiteren Bundesländern auf die Internetkriminalität reagiert. Insgesamt ist es jedoch weiterhin schwierig, Ermittlungen in diesem Bereich mit einer hohen Aufklärungsquote zu erreichen. Neben den speziellen Einrichtungen in den Strafverfolgungsbehörden gibt es aber auch klassische strafprozessuale Ermittlungsmöglichkeiten, die bei Cyberkriminalität zielführend sind. Hierzu gehört beispielsweise der Einsatz von Verdeckten Ermittlern nach § 100 a StPO.
IT-Sicherheit Wie Passwörter gestohlen werden und wie Sie sich schützen
Credential Stuffing
Ein beliebtes Vorgehen von Cyberkriminellen beim Knacken von Accounts ist das sogenannte Credential Stuffing. Hierbei werden Zugangsdaten aus geleakten Datenbanken auf verschiedenen Plattformen getestet. Automatisierungs-Tools wie SentryMBA machen es dabei auch für unerfahrene Hacker sehr einfach, gestohlene Nutzernamen und Passwörter auf einer Vielzahl von Webseiten gleichzeitig zu testen. In Onlineshops stammt ein Großteil des Login-Traffics bereits von Unbefugten. Besonders beliebt ist Credential Stuffing bei Elektronikhändlern und Webseiten von Fluggesellschaften.
Risikolevel: Hoch
Schätzungen zufolge versuchen Hacker, täglich mehrere Millionen Konten mit Hilfe von Credential Stuffing zu knacken.
Wie kann man sich schützen?
Dass Cyberkriminelle mit dieser Methode so häufig ans Ziel kommen, liegt vor allem an einer schlechten Passworthygiene. Viele Nutzer verwenden noch immer ein und dasselbe Passwort für verschiedene Konten und Accounts. Wird dieses Passwort geleakt und landet in einer Datenbank im Darknet, sind alle Konten, die mit diesem Passwort funktionieren, in Gefahr. Individuelle Benutzernamen und Passwörter für jedes einzelne Konto sind deshalb unabdingbar. Passwort-Manager helfen beim Erstellen und Rotieren von Kennwörtern.
Cyberangriffsarten und wie Sie sie verhindern!
Cyberangriffe und Cyberabwehr
Cyberangriffsarten und wie Sie sie verhindern!
21.03.2017 , München, SonicWall | Autor: Herbert Wieler
Cyberangriffs-und Cyberabwehr-Strategien
Die Cyberkriminellen von heute wenden verschiedene komplexe Techniken an, um beim Eindringen in Unternehmensnetzwerke unerkannt zu bleiben und geistiges Eigentum stehlen oder Lösegeld für Dateien fordern zu können. Ihre Drohungen sind oft verschlüsselt, damit sie nicht identifiziert werden können.
Sobald eine Sicherheitslücke auf einem Ziel erfolgreich ausgenutzt werden konnte, versuchen die Angreifer Malware auf das kompromittierte System zu laden und sie zu installieren. Dabei ist es oftmals so, dass es sich bei der Malware um eine neu entwickelte Variante handelt, die herkömmliche Virenschutzlösungen noch nicht kennen. In diesem E-Book informieren wir Sie über die Strategien und Tools, mithilfe derer Cyberkriminelle versuchen Ihr Netzwerk zu infiltrieren, und erläutern, wie Sie sich effektiv schützen können.
Cyberangriff-Strategie 1: Netzwerke rund um die Uhr mit Malware bombardieren
Angriffe erfolgen auf allen Wegen: in E-Mails, auf Mobilgeräten, im Webdatenverkehr sowie über automatisierte Angriffe. Und dabei spielt die Größe Ihres Unternehmens keine Rolle. Für einen Hacker sind Sie nur eine IP-Adresse, eine E-Mail-Adresse oder ein Opfer für einen "Watering Hole"-Angriff. Angreifer nutzen automatisierte Tools zum Ausführen ihrer Angriffe oder Versenden von Phishing-E-Mails (Tag und Nacht).
