Unternehmen erkennen Cyberattacken immer noch zu langsam
Unternehmen erkennen Cyberattacken immer noch zu langsam
CrowdStrike wertet in Cyber Intrusion Casebook Hacker-Angriffe aus und erstellt Trend-Report 2018
Sunnyvale, CA – 11. Dezember 2018 – CrowdStrike, der führende Anbieter von EndpointProtection-Lösungen aus der Cloud, veröffentlicht heute mit dem CrowdStrike Cyber Intrusion Casebook 2018 einen Report, der Hacker-Aktivitäten und sicherheitsrelevante Vorfälle aus diesem Jahr an Beispielen verdeutlicht und Trends zusammenfasst. Der Report gibt Einblicke in die Angriffsmethoden und Techniken verschiedener Hacker-Gruppen und analysiert mögliche Reaktionen und Verfahren für Incident-Response-Teams. Darin enthalten sind auch Empfehlungen an Unternehmen, die ihre kritischen Daten zuverlässig schützen wollen und die Angriffserkennung, die Vorbereitung sowie die Reaktion auf Attacken verbessern möchten.
Die Trends sind aus mehr als 200 analysierten Cyberangriffen abgeleitet, die eine Vielzahl an Branchen getroffen haben. Für sieben Fälle analysiert das Casebook detailliert das Verhalten der Angreifer, ihre Motivation und Taktik sowie die Reaktionsmöglichkeiten. Einige der Fallbeschreibungen bieten eine umfassende, forensische Analyse von Artefakten, die bei mehreren Angriffen entdeckt wurden und erlauben so, Best Practices für Unternehmen abzuleiten.
Wichtige Ergebnisse der Studie
Unternehmen machen bei der Erkennung von Angriffen (Intrusion Detection) und der Abwehr von Cyberattacken keine großen Fortschritte. In diesem Jahr haben 75 Prozent der von CrowdStrike betreuten Unternehmen ein Eindringen in ihre Systeme aufdecken können – eine Steigerung von lediglich sieben Prozent gegenüber dem Vorjahr. Dies deutet darauf hin, dass Unternehmen ihre Fähigkeiten beim Aufdecken von Angriffen nur geringfügig verbessert haben. Die Verweildauer der Angreifer blieb mit durchschnittlich 85 Tagen (gegenüber 86) ebenfalls relativ konstant. Die Verweildauer entspricht der Anzahl der Tage zwischen der ersten nachträglich festgestellten Kompromittierung und ihrer tatsächlichen Erkennung.
Rund 20 Prozent der Angriffe geschahen mit Powershell oder Windows Management Instrumentation (WMI). Die Taktik „Living off the Land” (LotL) senkt den Aufwand für die Cyberkriminellen und wird deshalb immer öfter angewendet. Sie stellt somit eine große Herausforderung für Unternehmen dar.
Viele Cyberkriminelle bereiten schwere, langanhaltendende Angriffe mit CommodityMalware vor. Wenn Hacker Zugang zu Systemen erlangt haben, verkaufen sie häufig die Daten und nutzen sie, um zunächst vorgefertigte Ransomware oder Trojaner für
Kryptomining zu betreiben. Diese Muster sind häufig die Vorläufer größerer und langanhaltender Angriffe.
Angriffe durch Social Engineering und Phishing sind dramatisch angestiegen. Im letzten Jahr stieg die Zahl von Angriffen auf der Basis von Social Engineering, Phishing und Spear-Phishing dramatisch an. Dieses Segment der Cyberangriffe wuchs von 11 Prozent im letzten Jahr auf 33 Prozent im Jahr 2018, und macht somit ein Drittel aller von CrowdStrike untersuchten Angriffe aus. Angriffe auf Webserver sind das größte Segment der Einzelangriffsvektoren, gingen aber gegenüber den 37 Prozent des Vorjahres auf knapp 20 Prozent zurück.
