Hacker-Angriffe, Datendiebstahl und Cyber-Kriminalität
Komplex wird es dann, wenn du bei einem sehr aufwändig gesicherten Objekt ggf. eigene Werkzeuge entwickeln und herstellen müßtest, welche es auf dem Markt in der Form wie du es benötigen würdest, nicht zu kaufen gibt.
Und als oberstes Ziel steht natürlich auch: Sich nicht erwischen und keine Spuren zu hinterlassen.
Ganz klar sollten einem zudem zwei sehr wichtige Dinge sein:
1. Egal wie gut ein Zielobjekt, z.B. ein Museum, aktuell geschützt ist und auch künftig vielleicht noch mehr durch neue Technologien oder Sicherheitskräfte geschützt und auf den aktuellen Stand gebracht wird: Das Objekt wird niemals zu 100% sicher sein. Allerdings steigt der Aufwand ggf. um ein Vielfaches an, um in das betreffende Zielobjekt einzudringen. Unter Umständen ist es am Ende so aufwändig, dass du ggf. Personen wie eine Art verdeckte Ermittler in das betreffende Zielobjekt einschleusen mußt, bevor ein endgültiger „Clou“ stattfinden könnte.
2. Gehen wir einmal von einem extrem gut gesicherten Objekt aus. Wir nehmen auch an, dass die „Planer“, welche das Objekt abgesichert haben sehr erfahrene Personen sind, sich extrem gut in dieser Materie auskennen und so ziemlich an alles gedacht haben, um das betreffende Objekt zu schützen.
Eines bleibt jedoch immer: Schwachstellen!
Oder nennen wir es zutreffender: „Sicherheitslücken“. Bei sehr aufwändigen „Clous“ sollte man sich entsprechend also mit diesen Schwachstellen beschäftigen, bzw. diese herausfinden. Personen die Objekte absichern sind in der Regel selbst „keine Einbrecher oder Diebe“. Sind aber gut geschult, verfügen über entsprechende Ausbildungen und haben ggf. aus vielen Fällen der Vergangenheit gelernt, deren Tatorte sie aufgesucht haben und können diese Erfahrung für künftige Objekte, die es zu schützen gilt, mit einbringen.
Vorsicht: So einfach können Cyberkriminelle Daten missbrauchen
Was sind typische Folgen von Phishing-Attacken?
Auch die Branche, in der ERGO aktiv ist: der Versicherungssektor, ist regelmäßig Phishing-Angriffen ausgesetzt. Diese Methoden scheinen für Kriminelle besonders einfach aufzusetzen zu sein. Die Motive sind jüngsten Studien zufolge in mehr als 90 Prozent der Fälle finanzielle Gier, zu drei Prozent sind die Attacken staatlich gesteuerte, hochentwickelte Spionageaktionen („Advanced Persistent Threats“, „APTs“). Die restlichen fünf Prozent werden aus Neid auf die Opfer, aus ideologischen Gründen oder einfach aus Spaß verübt.
Die Angreifer verwenden in der Regel mehrere Instrumente und Techniken, um ihre kriminellen Ziele zu erreichen. Eines der Hauptziele ist der Diebstahl von Benutzeranmeldeinformationen, um sie anschließend für weitere Hacking- oder Malware-Angriffe zu verwenden. So kann ein Krimineller beispielsweise entweder neue Konten einrichten oder bestehende Konten kompromittieren und mehrere dringende Betrugsnachrichten versenden oder diese Konten nutzen, um zusätzlichen Zugang zu sensiblen Daten zu erhalten.
Das andere Szenario geht davon aus, dass Malware (bösartige Software, d. h. ein schädliches Programm oder eine Datei) auf den Computer des Opfers geschleust wird. Bei dieser Malware kann es sich um verschiedene Arten von Viren, Trojanern, Würmern, Spyware und insbesondere Ransomware handeln. Je nach Art der Ransomware ist sie so konzipiert, dass sie Dateien auf Ihrem Computer entweder sperrt oder verschlüsselt, bis ein Lösegeld gezahlt wird. Anspruchsvollere Versionen (so genannte „doppelte Erpressung“) können Dateien verschlüsseln und Daten vom Computer des Opfers übermitteln, sprich: stehlen.