Viele Unternehmen stehen vor dem Problem, dass sie nicht über die richtigen Tools verfügen, um sich zur Wehr zu setzen. Vielen fehlen automatisierte Tools zum Bereinigen von Datenverkehr, Schutz von Endgeräten und Filtern von schädlichen E-Mails. Andere verfügen über Firewalls, die versteckte Gefahren in verschlüsseltem Datenverkehr nicht erkennen können, oder sie verlassen sich beim Speichern von Malware-Signaturen auf den beschränkten integrierten Systemspeicher.
Gegenangriff 1: Netzwerke effektiv schützen – jede Minute, an jedem Tag
Da stündlich Hunderte von Malwarevarianten entwickelt werden, benötigen Organisationen minutenaktuelle Abwehrmechanismen, um sich in Echtzeit vor den neuesten Bedrohungen schützen zu können. Eine effektive Sicherheitslösung muss kontinuierlich aktualisiert werden – 24 Stunden am Tag, sieben Tage die Woche. Aufgrund der immensen Anzahl von Malwaretypen und -varianten ist der verfügbare Speicher von Firewalls zudem nicht ausreichend. Deshalb sollten Firewalls mit Netzwerk-Sandboxes und Cloud-Speichern arbeiten, um ein umfassendes Volumen an Malware und neuen Varianten zu berücksichtigen und zu entdecken und diese bestmöglich identifizieren zu können. Zudem sollten Sie sicherstellen, dass Ihre Sicherheitslösung auch dynamisch aktualisierten Schutz am Firewall-Gateway, auf mobilen oder Remote-Endgeräten sowie für Ihre E-Mails unterstützt.
Cyberangriff-Strategie 2: Netzwerke mit verschiedenen Arten von Malware infizieren
Cyberkriminelle nutzen für ihre Angriffe auf Netzwerke verschiedene Angriffsvektoren und Malwaretypen. Die fünf häufigsten Typen sind Viren, Würmer, Trojaner, Spyware und Ransomware. Computerviren wurden für gewöhnlich durch das Weitergeben infizierter Disketten übertragen. Mit der Weiterentwicklung der Technologie haben sich dann auch die Mittel zur Verbreitung vervielfältigt. Heute werden Viren meist über Dateifreigaben, Web-Downloads und E-Mail-Anhänge in Umlauf gebracht.
Computerwürmer existieren bereits seit den 1980er-Jahren. Sie verbreiteten sich aber erst, als Netzwerkinfrastrukturen in Organisationen gebräuchlich wurden. Anders als Computerviren können Würmer ohne jegliche menschliche Interaktion durch Netzwerke schleichen.
Trojaner sind speziell dafür konzipiert, sensible Daten in Netzwerken zu finden und abzugreifen. Bei vielen Typen von Trojanern ist es so, dass sie die Kontrolle über das infizierte System übernehmen und dem Angreifer eine Hintertür öffnen, damit er später darauf zugreifen kann. Trojaner werden auch oft für die Erstellung von Botnets verwendet.
Spyware ist normalerweise an sich kein bösartiger Code, aber dennoch sehr lästig, da Webbrowser damit infiziert werden und danach praktisch nicht mehr funktionsfähig sind. Zuweilen wurde Spyware auch als seriöse Anwendung getarnt, die dem Benutzer auf irgendeine Art von Vorteil ist. Tatsächlich wurden aber heimlich Verhaltens- und Nutzungsmuster erfasst.
Ransomware sind Schadprogramme, die die Dateien auf einem Endgerät oder Server verschlüsseln und den Endbenutzer zur Zahlung eines "Lösegelds" in Bitcoins für den Kodierungsschlüssel auffordern. Wenn sich Ransomware auf unternehmenskritische Systeme ausweitet, können die Forderungen Hunderttausende USD ausmachen.