Effizienter Schutz vor dynamischen Bedrohungen
„Cyberangriffe nehmen weiterhin zu und Cyberkriminelle sowie staatliche Angreifer steigern ihre Raffinesse. Es ist für Unternehmen essentiell, sich über aktuelle Angriffstrends und die Motivation der Cyberkriminellen zu informieren, um Cybersicherheit proaktiv zu begegnen“, sagt Shawn Henry, Chief Security Officer und President von CrowdStrike Services. „Es ist nicht die Frage, ob sie ins Visier genommen werden: Das passiert jedem. Es handelt sich hier um ein klares Geschäftsrisiko. Vorstände und Geschäftsführer müssen ein Gefühl für die Dringlichkeit des Themas haben, um ihre Unternehmen zu schützen. Das CrowdStrike Services Casebook bietet ihnen wertvolle Einblicke in die proaktive Vorbereitung auf Cyberangriffe und effiziente Reaktionen.“
Das Casebook 2018 bietet Leitlinien für einen effizienten Schutz in der sich ständig verändernden Bedrohungslandschaft von heute. Dazu gehören auch die Integration von Endpoint Protection der nächsten Generation sowie proaktive Strategien zur Steigerung der Cyber-Resilienz. Machine Learning und Verhaltensanalyse helfen, Missbräuche und unbekannte Bedrohungen zu erkennen. Eine proaktive Suche nach Bedrohungen kann auch sehr vorsichtig agierende Angreifer aufdecken. Darüber hinaus verhindern effiziente Security-Lösungen, das kleinere Angriffe für die Unternehmen zu einer großen und kostspieligen Bedrohung werden.
Download des CrowdStrike Cyber Intrusion Casebook 2018 hier.
Über CrowdStrike
CrowdStrike ist der führende Anbieter von Cloud-basiertem Schutz von Endgeräten. Die CrowdStrike Falcon® Plattform nutzt künstliche Intelligenz (KI), bietet sofortige Transparenz sowie Schutz im gesamten Unternehmen und verhindert Angriffe auf Endgeräte im oder
außerhalb des Netzwerks. CrowdStrike Falcon ist in wenigen Minuten einsatzbereit und bietet vom ersten Tag an nutzbare Erkenntnisse und Echtzeitschutz. Es vereint nahtlos AV der neuesten Generation mit erstklassiger Endpoint Detection und Response (EDR), unterstützt durch eine 24/7 verwaltete Nachverfolgung. Die Cloud-Infrastruktur und die Single-Agent-Architektur reduzieren Komplexität, verbessern die Verwaltung und erhöhen Skalierbarkeit und Geschwindigkeit.
CrowdStrike Falcon schützt Kunden vor allen Arten von Cyber-Angriffen, indem es eine hochentwickelte, signaturlose Bedrohungsabwehr verwendet, die auf KI und Indicator of Attack (IOA) basiert, um bekannte und unbekannte Bedrohungen in Echtzeit zu stoppen. Mit dem CrowdStrike Threat Graph™ überprüft Falcon wöchentlich eine Billion Ereignisse pro Woche, um Angriffe sofort zu erkennen und zu verhindern.
Pressekontakt:
PIABO PR GmbH
Caroline Jechow
E-Mail: [email protected]
Telefon: +49 30 2576 205 – 261
Cyberversicherung für Unternehmen
Vom Betriebsunterbruch über den Diebstahl entscheidender Daten bis hin zu nachhaltigem Reputationsverlust – die Bandbreite an Cyber-Risiken und möglichen Schäden ist gross.
Finanzielle Schäden: Ertragsausfälle durch den Unterbruch der Geschäftstätigkeit oder hohe Kosten für die Wiederherstellung von gestohlenen oder zerstörten Datenbeständen können zu den wirtschaftlichen Konsequenzen eines Hackerangriffs gehören. Wenn dadurch die Konkurrenzfähigkeit oder auch der Aktienkurs leidet, steht schnell die betriebliche Existenz auf dem Spiel.
Schäden aus Datenschutzverletzungen: Wer Kundendaten speichert oder verarbeitet, ist gesetzlich zu deren Schutz verpflichtet. Wenn der Datenschutz im Zuge eines Cyberereignisses verletzt und sensible Daten offengelegt oder missbraucht werden, drohen dem Betrieb rechtliche und regulatorische Sanktionen. Unternehmen, die Geschäftsbeziehungen ins europäische Ausland haben, sind zudem von den verschärften Datenschutzgesetzen des GDPR betroffen.
