Die Top 50 Der Cyber-Sicherheitsbedrohungen

TOP
Die Top 50 der Cyber-

Sicherheitsbedrohungen
Cyber-
Bedrohungen
DDOS
DDOS
DDOS
www.wkiped
S
L
H
7
INVOICE
124!5
124!5 124!5
124!5
DDOS
DDOS
DDOS
Inhalt
Account-Übernahme...................................................................6 DNS Tunneling ....................................................................... 48 Schatten-IT....................................................................................... 92
Advanced Persistent Threat..................................................8 DoS-Angriff........................................................................................ 50 SIM-Jacking...................................................................................... 94
AWS-Angriffe (Amazon Web Services).....................10 Drive-by-Download-Angriff................................................ 52 Social-Engineering-Angriff.................................................. 96
Application Access Token....................................................12 Insider-Bedrohungen............................................................... 54 Spyware .............................................................................................. 98
Rechnungsbetrug.........................................................................14 IoT-Bedrohungen......................................................................... 56 SQL Injection................................................................................100
Brute-Force-Angriff ...................................................................16 IoMT-Bedrohungen.................................................................... 58 Supply-Chain-Angriffe......................................................... 102
Geschäftsrechnungsbetrug................................................18 Makroviren......................................................................................... 60 Verdächtige Cloud-Authentifizierungs-
Cloud-Zugriffsverwaltung .................................................. 20 Schädliche PowerShell ......................................................... 62 aktivitäten.......................................................................................104
Cloud-Kryptomining.................................................................. 22 Man-in-the-Middle-Angriff.................................................. 64 Verdächtige Cloud-Speicher-Aktivitäten...........106
Command & Control..................................................................24 Masquerade-Angriff ................................................................. 66 Verdächtige Okta-Aktivitäten.......................................108

# Kompromittierte Zugangsdaten.................................... 26 Meltdown-and-Spectre-Angriff..................................... 68 Verdächtige Zoom-Child-Prozesse.........................110
H
Credential Dumping.................................................................. 28 Network Sniffing ...........................................................................70 System-Fehlkonfiguration ...............................................112
Credential-Reuse-Angriff..................................................... 30 Open Redirection ........................................................................72 Typosquatting...............................................................................114
Credential Stuffing...................................................................... 32 Pass the Hash...................................................................................74 Watering-Hole-Angriff...........................................................116
Cross-Site-Scripting (XSS).................................................. 34 Phishing.................................................................................................76 Web Session Cookie-Diebstahl....................................118
Kryptojacking-Angriff............................................................... 36 Phishing Payloads............................................................... 78 Wire Attack..................................................................................... 120
Daten aus Informations-Repositories...................... 38 Spear Phishing....................................................................... 80 Zero-Day-Exploit....................................................................... 122
DDoS Angriff.................................................................................... 40 Whale Phishing (Whaling)............................................ 82 Mehr erfahren. .............................................................................124
Deaktivieren von Sicherheitstools.............................. 42 Kompromittieren privilegierter Benutzer.............. 84
DNS Attacks..................................................................................... 44 Ransomware.................................................................................... 86
DNS Amplification.............................................................. 44 Ransomware-as-a-Service (RaaS).............................. 88
DNS Hijacking......................................................................... 46 Router- und Infrastruktur-Sicherheit........................ 90

Vorwort
Cybersicherheit ist heute wichtiger als jemals zuvor für unsere Zukunft. Denn sie ist unverzichtbar, um all das zu schützen, worauf wir uns tagtäglich verlassen.
Von Bankgeschäften und Online-Handel über die Entwicklung von Medikamenten und lebensrettenden Impfstoffen bis hin zu einfacheren Dingen wie dem Schutz
unserer bevorzugten Streaming-Dienste. Doch im Zuge der Massenmigration in die Cloud und der digitalen Transformation haben viele Unternehmen ihr optimales
Sicherheitsniveau aufgrund vier maßgeblicher Herausforderungen noch längst nicht erreicht: In erster Linie zählt hierzu eine sich ständig weiterentwickelnde
Bedrohungslandschaft, in der wir mit kreativen, finanziell gut ausgestatteten bösartigen Akteuren zu tun haben. Aber auch die zunehmende Komplexität hybrider sowie
Multi-Cloud-Umgebungen spielt eine Rolle. Ebenso Sicherheitsteams, die durch eine schier endlose Flut an monotonen Aufgaben und zeitaufwändigen manuellen
Prozessen ausgebremst werden. Nicht zu vergessen die unzähligen Datensilos, welche durch den Tool-Wildwuchs in unseren Unternehmen entstehen und die Entstehung
von Ineffizienz sowie blinde Flecken begünstigen.
Zusammen machen diese vier Herausforderungen eines deutlich: Sicherheit ist ein Datenproblem. Aus diesem Grund ist ein datenzentrierter Sicherheitsansatz
entscheidend. Denn dieser versorgt uns zur richtigen Zeit mit den richtigen Informationen. Und ermöglicht die gezielte Verbindung von Tools und Teams – trotz der Flut an
Warnungsmeldungen und der Komplexität. Der Schlüssel zum Erfolg jedes Unternehmens ist eine analysegestützte Lösung, die sich auf eine durchgängige End-to-End-
Transparenz und Machine Learning (ML) stützt. Diese fortschrittlichen Fähigkeiten vermitteln Ihnen nicht nur ein vollständiges Bild Ihrer Umgebung. Ebenso lassen sich
Prozesse weg von menschlichen Eingriffen und einfachen Diagnosen hin zu automatisierten sowie leistungsstarken Abwehrmechanismen verlagern.
Und wie soll das gelingen? Durch die gemeinsame Auswertung und Kontextualisierung riesiger Mengen hochkomplexer
Datensätze. Durch das schnellere Reagieren auf Bedrohungen mit Hilfe automatisierter Abläufe, um Benachrichtigungen
sichten bzw. Bedrohungen untersuchen und entsprechend darauf reagieren zu können. Durch das Entdecken anomalem
Verhaltens mit Hilfe von sofort einsatzbereiten ML-Modellen und -Algorithmen. All dies hilft Unternehmen, ihre Cyber-Resilienz
zu optimieren – also die Fähigkeit, Kompromittierungen oder Angriffen auf Cyber-Ressourcen zuvorzukommen und sich auf
etwaige Bedrohungen einzustellen. So können Sie die Sicherheitsprozesse in Ihre Unternehmen effektiver automatisieren und
es besser schützen, während Sie gleichzeitig Wachstum und Innovation weiter vorantreiben.
Wir bei Splunk sind begeistert von den Möglichkeiten, die in Daten stecken – für eine bessere und sicherere Zukunft. Doch
um dieses Ziel zu erreichen, müssen wir gewappnet sein. Wir müssen wissen, womit wir es zu tun haben – das gilt auch
für die großen Bedrohungen, die sich zunehmend abzeichnen. Genau deshalb haben wir Ihnen in diesem Katalog
die aktuell relevantesten Cyber-Sicherheitsbedrohungen zusammengestellt. Damit Sie die verschiedenen
Arten von Angriffen besser erkennen, das Risiko mindern und den Schutz Ihres Unternehmen weiter
stärken können.
Gary Steele
President & CEO bei Splunk
4 Splunk | Die 50 größten Cyber-Bedrohungen

Es wird wohl noch eine werden und viel zu viel Zeit Daten, die es für die Reduzierung des
Unternehmensrisikos braucht. Gerade im
ganze Weile dauern, bis für wiederkehrende, manuelle Hinblick auf eine ungewisse Zukunft richten
sich die Auswirkungen der Aufgaben aufwenden müssen. viele Unternehmen ihre Investitionen auf
Resilienz aus, um auf aktuelle Bedrohungen
Pandemiejahre auf die weltweite Eine Entwicklung, die der reagieren und gestärkt daraus hervorgehen
InfoSec-Landschaft erfassen Arbeitsmoral nicht gerade zu können.
lassen. Denn allein in diesem zuträglich ist. Zudem fehlt ein In diesem Kontext bedeutet Resilienz:
Zeitraum hat sich mehr getan, umfassender Einblick in dringend Flexibilität. Schnell. Vorbereitet. Proaktiv.
Resiliente Unternehmen besitzen in der Regel
als es viele Sicherheitsexperten benötigte Daten, um die größten
eine starke Daten- und Technologiebasis,
in ihrer gesamten Laufbahn bis Bedrohungen überhaupt dank der sie schnell auf alles reagieren
2020 erlebt haben. Fakt ist: Die verstehen zu können. können, mit dem sie konfrontiert werden.
Resiliente Sicherheitsteams stellen Cyber-
Herausforderungen, mit denen Sicherheitslösungen bereit, um jeden
wir konfrontiert sind, sind größer Doch die Lage ist nicht Aspekt des Unternehmens zu schützen,
die Innovationskraft zu fördern und das
als jemals zuvor. aussichtslos. Zwar haben Unternehmen zu stärken. Sie gehen
es die meisten SecOps- Herausforderungen an, in dem sie Daten in
den Mittelpunkt all ihrer Handlungen stellen.
Die große Kündigungswelle Plattformen bisher versäumt, Mit dem Ergebnis, dass datenzentrierte
und die Burnout-Problematik das Thema Sicherheit als Security Operations das Risiko von
Datenschutzverletzungen, IP-Diebstahl und
haben die Lage noch verschärft. grundlegendes Datenproblem Betrug um bis zu 70 % senken können.
Und dass ausgerechnet zu anzugehen. Doch genau
Vorausgesetzt man weiß, nach welchen
einem Zeitpunkt, in dem die hier verbirgt sich zugleich Bedrohungen man überhaupt Ausschau
IT-Sicherheitsbranche dringend auch die größte Chance für halten sollte. Und genau hier setzt
dieses E-Book an. Auf der Grundlage
Spitzenkräfte finden und halten Sicherheitsexperten.
von Untersuchungen des Splunk Threat
sollte. Weil jene, die bisher Research Teams präsentieren wir Ihnen
Weil die Fähigkeit, eine resiliente auf den folgenden Seiten die 50 größten
noch nicht aufgegeben haben,
Cybersicherheitsreaktion aufzubauen, in Cyber-Sicherheitsbedrohungen, um Ihre
von mehr Warnmeldungen als direktem Zusammenhang mit der Quantität Sicherheitsprofis dabei zu unterstützen,
und Qualität der gesammelten, analysierten uns allen ein Gefühl von mehr Sicherheit zu
jemals zuvor überschwemmt
und implementierten Daten steht. geben.
Die 50 größten Cyber-Bedrohungen | Splunk 5
Account-
Übernahme
Die Übernahme eines Accounts gilt als eine der gefährlichsten und skrupellosesten Methoden, um auf den Account
eines Benutzers zuzugreifen. Dabei gibt sich der Angreifer in der Regel als echter Kunde, Benutzer oder Mitarbeiter aus
und verschafft sich so Zugang zu den Accounts jener Person, für die er sich ausgibt. Noch erschreckender ist, dass sich
Zugangsdaten von Nutzern aus dem Deep Web beschaffen und mit Hilfe von Bots oder anderen automatisierten Tools
bequem mit E-Commerce-Websites abgleichen lassen, um einen schnellen und einfachen Zugang zu ermöglichen.
Bekanntestes Opfer eines solchen Angriffs ist FitBit. Im Jahr 2015 spähten Hacker die Anmeldedaten von Kunden-
Accounts aus. Änderten die E-Mail-Adresse, mit der sich die jeweiligen Kunden registriert hatten. Und kontaktierten so den
Kundendienst mit einer Beschwerde über das Gerät, um sich im Rahmen der Garantie ein Ersatzgerät zusenden zu lassen.

Account-Übernahme
Was Wie Woher

Sie wissen der Angriff der Angriff
müssen: funktioniert: erfolgt:
Zu den gängigsten Methoden zählen proxy-
Bei einer Account-Übernahme werden die Ein Großteil unserer finanziellen und
basierte „Checker“-One-Click-Apps, Brute-
Kreditkarten- oder Zugangsdaten nicht einfach sonstigen Transaktionen findet heute online
Force-Angriffe mit Bot-Netzen, Phishing
direkt gestohlen. Vielmehr erfolgt der Angriff statt. Für Cyberkriminelle ist der Erwerb
und Malware. Auch das sogenannte
heimlich und schleichend. Damit der Angreifer von Zugangsdaten und personenbezogenen
„Dumpster Diving“ ist nicht selten, bei dem
die Karten- oder Zugangsdaten so oft wie Daten (wie z.B. Sozialversicherungsnummern,
in weggeworfenen Postsendungen nach
möglich nutzen kann, bevor verdächtige Privatadressen, Telefonnummern, Kredit-
personenbezogenen Daten gesucht wird.
Aktivitäten überhaupt entdeckt werden. kartennummern oder andere Finanzdaten) ein
Darüber hinaus gibt es noch den direkte Kauf
Häufige Ziele solcher Angriffe sind Banken, lukratives Geschäft. Unabhängig davon, ob sie
von Listen per „Fullz“, einem Slang-Begriff für
große Marktplätze und Finanzdienste wie die erworbenen Daten letztendlich verkaufen
Pakete mit vollständigen Identifizierungsdaten,
PayPal. Ebenso sind all jene Websites anfällig oder für ihre eigenen Vorteile nutzen. Diese Art
die auf dem Schwarzmarkt angeboten werden.
für solche Attacken, bei denen für die Nutzung von Angriffen kann daher von jedem Ort der
Sobald dann ein Profil des Opfers gekauft
Welt aus vorgenommen werden.
eine Anmeldung erforderlich ist. oder erstellt wurde, kann ein Identitätsdieb
diese Informationen dazu nutzen, um
wissensbasierte Authentifizierungssysteme
gezielt auszuhebeln.

Advanced
Persistent
Threat
Der Angriff auf das US Office of Personnel Management (OPM) zählt bis heute zu einer der bemerkenswertesten
Datenschutzverletzungen in der Geschichte der USA. Dabei stellten Sicherheitsexperten fest, dass staatlich
unterstützte Angreifer eine APT-Bedrohung im Auftrag der chinesischen Regierung einsetzten.
Durch den Angriff auf das OPM wurden mehr als 4 Millionen Datensätze kompromittiert. Darunter Informationen über
derzeitige, ehemalige und künftige Mitarbeiter der Regierung sowie deren Familienangehörige. Auch ausländische
Kontakte und sogar psychologische Informationen gelangten damals unerlaubt in die Hände Dritter.

Advanced Persistent Threat
Was Wie Woher

Mit Advanced Persistent Threat (APT) wird eine Eine APT kann sowohl durch hochentwickelte Die meisten APT-Gruppen stehen in
hochentwickelte, verdeckte Bedrohung eines Taktiken, einschließlich einer umfangreichen Verbindung mit Regierungen souveräner
Computersystems oder Netzwerks bezeichnet. Sammlung von Informationen, als auch durch Staaten oder handeln in deren Auftrag. Eine
Dabei gelingt es einem unbefugten Benutzer, weniger ausgefeilte Methoden (z.B. Malware APT kann aber auch von einem professionellen
unentdeckt in das Zielsystem einzudringen und und Spear-Phishing) erfolgen. Dabei kommen Hacker ausgeführt werden, der für einen
Informationen abzuschöpfen – sei es nun aus verschiedenste Verfahren zum Einsatz, um der oben erwähnten Akteure arbeitet. Diese
finanziellen oder politischen Motiven. zum Ziel des Angriffs vorzudringen, es zu staatlich gesponserten Hackerorganisationen
kompromittieren und Zugriff darauf zu erhalten. verfügen in der Regel über die dafür
Die Angriffe werden in der Regel von
benötigten Ressourcen und Fähigkeiten, um
Kriminellen oder Nationalstaaten durchgeführt. Der häufigste Angriffsplan besteht darin, von
ihr Ziel genau zu analysieren und den besten
Die Hauptziele: finanzieller Gewinn oder einem einzelnen Computer aus ein ganzes
Angriffspunkt zu identifizieren.
politische Spionage. APTs werden vor Netzwerk anzugreifen. Hierfür wird eine
allem mit nationalstaatlichen Akteuren in Authentifizierungsdatenbank ausgelesen, um
Verbindung gebracht, die Regierungs- oder all jene Accounts ausfindig zu machen, die
Industriegeheimnisse stehlen wollen. Aber über entsprechende Berechtigungen verfügen.
auch Cyberkriminelle, die nicht im Auftrag einer Mit Hilfe eben jener Accounts werden
bestimmten Organisation handeln, setzen auf anschließend die Ziele komprimiert. Dem
APT-Angriffe, um sich unerlaubt Daten oder nicht genug installieren APT-Hacker zudem
geistiges Eigentum anzueignen. Backdoor-Programme auf kompromittierten
Computern in der erfolgreich angegriffenen
Umgebung. Um sich ähnlich einem Trojaner
den erneuten Zugriff zu sichern, selbst wenn
die Zugangsdaten bereits geändert wurden.

AWS-Angriffe
Die Zahl der kreativen Angriffe auf virtuelle Umgebungen ist mit dem Aufkommen
des Cloud-Computing regelrecht explodiert. Als einer der größten Anbieter von Cloud-
Services war Amazon Web Services (AWS) mit Sicherheit ein beliebtes Ziel dieser
Bedrohungen.
Es existieren gleich mehrere Schwachstellen, welche die Sicherheit von Cloud-Anbietern
gefährden. So hat beispielsweise ein Unternehmen für digitales Marketing seinen Amazon S3-Bucket nicht
mit einem Passwort geschützt, nachdem es den Betrieb eingestellt hatte. Ein folgenschwerer Lapsus, bei dem die
Daten von 306.000 Personen preisgegeben wurden. Allein durch dieses Datenleck wurden 50.000 Dateien mit einer Größe von
insgesamt 32 GB offengelegt – inkl. vollständigen Namen, Standorten, E-Mail-Adressen, Telefonnummern und verschlüsselten
Passwörtern von Kunden wie Patrón Tequila.

AWS-Angriffe
Was Wie Woher

Das Modell der „geteilten Verantwortung“ Ein Angriff auf eine AWS-Instanz kann auf Aufgrund der Vielfalt der auf AWS gehosteten
von Amazon besagt, dass AWS für die verschiedenste Art und Weise erfolgen: Dienste und der tagtäglich hinzukommenden,
Umgebung außerhalb der virtuellen Maschine Die beschleunigte Verlagerung von neuen Arten von Cloud-Bedrohungen, können
verantwortlich ist. Demgegenüber ist innerhalb Unternehmensprozessen in die Cloud aufgrund diese Angriffe praktisch von überall aus
des S3-Containers der Kunde selbst dafür der weltweiten COVID-19-Pandemie hat die Zahl erfolgen und von jedem vorgenommen werden.
verantwortlich, für Sicherheit zu sorgen. der Bedrohungen für Cloud-Anbieter erhöht.
Dadurch sind Bedrohungen zu einem immer Es ist wichtig, auf Aktivitäten zu achten, bei
größeren Problem geworden. Weil sich diese denen es sich um verdächtiges Verhalten
gezielt Schwachstellen durch Konfigurations- innerhalb einer AWS-Umgebung handeln
und Bereitstellungsfehler zunutze machen. könnte. Weitere Aktivitäten, auf die geachtet
werden sollte, sind S3-Zugriffe von unbekannten
Begünstigt durch die Tatsache, dass Cloud-
Standorten und durch unbekannte Benutzer.
Technologien bei vielen Unternehmen schnell
eingeführt wurden und AWS-Kunden selbst für Unbedingt überwacht und kontrolliert
die Sicherung ihrer Umgebung verantwortlich werden solle auch, wer alles Zugriff auf die
sind. Problem dabei ist nur, dass es in Zukunft AWS-Infrastruktur eines Unternehmens hat.
immer mehr Bedrohungen geben wird, welche Die Erkennung verdächtiger Anmeldungen
die AWS-Kunden im Blick behalten müssen. bei der AWS-Infrastruktur bietet ideale
Ausgangspunkte für weitere Untersuchungen.
Nur so lassen sich Aktivitäten wie etwa
die missbräuchliche Nutzung aufgrund
kompromittierter Anmeldeinformationen
verhindern, die direkt zu monetären Kosten
führen können. Weil alle vom Angreifer erstellten
EC2-Instanzen den Benutzern in Rechnung
gestellt werden.