Gegenangriff 2: Netzwerke vor jeglicher Art von Malware schützen
Jede Firewall sollte Organisationen effektiv vor Viren, Würmern, Trojanern, Spyware und Ransomware schützen. Dies erreichen Sie am besten, indem Sie diese Schutzmaßnahmen in ein Single-Pass-Konzept mit niedriger Latenz integrieren, das Angriffsvektoren am Gateway und auf Endgeräten über die herkömmliche Perimetersicherheit hinaus blockiert. Folgende Funktionen und Merkmale sind besonders wichtig:
Netzwerkbasierter Malwareschutz , um Angreifer daran zu hindern, Malware auf ein kompromittiertes System zu laden oder zu übertragen
, um Angreifer daran zu hindern, Malware auf ein kompromittiertes System zu laden oder zu übertragen Kontinuierliche und zeitnahe Aktualisierung , um Netzwerke rund um die Uhr vor Millionen von neuen Malwarevarianten zu schützen – und zwar sobald sie erkannt werden
, um Netzwerke rund um die Uhr vor Millionen von neuen Malwarevarianten zu schützen – und zwar sobald sie erkannt werden Intrusion Prevention Service (IPS) , um Angreifer daran zu hindern, Netzwerkschwachstellen auszunutzen
, um Angreifer daran zu hindern, Netzwerkschwachstellen auszunutzen Netzwerk-Sandboxing , um verdächtige Codes an eine isolierte, cloudbasierte Umgebung zu senden, in der sie aktiviert und analysiert werden, um unbekannte Malware zu finden
, um verdächtige Codes an eine isolierte, cloudbasierte Umgebung zu senden, in der sie aktiviert und analysiert werden, um unbekannte Malware zu finden Zugriffssicherheit , um Sicherheitsmaßnahmen auf mobilen und Remote-Endgeräten zu treffen (inner- und außerhalb der Netzwerkperimeter)
, um Sicherheitsmaßnahmen auf mobilen und Remote-Endgeräten zu treffen (inner- und außerhalb der Netzwerkperimeter) E-Mail-Sicherheit, um Phishing, Spam, Trojaner und Social Engineering-Angriffe per E-Mail zu blockieren
Sie können Ihr Netzwerk noch besser vor Malware schützen, indem Sie sicherstellen, dass jedes Gerät, das Zugriff auf das Netzwerk hat, über eine aktuelle Virenschutzsoftware verfügt. Wenn Organisationen mit PCs mit Virenschutzsoftware arbeiten und gleichzeitig eine Netzwerk-Firewall einsetzen, können sie die Möglichkeiten, die sich Cyberkriminellen bieten, um das Netzwerk zu kompromittieren, bedeutend einschränken.
Cyberangriff-Strategie 3: Die schwächsten Netzwerke finden und angreifen
Viele Firewall-Anbieter werben zwar damit, dass ihre Lösungen erstklassigen Schutz vor Bedrohungen gewährleisten, jedoch konnten sich im Praxiseinsatz nur wenige bewähren. Organisationen, die eine minderwertige Firewall einsetzen, glauben vielleicht, dass ihre Netzwerke geschützt sind, doch erfahrene Cyberkriminelle können mithilfe komplizierter Algorithmen das System zur Angriffsvermeidung umgehen. So werden sie nicht erkannt und können das System kompromittieren.
Einige Firewalls bieten zwar zuverlässigen Schutz, beeinträchtigen aber die Leistung. In einem solchen Fall sind Organisationen versucht, die Sicherheitsmaßnahmen zu deaktivieren oder einzuschränken, um eine hohe Netzwerkleistung gewährleisten zu können. Diese Vorgehensweise ist extrem riskant und sollte deshalb vermieden werden.
Eine weitere Schwachstelle in der Netzwerksicherheit ist die menschliche Komponente. Kriminelle nutzen Phishing, um Anmelde- und weitere Autorisierungsinformationen zu erhalten, die ihnen ermöglichen, die Firewall einfach durch Angriffe von innen zu umgehen. Außerdem können Mitarbeiter ihre Mobilgeräte verlieren oder sie Gefahren aussetzen, wenn sie sie außerhalb der Sicherheitsparameter des Netzwerks verwenden.
Gegenangriff 3: Eine umfassende leistungsfähige Sicherheitsplattform auswählen, die überlegenen Bedrohungsschutz bietet
Sie sollten sich für eine Sicherheitslösung entscheiden, die unabhängig getestet und von ICSA Labs für netzwerkbasierten Malwareschutz zertifiziert wurde.