Reputationsschäden: Geht ein Unternehmen nachlässig mit einem Datenvorfall oder Datenverlust um, kann das ein schwindendes Vertrauen der Öffentlichkeit, im schlimmsten Fall sogar den Verlust von Kundschaft und Geschäftspartnern bedeuten. Beides zurückzugewinnen, bedeutet nachhaltige Arbeit.
Ein Schadenbeispiel
Die ganze Informatikinfrastruktur eines KMUs wird trotz neuester Schutzsoftware von Viren befallen. Die Daten werden teilweise gelöscht und beschädigt. Das Betriebssystem und die Anwendungsprogramme müssen neu installiert und die Datensicherungen zurückgespielt werden.
Weil das System mehrere Tage lang nicht zur Verfügung steht, können die Leistungen für die Kundinnen und Kunden nicht erbracht werden und sie wechseln deswegen zu einem Konkurrenten. Die AXA kommt für die Kosten zur Wiederherstellung der Daten sowie den Ertragsausfall aus der Betriebsunterbrechung auf.
Spear Phishing vs. Phishing
Cyberkriminelle sind längst auf professionellem Level tätig: Cybercrime-as-a-Service ist zum gängigen Geschäftsmodell geworden. Ein wichtiges Werkzeug der Angreifenden sind dabei weiterhin Spear-Phishing-Angriffe, die sowohl Individuen als auch ganzen Organisationen Schaden zufügen können. Aber welche Arten solcher Angriffe gibt es überhaupt? Und worin unterscheidet sich Phishing von Spear Phishing? Dieser Artikel soll sich genau darum drehen.
Phishing in der aktuellen Cyberbedrohungslage
Cyberkriminalität hat im Jahr 2022 einen neuen Höhepunkt erreicht. Durch weltweite Kriege und Krisen, die anhaltende Corona-Pandemie sowie eine stark zunehmende Professionalisierung seitens der Kriminellen sind Angriffe auf die digitale Sicherheit massiv angestiegen. Unternehmen weltweit sehen sich nun einer innovativen Dark Economy gegenübergestellt, die ihre Taktiken im Minutentakt weiterentwickelt. Anlassbezogene Phishing-Wellen, Supply-Chain- und Ransomware-Angriffe oder Deepfakes sind nur einige der Gefahren, die Organisationen derzeit bedrohen.
Bis heute startet der Großteil der Cyberangriffe, über 82 Prozent, beim Faktor Mensch – meist mit einer Phishing-Mail. Jüngste Studien belegen, dass die Zahl der Phishing-Angriffe während der COVID-19-Pandemie um 220 Prozent im Vergleich zum jährlichen Durchschnittswert gestiegen ist – ein alarmierend hoher Wert. Der Umstieg auf hybride Arbeitsmodelle hat den Anstieg der Cyberkriminalität in den letzten Jahren zusätzlich begünstigt. Cyberangriffe wie Phishing und Spear Phishing sind oft erfolgreicher, weil die arbeitsbedingten und strukturellen Umstellungen einerseits Mitarbeitende verunsichern und so gleichzeitig Sicherheitsverantwortliche stärker beanspruchen. Es ist schwieriger für sie, den Anforderungen an die Informationssicherheit auf allen Ebenen gerecht zu werden.
Beim “Social Engineering”, auf dem sowohl Phishing als auch Spear Phishing basieren, nutzen die Cyberkriminellen genau diesen Umstand für ihre Zwecke aus. Das Ziel dieser Taktik ist, Menschen durch emotionale Manipulation dazu zu bringen, beispielsweise vertrauliche Informationen (Passwörter, Kontodaten, etc.) zu offenbaren, Sicherheitsfunktionen zu umgehen oder Finanztransaktionen durchzuführen. Gerade in unsicheren Zeiten und Zeiten des Wandels hat sich diese Taktik als sehr erfolgreich erwiesen. Deshalb greifen viele Cyberkriminelle heute auf sie zurück.
Lassen Sie uns einen genaueren Blick auf Phishing werfen – und wie es sich von noch gefährlicheren Taktiken wie Spear Phishing unterscheidet.
Was ist Phishing?