Application
Access
Token
Pawn Storm, eine aktive und aggressive Spionagegruppe, nutzt verschiedene Strategien, um Informationen von ihren
Zielen zu extrahieren. Eine ihrer bevorzugten Methoden besteht darin, die Open Authentication (OAuth) für ausgeklügelte
Social-Engineering-Angriffe zu missbrauchen, die auf hochrangige Benutzer kostenloser Webmail-Dienste abzielten.
Auch aggressive Phishing-Angriffe gegen die Democratic National Convention (DNC), die Christlich Demokratische Union
Deutschlands (CDU), das Parlament und die Regierung der Türkei, das Parlament von Montenegro, die Welt-Anti-Doping-
Agentur (WADA), Al Jazeera und viele andere Organisationen gingen von Pawn Storm aus.
Weiterhin setzt die Gruppe auf mehrere schädliche Anwendungen, die OAuth-Zugriffstoken missbrauchen, um sich
unerlaubt Zugriff auf E-Mail-Konten zu verschaffen, darunter auch Gmail und Yahoo Mail.

Application Access Token
Was Wie Woher

Mit einem OAuth-Zugriffstoken kann ein Angreifer verwenden Application Access Token, Kompromittierte Access Token können einen
Hacker die vom Benutzer gewährte REST-API um den normalen Authentifizierungsprozess ersten Schritt hin zur Kompromittierung
verwenden. In erster Linie um Funktionen zu umgehen und Zufgriff auf eingeschränkt anderer Dienste darstellen. Wenn ein Token
wie die E-Mail-Suche und die Auflistung von verfügbare Konten, Informationen oder Dienste beispielsweise Zugriff auf die primäre E-Mail-
Kontakten durchzuführen. Bei einem Cloud- auf entfernten Systemen zu erhalten. Diese Adresse eines Opfers gewährt, kann der
basierten E-Mail-Dienst erhält eine schädliche Token werden in der Regel von Benutzern Angreifer den Zugriff auch auf alle anderen
Anwendung nach Gewährung eines OAuth- gestohlen und anstelle von Zugangsdaten Dienste ausweiten, die das Ziel abonniert
Token potenziell langfristigen Zugriff auf verwendet. hat. Hierfür muss der Angreifer nur die
Funktionen des Benutzerkontos. Vor allem Routineprozesse für vergessene Passwörter
wenn ein „Refresh“-Token vergeben wurde, anstoßen.
über den ein Zugriff im Hintergrund erfolgen
Der direkte API-Zugang über ein Token
kann.
hebt die Wirksamkeit eines zweiten
Authentifizierungsfaktors auf und kann
gegenüber Gegenmaßnahmen wie das Ändern
von Passwörtern immun sein.

Rechnungs-
betrug
Zelle ist ein Finanzdienstleister, mit dem Kunden auf einfache Weise Geld an Freunde und Verwandte senden können. Doch
gerade jene Funktionen, die den Service so schnell und effizient machen, werden von Cyberdieben gezielt ausgenutzt. Sei
es, um den Verbrauchern im Rahmen eines Zahlungsbetrugs Geld zu stehlen oder manchmal sogar ganze Bankkonten
leerzuräumen.
14 Splunk | Die Top 50 der Cyber-Sicherheitsbedrohungen

Rechnungsbetrug
Was Wie Woher

Rechnungsbetrug findet überall auf der Welt
Mit den beiden Begriffen Rechnungsbetrug Bei einem solchen Angriff soll eine möglichst
statt. Zumeist hanelt es sich um organisierte
oder Zahlungsbetrug wird jede Art von große Anzahl von Personen dazu bewegt
Angreifer, die über entsprechende Finanzmittel,
gefälschter oder illegaler Transaktion werden, wiederholt kleinere bzw. zumutbare
die nötige Bandbreite und Technologien zum
bezeichnet, bei denen Dritte unerlaubt Geld Geldbeträge zu zahlen. Beträge, die
Erstellen gefälschter Rechnungen verfügen.
von Verbrauchern abzweigen. Hocheffiziente geringfügig genug sind, damit der Betrug
Ähnlich dem „Phishing“ wird auch beim
Methoden, die betroffnen Verbrauchern laut nicht auffällt. Bei dieser Masche verschicken
Rechnungsbetrug in der Regel eine breite,
den jüngsten Erhebungen der FTC von Januar Angreifer gefälschte, aber echt erscheinende
zufällig ausgewählte Gruppe von Personen ins
2021 bis März 2022 einen Verlust in Höhe von Rechnungen, in denen Kunden dazu
Visier genommen.
über einer Milliarde US-Dollar bescherten. aufgefordert werden, Geld zu überweisen.
Da die meisten Kunden regelmäßig

kostenpflichtige digitale Dienste in Anspruch
nehmen, spekulieren die Angreifer einfach
darauf, dass ihre Opfer fälschlicherweise
annehmen, die gefälschte Rechnung sei
für einen Dienst, den sie tatsächlich nutzen.
Daraufhin veranlassen die Verbraucher eine
Überweisung oder Kreditkartenzahlung, um die
„falsche Rechnung“ zu begleichen.

Brute-Force-
Angriff
Bei einem der berüchtigsten Brute-Force-Angriffe wurden im Jahr 2011 über
90.000 Konten von PlayStation und Sony Online Entertainment kompromittiert.
Hacker probierten zahllose Kombinationen von Benutzernamen und Passwörtern von einer nicht identifizierten dritten
Partei aus und knackten schließlich die Konten von Mitgliedern, um personenbezogene Daten abzugreifen.
Auch der inzwischen eingestellte Club Nintendo wurde 2013 Opfer eines solchen Angriffs. Damals führten Hacker einen
koordinierten Angriff auf über 15 Millionen Mitglieder durch und knackten die Konten von über 25.000 Forenmitgliedern. Alle
kompromittierten Konten wurden gesperrt, bis der Zugang für die rechtmäßigen Inhaber wiederhergestellt war – doch der
Schaden für den Ruf der Marke war zu diesem Zeitpunkt bereits immens.

Brute-Force-Angriff
Was Wie Woher

Ein Brute-Force-Angriff zielt in erster Linie Die einfachste Form des Brute-Force-Angriffs Dank der unkomplizierten und einfachen Natur
darauf ab, per Trial & Error-Ansatz in den ist ein sogenannter Wörterbuchangriff. Dabei von Brute-Force-Angriffen können sich Hacker
Besitz personenbezogene Daten zu gelangen – arbeitet sich der Angreifer systematisch und Cyberkriminelle auch mit wenig oder gar
insbesondere Benutzernamen und Passwörter. durch ein Wörterbuch oder eine Wortliste und keiner technischen Erfahrung einen Zugang zu
Eine der vielleicht unkompliziertesten probiert jeden einzelnen Eintrag aus. Bis er einem Account verschaffen.
Möglichkeiten, um sich Zugang zu einer schließlich Erfolg hat.
Die Menschen hinter diesen Kampagnen
Anwendung, einem Server oder einem
Mitunter ergänzen Angreifer dabei sogar haben entweder genug Zeit oder sind in Besitz
passwortgeschützten Konto zu verschaffen.
Wörter mit Symbolen und Ziffern oder der erforderlichen Rechenleistung, um ihre
Weil der Angreifer lediglich verschiedene verwenden spezielle Wörterbücher mit betrügerischen Ziele zu erreichen.
Kombinationen von Benutzernamen und geleakten und/oder häufig verwendeten
Passwörtern ausprobieren muss. Bis er Passwörtern. Und sollte ihnen doch einmal
schließlich Erfolg hat. Sofern der Angriff Zeit und Geduld ausgehen, erledigen
überhaupt erfolgreich ist, da für ein automatisierte Tools die Arbeit für sie.
sechsstelliges Passwort nahezu Milliarden Natürlich viel schneller und mit viel weniger
möglicher Kombinationen existieren. Aufwand.

RECHNUNG
Geschäfts-
rechnungs-
betrug
Selbst die größten Technologieunternehmen der Welt sind vor Rechnungsbetrug nicht sicher. Laut einer Untersuchung
des Fortune Magazine wurden sowohl Facebook als auch Google unwissentlich Opfer eines massiven Rechnungsbetrugs.
Der Betrüger, ein Litauer namens Evaldas Rimasauskas, gab sich in seinen Rechnungen einfach als großer asiatischer
Hersteller aus, der häufig mit den beiden Unternehmen Geschäfte machte. Auf diese Weise wollte er die Tech-Giganten zur
Zahlung angeblich gelieferten Computerzubehörs bewegen. Im Laufe von zwei Jahren belief sich die ergaunerte Summe
auf jeweils mehr als 10 Millionen von Dollar. Als die Betrugsmasche schließlich aufflog, soll Rimasauskas angeblich bereits
eine Summe von mehr als 100 Millionen Dollar erbeutet haben.

INVOICE
Geschäftsrechnungsbetrug
Was Wie Woher

Überall auf der Welt gibt es
Beim Rechnungsbetrug wird versucht, Ihr Bei diesem Angriff werden gefälschte
nicht nur Einzelpersonen, die
Unternehmen mit Hilfe einer gefälschten (aber Rechnungen an Zielpersonen verschickt,
Geschäftsrechnungsbetrug betreiben.
überaus echt wirkenden) Rechnung zu einer um betrügerisch an Geld zu kommen. Stets
Inzwischen existieren sogar regelrechte
Zahlung zu bewegen. Tatsächlich gehen die in der Hoffnung, dass große Unternehmen
Betrügerringe, die über die nötige Organisation
von Ihnen gezahlten Rechnungsbeträge jedoch ihre Buchhaltungsprozesse nicht genau
und entsprechende Ressourcen verfügen, um
an Betrüger, die sich als Ihre Lieferanten kontrollieren.
das jeweilige Bankinstitut der Betrugsopfer
ausgeben.
Hacker wählen ihre Ziele dabei in der Regel ausfindig zu machen und überaus gut
Um keinen Verdacht zu erregen, werden häufig anhand der Größe eines Unternehmens, gefälschte Rechnungen zu erstellen.
nur kleinere Beträge in Rechnung gestellt. des Standorts oder der Lieferanten
Hundertfach oder gar tausendmal wiederholt, aus. Anschließend werden äußerst echt
können diese Kleinstbeträge am Ende eine erscheinende, gefälschte Rechnungen mit
enorm hohe Summe ergeben. dringenden Zahlungsaufforderungen wie
„Zahlung bereits 90 Tage überfällig. Bitte sofort
begleichen!“ versendet. Die fälligen Beträge
werden von der nicht selten vielbeschäftigten
Buchhaltung nicht weiter geprüft und
weitestgehend ungeprüft einfach überwiesen.

Cloud-
Zugriffs-
verwaltung
Der Wechsel in die Cloud hat unzählige Vorteile – von der Förderung einer besseren Zusammenarbeit bis hin zur Möglichkeit,
dass Mitarbeiter von fast jedem Ort der Welt aus arbeiten können. Die Bedeutung dieser Flexibilität zeigte sich allein während
der weltweiten COVID-19-Pandemie. Die Umstellung auf einen Cloud-basierten Dienst birgt zugleich aber auch ein gewisses
Risiko, das nicht selten auf menschliche Fehler zurückzuführen ist.
Wyze Labs, ein Unternehmen, das sich auf kostengünstige Smart Home-Produkte spezialisiert hat, musste dies aus erster
Hand erfahren. So kam es es bei diesem StartUp beinahe zu einem schwerwiegenden Sicherheitsvorfall, als ein Mitarbeiter
eine Datenbank für Nutzeranalysen erstellte und dabei versehentlich die erforderlichen Sicherheitsprotokolle entfernte. Mit
dem Ergebnis, dass eine komplette Datenbank mit personenbezogenen Kundendaten öffentlich zugänglich war.

Cloud-Zugriffsverwaltung
Was Wie Woher

Die Berechtigungsverwaltung in Ihrem In der Regel kommt es zu solch einem Angriff Missmanagement und Fehlkonfigurationen
Unternehmen wird immer wichtiger, um Cloud- durch schlechte Kommunikation, fehlende innerhalb einer Cloud-Umgebung sind für
basierte Sicherheitsvorfälle zu vermeiden. Protokolle, unsichere Standardkonfigurationen sich genommen noch keine böswilligen
oder schlechte Dokumentation. Handlungen. Wie bereits erwähnt, handelt es
Zu schwache oder nicht vorhandene
sich dabei zumeist um Sicherheitslücken, die
Sicherheitsvorkehrungen – oder wie Sobald Angreifer eine dieser Schwachstellen
auf menschliches Versagen zurückzuführen
in diesem Fall falsch konfigurierte ausnutzen und in Ihrer Cloud-Umgebung Fuß
sind.
Sicherheitskontrollen – können die Sicherheit fassen können, werden sie die so erlangten
Ihrer Daten gefährden und Ihr Unternehmen Privilegien nutzen, um auf andere Remote-
einem unnötigen Risiko aussetzen. Ganz zu Zugangspunkte zuzugreifen. Immer mit
schweigen von den signifikant negativen dem Ziel, nach unsicheren Anwendungen
Auswirkungen auf den Ruf Ihrer Marke. und Datenbanken oder schwachen
Netzwerkkontrollen zu suchen. Damit sich
anschließend möglichst unbemerkt Daten
exfiltrieren lassen.

Cloud-
Kryptomining
Als Antrieb für Cloud-Kryptomining braucht es kein Benzin. Das musste auch Tesla bereits feststellen, wurde der US-
amerikanische Hersteller von Elektroautos doch Opfer einer solchen Cyberattacke. Hacker hatten eine unsichere Kubernetes-
Konsole ausgenutzt, um Rechenleistung aus der Cloud-Umgebung von Tesla zu stehlen und Kryptowährungen zu schürfen.

Cloud-Kryptomining
Was Wie Woher

Aus guten Gründen ist Kryptomining ein Kryptojacking hat mit der explosionsartigen Da es sich bei Kryptowährungen um eine
schwieriges und ressourcenintensives Zunahme seiner Popularität im Herbst 2017 globale Ware handelt, können diese Angriffe
Business. Denn durch die Komplexität auch die Aufmerksamkeit der Medien auf sich von jedem Ort der Welt ausgehen. Anstatt
soll sichergestellt werden, dass die gezogen. Seitdem haben sich die Angriffe von sich jedoch darauf zu konzentrieren, woher
Anzahl der täglich „geminten“ Blocks Browser-Exploits und Mobiltelefonen hin zu die Angriffe kommen, ist es wichtig, Cloud-
möglichst konstant bleibt. Cloud-Diensten für Unternehmen wie Amazon Computing-Instanzen auf Aktivitäten im
Web Services (AWS), Google Cloud Platform Zusammenhang mit Kryptojacking und
Daher war es nur eine Frage der Zeit, dass
(GCP) und Microsoft Azure verlagert. Kryptomining zu überwachen.
sich ebenso ehrgeizige wie skrupellose
Miner irgendwann die Rechenleistung großer Es lässt sich nicht genau bestimmen, wie Darunter fallen z.B. neue Cloud-Instanzen, die
Unternehmen anzueignen versuchen – eine weit verbreitet diese Praxis ist. Gerade aus bisher unbekannten Regionen stammen,
unter Cyberkriminellen gängige Praxis, weil die Angreifer ihre Fähigkeiten ständig Benutzer, die eine ungewöhnlich hohe Anzahl
die als Kryptojacking bezeichnet wird. weiterentwickeln, um unentdeckt zu bleiben. von Instanzen starten, oder Computing-
Indem sie zzum Beispiel nicht gelistete Instanzen, die von bisher unbekannten
Endpunkte einsetzen, ihre CPU-Nutzung Benutzern gestartet werden.
drosseln und die IP-Adresse des Mining-Pools
hinter einem kostenlosen Content Delivery
Network (CDN) verstecken.
Wenn sich kriminelle Miner eine Cloud-

Instanz aneignen und dabei oft Hunderte
neue Instanzen aufsetzen, können die Kosten
für den Account-Inhaber in astronomische
Höhen steigen. Grund genug, die Systeme auf
verdächtige Aktivitäten zu überwachen, die
auf ein infiltriertes Netzwerk hindeuten.

Command
& Control
Die erste bekannte Abschaltung des Stromnetzes eines Landes
durch einen Cyberangriff erfolgte am 23. Dezember 2015. Die
Hintergründe dieses Hacks wurden von Wired anschaulich
zusammengefasst.
Demnach bemerkte gegen 15:30 Uhr Ortszeit ein Arbeiter im Kontrollzentrum von Prykarpattya Oblenergo, wie sich sein
Mauszeiger über den Bildschirm bewegte. Wie von Geisterhand navigierte sich der Cursor zu den digitalen Steuerungen der
Leistungsschalter eines Umspannwerks und begann damit, sie nach und nach vom Netz zu nehmen. In der Folge fielen fast 30
Umspannwerke aus und mehr als 230.000 Bewohner der Westukraine waren gezwungen, einen kalten Abend im Dunkeln zu
verbringen - bei einer Außentemperatur von über -30 °C.

Command & Control
Was Wie Woher

Bei einem Command & Control-Angriff Zumeist verschaffen sich Angreifer über In der Vergangenheit erfolgten prominente
übernimmt ein Hacker die Kontrolle über Phishing-E-Mails und die Installation von Command & Control-Angriffe aus Russland,
einen Computer, um Befehle oder Malware Malware einen entsprechenden Zugang zum dem Iran und sogar den USA. Aber natürlich
an andere Systeme im Netzwerk zu System. können die Angreifer auch aus jedem Land der
senden. In einigen Fällen führt der Angreifer Welt stammen. Allerdings wollen sie nicht, dass
Dadurch wird ein Command & Control-Kanal
Aufklärungsaktivitäten durch, indem er sich Sie das wissen.
eingerichtet, über den Daten zwischen dem
lateral im Netzwerk bewegt und sensible
kompromittierten Endpunkt und dem Angreifer Da die Kommunikation von entscheidender
Daten sammelt.
ausgetauscht werden. Bedeutung ist, verwenden Hacker spezielle
Bei anderen Angriffen können Hacker diese Techniken, um die wahre Natur ihrer
Diese Kanäle leiten dann Befehle an den
Infrastruktur wiederum nutzen, um die Korrespondenz zu verschleiern. In der Regel
kompromittierten Endpunkt weiter und die
eigentlichen Angriffe zu starten. Eine der versuchen sie ihre Aktivitäten so lange wie
Ausgabe dieser Befehle anschließend wieder
wichtigsten Funktionen dieser Infrastruktur möglich zu loggen, ohne dabei entdeckt zu
zurück an den Angreifer.
ist die Einrichtung von Servern, die mit werden. Indem sie eine Vielzahl von Techniken
Implantaten in kompromittierten Endpunkten einsetzen, um über Kanäle zu kommunizieren
kommunizieren. Diese Angriffe werden oft und dabei möglichst unauffällig zu bleiben.
auch als C2- oder C&C-Angriffe bezeichnet.

Kompromittierte
Zugangsdaten
2020 kam es bei Marriott International durch kompromittierte Zugangsdaten zu einer massiven Datenpanne. Dabei wurden
die Konten von 5,2 Millionen Marriott-Kunden kompromittiert und persönliche Informationen wie Kontaktdaten, Geschlecht,
Geburtsdatum und Bonuskonten offengelegt. Hierfür nutzte der Angreifer die Anmeldedaten zweier Marriott-Mitarbeiter, in
deren Besitz er vermutlich durch eine Mischung aus Phishing und Credential Stuffing gelangt war. So konnte der- oder diejenige
einen ganzen Monat lang unbemerkt Daten von Marriott-Kunden abgreifen.