Wichtig ist zu wissen, dass Ransomware nicht nur für Einzelpersonen, sondern auch für Unternehmen, Regierungen und Organisationen auf der ganzen Welt zu einer großen Herausforderung geworden ist. Und dass die meisten Ransomware-Versuche durch Phishing-E-Mails eingeleitet werden. Den Berichten von Malwarebytes zufolge haben bekannte Ransomwares wie GandCrab, SamSam, NotPetya und WannaCry einen Schaden von rund 3,9 Milliarden US-Dollar verursacht.
Watering-Hole-Attacken: So schützen Sie sich vor perfiden Web-Ködern
Watering Hole: So schützen Sie sich wirksam vor perfide getarnten Web-Ködern
Kaum eine Form des Hackings ist so schwer zu entdecken wie der Watering-Hole-Angriff. Viele andere Cyberattacken greifen wahllos alle erreichbaren Computer und Netzwerke an und werden dadurch schnell entdeckt. Watering Hole nutzt hingegen eine ausgefeilte Tarnung. Die Malware lauert lange im Verborgenen und wartet auf ihre Opfer. Das macht diese Angriffe so gefährlich.
Eine in einwandfreiem Deutsch formulierte und persönlich adressierte Mail an die Einkaufsleiterin eines großen deutschen Maschinenbauers oder die Webseite eines seit vielen Jahren etablierten Branchendienstes im verarbeitenden Gewerbe: Wohl die wenigsten Empfänger:innen würden hier gefährliche Einfallstore für Schadsoftware vermuten.
Aber gerade der korrekte und persönliche Bezug zu Branche und Zielperson macht solche Watering-Hole-Attacken erfolgreich. Schließlich verraten sich die allermeisten gefährlichen E-Mails schon durch ihre plumpe Aufmachung und ihre oft fehlerhafte Rechtschreibung. Bei Watering-Hole-Angriffen ist das nicht der Fall. Aber das ausgefeilte Design ist nur eines der Erfolgsgeheimnisse dieser Art von teils sehr aufwändig vorbereiteten Angriffen.
Was ist eine Watering-Hole-Attacke?
Eine Watering-Hole-Attacke (übersetzt: Angriff am Wasserloch) ist benannt nach dem Jagdverhalten vieler Lauerjäger im Tierreich. Denn so wie ein gut getarntes Krokodil am Wasserloch auf durstige (Beute-)Tiere wartet, lauern auch Cyberkriminelle bei ihrer Wasserloch-Attacke an erfolgversprechenden Orten im Internet auf ahnungslose Opfer. Und so wie das Krokodil nicht wahllos jedes andere Tier angreifen würde, haben auch die Hacker:innen ein dediziertes Beuteschema.
Die Watering-Hole-Attacke gehört zu den strategischen Cyberattacken. Die meisten Angriffe im Internet sind ungerichtet und versenden beispielsweise mit Malware infizierte E-Mails massenhaft an Millionen Empfänger. Typisch für diese Massenmails ist das sogenannte Phishing, bei dem Kriminelle sich etwa als kontoführende Bank oder als Zollbehörde ausgeben, um Banking-Passwörter abzufragen oder gefälschte Rechnungen zu stellen. Viele Mailprogramme erkennen derartige Mails und filtern sie per künstlicher Intelligenz aus, sodass sie gar nicht erst im Postfach landen.
Bei Watering-Hole-Attacken suchen sich die Hacker:innen ihre Opfer hingegen genau aus. Sofern sie überhaupt Phishing-Mails verwenden, betreiben sie sogenanntes Spear-Phishing (übersetzt: Speerfischen). Im Unterschied zum üblichen Phishing schreiben Angreifer:innen beim Spear-Phishing nur zielgerichtete E-Mails direkt an ihre Opfer.