Das heute bekannte Phishing ist eine Form von Betrug auf digitalem Weg, mit dem Cyberkriminelle versuchen, Schaden zu verursachen. Die Motivation hinter dieser Praxis ist entweder Geld zu erbeuten oder an private Daten zu gelangen. Dies geschieht durch eine Kontaktaufnahme per Nachricht, oft in Form einer Phishing-E-Mail. Im Gegensatz zu Spam-Mails sind Phishing-Mails nicht nur lästig, sondern sogar gefährlich: Sie beinhalten oft schadhafte Anhänge oder sollen Empfängerinnen und Empfänger dazu bewegen, auf einen beigefügten Link zu klicken oder einen mitgeschickten Anhang herunterzuladen. Die URL führt dann beispielsweise zu einem Formular, in welches die Empfängerinnen und Empfänger gebeten werden, persönliche Informationen wie Kontodaten einzugeben. Öffnet die Person den Anhang einer solchen E-Mail, wird Schadsoftware auf dem Computer installiert. Das sind allerdings nur zwei von zahlreichen Phishing-Varianten. In unserem Blogpost zum Thema Spam vs. Phishing finden Sie noch mehr Infos zum Vorgehen der Cyberkriminellen.
Phishing-Mails werden in großem Stil an mehrere Empfängerinnen und Empfänger gleichzeitig versendet. Dass ein nicht unerheblicher Teil davon nicht erfolgreich ist, nehmen die Cyberkriminellen billigend in Kauf. Vergleichsweise gering ist deshalb auch der Aufwand, mit dem diese Mails erstellt werden. Die Vorgehensweise kann passenderweise mit dem Auswerfen eines Netzes beim Fischen verglichen werden: Ein paar Fische verhaken sich im Netz, ein deutlich größerer Teil bleibt aber von dieser Praktik unberührt. Diese Form des Cyberangriffs steht im Kontrast zu einer deutlich aufwändigeren und mühevollen Praktik, dem so genannten Spear Phishing.
Was ist Spear Phishing?
Im Gegensatz zu dieser breiter aufgestellten Angriffsvariante ist ein Spear-Phishing-Angriff mit deutlich mehr Aufwand verbunden. Getreu dem übersetzten Namen (engl. “spear” = Speer) verbirgt sich hinter dem Begriff ein gezielter Angriff, zu dem eine Menge an Recherche und Vorbereitung gehört. Anders als bei der klassischen Variante des Netz-Auswerfens nehmen die Cyberkriminellen die potenziellen Opfer bereits im Vorfeld genauestens unter die Lupe. Bei der Recherche werden unterschiedliche Vorgehen beobachtet: Natürlich gibt es mittlerweile Algorithmen und Crawler, die die Weiten des Internets nach passenden Informationen abgrasen. Eine vergleichsweise einfache aber höchst effektive Methode für Cyberkriminelle, um vorab an Daten von potenziellen Opfern zu gelangen, ist aber auch weiterhin eine Google-Suche. Soziale Netzwerke und Profile auf Verkaufsseiten geben Aufschluss über das Konsumverhalten, Hobbies, Vorlieben oder generelle Interessen der Person. Das Gefährliche an Spear-Phishing-Angriffen ist, dass sie durch die Menge an persönlichen Anpassungen um ein Vielfaches schwieriger als “gewöhnliche” Phishing-Angriffe zu erkennen sind.
Stellen Sie sich vor, Sie posten in den Sozialen Medien, dass Sie sich auf ein bevorstehendes Konzert freuen. Das ist ein guter Anhaltspunkt für den Inhalt einer betrügerischen E-Mail, den Cyberkriminelle für ihre Machenschaften nutzen können. Eine E-Mail über Bestätigung der Kontaktdaten der Konzertveranstalter bezüglich der Tickets scheint Ihnen in diesem Fall vielleicht nicht mehr so unplausibel. Auch im Arbeitsalltag sind diese Angriffe keine Seltenheit: So kann ein Hacker feststellen, dass Sie eine Zusammenarbeit mit einer Agentur begonnen haben, nachdem er einen LinkedIn-Post darüber gelesen hat. Er könnte Ihnen dann eine E-Mail mit dem Namen Ihres angeblichen Kundenbetreuers schicken, in der Sie aufgefordert werden, auf einen Link zu klicken – ein unscheinbar wirkender Einstieg mit gravierenden Folgen.