Kompromittierte Zugangsdaten
Was Wie Woher

Die meisten Menschen verwenden bei der Ausgespähte Passwörter, Schlüssel oder Kompromittierte Zugangsdaten stellen einen
Anmeldung von ihnen genutzter Dienste nach andere Identifikatoren können von Angreifern sehr großen Angriffsvektor dar. Weil sich
wie vor auf die Ein-Faktor-Authentifizierung dazu verwendet werden, sich unbefugten Angreifer dadurch relativ leicht Zugang zu
(was in punkto Cybersicherheit ein absolutes Zugang zu Informationen und Ressourcen zu Computern, passwortgeschützten Accounts
No-Go ist). verschaffen. Wobei entweder nur ein einzelner und der Netzwerkinfrastruktur eines
Account oder sogar ganze Datenbanken Unternehmens verschaffen können.
Zwar werden inzwischen strengere
betroffen sein können.
Anforderungen an Passwörter gestellt Häufig sind die Angreifer gut organisiert und
(z.B. hinsichtlich der Länge in Zeichen, der Mit Hilfe eines vertrauenswürdigen Accounts haben es auf bestimmte Unternehmen oder
Kombination von Symbolen und Zahlen oder können sich Angreifer Zugriff auf ein Personem abgesehen. Dabei muss es sich
der Erneuerungsintervalle). Doch die meisten Unternehmen schaffen und unentdeckt nicht zwingend um externe Akteure handeln.
Endbenutzer verwenden ihre Anmeldedaten sensible Datensätze exfiltrieren, ohne dass es Ebenso können es auch Insider sein, die in
für gleich mehrere Konten, Plattformen und jemandem auffällt. Gängige Methoden zum gewissem Umfang einen legitimen Zugang zu
Services. Und versäumen es obendrein, diese Sammeln von Zugangsdaten sind der Einsatz den Systemen und Daten eines Unternehmens
regelmäßig zu aktualisieren. von Passwort-Sniffern, Phishing-Kampagnen haben.
oder Malware-Angriffen.
Allein diese Tatsache macht es Angreifern
ungemein leicht, Zugriff auf ein Nutzerkonto
zu erhalten. Mit dem Ergebnis, dass sich eine
Vielzahl der heutigen Sicherheitsverletzungen
auf solche Sammelvorgänge von
Zugangsdaten zurückführen lassen.

Credential
Dumping
Disney+ verzeichnete in kürzester Zeit mehr als 10 Millionen Nutzer und die Aktie des neuen Streaming-Dienstes erreichte
kurz darauf ein Rekordhoch. Allerdings verblasste dieser Glanz ziemlich schnell, als viele der frühen Abonnenten sich
darüber beschwerten, dass sie aus ihren Accounts ausgesperrt wurden. Schon wenige Tage nach dem Start waren die
Zugangsdaten zu Disney+ von zahlreichen Nutzern für einen Preis von nur drei Dollar zu haben.
Disney betonte jedoch, dass die Website gar nicht angegriffen wurde – angeblich fielen die Nutzer, die ihre Zugangsdaten
online fanden, wahrscheinlich einer gängigen (aber notorisch unsicheren) Praxis zum Opfer: der Verwendung ein und
desselben Passworts auf gleich mehreren Websites, die später von einem Credential-Dumping-Angriff betroffen waren.

Credential Dumping
Was Wie Woher

Credential Dumping kann von jedem Ort der
Credential Dumping bezeichnet in erster Zu den auf diese Weise erlangten Zugriffsdaten
Welt aus stattfinden. Und gerade weil wir alle
Linie einen Angriff, der auf dem Sammeln gehören in der Regel auch solche von
unsere Passwörter gerne wiederverwenden,
von Zugangsdaten von einem Zielsystem privilegierten Nutzern, die möglicherweise
lassen sich Informationen dieser Art
beruht. Auch wenn die Zugangsdaten nicht Zugang zu sensibleren Informationen und
auch für zukünftige Angriffe problemlos
im Klartext vorliegen – sie sind oft gehasht Systemoperationen haben.
weiterverkaufen.
oder verschlüsselt – kann ein Angreifer die
Hacker zielen oft auf eine Vielzahl von Quellen
Daten dennoch extrahieren und im Anschluss
ab, um Zugangsdaten abzugreifen. Hierzu
offline auf seinen eigenen Systemen
zählen z.B. Konten des Security Accounts
knacken. Genau deshalb wird diese Art von
Manager (SAM) oder der Local Security
Angriff auch als „Dumping“ bezeichnet.
Authority (LSA), NTDS von Domain Controllern
oder Group-Policy-Preference-Dateien (GPP).
Oft versuchen Hacker, Passwörter von
Systemen zu stehlen, in die sie bereits Sobald die Angreifer in dern Besitz gültiger
eingedrungen sind. Das Problem verschärft Zugangsdaten sind, können sie sich damit
sich allerdings zusehends, wenn Nutzer ein und problemlos im Zielnetzwerk bewegen, neue
dasselbe Passwort für gleich mehrere Konten Systeme ausfindig machen und für sie
in verschiedenen Systemen verwenden. interessante Objekte identifizieren.

Credential-
Reuse-
Angriff 124!5
Zu einer der bemerkenswerteren Credential-Reuse-Angriffe

zählt die Attacke auf Dunkin’ Donuts im Jahr 2019. Dabei
handelte es sich leider bereits um den zweiten Hack
innerhalb von nur zwei Monaten – was natürlich
124!5 124!5
besonders bitter für das Unternehmen von der Ostküste war. Diesmal gingen die
Angreifer sogar so weit, dass sie Tausende von Accounts im Dark Web verkauften.
Hierzu zählten in erster Linie die Zugangsdaten – einschließlich Benutzernamen
124!5
und Passwörtern – die seitens der Meistbietenden dann wiederum auf anderen Verbraucher-Websites ausprobiert werden
konnten, bis sie einen weiteren Treffer landen konnten.

Credential-Reuse-Angriff 124!5
124!5 124!5
124!5
Was Wie Woher

Die Wiederverwendung von Zugangsdaten
Theoretisch erfolgt der Angriff relativ einfach, Credential-Reuse-Angriffe können vor allem
(Credential Reuse) ist in allen Unternehmen
unkompliziert und überraschend unauffällig dann gezielt erfolgen, wenn die Person das
und Benutzergruppen ein allgegenwärtiges
(zumindest wenn keine Zwei-Faktor- Opfer kennt und aus persönlichen, beruflichen
Problem.
Authentifizierung aktiviert ist). oder finanziellen Gründen Zugang zu dessen
Denn heutzutage besitzen die meisten Accounts erlangen möchte.
Sobald die Zugangsdaten eines Nutzers
Nutzer gleich dutzende, wenn nicht hunderte
gestohlen wurden, kann der Täter denselben Der Angriff kann aber auch von einem
Accounts und müssen sich unzählige
Benutzernamen und dasselbe Passwort völlig Fremden ausgehen, der die
Passwörter merken, die obendrein auch noch
auf anderen Verbraucher- oder Banking- personenbezogenen Daten des Nutzers im
strenge Sicherheitsanforderungen erfüllen
Websites ausprobieren, bis er schließlich Darkweb für Cyberkriminalität gekauft hat.
müssen. Das führt nicht selten dazu, dass
Erfolg hat. Daher rührt auch der Begriff „Reuse“
ein und dasselbe Passwort immer wieder
(Wiederverwendung) in der Bezeichnung
verwendet wird. In der Hoffnung, dass sie ihre
„Credential-Reuse-Angriff“.
Zugangsdaten für verschiedene Accounts
dadurch leichter verwalten und sich einprägen Sich überhaupt erst einmal Zugang zu
können. verschaffen, ist allerdings etwas komplizierter:
Um gezielt an privilegierte Informationen zu
So ist es nicht verwunderlich, dass diese
gelangen, beginnen Angreifer in der Regel mit
Praxis zu immensen Sicherheitsproblemen
einem Phishing-Versuch, bei dem sie die Nutzer
führen kann, sollten diese Zugangsdaten
mithilfe von täuschend echt aussehenden
kompromittiert werden.
E-Mails und Websites zur Herausgabe ihrer
Zugangsdaten verleiten.

X
S #
L
H
7
Credential
Stuffing
Das in Fort Lauderdale ansässige Unternehmen Citrix Systems hatte
2019 alle Hände voll mit der Untersuchung einer schwerwiegenden
Sicherheitsverletzung eines Netzwerks zu tun, die sich im Jahr zuvor
ereignet hatte. Demnach hatten Hacker sensible Geschäftsdokumente
gestohlen. Das FBI geht davon aus, dass der Hack durch „Passwort
Spraying“ erfolgte. Mit dem sogenannten „Credential Stuffing“ werden
Cyberattacken bezeichnet, bei denen Hacker aus der Ferne auf
eine große Anzahl von Accounts gleichzeitig zugreifen. Laut einem
Jahresbericht (Form 10-K), der bei der U.S. Securities and Exchange R @
Commission eingereicht wurde, geht Citrix davon aus, dass die Täter
versucht haben, in die Systeme des Unternehmens einzudringen, um auf
Kunden-Accounts für Content Collaboration zuzugreifen.
G ! A
#
L S
H
7
Credential Stuffing
Was Wie Woher

Beim Credential Stuffing verwenden Für einen Credential-Stuffing-Angriff benötigen Proxys können den Standort von Angreifern
Cyberkriminelle gestohlene Zugangsdaten, Hacker in der Regel nur den Zugriff auf die verschleiern, die sich per Credential-
um auf weitere Konten zuzugreifen. Hierfür Zugangsdaten, ein Tool für die Automatisierung Stuffing einen Zugriff verschaffen
richten sie Tausende oder gar Millionen und Proxys. wollen. Wodurch die Ermittlung des
von Anmeldeanfragen automatisiert an Standorts ungemein erschwert wird.
Für gewöhnlich genügt ein Satz an
Webanwendungen. Die dabei zum Einsatz
Benutzernamen und Passwörtern aus Credential-Stuffing-Angriffe können von
kommenden Benutzernamen und Passwörter
einem vorhergegangenen Datenleck eines jedem Ort der Welt aus erfolgen. Doch
stammen zumeist aus vorhergegangenen
anderen großen Unternehmens, um diese meist lassen sie sich auf die Brennpunkte
Datenlecks. indem sie sich ganz einfach
Zugangsdaten mit Hifle automatisierter Tools in der organisierten Cyberkriminalität
anmelden, wollen sie auf möglichst einfache
die Anmeldeaufforderungen anderer Websites zurückführen. Oft handelt es sich bei den
Weise auf sensible Accounts zugreifen.
zu „stopfen“ (Stuffing). Angreifern um Einzelpersonen und Hacker-
Dabei setzen die Angreifer darauf, dass Organisationen, die Zugang zu speziellen
Benutzer für mehrere Dienste immer dieselben Tools zur Überprüfung von Accounts sowie
Benutzernamen und Passwörter verwenden. zu zahlreichen Proxys haben, die verhindern,
Sind sie damit erfolgreich, können sie mit nur dass ihre IP-Adressen gesperrt werden.
einem einzigen Satz an Zugangsdaten auf
Weniger raffinierte Angreifer können sich
Accounts mit finanziellen und geschützten
verraten, wenn sie versuchen, eine große
Informationen zugreifen und erhalten so den
Anzahl an Accounts über Bots zu infiltrieren,
Zugang für nahzu alle Lebensbereiche.
was zu einem unerwarteten Denial-of-Service-
Angriff (DDoS) führt.

Cross-Site
Scripting
(XSS)
Im Januar 2019 wurde eine XSS-Schwachstelle im Steam Chat-Client von Valve entdeckt. Einem Unternehmen für
Computerspiele mit mehr als 90 Millionen aktiven Nutzern, von denen bis zum Bekanntwerden des Fehlers beliebig viele
hätten angegriffen werden können. Bei einem Cross-Site-Scripting-Angriff (XSS) handelt es sich um eine Art Injection-Angriff,
bei dem schädliche Skripte in ansonsten harmlose und vertrauenswürdige Websites eingeschleust werden. Das Konzept
ähnelt einer SQL Injection, bei der bösartiger Code in ein Formular eingegeben wird, um Zugriff auf die Datenbank der
Website zu erhalten. Mit dem Unterschied, dass im Falle von XSS der schädliche Code so konzipiert ist, dass er im Browser
eines anderen Besuchers der Website ausgeführt wird. Mit dem Ziel, User Cookies zu stehlen, Session-IDs auszulesen, den
Inhalt einer Website zu ändern oder Benutzer auf eine schädliche Website umzuleiten.
Cross-Site-Scripting (XSS)
Was Wie Woher

Es gibt zwei Arten von XSS-Angriffen: XSS-Angriffe kommen zwar nicht mehr so
XSS-Angriffe treten auf, wenn ein Angreifer
gespeicherte und reflektierte Attacken. häufig vor wie in der Vergangenheit, was
eine Webanwendung nutzt, um schädlichen
in erster Linie auf Verbesserungen bei
Code – im allgemeinen in Form eines Gespeicherte XSS-Angriffe liegen immer dann
Browsern und Sicherheitstechnologien
browserseitigen Skripts – an einen anderen vor, wenn ein injiziertes Skript an einem festen
zurückzuführen ist.
Endbenutzer zu senden. Ort auf dem Server gespeichert ist, z.B. in
einem Forenbeitrag oder Kommentar. Jeder Allerdings sind solche Attacken immer noch
Schwachstellen, die diese Angriffe
Benutzer, der auf der infizierten Seite landet, so weit verbreitet, dass sie vom Open Web
ermöglichen, sind weit verbreitet und treten
ist von dem XSS-Angriff betroffen. Application Security Project unter den zehn
überall dort auf, wo eine Webanwendung
größten Bedrohungen geführt werden. Allein
Eingaben eines Benutzers generiert, ohne Bei einem reflektierten XSS-Angriff wird das
die Datenbank Common Vulnerabilities and
diese zu validieren oder zu verschlüsseln. eingeschleuste Skript dem jeweiligen Nutzer
Exposures listet fast 14.000 Schwachstellen
als Antwort auf eine Anfrage angezeigt, z.B. als
Der Browser des Endbenutzers hat keine im Zusammenhang mit XSS-Angriffen auf.
Suchergebnisseite.
Möglichkeit zu erkennen, dass das Skript nicht
vertrauenswürdig ist. Und führt es automatisch
aus. Weil er glaubt, das Skript stamme aus
einer vertrauenswürdigen Quelle, kann es
auf Cookies, Session Token oder andere
vertrauliche Informationen des Browsers
zugreifen. Und sogar den Inhalt der HTML-Seite
umschreiben.

Kryptojacking-
Angriff
Hacker haben zahlreiche Websites der australischen Regierung mit Malware
infiziert, welche die Computer der Besucher dazu zwang, heimlich und ohne
deren Zustimmung Kryptowährung zu schürfen.
Der Kryptojacking-Angriff wurde ausgeführt, indem die Hacker eine
Schwachstelle in einem beliebten Browser-Plugin ausnutzten, das wiederrum
Teil einer größeren globalen Sicherheitslücke gewesen ist.
Betroffen waren u. a. die offizielle Website des Parlaments von Victoria, das
Queensland Civil and Administrative Tribunal, die Homepage des Queensland Community
Legal Centre, der National Health Service des Vereinigten Königreichs sowie
die Website der britischen Datenschutzaufsichtsbehörde.

Kryptojacking-Angriff
Was Wie Woher

Diese Angriffe können von jedem Ort der
Kryptojacking bezeichnet einen Angriff, bei Eine gängige Möglichkeit für Kryptojacking-
Welt aus erfolgen. Heutzutage sind für
dem ein Hacker ein Computersystem mit Hilfe Angriffe besteht darin, einen schädlichen Link
Kryptojacking keine besonderen technischen
von Malware angreift, die sich auf einem Gerät in einer Phishing-E-Mail zu versenden. Dadurch
Fähigkeiten erforderlich. Im Deep Web sind
versteckt. soll der Benutzer dazu verleitet werden,
Kryptojacking-Kits bereits für nur 30 Dollar
Kryptomining-Code direkt auf ein Computer-
Gezielt wird zudem die Rechenleistung erhältlich. Wodurch die Einstiegshürde für
System herunterzuladen.
des Computersystems ausgenutzt, um Hacker relativ niedrig ausfällt, um mit relativ
Kryptowährungen wie Bitcoin oder Eine andere Möglichkeit besteht darin, einen geringem Risiko schnelles Geld zu verdienen
Ethereum zu minen – und zwar auf Kosten JavaScript-Code in eine besuchte Website wollen.
des Opfers. Ziel der Angreifer ist es, mit einzubetten – auch bekannt als Drive-by-
Bei einem Kryptojacking-Angriff bemerkte
Computerressourcen anderer wertvolle Angriff. Beim Besuch der Website wird
eine europäische Bank ungewöhnliche
Kryptowährungen zu erzeugen. automatisch schädlicher Code zum Mining
Traffic-Muster auf ihren Servern, über-
von Kryptowährungen auf den Computer des
durchschnittlich langsame nächtlichen
Besuchers heruntergeladen. Der Kryptomining-
Prozesse und unerklärliche Online-Server.
Code arbeitet dann unbemerkt im Hintergrund.
Am Ende sollte sich herausstellen, dass die
Einziges Indiz für einen solchen Cyber-Angriff
Ursache dafür ein skrupelloser Mitarbeiter war,
ist ein Computer, der deutlich langsamer
der ein Kryptomining-System installiert hatte.
arbeitet als sonst üblich.

Daten aus
Informations-
Repositories
Während des Präsidentschaftswahlkampf zwischen Hillary Clinton und Donald Trump hat Berichten zufolge die
Hackergruppe APT28 den Wahlkampf der Demokratin, das Democratic National Committee (DNC) sowie das Democratic
Congressional Campaign Committee (DCCC) kompromittiert. Außerdem hat die Gruppe osteuropäische Regierungen
sowie militärische und sicherheitsrelevante Organisationen ins Visier genommen – darunter auch die North Atlantic Treaty
Organization (NATO). Die Gruppe setzte dabei auf eine Reihe komplexer Tools und Strategien, mit denen sie sich heimlich
Zugang zu Informationsspeichern verschaffte, um Daten zu kontrollieren und zu stehlen. APT28 hat in den Zielnetzwerken
Informationen von Microsoft SharePoint-Diensten gesammelt.

Daten aus Informations-Repositories
Was Wie Woher

Informations-Repositories sind Werkzeuge, Informations-Repositories besitzen häufig Angreifer wie APT28 nehmen bevorzugt
welche die Speicherung von Informationen eine große Benutzerbasis. Weshalb sich die Regierungsbehörden, Hotelbuchungs-
ermöglichen, z.B. Tools wie Microsoft Aufdeckung von Sicherheitsverletzungen Websites, Telekommunikations- und IT-
SharePoint oder Atlassian Confluence. als relativ schwierig erweisen. Unternehmen ins Visier. Zumindest sollte
der Zugriff auf Informations-Repositories
Informations-Repositories erleichtern in Dadurch können Angreifer sensible
seitens privilegierter Benutzer (z.B. Active-
der Regel die Zusammenarbeit oder den Informationen aus gemeinsam genutzten
Directory-Domain-, Unternehmens- oder
Informationsaustausch zwischen Benutzern. Speichersystemen sammeln, die in einer Cloud-
Schema-Administratoren) genau überwacht
Zudem speichern sie eine Vielzahl von Infrastruktur oder in Software-as-a-Service-
werden. Weil diese Arten von Accounts
Daten, die für Angreifer besonders reizvoll Anwendungen (SaaS) gehostet werden.
im Allgemeinen nicht für den Zugriff auf
sind. Mit Hilfe von Informations-Repositories
Informations-Repositories verwendet werden.
können sich Hacker den Zugriff auf wertvolle
Informationen verschaffen und diese abgreifen. Für robustere Erkennungsfunktionen
wird wahrscheinlich eine zusätzliche
Infrastruktur für die Speicherung und
Analyse von Protokollen erforderlich sein.