Durch die persönliche Anrede und die Bezugnahme auf das berufliche Umfeld wirken diese E-Mails im Unterschied zu Massenmails sehr echt. Adressat:in, Position im Unternehmen und andere Details werden vorher recherchiert. Auch die Absendenamen stammen bei solchen Spear-Phishing-Angriffen scheinbar von realen Personen. Die Hacker:innen verwenden beispielsweise die Identitäten von echten Menschen – aus dem eigenen Unternehmen, von einem Kunden oder auch aus einer Behörde.
Die gefälschte E-Mail selbst enthält in der Regel keine Malware, da sie sonst im Virenfilter des Unternehmens hängen bleiben würde. Das Spear-Phishing soll vielmehr die Leserin oder den Leser der E-Mail zum virtuellen Wasserloch locken, wo dann der eigentliche Hacking-Angriff erfolgt.
Ein solches Wasserloch kann beispielsweise eine Webseite sein, die Schadcode enthält – sogenannte Exploits. Diese Exploits öffnen in den Browsern der Webseitenbesucher:innen wiederum eine Hintertür. Darüber gelangt die Schadsoftware auf den Zielrechner. Ebenso kann die infizierte Webseite auch eine Software zum Download anbieten, die als Trojaner gefährliche Malware in sich trägt.
Manche Watering-Hole-Attacken verzichten auf das Spear-Phishing. In solchen Fällen verlassen sich die Hacker:innen darauf, dass ihre Opfer von ganz allein die infiltrierten Webseiten besuchen. Diese Seiten infizieren die Hacker:innen dann mit ihrem Schadcode.
Hat das Opfer die Malware erst einmal heruntergeladen und auf dem eigenen Computer installiert, ist damit die Firewall des Unternehmens erfolgreich umgangen. Vom ersten befallenen Computer aus können dann weitere Systeme im Unternehmen mit dem Schadcode attackiert werden.
Wegen ihres sehr indirekten und planvollen Vorgehens wird die Watering-Hole-Attacke manchmal auch zu den Pivot-Attacken gerechnet. Pivot-Attacken sind solche Hackingangriffe, bei denen die Täter:innen ihre Angriffsrichtung im Verlauf der Attacke ändern (aus dem Englischen: to pivot für „schwenken“). So können sie Schwachstellen besser ausnutzen und ihre Spuren einfacher verwischen.
Whitepaper: Cyber Security Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt: Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen Jetzt kostenlos downloaden
Wie funktioniert eine Watering-Hole-Attacke?
Die Watering-Hole-Attacke ist stets ein sorgsam geplanter Angriff. Haben Hacker:innen eine bestimmte Branche im Visier, suchen sie gezielt nach Webseiten, die Angehörige dieser Branche regelmäßig besuchen. Das kann ein Informationsportal sein, ein Newsforum oder auch ein Download-Portal, das Software und Demo-Versionen speziell für diese Branche anbietet.
Mit einiger Wahrscheinlichkeit befinden sich unter diesen Seiten auch Angebote, die auf veralteten Webservern laufen. Ein solcher bietet den Hacker:innen die Möglichkeit, dort Schadcode abzulegen. Die Malware kann aber ebenso gut in einem Branchen-Newsletter stecken, der per E-Mail versendet oder zum Download bereitgestellt wird.
Je mehr Personen diesen Schadcode herunterladen und in ihren Firmennetzen ausführen, desto verbreiteter ist er und öffnet Einfallstüren. Wenn Hacker:innen dann ein beliebiges Unternehmen dieser Branche attackieren, ist es gut möglich, dass ihre Malware sich bereits im dortigen Firmennetz befindet. Je kleiner eine Branche oder Zielgruppe ist, desto schneller sind alle infrage kommenden Systeme mit dem Schadcode infiziert.