Spear Phishing vs. Whaling
Einige Unterarten des Spear Phishings zielen ganz besonders auf höhere Positionen in Organisationen ab: Beim sogenannten “Whaling” haben die Kriminellen es auf Personen in C-Level-Positionen und andere Führungskräfte abgesehen. Da diese Personen in der Regel Zugriff auf streng vertrauliche Informationen haben, sind sie für Cyberkriminelle ein gefundenes Fressen. Wenn wichtige Entscheidungsträger kompromittiert werden, kann es dazu kommen, dass hohe Geldsummen erbeutet oder geheime, interne Betriebsgeheimnisse veröffentlicht werden – beide Szenarien tragen immensen Schaden nach sich, sowohl finanziell als auch hinsichtlich des Rufes der Unternehmen.
Ein prominentes Beispiel fand im November 2020 statt, als ein Mitbegründer des australischen Hedgefonds Levitas Capital einem gefälschten Zoom-Link folgte, der Malware in seinem Netzwerk installierte. Obwohl die Angreifenden versuchten, mit gefälschten Rechnungen 8,7 Millionen Dollar zu stehlen, konnten sie glücklicherweise “nur” 800.000 Dollar erbeuten. Der Imageschaden war aber so groß, dass Geschäftsbeziehungen mit den größten Kunden beendet wurden und der Hedgefonds schließen musste.
Cyberangriffe haben also in vielen Fällen schwerwiegende Folgen. Doch wo genau liegen eigentlich die Unterschiede zwischen Spear Phishing und Phishing?
Was unterscheidet Spear Phishing von Phishing?
Am stärksten unterscheiden sich Spear Phishing und Phishing dadurch, wie viel Aufwand und Vorarbeit die Verfassenden investieren, um die schadhaften Nachrichten zu erstellen. Phishing-Angriffe sind generell mit vergleichsweise geringem Aufwand verbunden. Durch ihre generische Art sind sie leicht anzufertigen und meistens einfach als schadhaft zu erkennen. Im Gegensatz dazu erfordern Spear-Phishing-Angriffe einen deutlich höheren Rechercheaufwand. Cyberkriminelle brauchen dementsprechend länger, um überzeugende Spear-Phishing-Mails anzufertigen.
Das könnte sich aber schon bald ändern: Laut einer ersten Studie eines Singapurer Forschungsteams wird es bald schon technisch möglich sein, Künstliche Intelligenz (KI) zu missbrauchen, um Spear-Phishing-Mails in massenhaftem Umfang zu verschicken. Im Rahmen der Untersuchung klickten Versuchspersonen häufiger auf KI-basierte Nachrichten als auf ihre menschlich erstellten Gegenstücke. Zukünftig wird es Cyberkriminellen also noch leichter fallen, potenzielle Opfer mit schädlichen Nachrichten anzugreifen.
Ein ausschlaggebender Punkt, in dem sich Phishing- und Spear-Phishing-Mails voneinander unterscheiden, ist die Anrede: So beinhalten Phishing-Mails oftmals sehr formelle, unpassende Grußformalitäten, die leicht als künstlich erkannt werden. Deshalb verfehlen Cyberkriminelle zum größten Teil mit diesen auch ihr gewünschtes Ziel. Spear-Phishing-Mails erwecken dagegen durch ihre vertraute und persönliche Anrede den Eindruck, als würde sich tatsächlich eine bekannte Person an die Empfängerin oder den Empfänger wenden.