DDOS
DDOS
DDoS-
DDOS
Angriff
Einer der bisher größten – und vielleicht auch bedeutendsten – DDos-Angriffe (Distributed Denial-of-Service) erfolgte im Jahr
2018 gegen das beliebte Online-Codeverwaltungssystem GitHub. Damals wurde GitHub von einem Traffic-Ansturm getroffen,
welcher in der Spitze 1,3 Terabyte pro Sekunde betrug und 126,9 Millionen Pakete pro Sekunde verschickt wurden. Damit war der
DDoS-Angriff absolut rekordverdächtig.
Die Botmaster überschwemmten die Memcached-Server mit Fake-Anfragen. Was es ihnen wiederum ermöglichte, ihren
Angriff um das 50.000-fache zu verstärken. Und die gute Nachricht? GitHub wurde nicht völlig unvorbereitet getroffen. Weil die
Administratoren auf den Angriff aufmerksam gemacht wurden und die Seite innerhalb von 20 Minuten offline genommen werden
konnte.

DDoS-Angriff
DDOS
DDOS
DDOS
Was Wie Woher
Bei einem DDoS-Angriff handelt es sich Die Angreifer hinter einem DDoS-Angriff wollen Wie der Name schon sagt, erfolgen DDoS-
um den Versuch von Hackern, Hacktivisten in erster Linie ihr Ziel schädigen, Web-Eigentum Angriffe verteilt. Heißt konkret, der auf das
oder Cyberspionen, Websites lahmzulegen, sabotieren, den Ruf von Marken beschädigen Netzwerk des Opfers abzielende Traffic
Zielserver zu verlangsamen und zum Absturz und finanzielle Verluste verursachen. Indem sie stammt aus vielen verschiedenen Quellen.
zu bringen sowie Online-Dienste zu blockieren, die Benutzer am Zugriff auf eine Website oder
Dementsprechend können die Hacker ihre
indem sie diese mit Traffic aus vielen Netzwerkressource hindern.
Angriffe von jedem Ort der Welt ausführen.
verschiedenen Quellen überfluten.
DDoS nutzt hierfür Hunderte oder gar Darüber hinaus ist es aufgrund ihrer verteilten
Wie der Name schon verrät, handelt es sich bei Tausende infizierte „Bot“-Computer in aller Natur nicht möglich, diese Cyber-Attacken
DDoS-Angriffen um weit verteilte Brute-Force- Welt. Um eine maximale Wirksamkeit zu zu vereiteln, indem nur eine einzige Quelle
Angriffe mit dem Ziel, Chaos und Zerstörung erreichen, führen diese als Botnets bekannten gesichert oder blockiert wird.
anzurichten. Ins Visier geraten häufig populäre Armeen kompromittierter Computern den
oder hochrangige Websites von Banken, Angriff gleichzeitig aus.
Nachrichtenredaktionen oder Regierungen,
Hacker oder Hackergruppen, die all diese
um die jeweiligen Organisationen von der
infizierten Computer kontrollieren, sind
Veröffentlichung wichtiger Informationen
die Botmaster, die anfällige Systeme mit
abzuhalten oder sie finanziell zu schädigen.
Malware (oftmals Trojaner-Viren) infizieren.
Sind ausreichend viele Geräte infiziert,
gibt der Botmaster den Angriffsbefehl und
die Zielserver bzw. -netzwerke werden
mit Serviceanfragen bombardiert. Was sie
wiederum effektiv lahmlegt und ausschaltet.

Deaktivieren von
Sicherheitstools
Manchmal nutzen Hacker genau die Tools, welche Unternehmen eigentlich schützen sollen, um auf deren Systeme
zuzugreifen. Microsoft Windows wurde nach seiner Einführung im Jahr 1985 zum weltweit beliebtesten Desktop-
Betriebssystem. Und obwohl dessen Marktanteil in den letzten Jahren weiter gesunken ist, dominiert es im Vergleich zum
größten Konkurrenten Apple OSX noch immer deutlich. Die massenhafte Verbreitung von Windows und die Tatsache, dass es
Angriffen durch Malware und Bots leichter zum Opfer fällt, hat es zu einem beliebten Ziel von Hackern gemacht.
Das ist einer der Gründe, warum Microsoft mit der Veröffentlichung von Windows Vista ein eigenes Anti-Spyware- und
Antiviren-Programm namens Windows Defender installiert hat. Leider wurde dabei nicht bedacht, dass Hacker genau dieses
Tool angreifen würden, das die Windows-Anwender eigentlich schützen soll.
Novter, auch bekannt als Nodersok oder Divergent, war ein Trojaner-Angriff, der 2019 die Echtzeitschutzfunktionen von
Windows Defender deaktivierte, um unbemerkt zusätzliche Malware auf das System zu laden.

Deaktivieren von Sicherheitstools
Was Wie Woher

Ein Angriff, der die Deaktivierung von
Hacker verwenden eine Vielzahl von Techniken, Typisch für diese Art von Cyber-Attacken ist,
Sicherheitstools zum Ziel hat, kann von jedem
um nicht entdeckt zu werden und ungehindert dass die Hacker versuchen, verschiedene
Ort der Welt aus erfolgen.Weil diese Art von
agieren zu können. Dazu wird oftmals die Sicherheitsmechanismen zu deaktivieren.
Cyber-Attacke auf eine fast endlose Liste von
Konfiguration von Sicherheitstools wie z.B. Indem Sie z. B. versuchen, sich Zugang zu
Tools abzielen kann.
Firewalls geändert, um diese zu umgehen oder den Registry-Dateien zu verschaffen, wo ein
explizit zu deaktivieren. Großteil der Konfigurationsinformationen Der Nodersok-Angriff im Jahr 2019 betraf zum
von Windows und verschiedenen anderen Beispiel hauptsächlich PC-Nutzer in den USA
Programmen befinden. Oder sie versuchen, und Großbritannien (81 %).
sicherheitsrelevante Dienste direkt
auszuschalten.
In anderen Fällen versuchen die Angreifer

mit verschiedenen Tricks zu verhindern,
dass bestimmte Programme ausgeführt
werden, indem sie bspw. die Zertifikate, mit
denen die Sicherheitstools signiert sind, auf
eine schwarze Liste setzen. Damit diese
Schutzprogramme gar nicht erst ausgeführt
werden können.

DNS-Angriffe
DNS
Amplification
Im Februar 2022 starteten Hacker massive, verstärkte Distributed-Denial-of-Service-Angriffe per Mitel. Einem globalen
Anbieter von Kommunikationssystemen für Unternehmen. Der DDoS-Angriff richtete sich u. a. gegen Finanzinstitute, Breitband-
ISPs sowie Logistik- und Gaming-Unternehmen.
Da Angreifer das DDoS-Bombardement bis zu 14 Stunden mit einem rekordverdächtigen Verstärkungsfaktor von fast
4,3 Milliarden zu eins aufrechterhalten können, sind sie in der Lage, die Sprachkommunikation und andere Dienste ganzer
Unternehmen mit nur einem einzigen bösartigen Netzwerkpaket lahmzulegen.

DNS Amplification
Was Wie Woher

Bei einem DNS-Amplification-Angriff
DNS Amplification, eine Art von DDoS- Ähnlich wie bei einem DNS-Hijacking-
überflutet der Angreifer eine Website mit so
Angriffen, gibt es schon recht lange. Doch Angriff bedeutet die relativ primitive Natur
vielen gefälschten DNS-Abfragen, dass die
deren Nutzung wird ständig weiterentwickelt. des Angriffs, dass dieser von jedem Ort
Netzwerkbandbreite nicht ausreicht und
Diese Art von Cyber-Attacke ähnelt dem DNS- der Welt aus erfolgen kann – sei es von
die Website schließlich ausfällt. Während
Hijacking insofern, dass sie sich das Internet- Hackern im Auftrag einer Regierung oder von
ein DNS-Hacking den Traffic auf eine andere
Verzeichnis zunutze macht, indem sie es falsch Einzelpersonen.
Website umleiten könnte, verhindert ein
konfiguriert. Allerdings unterscheidet sich die
DNS-Amplification-Angriff, dass die Website
Art und Weise, wie der Angriff erfolgt.
überhaupt geladen wird.
Bei einem DNS-Amplification-Angriff wird in
Den eigentlichen Unterschied zwischen
der Regel eine kleine Menge an Informationen
den beiden Angriffen verdeutlicht das Wort
an einen anfälligen Netzwerkdienst gesendet.
„Amplification“ (Verstärkung). Denn bei diesem
Dadurch wird dieser dazu veranlasst, mit einer
Angriff stellen die Hacker die DNS-Abfragen
viel größeren Datenmenge zu antworten.
so, dass eine intensivere Antwort erforderlich
Indem diese umfangreiche Datenantwort an ist. So könnte ein Hacker zum Beispiel mehr
das eigentliche Opfer gelenkt wird, erreicht als nur den Domain-Namen anfordern. Zum
der Angreifer mit relativ wenig Aufwand, dass Beispiel die gesamte Domain, auch bekannt als
fremde Rechner den Großteil der Arbeit „ANY-Eintrag“, der die Domain zusammen mit
übernehmen und ein ausgewähltes Ziel durch der Subdomain, den Mail-Servern, den Backup-
Überlastung offline setzen. Servern, den Aliasen und mehr beinhaltet..
Stellen Sie sich nun vor, dass gleich mehrere

solcher ANY-Anfragen gleichzeitig eingehen.
Allein der so verstärkte Traffic reicht aus, um
die Website komplett lahmzulegen.

DNS-Angriffe
DNS
Hijacking
An einem Donnerstagmorgen im Jahr 2017 wachten WikiLeaks-
Leser in der Erwartung auf, das neueste Staatsgeheimnis auf der
Whistleblowing-Website zu finden.
Was sie stattdessen entdeckten war die Nachricht eines Hackerkollektivs namens „OurMine“, in der verkündet wurde, dass
sie die Kontrolle der Domain übernommen hätten. Wikileaks-Gründer Julian Assange stellte auf Twitter schnell klar, dass es
sich danei nicht um einen herkömmlichen Hack, sondern um einen Angriff auf das Domain-Name-System (DNS) handelte.

DNS Hijacking
Was Wie Woher

Das DNS wird oft als Achillesferse oder Hacker machen sich für diese Angriffsform Es gibt kein einheitliches Profil für einen
Telefonbuch des Internets bezeichnet. Weil es die Art und Weise zunutze, wie DNS mit einem klassischen DNS-Hijacker. Was zu einem
eine entscheidende Rolle bei der Weiterleitung Internet-Browser kommuniziert. Das System Großteil daran liegen mag, dass ein
des Internet-Traffic spielt. Beim DNS handelt verhält sich wie ein Telefonbuch und übersetzt solcher Angriff genauso leicht erfolgen
es sich um jenes Protokoll, über das Domain- eine Domain wie z.B. NYTimes.com in eine IP- kann wie ein Social-Engineering-Angriff.
Namen mit IP-Adressen verknüpft werden. Fakt Adresse. EinerCyber-Attacke, bei der jemand einen
ist, dass es für die ihm zugedachte Funktion Domain-Anbieter kontaktiert und ihn dazu
Das DNS sucht und findet dann den globalen
sehr gut geeignet, aber zugleich notorisch bringt, einen DNS-Eintrag zu ändern.
Server, auf dem diese Website gehostet wird.
anfällig für Angriffe ist. Was zum Teil auf dessen
Und leitet den Traffic dann direkt dorthin. Einige der bekanntesten DNS-Hijacking-
verteilten Charakter zurückzuführen ist, da
Angriffe können dabei ausgewiesenen
es sich auf unstrukturierte Verbindungen Der eigentliche DNS-Angriff erfolgt genau
Hackerkollektiven wie OurMine (im Fall von
zwischen Millionen von Clients und Servern dann, wenn ein Hacker in der Lage ist, den
Wikileaks) oder der Syrian Electronic Army (im
über inhärent unsichere Protokolle stützt. DNS-Lookup zu stören und entweder die
Fall der Takedowns von New York Times und
Website offline zu schalten oder den Traffic
Keine Frage, es ist enorm wichtig, das DNS vor Washington Post) zugeschrieben werden.
auf eine Website umzuleiten, welche unter der
Angriffen zu schützen. Weil die Folgen einer
Kontrolle des Hackers selbst steht.
DNS-Kompromittierung mitunter katastrophal
sind. So könnten Hacker nicht nur ganze
Unternehmen vom Netz nehmen, sondern
auch vertrauliche Informationen, E-Mails und
Anmeldedaten abfangen.
Die Cybersecurity and Infrastructure Security

Agency (CISA) des US- Ministeriums für Innere
Sicherheit machte im Jahr 2019 auf einige
hochkarätige DNS-Hijacking-Angriffe auf
Infrastrukturen in den Vereinigten Staaten
und im Ausland aufmerksam. Die 50 größten Cyber-Bedrohungen | Splunk 47
DNS-Angriffe
DNS
Tunneling
Seit ein paar Jahren hat eine Hackergruppe namens OilRig
regelmäßig Angriffe auf verschiedene Regierungen und
Unternehmen im Nahen Osten durchgeführt. Unter Verwendung
einer Vielzahl an Tools und Methoden. Wesentliches Element
ihrer Bemühungen zur Störung des täglichen Betriebs und der
Datenexfiltration ist die Aufrechterhaltung einer Verbindung
zwischen ihrem Command & Control-Server und dem System, das
mit Hilfe von DNS Tunneling angegriffen wird.

DNS Tunneling
Was Wie Woher

Der über das DNS laufende Traffic wird Per DNS-Tunneling kann ein Angreifer die DNS-Tunneling-Tools werden im Netz zum
häufig nicht überwacht, da es nicht für die Sicherheitssysteme gezielt umgehen (oder direkten Download angeboten. Angreifer, die
Datenübertragung ausgelegt ist. Dadurch ist es sinnbildlich gesprochen einen Tunnel unter jedoch mehr tun wollen, als „nur“ die Paywall
anfällig für verschiedene Arten von Angriffen. ihnen hindurchgraben). eines Hotels oder einer Fluggesellschaft für
Einschließlich DNS Tunneling, bei dem ein den Internetzugang zu umgehen, benötigen
Und zwar indem er den Traffic auf seinen
Angreifer schädliche Daten in eine DNS- deutlich anspruchsvollere Kenntnisse.
eigenen Server umleitet und eine Verbindung
Abfrage packt – einer komplexen Zeichenfolge
zum Netzwerk eines Unternehmens herstellt. Da das DNS nur für die Auflösung von
am Anfang einer URL.
Sobald diese Verbindung aktiv ist, ist der Webadressen konzipiert wurde, ist die
Es gibt gute Gründe für DNS Tunneling: Die Weg frei für Command & Control- oder Datenübertragung in diesem System zudem
Anbieter von Antivirensoftware nutzen es Datenexfiltrationsangriffe sowie eine Reihe überaus langsam.
zum Beispiel, um im Hintergrund aktualisierte anderer Cyber-Attacken.
Malware-Profile an ihre Kunden zu senden.
Da die Möglichkeit einer legitimen Nutzung

besteht, ist es für Unternehmen wichtig,
ihren DNS-Traffic sorgfältig zu überwachen.
Denn nur so lässt sich sicherstellen, dass nur
vertrauenswürdiger Traffic durch das Netzwerk
fließt.

DoS-
Angriff
Vor fast zwei Jahrzehnten führte ein 16-jähriger Hacker mit dem Spitznamen Mafiaboy
einen der berühmtesten Denial-of-Service-Angriffe (DoS) aus, der die Websites einiger großer Unternehmen
wie CNN, eBay, Amazon und Yahoo vom Netz nahm.
Berichten zufolge drang er in Dutzende Netzwerke ein und installierte dort Malware, welche die Ziele mit Traffic überfluten
sollte. Da viele Websites auf einen solchen Angriff nicht vorbereitet waren, dauerte es etwa eine Woche, bis die betroffenen
Organisationen herausfanden was eigentlich passiert war und wie sie wieder online gehen konnten.
Mafiaboy wurde schließlich verhaftet und zu einer Jugendhaftstrafe verurteilt. Zwanzig Jahre später sind DoS-Angriffe
(zumeist DDoS-Angriffe) weiterhin auf dem Vormarsch und gehören zu den häufigsten Angriffen auf Unternehmen, wobei
etwa ein Drittel aller Unternehmen betroffen ist.

DoS-Angriff
Was Wie Woher

DoS-Angriffe können auf zweierlei
Bei einem DoS-Angriff versuchen Angreifer, DoS-Angriffe können von jedem Ort der Welt
Arten erfolgen: durch Flooding oder den
einen Computer oder ein Netzwerk für die aus erfolgen. Gerade weil Angreifer ihren
gezielten Absturz eines Zielnetzes.
vorgesehenen Benutzer unzugänglich zu Aufenthaltsort relativ leicht verschleiern und
machen. DoS-Angriffe können entweder durch Bei Flooding-Angriffen bombardieren damit die Computer ihrer Opfer übernehmen,
die Überflutung von Netzen mit Traffic oder Cyberkriminelle die Computer der Opfer mit Malware ausführen oder andere böswillige
das Senden von Informationen erfolgen, die mehr Traffic als sie bewältigen können. Damit Aktionen durchführen können – ohne dabei
eine Verlangsamung oder einen vollständigen diese entweder langsamer werden oder entdeckt zu werden.
Absturz des Systems bewirken. komplett ausfallen. Zu den verschiedenen
Flooding-Angriffen zählen Buffer-Overflow-,
Wie bei DDoS-Angriffen konzentrieren
ICMP-Flooding- bzw. SYN-Flooding-Attacken.
sich DoS-Angriffe in der Regel auf wichtige
Organisationen oder solche mit beliebten, Andere DoS-Angriffe nutzen gezielt
öffentlich zugänglichen Websites, wie z.B. Schwachstellen aus, die das Zielsystem zum
Banken, E-Commerce-Unternehmen, Medien Absturz bringen oder erheblich stören. Bei
oder staatliche Einrichtungen. diesen Angriffen nutzen böswillige Akteure
Systemschwachstellen mit Hilfe von Malware
DoS-Angriffe verursachen erheblichen
aus, die anschließend einen Systemabsturz
Schaden, da den betroffenen Organisationen
auslöst oder das System erheblich stört.
durch die Erhöhung der Sicherheit, die
Wiederherstellung des Dienstes, den Verlust
von Umsatzerlösen, Rufschädigung oder
Kundenschwund hohe Kosten entstehen.

Drive-by-
Download-
Angriff
Im Januar 2020 wurde Besuchern der legendären Magazin- und Blog-Website Boing Boing ein gefälschtes Google
Play Protect-Overlay angezeigt. Darüber wurden sie zu einem Download aufgefordert, bei dem es sich im Endeffekt
um ein bösartiges Angler-Exploit-Kit (APK) handelte, über das ein Banking-Trojaner auf Android-Geräten installiert
wurde. Für Windows-Benutzer sah das Ganze wie eine (gefälschte) Adobe-Flash-Installationsseite aus, die andere
schädliche Programme verbreitete. Das Content-Management-System von Boing Boing war gehackt worden. Selbst
wenn der Besucher den Köder nicht schluckte, wurden die Drive-by-Downloads trotzdem automatisch durch ein in die
Seite eingebettetes JavaScript-Skript ausgelöst. Der Angriff wurde zwar relativ schnell entdeckt und das Skript zügig
entfernt. Doch angesichts von fünf Millionen Benutzern – zu denen auch der ehemalige US-Präsident Barack Obama
zählt – hätten die Auswirkungen katastrophal sein können.