Inzwischen sind zahlreiche Watering-Hole-Attacken gegen einzelne Branchen oder Personengruppen bekannt. Etwa der Fall eines Herstellers von Simulationssoftware für die Automobil- und die Luftfahrtindustrie, dessen Webseite unbemerkt mit Schadcode infiziert wurde. Die Malware analysierte die Computer aller Besucher:innen dieser Seite und protokollierte Betriebssystem, Browser-Version, IP-Adresse und installierte Antivirenprogramme. Ein sogenannter Keylogger als Teil der Malware erfasste zusätzlich Tastatureingaben beim Besuch der Website, inklusiver aller dabei genutzten Passwörter.
2019 kam es zu einem spektakulären sogenannten Holy-Water-Fall: Hierbei hatten Hacker:innen bestimmte Webseiten von Prominenten und Wohltätigkeitsorganisationen aus Asien infiziert. Ihre Schadsoftware funktionierte als sogenannter Drive-by-Download und installierte sich bereits beim ersten Besuch der Seiten unbemerkt auf den Computern ihrer Opfer. Die Software schlug anschließend das Herunterladen eines vermeintlichen Software-Updates vor. War auch dieses installiert, besaßen die Hacker:innen vollen Remote-Zugriff auf die befallenen Computer.
Bereits ein Jahr zuvor war es anderen Cyberkriminellen in Hongkong gelungen, über täuschend echte Kopien realer Nachrichtenseiten ein Exploit auf die Smartphones von Seitenbesucher:innen zu laden. Auch diese LightSpy genannte Malware öffnet im schlimmsten Fall eine Hintertür auf den von ihr befallenen Apple-Geräten.
In allen Fällen hatten sich die Angreifer:innen ihre Zielgruppen ganz genau ausgesucht und dabei ausgenutzt, dass ihre Opfer Inhalten aus ihrem eigenen Umfeld mehr vertrauten als beispielsweise thematisch fremden Inhalten oder Downloads.
Mobiler Virenschutz für Mitarbeiter:innen Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz. Ohne Installation, direkt im Netz
Schützt von Viren und Pishing
Automatisch auf dem neusten Stand Jetzt informieren
So unterscheiden sich Watering-Hole-Angriffe vom Phishing
Die klassische Phishing-Attacke ist erst durch Quantität effektiv: Je mehr Personen per E-Mail kontaktiert werden, desto wahrscheinlicher ist es, dass zumindest ein paar Empfänger:innen diese E-Mails auch tatsächlich anklicken. Trotz aller sprachlichen und inhaltlichen Schwächen sind Phishing-Attacken erstaunlich erfolgreich und sollen für bis zu 90 Prozent aller Datendiebstähle verantwortlich sein.
Das Spear-Fishing beim Watering-Hole-Angriff setzt auf qualitative Ansätze und genaue Kenntnis über die Zielgruppe. Daraus ergeben sich folgende Unterschiede zwischen beiden Angriffsarten:
Beim klassischen Phishing werden Empfänger:innen oft unpersönlich oder nur mit ihrer E-Mail-Adresse oder einem im Internet abgefangenen Benutzernamen angesprochen. Beim Watering-Hole-Angriff stimmen hingegen oft Name, Vorname und Berufsbezeichnung.
Informationen über die meisten Phishing-Attacken finden Sie im Internet, weil diese Angriffe so häufig sind. Die meisten verdächtigen E-Mails können Sie mit einer einfachen Suchanfrage per Google prüfen. Viele Antivirenprogramme kennen bereits die einschlägigen Webseiten, auf die viele Phishing-Angriffe Sie weiterleiten wollen. Watering-Hole-Attacken sind hingegen sehr selten und dafür umso zielgerichteter. Daher lesen Sie im Internet kaum Erfahrungsberichte von Opfern.
Beim Phishing geben sich Cyberkriminelle Ihnen gegenüber typischerweise als Mitarbeitende des Bundeskriminalamtes, bekannter Paketdienste, des Zolls oder großer Bankinstitute aus. Die Täter:innen wählen Identitäten, mit denen fast jedes Opfer beruflich oder privat zu tun haben könnte. Beim Watering-Hole-Angriff werden Legenden erfunden, die genau zur Zielgruppe passen.