Sie sollten ein Multi-Core-Design in Betracht ziehen, sodass Dateien jeder Größe und jeden Typs gescannt werden können und auf Änderungen in puncto Datenverkehr reagiert werden kann. Alle Firewalls benötigen eine Engine, die Netzwerke vor internen und externen Angriffen schützt – ohne dass die Leistung beeinträchtigt wird. Wählen Sie eine Firewall mit einer Netzwerk-Sandbox, um neue Malware zu entdecken, die auf Ihre Umgebung abzielt. Dies kann den Unterschied zwischen einem normalen Arbeitstag und einem Tag, an dem "Lösegeld" für Dateien gefordert wird, ausmachen.
Ihre Sicherheitsstrategie muss sowohl inner- als auch außerhalb der Netzwerkperimeter Schutz für mobile und Remote-Endgeräte bieten. Zudem benötigen Sie E-Mail-Sicherheit zum Schutz gegen Phishing, Spam, Viren, Social Engineering-Angriffe und andere Gefahren, die per E-Mail verbreitet werden.
Cyberangriff-Strategie 4: Sich häufig ändern und global angreifen
Viele Cyberkriminelle sind mit ihren Angriffen erfolgreich, weil sie kontinuierlich neue Malware erfinden und diese mit anderen Angreifern auf der ganzen Welt teilen. Das bedeutet, dass auf allen Kontinenten stündlich neue Bedrohungen auftauchen. Viele Cyberkriminelle führen Blitzangriffe durch: Sie dringen ein, nehmen, was sie bekommen können, und sind wieder weg, bevor jemand Alarm schlagen kann. Dann wiederholen sie den Angriff woanders. Andere gehen ruhig und langsam vor, um dadurch über einen längeren Zeitraum auf mehr Daten zugreifen zu können. Einige Angriffe erfolgen über das Internet oder per E-Mail oder über das Netzwerk auf infizierten Geräten, die davor außerhalb der Netzwerk-Sicherheitsperimeters genutzt wurden.
Gegenangriff 4: Eine Firewall einsetzen, die effektiven Schutz vor globalen Bedrohungen gewährleistet
Um höchstmöglichen Schutz zu gewährleisten, muss schnell auf Bedrohungen reagiert werden können. Dies gelingt am ehesten, wenn Sie auf einen Anbieter von Sicherheitslösungen setzen, der über ein eigenes, sofort einsatzbereites internes Team mit Experten zur Entwicklung von Gegenmaßnahmen verfügt – denn so ist sichergestellt, dass Ihre Firewall so schnell wie möglich mit Abwehrmechanismen zum Schutz Ihres Netzwerks vor neuen Bedrohungen aktualisiert werden kann. Außerdem sollte dieses Team mit zahlreichen anderen Sicherheitsexperten zusammenarbeiten, um seine Reichweite zu vergrößern.
Eine auf ein breites Spektrum ausgelegte Lösung, die die Analysen der lokalen Firewall mittels eines globalen, umfassenden cloudbasierten Malwarekatalogs erweitert.
Letztendlich bietet eine einfache Firewall Funktionen zur Identifizierung und zum Blockieren anhand geographischer Regionen. Doch bei einer ausgeklügelten Firewall profitieren Sie zudem noch von Funktionen zur Botnet-Filterung, mit denen das Risiko durch bekannte globale Bedrohungen reduziert werden kann, da der Datenverkehr aus gefährlichen Domänen sowie eingehende und ausgehende Verbindungen zu bestimmten Orten blockiert werden.
Fazit
Die Anzahl an Cyberangriffen nimmt aktuell zu, doch es gibt effektive Abwehrmöglichkeiten. Wenn Sie soweit sind und Lösungen zur Angriffsabwehr evaluieren möchten, können Sie unser Whitepaper Achieving Deeper Network Security (Höhere Netzwerksicherheit erreichen) herunterladen, um sich eingehender zu informieren.