Drive-by-Download-Angriff
Was Wie Woher

Unter einem Drive-by-Download versteht Das Besondere an Drive-by-Downloads ist, Die Zunahme vorgefertigter Kits für Drive-by-
man das unbeabsichtigte Herunterladen von dass die Nutzer nicht einmal etwas anklicken Downloads ermöglicht es Hackern jeglicher
schädlichem Code auf einen Computer oder müssen, um den eigentlichen Download zu Erfahrungsstufe, diese Art von Cyberangriff
ein mobiles Gerät. Wodurch der betroffene starten. Bereits das bloße Aufrufen oder durchzuführen. Gerade weil die Kits gekauft
Nutzer verschiedenen Arten von Bedrohungen Durchstöbern einer Website kann den und eingesetzt werden können, ohne dass
ausgesetzt wird. Cyberkriminelle nutzen Download aktivieren. hierfür ein eigener Code geschriben oder eine
Drive-by-Downloads, vor allem dazu, um eigene Infrastruktur für die Datenexfiltration
Der schädliche Code ist dabei so konzipiert,
personenbezogene Daten zu stehlen und zu bzw. andere illegale Aktivitäten aufgebaut
dass dieser unbemerkt schädliche Dateien auf
sammeln, Banking-Trojaner einzuschleusen werden müssen.
das Endgerät eines Nutzers herunterlädt. Bei
oder Exploit-Kits bzw. andere Malware auf ein
einem Drive-by-Download werden unsichere, Die Leichtigkeit, mit der diese Cyber-Attacken
Endgerät zu laden.
anfällige oder veraltete Anwendungen, Browser ausgeführt werden können, sorgt dafür dass
Zum Schutz vor Drive-by-Downloads sollten oder sogar ganze Betriebssysteme ausgenutzt. sie praktisch von jedem Ort der Welt aus
Systeme regelmäßig mit den neuesten erfolgen können.
Versionen von Anwendungen, Software,
Browsern und Betriebssystemen aktualisiert
oder gepatcht werden. Außerdem ist es
ratsam, sich von unsicheren oder potenziell
schädlichen Websites fernzuhalten.

Insider-
Bedrohungen
Rache – die älteste Geschichte der Welt: Im Jahr 2022 wurde ein IT-Spezialist angeklagt, weil dieser angeblich den Server einer
Gesundheitseinrichtung in Chicago gehackt haben soll. Als Auftragnehmer hatte er Zugang zum Server und ein klares Motiv.
Denn seine Bewerbung auf eine freie Stelle bei der Organisation wurde abgewiesen und ihm ein paar Monate später von der
beauftragten IT-Firma obendrein noch gekündigt. Dieser persönliche Racheakt führte schließlich zu einem Cyberangriff, der die
medizinischen Untersuchungen, Behandlungen und Diagnosen vieler Patienten spürbar beeinträchtigen sollte.

Insider-Bedrohungen
Was Wie Woher

Die Urheber von Insider-Angriffen können
Ein Insider-Angriff bzw. eine Insider-Bedrohung Insider besitzen einen klaren Vorteil: Sie haben
böswillige Mitarbeiter in Ihrem Unternehmen
ist eine schädliche Attacke seitens einer bereits autorisierten Zugriff auf das Netzwerk,
sein. Auch Cyberspione kommen in Frage, die
Person, die autorisierten Zugriff auf das sensible Informationen und Vermögenswerte
sich als Auftragnehmer, Lieferant oder externer
Computersystem, das Netzwerk und die eines Unternehmens.
Mitarbeiter ausgeben.
Ressourcen einer Organisation besitzt.
Darüber hinaus können die Angreifer über
In beiden Fällen können die Angreifer
Häufig zielen die Angreifer darauf ab, Accounts verfügen, die ihnen Zugang zu
sowohl eigenständig als auch als Teil von
geheime, geschützte oder anderweitig wichtigen Systemen oder Daten geben.
Nationalstaaten, Verbrecherbanden oder
sensible Informationen und Vermögenswerte Dadurch ist es für sie ein Leichtes, diese
konkurrierenden Organisationen agieren. Es
abzugreifen. Immer mit dem Ziel, sich selbst ausfindig zu machen, die Sicherheitskontrollen
kann sich aber auch um externe Lieferanten
daran zu bereichern oder Informationen an zu umgehen und sie an einen Standort
oder Auftragnehmer handeln, die überall
Wettbewerber weiterzugeben. außerhalb des Unternehmens zu senden.
auf der Welt ansässig sind und in gewissem
Angreifer könnten auch versuchen, Ihr Umfang legitimen Zugang zu den Systemen
Unternehmen durch Systemunterbrechungen und Daten des Unternehmens haben.
zu sabotieren, um gravierende Produktivitäts-,
Rentabilitäts- und Reputationsverluste zu
erzeugen.

IoT-
Bedrohungen
Nachdem durch ein Datenleck die persönlichen Informationen von mehr als 3.000 Benutzern von Haussicherheitstechnik
des zu Amazon gehörenden Anbieters Ring offengelegt wurde, nutzten Hacker diese Sicherheitslücke konsequent aus. In
der Folge wurden Videotürklingeln und intelligente Kameras in den Häusern der Kunden gekapert.
Im Zuge einer Sammelklage im Jahr 2020 berichteten Dutzende von Menschen, dass sie über ihre Ring-Geräte belästigt,
bedroht oder erpresst wurden. Experten zufolge sind diese dokumentierten Angriffe aber nur die Spitze des Eisbergs, da
Ring allein im Jahr 2020 mehr als 1,4 Millionen Videotürklingeln verkauft hat. Inzwischen setzt das Unertnehmen zum Schutz
vor künftigen Hackerangriffen auf End-to-End-Verschlüsselung. Mit der zunehmenden Verbreitung von IoT-Geräten ist
allerdings zu erwarten, dass dieser Vyber-Angriff wohl nicht der letzte sein Art gewesen sein wird.

IoT-Bedrohungen
Was Wie Woher

Weltweit existieren mehr als 13,1 Milliarden Hacker und Nationalstaaten mit böswilligen IoT-Bedrohungen können von jedem Ort der
vernetzte IoT-Geräte – eine Zahl, die bis Absichten können Schwachstellen in Welt ausgehen. Da jedoch viele Bereiche
2030 voraussichtlich noch auf 30 Milliarden vernetzten IoT-Geräten mit Hilfe ausgeklügelter wie Regierungen, die Fertigungsindustrie
ansteigen wird. Malware ausnutzen. In erster Linie, um sich und das Gesundheitswesen momentan
Zugriff auf ein Netzwerk zu verschaffen und IoT-Infrastrukturen ohne angemessene
Allerdings fehlt es diesen Geräten oft an einer
dadurch Benutzer überwachen oder geistiges Sicherheitsvorkehrungen einsetzen, sind diese
adäquaten Sicherheitsinfrastruktur. Was zu
Eigentum, geheime oder personenbezogene Systeme ein leichtes Ziel für Angreifer. Egal, ob
eklatanten Schwachstellen im Netzwerk führt,
Daten und andere wichtige Informationen es sich dabei um feindliche Nationalstaaten,
die wiederrum ihre Angriffsfläche exponentiell
stehlen zu können. Organisationen für Cyberkriminalität oder eine
vergrößern und sie anfällig für Malware
Einzelperson handelt.
machen. Einmal in ein IoT-System eingedrungen,
können Hacker ihren neugewonnenen Zugriff Im Gegensatz zu Angriffen auf die technische
Zu den Angriffen, die über IoT-Geräte
auch dafür nutzen, sich lateral zu anderen Infrastruktur könnten Attacken auf vernetzte
ausgeführt werden können, zählen DDoS-,
angeschlossenen Geräten zu bewegen Bürger- oder Gesundheitssysteme zu
Ransomware- und Social-Engineering-Angriffe.
oder sich für verschiedene schädliche weitreichenden Störungen, Panik und der
Zwecke Zugriff auf ein größeres Netzwerk zu Gefährdung von Menschenleben führen.
verschaffen.

IoMT-
Bedrohungen
Die Häufigkeit und Komplexität von Angriffen auf Organisationen des
Gesundheitswesens – sowie das Risiko für die Vertraulichkeit und Sicherheit
der Patienten – sorgen dafür, dass Anbieter aufgrund der Sicherheit von
Medizinprodukten zunehmend in die Kritik geraten. Nach den jüngsten Angriffen,
einschließlich des Ransomware-Angriffs WannaCry, haben Gesetzgeber auf die Schwere der Cybersicherheitsprobleme
bei älterer Software und älteren Geräte hingewiesen. Die FDA hat zudem Empfehlungen für Gerätehersteller veröffentlicht.
Allerdings sind Unternehmen nicht dazu verpflichtet, diese zu befolgen, da es sich nicht um gesetzliche Vorgaben handelt.

IoMT-Bedrohungen
Was Wie Woher

Das Internet der medizinischen Dinge Digitale Technologien altern in der Regel IoMT-Angreifer verfügen über entsprechende
(Internet of Medical Things, IoMT) hat das schneller als ihre physischen Gegenstücke Möglichkeiten und Ressourcen, um jene
Gesundheitswesen, wie wir es kennen, mit langem Produktlebenszyklus. Diese Gesundheitsdienstleister ausfindig zu
transformiert – besonders während der Tatsache führt dazu, dass veraltete Geräte oder machen, bei denen sie Schwachstellen
COVID-19-Pandemie. Software schnell ernsthafte Schwachstellen in vermuten. Zumeist handelt es sich dabei um
der Cybersicherheit verursachen – sowohl bei Unternehmen, die einen schlechten Überblick
Der Einsatz des IoMT bietet unzählige
Krankenhäusern als auch bei Patienten. Derzeit über ihre Anlagen oder Bestände haben und
Möglichkeiten für die Diagnose, Behandlung
räumen die Hersteller ihren Kunden jedoch deren Systeme bzw. Geräte veraltet sind.
und das Management der Gesundheit und
nicht die Möglichkeit ein, ihre Geräte selbst zu
des Wohlbefindens von Patienten. Damit ist es
reparieren oder zu patchen. Manche gehen
einer der wichtigsten Schlüssel zur Senkung
sogar so weit, dass dann die Garantie erlischt.
der Kosten bei gleichzeitiger Verbesserung
In Verbindung mit fehlender Verschlüsselung,
der Pflegequalität. Mit der wachsenden
hartcodierten Anmeldeinformationen
Zahl der vernetzten Geräte steigt allerdings
und laxen Sicherheitskontrollen können
auch das Risiko für die Cybersicherheit. Seit
Organisationen im Gesundheitswesen also
2020 gehen über 25 % der Cyberangriffe auf
nur wenig tun, um das durch ältere Geräte
Organisationen im Gesundheitswesen auf das
verursachte Risiko zu minimieren.
Konto von IoMT-Bedrohungen.

Makroviren
Einer der bekanntesten Virenvorfälle aller Zeiten, das Melissa-Virus Ende der
90er Jahre, war nichts anderes als ein Makrovirus. Ein mit Melissa infizierter
Computer kaperte damals das E-Mail-System Microsoft Outlook des
Benutzers und verschickte mit Viren verseuchte Nachrichten an die ersten
50 Adressen in den Mailinglisten.
Das Makrovirus verbreitete sich mit rasenter Geschwindigkeit und
verursachte weltweit einen Schaden von schätzungsweise 80 Millionen
Dollar für die Wiederherstellung und Reparatur betroffener Systeme und Netzwerke.
Auch wenn die Blütezeit von Makroviren inzwischen vorbei ist, sind solche Angriffe
nach wie vor zu beobachten. Allerdings sind nicht mehr nur bei den Nutzern von
Microsoft Windows. Von den jüngsten Angriffe sind auch Mac-Nutzer betroffen.

Makroviren
Was Wie Woher

Ein Makrovirus ist ein Computervirus, das Makroviren werden häufig über Phishing-E- Obwohl Makroviren als schädliche Angriffe
in der gleichen Makrosprache geschrieben Mails verbreitet. Diese enthalten Anhänge, in inzwischen etwas aus der Mode gekommen
ist, wie sie auch für Software-Anwendungen denen das Virus eingebettet ist. Da die E-Mail sind – vor allem, weil Antivirensoftware sie
verwendet wird. Einige Lösungen wie Microsoft den Anschein erweckt, sie stamme von einer besser erkennen und deaktivieren kann –
Office, Excel und PowerPoint ermöglichen glaubwürdigen Quelle, wird sie von vielen stellen sie noch immer eine große Bedrohung
die Einbettung von Makroprogrammen in Empfängern geöffnet. Sobald jedoch ein dar.
Dokumente, damit die Makros automatisch infiziertes Makro ausgeführt wird, kann es auf
Eine flüchtige Google-Suche nach „Makrovirus“
ausgeführt werden, wenn das Dokument jedes andere Dokument auf dem Computer
führt zu Anleitungen für die Erstellung von
geöffnet wird. des Nutzers überspringen und es ebenfalls
Makroviren und zu Tools, die Personen
infizieren.
Dadurch entsteht ein spezifischer ohne große Programmierkenntnisse bei
Mechanismus, über den sich schädliche Makroviren verbreiten sich immer dann, wenn der Erstellung von Makroviren unterstützen.
Computerbefehle schnell verbreiten können. ein Benutzer ein infiziertes Dokument öffnet Theoretisch kann also jede Person mit
Mit ein Grund, warum es gefährlich sein kann, oder schließt. Sie laufen auf Anwendungen und Internetzugang ein Makrovirus erstellen.
unbekannte Anhänge in E-Mails oder E-Mails nicht auf Betriebssystemen. Die Verbreitung
von unbekannten Absendern zu öffnen. Viele von Makroviren entsteht dabei häufig durch
Antivirenprogramme können Makroviren die gemeinsame Nutzung von Dateien auf
erkennen, aber ihr Verhalten lässt sich auch einem Datenträger oder in einem Netzwerk
dann immer noch nur sehr schwer analysieren. sowie durch das Öffnen einer an eine E-Mail
angehängten Datei.

Schädliche
PowerShell
Angriffssequenzen, welche die viel genutzte PowerShell ausnutzen, werden bei Cyberkriminellen und Cyberspionen immer
beliebter. Vor allem wegen ihrer Fähigkeit, Viren über ein Netzwerk zu verbreiten. Berüchtigte Bösewichte wie APT29 (auch
bekannt als „Cozy Bear“) verwenden PowerShell-Skripte, um wichtige Informationen für immer raffiniertere Cyberangriffe zu
sammeln. 2020 nutzte die bekannte Bedrohungsgruppe APT35 (alias „Charming Kitten“) Powershell für einen Ransomware-
Angriff auf eine Wohltätigkeitsorganisation und zum Abfangen und Exfiltrieren von Daten einer US-Kommunalverwaltung.

Schädliche PowerShell
Was Wie Woher

PowerShell ist ein von Microsoft entwickeltes PowerShell ist eine Skriptsprache, die auf den Diese Art von Angriff ist ausgefeilter als andere
Befehlszeilen- und Skripting-Tool, das auf meisten Unternehmenscomputern ausgeführt Methoden und wird in der Regel von einem
.NET (ausgesprochen „dot net“) basiert und wird. Da die meisten Unternehmen ihre Code- Powerhacker ausgeführt. Im Gegensatz zu
es Administratoren und Benutzern ermöglicht, Endpunkte nicht überwachen, wird die Logik Amateuren, die eher auf Brute-Force-Angriffe
Systemeinstellungen zu ändern und Aufgaben hinter dieser Art von Cyber-Attacke sehr zurückgreifen, weiß dieser Angreifer genau
zu automatisieren. Das Command Line schnell klar. was er tut. Hacker gehen stets unauffällig vor,
Interface (CLI) bietet viele Tools und hohe verwischen geschickt ihre Spuren und wissen,
Demnach ist es für Angreifer relativ einfach,
Flexibilität, was es zu einer beliebten Shell- wie sie sich lateral im Netzwerk bewegen
Zugriff zu erhalten. Noch einfacher ist es
und Skriptsprache macht. Auch Angreifer können.
allerdings, sich in das System einzubetten. Es
haben die Vorzüge von PowerShell erkannt –
muss also gar keine Malware installiert werden,
nämlich die Möglichkeit, unbemerkt auf einem
um das schädliche Skript zu starten oder
System als Code-Endpunkt zu operieren
auszuführen. Heißt konkret: Der Hacker kann
und Aktionen im Hintergrund auszuführen.
die Entdeckung mühelos vermeiden, indem er
die Analyse der ausführbaren Dateien einfach
umgeht und anschließend nach Belieben
Schaden anrichtet.

Man-in-
the-Middle-
Angriff
Anfang 2022 entdeckte Microsoft eine Phishing-Kampagne, deren Ziel die Benutzer von Office365 waren. Die Angreifer
leiteten die Benutzer auf eine gefälschte 365-Anmeldeseite und sammelten so unzählige Anmeldeinformationen, um
diese später für böswillige Zwecke zu missbrauchen. Die Angreifer verwendeten dabei ein Evilginx2-Phishing-Kit. Dieses
sogenannte Man-in-the-Middle (MITM) Angriffs-Framework wird zum Phishing von Anmeldeinformationen zusammen mit
Session Cookies verwendet und macht es den Angreifern möglich, die Zwei-Faktor-Authentifizierung zu umgehen und
so den Authentifizierungsprozess zu kapern. Microsoft wies in seinem Blog-Beitrag darauf hin, dass es sich nicht um eine
Schwachstelle von MFA handelt. Weil beim AiTM-Phishing das Session Cookie gestohlen wird, wird der Angreifer im Namen des
Benutzers für eine Sitzung authentifiziert. Unabhängig davon, welche Anmeldemethode der Benutzer verwendet.

Man-in-the-Middle-Angriff
Was Wie Woher

Bei Man-in-the-Middle-Angriffen (auch Praktisch jeder kann einen Man-in-the-Middle- Durch verbesserte Sicherheitstechnologien
Adversary-in-the-Middle oder AiTM genannt) Angriff ausführen. Seit der Implementierung ist die Durchführung von MITM-Angriffen die
wird ein Proxy-Server eingerichtet, der die von HTTPS Everywhere sind diese Arten von mittlerweile deutlich schwieriger geworden.
Anmeldesitzung des Opfers abfängt. Dadurch Angriffen jedoch schwieriger auszuführen und Mit ein Grund warum die einzigen Gruppen, die
kann sich der Angreifer zwischen die beiden damit auch seltener geworden. solche Angriffe heutzutage noch vornehmen,
Parteien oder Systeme schalten, um Zugang zu sehr versierte Hacker oder staatliche Akteure
Bei einem MITM-Angriff schaltet sich der
sensiblen Informationen zu erhalten bzw. diese sind.
Hacker zwischen den Benutzer und die
zu entwenden.
eigentliche Website (oder einen anderen 2018 entdeckte z.B. die niederländische
Man-in-the-Middle-Angriffe machen es Benutzer) und leitet die Daten zwischen den Polizei vier Mitglieder der russischen
Cyberkriminellen möglich, gezielt Daten Parteien weiter. Wobei der Angreifer beliebige Hackergruppe Fancy Bear beim Versuch, in der
abzufangen, zu senden und zu empfangen, die Daten aus der Interaktion exfiltrieren kann. niederländischen Organisation für das Verbot
für eine andere Person bestimmt sind – oder von Chemiewaffen per MITM-Infiltration die
die gar nicht verschickt werden sollen. Und Zugangsdaten von Mitarbeitern abzugreifen.
zwar so, dass keine der beiden Parteien davon Später im selben Jahr gaben die Regierungen
etwas mitbekommt. Bis es dann zu spät ist. der USA und Großbritanniens dann Warnungen
heraus, dass staatlich unterstützte, russische
Akteure zum Zweck der MITM-Exfiltration
gezielt Router in Privathaushalten und
Unternehmen ins Visier nehmen würden.

Masquerade-
Angriff
Viele von uns erinnern sich gewiss noch an die
massive Sicherheitsverletzung bei Kreditkarteninformationen
von Target, von der über vierzig Millionen Kundenkonten betroffen waren. Eine Untersuchung seitens der Regierung ergab,
dass die Angreifer die Zugangsdaten eines Auftragnehmers von Target, Fazio Mechanical Services, gestohlen hatten.
Nachdem sie die Daten des Lieferanten verwendet hatten, um in die interne Webanwendung von Target einzudringen,
installierten sie Malware auf dem System und erbeuteten so Namen, Telefonnummern, Zahlungskartennummern,
Kreditkartenprüfcodes und andere hochsensible Informationen.