Viele Phishing-Mails enthalten direkte Geldforderungen, sind mit Malware infiziert oder verlinken auf Webseiten mit kryptischen Namen. Watering-Hole-Attacken sind hingegen deutlich komplexer: Eine unverfängliche und garantiert virenfreie E-Mail lädt Sie zum Beispiel zum Besuch einer etablierten Webseite ein, die Sie vielleicht schon lange kennen. Dort wiederum lädt sich von Ihnen unbemerkt ein Schadprogramm herunter, das speziell für Ihre Branche oder Zielgruppe angepasst wurde. Deshalb ist es für Sicherheitssoftware nur schwer als Schadprogramm erkennbar. Die Malware nimmt möglicherweise erst mit Verzögerung ihre Arbeit auf, sobald hinreichend viele Computer in der gesamten Branche infiziert sind. Die Strategie der Cyberkriminellen ist also deutlich schwerer zu durchschauen.
Ziele von Watering-Hole-Attacken
Watering-Hole-Attacken sind mit einem sehr hohen technischen und organisatorischen Aufwand verbunden. Dieser Aufwand übersteigt das technische Wissen der meisten Cyberkriminellen, die mit ihren Phishing-Angriffen eher Kleinbeträge ergaunern.
Auftraggeber von Watering-Hole-Angriffen können beispielsweise Wettbewerber sein, die ihre Konkurrenz ausspionieren möchten; oder staatliche Nachrichtendienste, die technisches Know-how und Patente aus anderen Ländern stehlen wollen. Auch politische Motive gibt es, etwa wenn sich Attacken gegen Behörden oder Träger der Grundversorgung richten.
Hohe Gefährdung durch verbreitete Branchenlösungen
Grundversorger und Industrieunternehmen sind besonders anfällig für Watering-Hole-Angriffe. Denn über ihre jeweilige Branchenzugehörigkeit lässt sich meist auch vorhersagen, welche Produktionssysteme und Anlagensteuerungen dort zum Einsatz kommen. Das erlaubt sehr zielgerichtete Angriffe mit darauf zugeschnittener Schadsoftware.
Auch Hacker:innen wissen, dass beispielsweise Windkraftanlagen sehr oft mit Steuerungen des österreichischen Herstellers Bachmann Electronic ausgestattet sind; oder Tablettenpressen in der Pharmaindustrie häufig vom Berliner Hersteller Korsch stammen.
Derzeit sind weltweit mindestens fünf Malware-Familien bekannt, die für die Sabotage von Industriesteuerungen entwickelt wurden. Das bekannteste Beispiel ist der 2010 entdeckte Computerwurm Stuxnet, der in Siemens-Steuerungen vom Typ Simatic S7 eingriff und schwere Schäden im iranischen Atomprogramm verursachte.
Video: YouTube / Project Ares
So schützen Sie sich vor Web-Köder-Angriffen
Mit folgenden Maßnahmen reduzieren Sie in Ihrem Unternehmen das Risiko von Watering-Hole-Attacken:
Regelmäßige Sicherheitsschulungen
Schulen Sie Ihr Personal regelmäßig zu aktuellen Gefahren aus dem Internet. Insbesondere Führungskräfte sind ein bevorzugtes Ziel von Spear-Phishing-Mails, da ihre Namen branchenbekannt oder über Ihre Webseite und Branchenportale oder Pressemeldungen recherchierbar sind.
Sicheres Firmennetz
Seien Sie zurückhaltend bei der Vergabe von Administrationsrechten im Unternehmen. Auch lokale Administrationsrechte auf Arbeitsplatzrechnern können ein Einfallstor für Malware sein.
Mittelständische und größere Unternehmen sollten regelmäßige Pentests für Ihre gesamte IT beauftragen und die Prinzipien der Cybersecurity in alle Geschäftsprozesse integrieren. Lassen Sie Ihren Dienstleister auch Watering-Hole-Attacken per Social Engineering austesten. So überprüfen Sie die Robustheit Ihrer Firma gegen solche Angriffe und schaffen zugleich im Unternehmen ein Bewusstsein für diese Form der Cyberkriminalität.