Vor allem in Bezug auf ihre Zielgruppe unterscheidet sich Spear Phishing von Phishing sehr: Phishing-Mails werden zufällig an hunderte oder gar tausende von Nutzenden geschickt. Hierbei rechnen die Verfassenden bereits damit, dass der Großteil der Nachrichten als Fälschung entlarvt wird. Spear-Phishing-Mails sind hingegen speziell angefertigt und werden gezielt an einzelne Nutzende verschickt. Der Unterschied zu einer echten Kontaktaufnahme ist kaum zu erkennen – Im besten Fall interagieren die Empfängerinnen und Empfänger also mit der eingehenden Nachricht. Max Tjong-Ayong, Team Lead Social Engineering bei SoSafe, erklärt die zusätzliche Gefahr von Spear-Phishing-Taktiken:
„Zunächst einmal müssen wir verstehen, dass sich die Ziele von Spear-Phishing-Angriffen in der Regel von denen eines breit angelegten Massen-Mail-Phishing-Ansatzes unterscheiden. Spear Phishing zielt in erster Linie auf die beabsichtigten Opfer ab und sieht dabei sehr authentisch aus. Wenn der Angreifer genügend Zeit und Vorbereitung hat, kann es sehr schwer sein, einen ausgeklügelten Spear-Phishing-Angriff zu erkennen.“ Max Tjong-Ayong, Team Lead Social Engineering bei SoSafe
Als Zusammenfassung finden Sie im Folgenden die wichtigsten Punkte, die Spear Phishing und Phishing voneinander unterscheiden, in einer Tabelle gegenübergestellt:
Spear Phishing Phishing Empfängerin/Empfänger Einzelne Personen & Personengruppen Hunderte oder gar tausende Versandart gezielt zufällig Aufwand hoch gering Anrede persönlich/vertraut unpersönlich/formell
So erkennen Sie Phishing-Angriffe
Beim Umgang mit potenziellen Angriffen ist ein wachsames Auge gefragt. Da Phishing-E-Mails oft von unbekannten Absendenden stammen oder abstruse Forderungen stellen und unwahrscheinliche, unrealistische Inhalte enthalten, sind sie meist einfach als schadhafte Inhalte zu erkennen. Um Cyber- Security- Bedrohungen zu identifizieren, sollten Sie die folgenden Punkte unbedingt beachten:
E-Mail-Adresse untersuchen: Gibt es grammatikalische Fehler oder Unregelmäßigkeiten?
Grußformalitäten: Kommt Ihnen die Begrüßung/Verabschiedung in der Mail künstlich oder ungewohnt vor?
Vertrautheit: Gibt der oder die Absender/in vor, Sie zu kennen, und bezieht sich auf eine Ihnen bekannte Angelegenheit?
Zeitdruck: Wird in der E-Mail Druck aufgebaut, weil Sie gebeten werden, etwas so schnell wie möglich zu erledigen?
Hyperlink untersuchen: Stimmt der angezeigte Link mit der tatsächlichen URL, die hinter dem Link steckt, überein?
Tatsächlich gibt es eine ganze Reihe an Hinweisen, die darauf hindeuten, dass es sich bei einer empfangenen E-Mail um einen Spear-Phishing- oder Phishing-Angriff handeln könnte. Detailliertere Informationen finden Sie auch in unserem Blogpost zum Thema “Was tun bei einem Phishing-Angriff?”
Awareness schaffen: Vorsicht statt Nachsicht
Die aufgeführten Beispiele zeigen, dass Cyberkriminalität in Form von Phishing-Angriffen eine ernstzunehmende Gefahr ist, vor der keine Organisation gänzlich sicher sein kann. Wie also sollten Sie mit Cyber-Security- Bedrohungen umgehen? Im Gegensatz zur komplexen Bedrohungslage ist die Antwort auf diese Frage recht simpel: Cyber Security Awareness Training.
In 9 von 10 Fällen beginnen Phishing-Angriffe mit dem Faktor Mensch. Deshalb ist es wichtig, dass Unternehmen ihre Mitarbeitenden für die Gefahren sensibilisieren und sie für den Ernstfall vorbereiten. Ein bewährtes Mittel, um sich vor Cyberbedrohungen zu schützen, sind Phishing-Simulationen, da sie nachweislich Awareness schaffen und Mitarbeitende realitätsnah für den Umgang mit Gefahren schulen.
Sind Sie für die Informationssicherheit in Ihrer Organisation verantwortlich und möchten herausfinden, wie Phishing-Simulationen Sie dabei unterstützen können, Mitarbeitende als aktive Abwehrlinie einzusetzen? Oder arbeiten Sie selbst in einem Unternehmen und möchten herausfinden, wie es um Ihre Cyber Security Awareness steht? Starten Sie jetzt eine Demo der SoSafe Phishing-Simulation und stellen Sie Ihre Awareness mit Hilfe von personalisierten Phishing-Templates auf die Probe. Machen Sie so einen wichtigen Schritt hin zur Stärkung Ihrer Sicherheitskultur!