Masquerade-Angriff
Was Wie Woher

Ein Masquerade-Angriff liegt immer dann Ein Masquerade-Angriff kann erfolgen, Aus der Sicht von Insidern können sich
vor, wenn ein Hacker eine gefälschte oder nachdem die Zugangsdaten eines Benutzers Angreifer vor allem dann unerlaubt Zugriff
legitime (aber gestohlene) Identität verwendet, gestohlen wurden. Oder die Attacke findet verschaffen, indem sie Anmelde-Domains
um sich über eine legitime Zugangskennung per Authentifizierung auf unbewachten fälschen oder Keylogger verwenden, um
unbefugten Zugriff auf den Computer Rechnern und Geräten statt, die Zugang zum legitime Authentifizierungsdaten zu stehlen.
einer Person oder das Netzwerk eines Zielnetzwerk haben.
Die Angriffe können auch physisch erfolgen,
Unternehmens zu verschaffen.
wenn Rechner unbewacht gelassen werden,
Je nachdem, wie weit die Zugriffsrechte z.B. wenn ein Mitarbeiter auf den Laptop
dabei reichen, können Angreifer mithilfe von eines Kollegen zugreift, während dieser
Masquerade-Angriffen auch Zugriff auf ein abwesend ist. Im Allgemeinen sind schwache
komplettes Netzwerk erhalten. Authentifizierungsmethoden, die von externen
Parteien überlistet werden können, die
eigentliche Ursache dieses Problems.

Meltdown-
and-Spectre-
Angriff
Die meisten Angriffe auf die Cybersicherheit nutzen eine Schwachstelle
aus, sei es in Form eines Programmierfehlers oder eines schlechten
Designs. Doch nicht alle Attacken sind gleich. So entdeckten im Jahr 2018
zwei Google-Forscher eine neue Art von Angriff, die alle Computerchip-Hersteller betraf. Der sogenannte
und potenziell Milliarden von Menschen dem sogenannten Meltdown-and Spectre-Angriff aussetzte.

Meltdown-and-Spectre-Angriff
Was Wie Woher

Der Meltdown-and-Spectre-Angriff nutzt Ein Meltdown-and-Spectre-Angriff nutzt Der Meltdown-and-Spectre-Angriff kann
Schwachstellen in Computerprozessoren kritische Schwachstellen in modernen CPUs von fast jedem Ort aus durchgeführt werden.
aus. Diese Schwachstellen ermöglichen es aus, die einen unbeabsichtigten Zugriff auf Bisher hat sich ein Großteil der Forschung
Angreifern, fast alle Daten zu stehlen, die Daten im Arbeitsspeicher ermöglichen. auf die einzigartige Natur dieser Angriffsform
auf dem Computer verarbeitet werden. Damit bricht er mit der Computernorm, konzentriert und nicht darauf, wer eigentlich
Damit trifft diese Attacke den Kern laut der es Programmen nicht erlaubt ist, dahinter steckt.
der Computersicherheit, die auf der Daten von anderen Programmen zu lesen.
Isolierung des Speichers beruht, um die Zu den Informationen, auf die es Angreifer
Daten eines Benutzers zu schützen. typischerweise abgesehen haben, gehören
die in einem Passwort-Manager oder
Als „Meltdown“ bezeichnet man den
Browser gespeicherten Passwörter, E-Mails,
Zusammenbruch der Schutzbarriere
Finanzdaten sowie personenbezogene
zwischen einem Betriebssystem und
Daten wie z.B. Fotos oder Sofortnachrichten.
einem Programm. Während „Spectre“ den
Dieser Angriffstyp ist jedoch nicht auf PCs
Zusammenbruch der Barriere zwischen
beschränkt. Sondern lässt sich auf fast jedem
zwei Anwendungen bezeichnet, welche die
Gerät mit einem Prozessor anwenden, z.B.
Informationen voneinander fernhalten.
auch auf ein Mobiltelefon oder ein Tablet.

Network
Sniffing
Smart Locks sind eine neue Art von Geräten, die Ihr Haus schützen und den
Zugang zu ihm mit einem Klick (oder besser gesagt: dem Tippen auf eine Taste)
erleichtern sollen. Doch die futuristische Herangehensweise an die Haussicherheit
kann ernste Folgen haben, wie Sicherheitsforscher herausgefunden haben.
Ein Smart Lock, das nicht ganz passend als „intelligentestes Schloss aller Zeiten“ vermarktet wurde, konnte über das Abfangen
des Netzwerk-Traffics zwischen der mobilen App und dem Schloss selbst geknackt werden. Noch erschreckender war jedoch,
dass diese Sicherheitslücke mit Hilfe recht preiswerter und leicht erhältlicher Network Sniffer geschehen konnte.

Network Sniffing
Was Wie Woher

Network Sniffing, auch Packet Sniffing genannt, Ähnlich wie beim Abhören von Network Sniffing wird oft ganz legal durch
bezeichnet das Erfassen, Überwachen und Telefongesprächen bei der Suche nach Organisationen wie Internetanbietern,
Analysieren von Daten in Echtzeit, welche in sensiblen Details, arbeitet auch das Network Werbeagenturen, Regierungsbehörden oder
einem Netzwerk fließen. Sniffing stets im Hintergrund. Und hört anderen Institutionen durchgeführt, die den
unbemerkt mit, wenn Informationen zwischen Netzwerkverkehr überprüfen müssen.
Ob nun über Hardware, Software oder
zwei Parteien in einem Netzwerk ausgetauscht
eine Kombination aus beidem: Angreifer Ebenso kann es rein zum Spaß von
werden.
verwenden Sniffing-Tools, um gezielt Hackern oder aus gewissen Gründen von
unverschlüsselte Daten aus Netzwerkpaketen Dazu kommt es vor allem immer dann, wenn Nationalstaaten durchgeführt werden, um sich
abzufangen, z.B. Anmeldedaten, E-Mails, Angreifer durch die Installation von Software geistiges Eigentum anzueignen. Wie im Fall von
Passwörter, Nachrichten oder andere sensible oder den Anschluss von Hardware an ein Gerät, Ransomware können auch Network Sniffer in
Informationen. einen soegannten Sniffer in einem Netzwerk das Netzwerk eingeschleust werden, indem
zu platzieren. Dieser macht es ihm möglich, die richtige Person auf den richtigen Link klickt.
den Traffic über das kabelgebundene oder Auch Insider mit Zugang zu sensibler Hardware
drahtlose Netzwerk, zu dem das Host-Gerät können einen Angriffsvektor darstellen.
Zugang hat, abzufangen und aufzuzeichnen.
Aufgrund der Komplexität der meisten
Netzwerke können sich Sniffer lange Zeit
unentdeckt darin aufhalten.

Open
Redirection
2022 wurde eine weitere Phishing-Kampagne aufgedeckt, die auf Facebook-Nutzer
abzielte und bei der Hunderte Millionen von Zugangsdaten erbeutet wurden. Dabei
kam eine gängige Methode zum Einsatz: Per Sofortnachricht wird ein Link von einem kompromittierten Facebook-Konto
gesendet. Dieser führt dann eine Reihe von Umleitungen durch (häufig über Malvertising-Seiten), um Aufrufe und Klicks
bzw. Einnahmen für den Angreifer zu generieren. Um den Nutzer schließlich auf eine gefälschte Seite zu fühen.
Host Redirection, auch Open Redirection genannt, ist zwar als Angriffsmethode nicht neu. Doch die Größenordnung
dieser Phishing-Kampagne ist wirklich bemerkenswert. Untersuchungen haben ergeben, dass nur eine der rund 400 für
Phishing-Zwecke eingesetzten Landing Pages, allein im Jahr 2021 mehr als 2,7 Millionen Besucher sowie im Juni 2022 dann
8,5 Millionen Besucher verzeichnete. In einem Gespräch mit Experten prahlte der Angreifer damit, dass er pro Tausend
Besuche von US-Facebook-Nutzern jeweils 150 US-Dollar verdient habe. Womit sich seine Gesamteinnahmen auf eine
Summe von 59 Mio. US-Dollar beziffern lassen dürften.
72 Splunk | Die Top
50 größten
50 der Cyber-Sicherheitsbedrohungen
Cyber-Bedrohungen
Open Redirection
Was Wie Woher

Host Redirection-Angriffe sind weit verbreitet Hacker könnten einen Phishing-Versuch Die Ursprünge dieser Art von Cyber-Angriff
und werden immer subversiver. Weil die Hacker unternehmen und eine E-Mail mit einer sind nicht so wichtig wie das eigentliche Ziel. In
auch immer kreativer werden, um ihre Opfer zu nachgemachten URL der Website an ihre der Regel zielen die Open-Redirection-Angriffe
ködren und ihre kriminellen Ziele zu erreichen. nichtsahnenden Opfer senden. auf unbedarfte Internetnutzer ab. Gewöhnliche
User, die beim Aufrufen ihrer Lieblingsdomain
Bevor Angreifer zuschlagen, nutzen sie ganz Erscheint die Website seriös, kann es sogar
nicht bemerken, dass die URL um einen oder
einfach URL-Umleitungen, um das Vertrauen vorkommen, dass die Nutzer beim Ausfüllen
zwei Buchstaben verändert wurde.
der Benutzer zu gewinnen. In der Regel von Eingabeaufforderungen oder Formularen
kommen dabei eingebettete URLs, eine versehentlich personenbezogene Daten Und weil dieser Angriff aufgrund seiner
.htaccess-Datei oder sogar Phishing-Taktiken weitergeben. Einfachheit überaus beliebt ist (er kann z.B.
zum Einsatz, um den Traffic auf eine schädliche einfach über die Registrierung eines Domain-
Bei Bedarf können Angreifer diese Art von
Website zu lotsen. Namens erfolgen), kann er von fast jedem Ort
Bedrohung noch ausweiten. Indem sie
der Welt aus erfolgen.
gefälschte Command & Control-Domains in
Malware einbetten und schädliche Inhalte auf
Domains hosten, die Unternehmensservern
zum Verwechseln ähnlich sind.

Pass
the Hash
Der berüchtigte Hack der Accounts von über 40 Millionen
Target-Kunden war unter anderem dank der bekannten
Angriffstechnik Pass the Hash (PtH) erfolgreich. Die Hacker nutzten PtH, um sich Zugang zu einem NT-Hash-Token zu
verschaffen, mit dem sie sich ohne das Klartext-Passwort beim Active-Directory-Administratorkonto anmelden konnten.
Dadurch erhielten sie nicht nur die notwendigen Berechtigungen, um ein neues Administratorkonto für die Domain zu
erstellen und es später zur Gruppe der Domain-Admins hinzuzufügen. Die Verankerung im System gab ihnen darüber hinaus
die Möglichkeit, personenbezogene Daten und Zahlungskartendaten von Target-Kunden zu stehlen.

Pass the Hash
Was Wie Woher

Pass the Hash (PtH) ermöglicht es einem Auf Systemen, die NTLM-Authentifizierung Diese Art von Cyber-Angriff ist ausgefeilter
Angreifer, das Passwort eines Benutzers mit verwenden, wird das Passwort oder die als andere Methoden. In der Regel wird
dem zugrundeliegenden NTLM- oder LanMan- Passphrase eines Benutzers niemals im PtH von Hackergruppen durchgeführt, die
Hash anstelle des zugehörigen Klartext- Klartext übermittelt. Stattdessen wird es als gut organisiert sind, es auf eine bestimmte
Passworts zu authentifizieren. Hash-Wert als Antwort auf ein Challenge- Organisation oder Person abgesehen haben
Response-Authentifizierungsverfahren und auf politische Einflussnahme oder
Sobald der Hacker einen gültigen
gesendet. finanziellen Gewinn aus sind.
Benutzernamen zusammen mit den Hash-
Werten des Passworts besitzt, kann er sich In diesem Fall werden gültige Passwort-
problemlos mit dem Account des Benutzers Hashes für das verwendete Konto mit Hilfe
anmelden und Aktionen auf lokalen oder einer Technik erfasst, die Zugriff auf die
entfernten Systemen durchführen. Zugangsdaten ermöglicht.
Im Wesentlichen ersetzen Hashes die

ursprünglichen Passwörter, aus denen sie
generiert wurden.

Phishing
Der berüchtigte Angriff auf das Sony-Netzwerk zählt zu einem jener
Phishing-Angriffe, die sich definitiv von der Masse abheben. Damals versendeten
Hacker unzählige Phishing-E-Mails mit der Bitte um Verifizierung von Apple-IDs an
Systemtechniker, Netzwerkadministratoren und andere nichtsahnende Mitarbeiter mit Systemzugangsdaten. Bis der Angriff
aufflog, konnten die Angreifer mit riesigen Mengen an Dateien im Umfang von mehreren Gigabyte spurlos entkommen. Mit
darunter E-Mails, Finanzberichte und digitale Kopien von kürzlich veröffentlichten Filmen. Darüber hinaus infiltrierten die Hacker
die Arbeitsplatz-Computer von Sony mit Malware, welche die Festplatten der Geräte löschten. Einige Wochen später benannte
das FBI offiziell die nordkoreanische Regierung als Drahtzieher des historiusch einzigartigen Phishing-Angriffs.

Phishing
Was Wie Woher

Ein Phishing-Angriff soll Verbraucher, In der Regel werden Sie durch eine E-Mail Noch vor wenigen Jahrzehnten konnte eine
Benutzer oder Mitarbeiter dazu verleiten, ausgetrickst, deren Absender sich als eine große Anzahl an Phishing-Angriffen nach
einen böswilligen Link anzuklicken, der Ihnen bekannte Person ausgibt – z.B. ein Nigeria zurückverfolgt werden. Diese Angriffe
sie meist zu einer gefälschten Website Vorgesetzter oder ein Kollege. waren unter dem Namen 419-Scams bekannt
bringt. Dort werden sie wiederrum dazu – in Anlehnung an den Code für Betrug im
In der gefälschten Nachricht selbst werden
angehalten, personenbezogene Daten wie nigerianischen Strafgesetzbuch.
Sie auf betrügerische Weise dazu verleitet,
Bankkontennummern, Kreditkartendaten oder
schädliche Anhänge zu öffnen oder auf Heute haben Phishing-Angriffe ihren Ursprung
Passwörter einzugeben.
Links zu klicken. Diese führen sie dann zu in aller Welt, wobei laut dem InfoSec Institute
Phishing- Angriffe erfolgen in der Regel Webseiten, die einem legitimen Webauftritt viele in den BRIC-Ländern (Brasilien, Russland,
per E-Mail, Sofortnachricht oder über eine zum Verwechseln ähnlich sehen. Indien und China) verortet werden können.
andere Kommunikationsart. Die gefälschten
Aufgrund der einfachen Verfügbarkeit von
Websites sehen nicht selten überzeugend
Phishing-Toolkits sind selbst Hacker mit nur
echt aus. Allerdings fangen die Angreifer
geringen technischen Kenntnissen in der
fangen sämtliche Informationen ab, die dort
Lage, Phishing-Kampagnen zu starten. Die
übermittelt werden. Oder bringen Malware in
Hintermänner reichen dabei von einzelnen
Umlauf, die darauf abzielt, Geld von Konten,
Hackern bis hin zu organisierten Gruppen von
persönlich identifizierbare Kundendaten oder
Cyberkriminellen.
andere wichtige Vermögenswerte zu stehlen.

Phishing
Phishing
Payloads
Operation Phish Phry gilt als eines vom FBI geführten, größten Cyberverbrechen aller Zeiten – mit der höchsten Zahl von
Angeklagten, denen dasselbe Verbrechen zur Last gelegt wurde. Dieser Phishing-Payloads-Angriff löste eine multinationale
Untersuchung aus, zielte er doch auf Hunderte von Bank- und Kreditkartenkunden ab. Allesamt erhielten E-Mails mit Links
zu gefälschten, aber authentisch wirkenden Finanzwebseiten, wo sie ihre Kontonummern und Passwörter in gefälschte
Formulare eingeben sollten.

Phishing Payloads
Was Wie Woher

Trotz ihrer einfachen Natur bleibt die Phishing- Dieser Angriff folgt stets einem typischen Da für diese Art von Angriffen kein hohes Maß
Methode die am weitesten verbreitete und Muster: Zunächst versendet der Angreifer eine an Raffinesse erforderlich ist und Phishing
gefährlichste Cyberbedrohung. Jüngst Phishing-E-Mail und der Empfänger lädt die im Mittelpunkt der meisten Cyberangriffe
haben Untersuchungen ergeben, dass angehängte Datei herunter. steht, können sie von jedem Ort der Welt aus
91 % aller erfolgreichen Cyber-Angriffe erfolgen.
Dabei handelt es sich in der Regel um eine
über Phishing-E-Mails eingeleitet werden.
.docx- oder .zip-Datei mit einer eingebetteten Operation Phish Phry ist hier das perfekte
Zumeist kommen betrügerische Domains, .lnk-Datei. Anschließend führt die .lnk-Datei Beispiel. Nach diesem Angriff nahm das
E-Mail-Scraping-Techniken, bekannte ein PowerShell-Skript aus, das wiederrum FBI mehr als 50 Personen in Kalifornien,
Kontaktnamen als Absender oder andere eine Reverse Shell ausführt. Womit der Angriff Nevada und North Carolina fest. Dem nicht
Taktiken zum Einsatz. Immer mit dem Ziel, erfolgreich abgeschlossen ist. genug wurde in diesem Zusammenhang
den Nutzer dazu zu verleiten, auf einen außerdem Anklage gegen etwa 50 ägyptische
schädlichen Link zu klicken, einen Anhang Staatsbürger erhoben.
mit einer schädlichen Payload zu öffnen
oder sensible personenbezogene Daten
einzugeben. Die „Payload“ ist dabei ein Verweis
auf die übermittelten Daten, welche die
beabsichtigte Nachricht darstellen. Kopfzeilen
und Metadaten werden nur für den Zweck
gesendet, die Zustellung der Payload an die
richtige Person zu ermöglichen.

Phishing
Spear
Phishing
Heutzutage haben es Spear Phisher nicht nur auf die großen Fische abgesehen, sondern machen sich auch Praktiken aus dem
Bereich der Romance Scams zunutze: Sie verleiten ihre Opfer nämlich mit attraktiven gefälschten Profilen dazu, Malware auf
ihre Computer herunterzuladen. 2021 wurde ein jahrelanger, gezielter Social-Engineering- und Malware-Angriff aufgedeckt, der
auf die bekannte Hackergruppe TA456 zurückgeht und der Verbindungen zum iranischen Staat nachgesagt werden. Mit dem
gefälschten Social Media-Profil „Marcella Flores“ baute TA456 eine romantische Beziehung zu einem Mitarbeiter einer kleinen
Tochtergesellschaft eines Rüstungsunternehmens im Luft- und Raumfahrtsektor auf. Einige Monate später nutzten die Hacker
diese Beziehung aus, indem sie eine große Malware-Datei über eine laufende E-Mail-Kommunikationskette des Unternehmens
verschickte. Sobald die Malware, LEMPO genannt, den Computer infiziert hatte, wurden Daten exfiltriert und hochsensible
Informationen an die Angreifer versendet. Gleichzeitig verwischte die Malware ihre Spuren, um unentdeckt zu bleiben.