Verwenden Sie für mobiles Arbeiten und im Homeoffice grundsätzlich sichere VPN-Verbindungen.
Schaffen Sie eine auch nach innen wirksame Sicherheitsarchitektur mit lokalen Benutzerrechten. So hat die Ransomware aus einem Branchen-Newsletter keine Chance, Ihren Cloudspeicher mit wichtigen Geschäftsdaten oder Ihre Produktionssysteme zu befallen, sondern bleibt lokal auf wenige Systeme begrenzt.
Regelmäßige Updates und Software-Checks
Testen Sie immer wieder Ihre gesamte im Unternehmen eingesetzte Software. Auch langjährig genutzte Programme können aufgrund eines Updates Schadcode enthalten.
Ersetzen Sie Betriebssysteme und Anwendungen, für die es schon länger keinen Support und keine Updates mehr gibt, durch aktuelle Software. Keine Updates mehr gibt es beispielsweise für den Adobe Flash Player, den Microsoft Internet Explorer sowie ältere Windows-Versionen.
Denken Sie auch an selten genutzte Computer in Lagerräumen und an Ersatzarbeitsplätzen, die vielleicht schon länger nicht mehr genutzt wurden und deshalb auch keine Updates mehr erhalten haben. Bedenken Sie dabei aber auch, dass selbst aktuelle Betriebssystem-Versionen und andere Updates keinen perfekten Malware-Schutz bieten und im ungünstigen Fall sogar neue Sicherheitslücken öffnen könnten, beispielsweise wenn ein Update neue, noch ungeprüfte Funktionalitäten enthält oder seinerseits mit Malware infiziert ist.
Veränderungen aufmerksam und kritisch beobachten
Achten Sie auf ungewöhnliche Veränderungen in etablierten Prozessen. Wenn Sie sich bei Ihrem langjährigen Dienstleister plötzlich nicht mehr per verschlüsselter Verbindung auf dessen Webseite anmelden können, oder Ihr Antivirenprogramm bei einem von Ihnen abonnierten Branchen-Newsletter auf einmal anschlägt, dann könnte dahinter eine Watering-Hole-Attacke stecken.
Seien Sie auch bei E-Mails, Webseiten, Dateidownloads und freigegebenen Cloud-Speichern bekannter Firmen und langjähriger Geschäftspartner immer vorsichtig. Auch deren Systeme könnten bereits Opfer eines Watering-Hole-Angriffs geworden sein und mit Viren, Trojanern oder Ransomware befallen sein.
Lookout: Die Sicherheitslösung für mobile Endgeräte Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen. Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte. Mehr zu Lookout
Watering-Hole-Angriffe in der Übersicht
Watering-Hole-Attacken richten sich gegen einzelne Branchen oder Personengruppen.
Hacker:innen nutzen vertrauenswürdige Medien wie Branchen-Dienste oder Newsletter, um Malware einzuschleusen.
Watering-Hole-Attacken gehören zu den strategischen Hackingformen und werden häufig auch mit Spear-Phishing-Mails kombiniert.
Durch die Kombination mehrerer Schadprogramme und Angriffswege können Angriffe dieser Art auch viele aktuelle Sicherheitsarchitekturen überwinden.
Hacker:innen können bei Watering-Hole-Attacken sehr gezielt angreifen, da sie sich mit Branchen sowie den dort verbreiteten Hard- und Software-Architekturen gut auskennen.
Watering-Hole-Attacken können beispielsweise von Wettbewerbern, aber auch von ausländischen Nachrichtendiensten ausgehen.
Ist Ihre eigene Branche anfällig für Watering-Hole-Attacken? Wie schätzen Sie die allgemeine Wachsamkeit gegenüber derartigen Angriffen ein? Schreiben Sie uns gerne in den Kommentaren.