Spear Phishing
Was Wie Woher

Spear Phishing ist eine Unterart des Phishing, Spear Phisher recherchieren auf Social Hinter dieser Art von Angriff können
bei der Cyberkriminelle Zielpersonen in einer Media-Seiten wie bspw. LinkedIn, um sich sowohl Einzelpersonen als auch
speziellen, personalisierten E-Mail-Nachricht Zielpersonen anhand ihrer beruflichen Organisationen verbergen. Viele hochkarätige
gezielt ansprechen. Mit dem Ziel, sie oder ihre Positionen zu identifizieren. Anschließend Spear-Phishing-Versuche gehen dabei auf
Mitarbeiter dazu zu bringen, finanzielle oder werden Adressen gefälscht, um hochgradig staatlich finanzierte kriminelle Cyberbanden
geschützte Daten preiszugeben oder den personalisierte, authentisch aussehende zurück. Gruppen von Hackern, die über die
Zugriff auf das Netzwerk freizugeben. Nachrichten zu versenden. Mit deren Hilfe erforderlichen Ressourcen verfügen, um
sollen die Infrastruktur und die Systeme ihrer Zielpersonen auszuspionieren und strenge
Spear Phisher haben es in der Regel auf
Zielpersonen infiltriert werden. Sobald die Sicherheitsfilter zu umgehen.
Personen abgesehen, die entweder Zugriff
Hacker dann Zugriff auf die Umgebung haben,
auf hochsensible Informationen haben
versuchen sie, noch weitergehende Pläne
oder eine Schwachstelle im Zielnetzwerk
umzusetzen.
darstellen. Hochrangige Zielpersonen, wie
z.B. Führungskräfte, Vorstandsmitglieder
oder Administratoren gelten als besonders
gefährdet, da sie in der Regel Zugriff
auf wichtige Systeme und geschützte
Informationen eines Unternehmens haben.

Phishing
Whale
Phishing
(Whaling)
Warum kleine Fische „phishen“, wenn man auch Wale fangen kann?
2020 musste der australische Hedgefonds Levitas Capital dies am eigenen Leib erfahren. Angreifer starteten damals einen heimlichen
Whaling-Angriff, der direkt auf einen der Gründer abzielte. Die Angreifer verschafften sich Zugang zum Netzwerk des Hedgefonds, indem
sie dem Vorstandsmitglied einen gefälschten Zoom-Link schickten. Per Klick wurde nicht nur eine Malware installiert. Der schädliche Code
ermöglichte es den Hackern auch, das E-Mail-Konto der Zielperson zu infiltrieren und gefälschte Rechnungen an den Treuhänder und den
externen Verwalter des Fonds zu senden. Dieser veranlasste und genehmigte so Bargeldtransfers in Höhe von 8,7 Millionen US-Dollar an
die Angreifer. Die gefälschten Rechnungen enthielten zudem eine Zahlungsaufforderung von 1,2 Millionen US-Dollar an die verdächtige
Privatkapitalgesellschaft Unique Star Trading. Das enorme Ausmaß der Verluste zwang das Unternehmen schließlich zur Geschäftsaufgabe.

Whale Phishing (Whaling)
Was Wie Woher

Whale Phishing bzw. Whaling bedeutet, dass Die bei einem Whaling-Angriff verwendete Phishing ist der häufigste Einstiegspunkt
Hacker ein einzelnes, hochrangiges Ziel ins Technik ist das klassische Phishing. Dabei für einen Cyberangriff. Heißt also, dass ein
Visier nehmen. Wie etwa den CEO eines erhält die eigentliche Zielperson eine Whaling-Angriff von jedem Ort der Welt aus
Unternehmens. authentisch aussehende E-Mail, in der sie in erfolgen kann.
der Regel dazu aufgefordert wird, auf einen
Das eigentliche Ziel ist dabei immer eine Der Angriff auf Levitas Capital wurde
Link zu klicken.
bestimmte Person. Während eine einfache beispielsweise von einer Gruppe von
Phishing-E-Mail es in der Regel auf jeden Dieser enthält zumeist einen schädlichen Cyberkriminellen aus verschiedenen Regionen
Mitarbeiter eines Unternehmens abgesehen Code oder führt zu einer Website, auf der dann ausgeführt. Wobei am Ende die Zahlungen an
abzielt. Die Hacker haben es in der Regel vertrauliche Informationen, wie z.B. Passwörter die Bank of China und die United Overseas
deswegen auf hochrangige Zielpersonen oder Zugangsdaten abgefragt werden. Bank in Singapur gingen.
abgesehen, da diese möglicherweise über
wichtige oder sensible Informationen verfügen.

Kompromittieren
privilegierter
Benutzer
Anfang 2022 prahlte die kriminelle Hackerbande Lapsus$, die angeblich von einem Teenager aus dem
britischen Oxford angeführt wird, öffentlich mit dem erfolgreichen Hack von Okta. Einem Single Sign-On-
Anbieter, der weltweit von Tausenden Unternehmen und Regierungen genutzt wird. Lapsus$ verschaffte sich über einen
externen Supporttechniker Zugang zu einem „Super User“-Administratorkonto für Okta und hatte fünf Tage lang Zugriff auf
den Laptop des Mitarbeiters mitsamt privilegiertem Zugriff auf einige Okta-Systeme. Die Hackergruppe informierte auf ihrem
Telegram-Kanal über den Angriff und postete sogar Screenshots, die zeigten, dass sie in die Systeme von Okta eingedrungen
waren. Das eigentliche Ziel war jedoch gar nicht Okta, sondern die Tausenden von Okta-Kunden. Eine Woche später
verzeichnete der Telegram-Kanal der Hacker 15.000 zusätzliche Follower. Was viele weitere Angriffe befürchten ließ.

Kompromittieren privilegierter Benutzer
Was Wie Woher

Viele schwerwiegende Datenschutzver- Angreifer versuchen, sich durch Social- Da Angreifer durch das Kompromittieren
letzungen lassen sich auf den Missbrauch Engineering-Methoden, Spear-Phishing- privilegierter Benutzer schwer zu entdecken
privilegierter Zugangsdaten zurückführen. Nachrichten, Malware oder „Pass the Hash“- sind und weitreichenden Zugang zu allen Arten
Es handelt sich dabei um Accounts mit Angriffe direkten Zugriff auf privilegierte von Datenprivilegien bekommen, ist diese
weitreichenden Rechten, wie beispielsweise Accounts zu verschaffen. Angriffsart überaus attraktiv.
Benutzer mit Domänenadministrator- oder
Viele Unternehmen ihre Netzwerke aufgrund Und wird auch entsprechend häufig für
Root-Berechtigungen.
der zunehmend mobilen, dezentralen verschiedene Arten von Cyberangriffen
Immer häufiger nutzen Angreifer die Arbeitsstil geöffnet und für Lieferanten genutzt – sei es für politisch-ideologisch
Zugangsdaten privilegierter Benutzer, um und Dienstleister ein komplexes Netz aus motivierte Cyberspionage von Nationalstaaten
auf die Ressourcen und Informationen eines Fernzugängen geschaffen. Bei vielen dieser oder für raffinierte finanziell motivierte
Unternehmens zuzugreifen und sensible Daten Verbindungen, einschließlich der Cloud, erfolgt Cyberkriminelle wie im Fall von Lapsus$.
zu exfiltrieren. der Zugriff über weitreichende privilegierte
Accountzugangsdaten. Es ist schwierig, sie
Hat sich ein Angreifer den Zugriff auf
alle festzulegen, zu kontrollieren und zu
Anmeldeinformationen privilegierter Benutzer
überwachen. Ideale Angriffspunkte für Hacker.
verschafft, kann dieser die Kontrolle über die
Infrastruktur eines Unternehmens übernehmen Sobald sich die Angreifer die nötigen Anmelde-
und damit Sicherheitseinstellungen ändern, informationen beschafft haben, infiltrieren sie
Daten exfiltrieren, Benutzerkonten erstellen das System und stehlen, was sie können, z.B.
und vieles mehr. Da er ein legitimer Benutzer zu SSH-Schlüssel, Zertifikate und Hashes für die
sein scheint, ist er auch schwer zu entdecken. Domänenverwaltung. Ein einziger erfolgreicher
Angriff auf einen Account genügt, um eine
weitreichende Datenschutzverletzung zu
verursachen, die ein Unternehmen in die Knie
zwingen kann.

Ransomware
Nach Angaben des Cybersecurity-Unternehmens Emsisoft waren im Jahr 2019
mindestens 948 Regierungsbehörden, Bildungseinrichtungen und Anbieter im
Gesundheitswesen in den USA von Ransomware-Angriffen betroffen, wobei sich
der potenzielle Gesamtschaden auf mehr als 7,5 Milliarden US-Dollar belief.
Im medizinischen Bereich können solche Angriffe dazu führen, dass Patienten in andere Krankenhäuser verlegt
oder Krankenakten unzugänglich gemacht werden (oder dauerhaft verloren gehen). Zudem sind Notrufzentralen
wieder auf gedruckte Karten und Papierprotokolle angewiesen, um den Überblick über die Einsatzkräfte zu behalten.
Bei Regierungsbehörden können z.B. die lokalen Notrufdienste unterbrochen werden. Laut dem Staatsanwalt von
Manhattan, Cyrus Vance Jr., könnten die Auswirkungen von Ransomware demnach genauso verheerend und kostspielig
sein wie eine Naturkatastrophe in der Größenordnung von Hurrikan Sandy.

Ransomware
Was Wie Woher

Ransomware ist ein Angriff, bei dem ein Angreifer können Ransomware über Ransomware ist in der Regel das Werk
infizierter Host die Daten eines Opfers Spear-Phishing-Kampagnen und Drive- professioneller Cyberkrimineller, um
verschlüsselt und sie als eine Art Geisel hält, by-Downloads sowie über herkömmliche, Regierungen oder Großunternehmen zu
bis dem Angreifer ein Lösegeld gezahlt wird. auf Remote-Diensten basierende Angriffe erpressen. Um anonym zu bleiben, ist also
auf den Rechnern von Unternehmen und technologische Raffinesse erforderlich.
Die jüngsten Ransomware-Angriffe haben
Privatpersonen installieren.
gezeigt, dass Hacker inzwischen damit drohen, Seit dem Aufkommen von Kryptowährungen,
die gestohlenen Daten weiterzugeben oder Sobald die Malware auf dem Rechner des die anonyme Transaktionen vereinfachen, ist
zu verkaufen. Was den potenziellen Schaden Opfers installiert wurde, informiert sie den die allgemeine Bevölkerung jedoch einem
dieser Angriffsform um ein Vielfaches steigert. Benutzer mit einem Popup-Fenster oder durch deutlich größeren Risiko von Ransomware-
Weiterleitung auf eine Website darüber, dass Angriffen ausgesetzt.
Es gibt unzählige Arten von Ransomware, doch
seine Dateien verschlüsselt sind. Erst gegen
bestimmte Gruppen sind besonders bösartig:
ein zu zahlendes Lösegeld werden diese Daten
Eine berüchtigte Gruppe namens Blackmatter
dann wieder entschlüsselt.
hat verschiedene Organisationen angegriffen,
die für die US-Wirtschaft und -Infrastruktur
von entscheidender Bedeutung sind. Darunter
auch Unternehmen aus der Lebensmittel- und
Agrarindustrie.
Eine weitere Art von Ransomware, vor der Sie

sich in Acht nehmen sollten, ist Ryuk. Bis 2019
galt Ryuk mit 12,5 Millionen US-Dollar als eine
der Ransomware-Varianten mit dem höchsten
Lösegeld, das jemals gezahlt wurde.

Ransomware-
as-a-Service
Ransomware-as-a-Service (RaaS) wird für die Erpressung mit gestohlenen oder verschlüsselten Daten entwickelt
(Ransomware). Der Ersteller der Ransomware stellt seine Software seinen Partnern zur Verfügung. Diese nutzen sie
dann dazu, um mit geringen technischen Kenntnissen die Daten anderer in Geiselhaft zu nehmen.
WannaCry hatte einen der bislang größten RaaS-Angriffsvektoren mit mehr als 400.000 infizierten Computern in 150
Ländern. Die Ransomware infiltrierte Netzwerke über die EternalBlue-Schwachstelle in Microsofts Implementierung
des SMB-Protokolls (Server Message Block). Ursprünglich war der Cyberangriff von der US-amerikanischen National
Security Agency (NSA) entwickelt worden, die den Exploit selbst über mehr als fünf Jahre hinweg nutzte – ohne
Microsoft über die Schwachstellen zu informieren. Erst der WannaCry-Angriff bewegte die NSA dazu, Microsoft über das
Problem in Kenntnis zu setzen.

Ransomware-as-a-Service (RaaS)
Was Wie Woher

RaaS ist ein Business-Modell für Geschäfte Ransomware ist eine allgegenwärtige RaaS-Kits sind relativ einfach zu verwenden
zwischen Ransomware-Entwicklern und Gefahr für Unternehmen. Bei Angriffen und sehr leicht zu finden. Weil sie im Dark Web
Ransomware-Kunden, bei denen die Kunden dieser Art verschlüsselt ein infizierter Host ganz unverblümt beworben werden, könnte ein
für Angriffe mit der entwickelten Ransomware unternehmenskritische Daten und hält solcher Angriff von jedem angehenden Hacker
bezahlen. diese in einer Art Geiselhaft. Bis das Opfer ausgehen, der das nötige Geld für den Kauf
des Ransomware-Attacke dem Angreifer eines entsprechenden RaaS-Kits übrig hat.
RaaS-Kits ermöglichen es Ransomware-
schließlich ein Lösegeld zahlt.
Kunden ohne die nötigen Fähigkeiten
oder Kaüazitäten für die Entwicklung einer RaaS-Angreifer können Ransomware über
eigene Ransomware-Variante, schnell und Spear-Phishing-Kampagnen und Drive-
kostengünstig in das Ransomware-Geschäft by-Downloads sowie über herkömmliche,
einzusteigen. auf Remote-Diensten basierende Angriffe
installieren
Ein RaaS-Kit kann 24/7-Support, Angebots-
pakete, Benutzerbewertungen, Foren und
andere Funktionen enthalten, die denen
legitimer SaaS-Anbieter entsprechen.

Router- und
Infrastruktur-
Sicherheit
Cisco wurde Opfer eines Router- und Infrastrukturangriffs, bei dem
ein sogenanntes Router-Implantat namens „SYNful Knock“ auf 14 Routern
in vier verschiedenen Ländern gefunden wurde. Bei SYNful Knock handelt es sich um persistente Malware, die es einem
Angreifer ermöglicht, die Kontrolle über ein betroffenes Gerät zu erlangen und seine Integrität mit einem modifizierten Cisco
IOS-Software-Image zu kompromittieren. Laut Mandiant besteht SYNful Knock aus verschiedenen Modulen, die über das
HTTP-Protokoll aktiviert und durch manipulierte, an das Gerät versendete TCP-Pakete ausgelöst werden.

Router- und Infrastruktur-Sicherheit
Was Wie Woher

Router-Implantate sind relativ selten. Weshalb Netzwerkgeräte wie z.B. Router und Switches Bei komplexen Bedrohungen nehmen Angreifer
allgemein angenommen wird, dass sie eher werden oftmals als Ressourcen übersehen, um gerne Router und Switches als kritische Assets
theoretischer Natur sind. Laut neuesten ein Unternehmen zu komprimttieren. ins Visier, um so Netzwerk-Traffic abzufangen
Hinweisen von Herstellern können sie in der und umzuleiten. Oder aber sie flashen
Über kompromittiere Netzwerkgeräte
Praxis dennoch durchaus vorkommen. Betriebssysteme über eine Backdoor und
erhalten Angreifer möglicherweise direkten
implementieren schwächere kryptografische
Der anfängliche Infektionsvektor scheint Zugriff auf die interne Infrastruktur eines
Algorithmen, damit sich der Netzwerk-Traffic
keine Zero-Day-Schwachstelle auszunutzen. Unternehmens. Wodurch sie die Angriffsfläche
leichter entschlüsseln lässt.
Vielmehr wird angenommen, dass die effektiv vergrößern und sich Zugriff auf private
Zugangsdaten entweder die Standardwerte Services bzw. Daten verschaffen können.
sind oder vom Angreifer für die Installation
der Backdoor gekapert wurden. Die Position
des Routers im Netzwerk macht ihn jedoch zu
einem idealen Ziel für ein erneutes Eindringen
oder die Infektion mit weiterer Malware.

Schatten-IT
Software-as-a-Service-Anwendungen (SaaS) sind heutzutage immer
schneller und einfacher zu nutzen sind. Weshalb sich Mitarbeiter solche
Lösungen auf ihre Arbeitsplätze herunterladen, die sie bei ihren täglichen Aufgaben unterstützen. Viele nutzen diese
Anwendungen jedoch mit wenig Rücksicht auf die Sicherheit. So überrascht es nicht, dass eine Forbes-Insights-Befragung
von 2019 mit dem Titel „Perception Gaps in Cyber Resilience: Where Are Your Blind Spots?“ ergab, dass bereits mehr
als jedes fünfte Unternehmen von einem Cybervorfall betroffen war, der von einer nicht autorisierten „Schatten-IT-
Ressource“ ausging.

Schatten-IT
Was Wie Woher

In diesem Fall geht die Bedrohung von einer
Der Begriff Schatten-IT bezieht sich auf Wie der Name schon vermuten lässt,
Organisation selbst aus. Zumeist sind es
IT-Anwendungen und IT-Infrastrukturen, ist die Geheimhaltung der Schatten-IT
Mitarbeiter, die Schatten-IT-Apps verwenden,
die Mitarbeiter ohne das Wissen und/ darauf zurückzuführen, dass Mitarbeiter
um Richtlinien zu umgehen oder ihre Arbeit
oder die Zustimmung der IT-Abteilung entsprechende Daten auf nicht autorisierten
schneller zu erledigen. Weniger, um ihre
ihres Unternehmens nutzen. Hierzu zählen Cloud-Diensten freigeben oder speichern.
Arbeitgeber und Kollegen zu gefährden.
Hardware, Software, Webdienste, Cloud- Was zahlreiche Sicherheits- und Compliance-
Anwendungen und andere Programme. Risiken mit sich bringt. Letztlich öffnen sie dadurch jedoch Insidern
oder externen Hackern erst Tür und Tor,
In der Regel laden sich Mitarbeiter eine Verstöße können auftreten, wenn Mitarbeiter
die genau diese Sicherheitslücken in den
Anwendung in guter Absicht herunter und kritische oder regulierte Daten in Schatten-
Systemen eines Unternehmens ausnutzen
nutzen diese, um ihre Arbeit zu erleichtern oder IT-Anwendungen hochladen, freigeben oder
wollen.
effizienter zu gestalten. Ohne Rücksicht auf speichern, ohne dass geeignete Sicherheits-
die Sicherheit. Weshalb laut einer Schätzung und Data-Loss-Prevention-Lösungen (DLP)
von Gartner allein im Jahr 2020 rund ein vorhanden sind.
Drittel aller Angriffe auf die Cybersicherheit
Die so offengelegten Informationen sind dann
in Unternehmen von Schatten-IT-Ressourcen
ein leichtes Ziel für Insider-Bedrohungen
ausgeht. Da die Benutzer weitgehend
oder Datendiebstahl und können zu
unbemerkt auf diese Anwendungen
kostspieligen Compliance-Verstößen
zugreifen, öffnen sie oft ungewollt die
führen. Ebenso können die Anwendungen
Schleuse für Insider-Bedrohungen,
selbst Endpunktschwachstellen und
Datenschutzverletzungen und Compliance-
Sicherheitslücken aufweisen.
Verstöße.

SIM-Jacking
Am 30. August 2019 wurden die 4,2 Millionen Follower von Twitter-CEO Jack Dorsey mit äußerst beleidigenden Nachrichten
überschwemmt. Dahinter steckte jedoch weniger der CEO selbst, sondern eine Hackergruppe namens „Chuckling
Squad“. Diese nutzte SIM-Jacking, um die Kontrolle über Dorseys Telefonnummer zu erlangen. Mit Hilfe eines von Twitter
übernommenen Text-to-Tweet-Dienstes wurden dann die Nachrichten veröffentlicht. Obwohl die Nachrichten weniger als zehn
Minuten lang online sichtbar waren, wurden Millionen von Menschen den beleidigenden Tweets ausgesetzt.

SIM-Jacking
Was Wie Woher

SIM-Jacking (auch bekannt als SIM-Swap- Ein Hacker ruft bei der Support-Hotline SIM-Jacker versuchen in der Regel, etwas
Scam, Port-Out-Betrug, SIM-Splitting des Mobilfunkanbieters an, gibt sich als Wertvolles von ihren Opfern zu erpressen – wie
oder SIM-Swapping) ist eine Art der die Zielperson aus und behauptet, er habe z.B. Bitcoins oder andere Kryptowährungs-
Account-Übernahme, die in der Regel seine SIM-Karte verloren. Der Angreifer kann Wallets oder wertvolle Social Media-Konten.
eine Schwachstelle bei der Zwei-Faktor- die Identität der Zielperson nachweisen, Manchmal geht es ihnen auch lediglich
Authentifizierung und der zweistufigen da er durch einen der vielen Datenbank- darium, deren Ruf zu schädigen, wie im Fall
Verifizierung ausnutzt. Wobei der zweite Faktor Hacks der letzten zehn Jahre in den Besitz von Chuckling Squad beim Twitter-CEO Jack
eine Textnachricht (SMS) oder ein Anruf an ein einiger personenbezogener Daten (Adresse, Dorsey.
Mobiltelefon ist. Passwörter oder Sozialversicherungsnummer)
SIM-Jacking kann von überall auf der Welt
gelangt ist.
Einfach ausgedrückt bedeutet SIM-Jacking, durchgeführt werden. Bei den Hackern
dass sich ein Angreifer beim Mobilfunkanbieter Der Mitarbeiter des Serviceanbieters kann handelt es sich entweder um Mitglieder von
als die Zielperson ausgibt. Indem deren natürlich nicht wissen, dass es sich bei organisierten Banden oder um Einzelpersonen.
Handynummer gestohlen und auf eine andere dem Anrufer um die Zielperson handelt und
SIM-Karte übertragen wird, die sich bereits im nimmt die Umstellung vor. Dadurch wird
Besitz des Angreifers befindet. die Telefonnummer – die normalerweise als
Schlüssel zu einem Großteil des digitalen
Lebens dient – nun plötzlich von einer anderen
Person kontrolliert

Social-
Engineering-
Angriff
Der Film „Catch Me If You Can“ aus dem Jahr 2002 erzählt die wahre Geschichte eines der (vielleicht) erfolgreichsten Social-
Engineering-Betrügers aller Zeiten. In dem Film spielt Leonardo DiCaprio einen Mann namens Frank W. Abagnale, Jr., der
in den 60er und 70er Jahren verschiedene hochkarätige Betrügereien verantwortete, Bankbetrug beging und sich sowohl
als Arzt als auch als Pilot ausgab. Abagnales Erfolg beruhte auf der Fähigkeit, seine Opfer davon zu überzeugen, dass seine
Fälschungen echt waren. Egal, ob es sich dabei nun um Schecks, Diplome oder Identitäten handelte. Die Praxis des Social
Engineering hat sich mittlerweile weiterentwickelt und zählt nach wie vor zu einem mächtigen Werkzeug für Hacker und
Betrüger, um sich Zugang zu gesicherten Systemen auf der ganzen Welt zuverschaffen.

Social-Engineering-Angriff
Was Wie Woher

Social Engineering ist der Sammelbegriff für ein Social-Engineering-Angriffe gibt es in vielen Social Engineering kann viele Formen
breites Spektrum an schädlichen Aktivitäten, verschiedenen Formen. Sie können überall dort annehmen, aus verschiedensten Richtungen
die auf psychologische Manipulation setzen. In erfolgen, wo menschliche Interaktion Teil von kommen und unterschiedlich motiviert sein.
erster Linie mit dem Ziel, einen Benutzer dazu Prozessen sind. Am häufigsten erfolgen Social-Engineering-
zu bringen, Sicherheitsfehler zu begehen oder Angriffe aber in Form von Phishing-E-Mails.
In der Regel spioniert ein Täter das anvisierte
sensible Informationen preiszugeben.
Opfer zunächst aus, um die für den Angriff Andere Varianten sind das „Pretexting“, bei dem
Was Social Engineering besonders erforderlichen Hintergrundinformationen zu der Angreifer einen guten Vorwand schafft,
gefährlich macht, ist die Tatsache, dass es erhalten, wie etwa potenzielle Einstiegspunkte um wichtige Daten zu stehlen. Das „Baiting“
auf menschlichem Versagen beruht und und schwache Sicherheitsprotokolle. bzw. „quid pro quo“, bei dem der Angreifer dem
nicht auf Schwachstellen in Software und Opfer etwas Begehrenswertes im Austausch
Dann gewinnt der Angreifer das Vertrauen des
Betriebssystemen. für die Herausgabe von Zugangsdaten anbiete.
Opfers und liefert Anreize für nachfolgende
Und der als „Tailgating“ oder „Piggybacking“
Denn Fehler, die von legitimen Benutzern Handlungen, die gegen Sicherheitspraktiken
bezeichnete Miteintritt, bei dem ein Angreifer
begangen werden, sind viel weniger verstoßen, z.B. sensible Informationen
Zugang zu einem geschlossenen Bereich
vorhersehbar. Und dadurch auch weitaus preiszugeben oder Zugriff auf wichtige
eines Unternehmens erhält, indem er einem
schwieriger zu erkennen und zu vereiteln, als Ressourcen zu gewähren.
authentifizierten Mitarbeiter durch gesicherte
ein auf Malware basierender Cyber-Angriff.
Türen folgt.

Spyware
Es ist kein Geheimnis, dass Spyware-Angriffe weiterhin erschreckend
oft auftreten. Aber sollten Sie eine hochgestellte Persönlichkeit sein,
ist Ihr Risiko dafür ungemein größer. Im Mai 2021 gaben die Behörden
bekannt, dass die Mobiltelefone des spanischen Premierministers Pedro
Sánchez und der Verteidigungsministerin Margarita Robles Ziel mehrerer
Angriffe mit der Spyware Pegasus waren. Die Attacken führten zu einem
erheblichen Datendiebstahl von beiden Geräten und richteten zugleich
Schäden in den spanischen Verwaltungs- und Regierungssystemen an.

Spyware
Was Wie Woher

Spyware ist eine Art von Malware, die darauf Spyware kann sich auf verschiedene Weise Dank inzwischen leicht erhältlicher Crimeware-
abzielt, personenbezogene Daten oder auf dem Gerät einer Zielperson installieren. Kits kann diese Art von Angriff von jeder
vertrauliche Daten einer Organisation zu In der Regel fasst es in einem System immer Person und jedem Ort ausgeführt werden.
sammeln. Auch Webaktivitäten (wie etwa dann Fuß, wenn es den Benutzer täuscht oder
In den meisten Fällen stammt Spyware jedoch
Suchvorgänge, Verlauf und Downloads) einer vorhandene Schwachstellen ausnutzt.
von böswilligen Organisationen, welche die
Zielperson werden verfolgt oder verkauft. Ziel
Dies kann zum Beispiel passieren, wenn ein Daten ihrer Opfer an Dritte verkaufen möchten.
kann es auch sein, ihre Bankkontodaten zu
Benutzer unvorsichtigerweise einer plötzlich
erfassen oder gar ihre gesamte Identität zu
erscheinenden Aufforderung oder einem
stehlen.
Popup-Fenster zustimmt. Oder aber Software
Es gibt vielerlei Arten von Spyware und jede oder Upgrades von einer nicht zuverlässigen
von ihnen verwendet eine einzigartige Taktik, Quelle herunterlädt, E-Mail-Anhänge von
um die Zielperson auszuspähen. Letztlich kann unbekannten Absendern öffnet oder Filme
Spyware ein Gerät übernehmen und Daten und Musik von illegalen Sites streamt.
exfiltrieren oder personenbezogene Daten an
eine unbekannte externe Partei senden – ohne
vorherige Zustimmung oder Kenntnis der vom
Spyware-Angriff betroffenen Person.

SQL
Injection
Structured Query Language (SQL) ist die Standardprogrammiersprache, die für die
Kommunikation mit relationalen Datenbanken verwendet wird. Also Systeme, die jede
datengetriebene Website und Anwendung im Internet unterstützen. Ein Angreifer
kann sich dieses (weit verbreitete) System zunutze machen, indem er eine bestimmte SQL-Abfrage in das Formular eingibt
(und sie in die Datenbank einspeist). Woraufhin der Hacker auf die Datenbank, das Netzwerk und die Server zugreifen
kann. Und SQL-Injection-Angriffe sind weiterhin als Angriffsmethode beliebt. Erst im August 2020 gab das Unternehmen
Freepik eine Datenschutzverletzung bekannt, von der Zugangsdaten von mehr als acht Millionen Benutzern betroffen waren.
Ein Datenleckt, das durch eine SQL Injection in eine globale Datenbank mit anpassbaren Symbolen entstand und es den
Hackern ermöglichte, die Anmeldedaten und personenbezogene Informationen der Benutzer zu stehlen.

SQL Injection
Was Wie Woher

Da das Internet zu einem großen Teil auf
SQL Injection ist eine Art von Injektionsangriff, Bei einem SQL-Injection-Angriff wird eine SQL-
relationalen Datenbanken basiert, sind SQL-
bei dem Datenbanken mit schädlichen SQL- Abfrage über die Eingabedaten vom Client in
Injection-Angriffe keine Seltenheit.
Statements manipuliert oder zerstört werden. die Anwendung eingeschleust oder „injiziert“.
Sucht man in der Datenbank „Common
SQL-Statements steuern die Datenbank Ihrer Ein erfolgreicher SQL-Injection-Exploit
Vulnerabilities and Exposures“ nach
Webanwendung und lassen sich zur Umgehung kann sensible Daten aus der Datenbank
„injection“, erhält man alleine unter diesem
von Sicherheitsmaßnahmen verwenden, wenn auslesen, Datenbankdaten ändern oder
Suchbegriff mehr als 15.000 Ergebnisse.
die Benutzereingaben nicht ordnungsgemäß Verwaltungsoperationen in der Datenbank
bereinigt werden. ausführen. Ebenso kann er dazu dienen, den
Inhalt einer bestimmten Datei im DBMS-
Dateisystem wiederherzustellen und in
manchen Fällen Befehle an das Betriebssystem
zu senden.

Supply-Chain-
Angriff
Die SolarWinds-Angriffe wurden von manchen Experten als die schlimmste Serie von
Cybersicherheitsangriffen der Geschichte bezeichnet. Sind sie doch ein Paradebeispiel für den Schaden,
den Angriffe auf die Lieferkette (Supply-Chain-Angriffe) anrichten können. Im Jahr 2020 wurde die
SolarWinds-Software von raffinierten Angreifern kompromittiert, die vermutlich mit dem russischen
Geheimdienst in Verbindung standen. Dabei wurde Malware eingebettet, die über ein Produkt-Update
verteilt wurde. Dadurch verschafften sich die Angreifer über eine Backdoor Zugang zu den Netzwerken
aller Kunden der Orion-Plattform von SolarWinds. Bis zu 18.000 Kunden installierten Updates, die sie für
Hacker anfällig machten, darunter Fortune 500-Unternehmen und mehrere Behörden der US-Regierung.
Tim Brown, Vide President für Sicherheit bei SolarWinds, dazu rückblickend: „Das war ein echter Albtraum.“

Supply-Chain-Angriff
Was Wie Woher

Ein Angriff auf die Lieferkette ist ein mächtiger Ein Supply-Chain-Angriff nutzt legitime, Bei Supply-Chain-Angriffen handelt es
Cyberangriff, der selbst die ausgefeiltesten vertrauenswürdige Prozesse, um vollständigen sich in der Regel um groß angelegte,
Sicherheitsvorkehrungen durch legitime Zugriff auf die Daten von Unternehmen zu ausgeklügelte Attacken, die von raffinierten
Drittanbieter durchbrechen kann. erlangen. Indem die Attacke es auf den Bedrohungsakteuren verübt werden.
Software-Quellcode, Updates oder Build-
Da Anbieter einen Zugriff auf sensible Daten Angriffe auf Lieferketten werden oftmals
Prozesse des Anbieters abzielt.
benötigen, um sich in die internen Systeme von Nationalstaaten unterstützt und sind
ihrer Kunden zu integrieren, sind bei einem Angriffe auf die Lieferkette sind nur schwer zu ideologisch motiviert. Wobei auch finanzielle
Cyberangriff oft auch die Daten ihrer Kunden erkennen, da sie mit einem gewissen Abstand Gewinne ein wichtiges Motiv darstellen.
betroffen. Und weil Anbieter vertrauliche Daten zur Angriffsfläche stattfinden. Kompromittierte
für zahlreiche Kunden speichern, können sich Anbieter übertragen dann unwissentlich
Hacker über einen einzigen Angriff auf die Malware in ihr Kundennetzwerk.
Lieferkette auch Zugang zu den sensiblen
Die Opfer können durch Software-Updates von
Daten vieler Unternehmen verschaffen.Über
Drittanbietern, Anwendungsinstaller und durch
viele Branchen hinweg.
Malware auf angeschlossenen Geräten verletzt
Die Schwere von Angriffen auf die Lieferkette werden. Ein einziges Software-Update reicht
kann nicht hoch genug eingeschätzt werden. aus, um unzählige Unternehmen zu infizieren.
Und die jüngste Flut dieser Angriffe deutet Mit minimalem Aufwand für Hacker, die nun
darauf hin, dass diese Methode zurzeit die „legitimen“ Zugang haben, um sich lateral durch
Angriffsart der Wahl für staatliche Akteure ist. Tausende von Unternehmen zu bewegen.

Verdächtige Cloud-
Authentifizierungs-
aktivitäten
Das Identity and Access Management (IAM) ist mehr denn je ein wichtiger Bestandteil der Cloud-Sicherheit. Allein im Jahr 2022
wurden 84 % der Unternehmen ein Opfer identitätsbezogener Sicherheitsverletzungen. Wobei 96 % angaben, dass sie die
Sicherheitsverletzung durch die Implementierung identitiätsspezifischer Schutzmaßnahmen vermeiden oder minimieren hätten
können.
Ohne die entsprechenden Technologien und Richtlinien (wie etwa Zero Trust -Richtlinien und Vendor Management) kann sich die
Erkennung von anomalem Verhalten anhand von Authentifizierung und Autorisierung unglaublich schwierig gestalten. Angriffe dieser
Art bleiben oft unentdeckt, weil die von einem Angreifer durchgeführte Authentifizierung genau wie die eines legitimen Benutzers
aussehen kann. Je nachdem, wie weitreichend das vorhandene IAM-Framework ist (wenn es denn überhaupt eines gibt).
104 Splunk | Die Top

50 größten
50 der Cyber-Sicherheitsbedrohungen
Cyber-Bedrohungen
Verdächtige Cloud-Authentifizierungsaktivitäten
Was Wie Woher

Unternehmen dürfen nicht mehr ausschließlich Bedrohungen oder Angreifer können leicht in Angesichts der steigenden Zahl von Phishing-
auf Netzwerksicherheit setzen. Sie müssen das Netzwerk eindringen bzw. den Perimeter Angriffen, der stetig wachsenden Menge an
auch Benutzeridentitäten besser schützen durchbrechen, wenn kein oder nur ein Benutzeridentitäten und der immer weiter
und authentifizieren. Bis vor kurzem war dies schwaches IAM-Framework eingerichtet ist. zunehmenden Cloud-Nutzung kann diese Art
jedoch viel leichter gesagt als getan. Bei Gleiches gilt, wenn ein Unternehmen sich nach von Angriffen von überall erfolgen. In der Regel
bestimmten Technologien fehlten einfach wie vor auf Netzwerk- bzw. Endpunktsicherheit durchgeführt von Drittanbietern, internen und
die notwendigen Integrationsmöglichkeiten. verlässt. externen Mitarbeitern sowie Auftragnehmern.
Wodurch Unternehmen nur beschränkte
In beiden Fällen können sich Angreifer
Möglichkeiten hatten, die Gesamtsicherheit
aufgrund der laxen Zugangskontrollen
ihrer Ressourcen zentral zu überwachen.
problemlos mit den gestohlenen
Mittlerweile existieren viele Technologien
Anmeldedaten anmelden, ohne dabei entdeckt
rund um das Thema Zugriffskontrolle, wie
zu werden. Anschließend können sie sich dann
z.B. die Multifaktor-Authentifizierung (MFA).
lateral im Netzwerk sowie in allen vernetzten
Zur Vermeidung nicht legitimer Authentifizier- Systemen bewegen, Assets kompromittieren
ungen bei Cloud-Anwendungen sollte kein und irreparablen Schaden anrichten – wodurch
Benutzer oder Gerät im Unternehmen – ob nun sie letztlich völlig freie Hand haben.
intern oder extern – implizit vertrauenswürdig
sein. Auch der Zugriff auf alle Ressourcen sollte
explizit und kontinuierlich authentifiziert und
autorisiert werden.

Verdächtige Cloud-
Speicheraktivitäten
Laut dem Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2022 ist bei erstaunlichen 82 % der
Datenschutzverletzungen der „Faktor Mensch“ beteiligt. Wobei „verschiedene Fehler“ allein aufgrund falsch konfigurierter
Cloud-Speicher zunehmen. Darüber hinaus ergab der Bericht: „Sensitive Data in the Cloud“, dass die Mehrheit der
Sicherheits- und IT-Experten (67 %) sensible Daten in öffentlichen Cloud-Umgebungen speichert. Wobei ein Drittel der
Befragten angab, dass sie kein oder nur wenig Vertrauen in ihre eigenen Fähigkeiten haben, um sensible Daten in der Cloud
adäquat zu schützen. Genau diese Art von technischen und professionellen Schwachstellen sind der Grund, warum Cloud-
Accounts im Zeitalter der Remote-Arbeit zu einem der Hauptziele für Cyberangriffe geworden sind – sei es durch eine falsch
konfigurierte Datenbank oder Sicherheitsteams, denen das nötige Know-how fehlt.

Verdächtige Cloud-Speicheraktivitäten
Was Wie Woher

Da sich die Daten heute weit (und allzu oft Ein Angriff auf den Cloud-Speicher kann Zu verdächtigen Cloud-Speicheraktivitäten
willkürlich) über die Cloud verteilt befinden, erfolgen, wenn ein Angreifer durch kann es zum Beispiel dann kommen, wenn ein
haben Angreifer reichlich Gelegenheit, falsche, laxe oder nicht vorhandene Entwickler eine veraltete Instanz einer Cloud-
bekannte und unbekannte Schwachstellen Sicherheitseinstellungen in der Cloud- Funktion oder Cloud-Anwendung ausführt.
zu finden und auszunutzen. Dies ist immer Infrastruktur eines Unternehmens Fuß fasst. Diese könnte bekannte Sicherheitslücken
dann der Fall, wenn Unternehmen überstürzt enthalten, die in einer späteren Version
Ist das System erst einmal infiltriert,
in die Cloud migrieren. Insbesondere wenn gepatcht wurden. Da jedoch eine ältere
deaktivieren die Angreifer bestimmte
bestimmte Sicherheitskontrollen dabei Programmversion ausgeführt wird,
Kontrollen wie z.B. das Zugriffs-Monitoring.
möglicherweise kompromittiert oder falsch können Angreifer diese Schwachstelle als
Legen eventuell neue Accounts an, um
konfiguriert werden. Einstiegspunkt nutzen, bevor sie sich dann
sich den weiteren Zugang zu sichern. Und
Erschwerend kommt hinzu, dass Ressourcen führen gleichzeitig Befehle aus, die für den lateral in der Cloud-Umgebung bewegen.
und Anwendungen nach dem Modell der betreffenden Benutzer oder das System nicht
geteilten Verantwortung gesichert werden typisch sind. Ebenso könnten sie die Richtlinien
müssen. Die jeweiligen Cloud-Serviceanbieter für bestimmte Storage Buckets ändern,
(CSPs) den Schutz für bestimmte Elemente, wodurch die Dateien eines Unternehmens
Prozesse und Funktionen also zwar öffentlich zugänglich sind und Daten exfiltriert
übernehmen, der Kunde aber gemäß der Cloud werden können.
Security Alliance (CSA) für die Sicherheit
Glücklicherweise sind dies alles relevante
seiner Daten, seines Codes und anderer
Ereignisse, die in den Auditlogs des Cloud-
wichtiger Ressourcen selbst zuständig ist. Wird
Serviceanbieters protokolliert werden.
diese Aufgabe jedoch nicht in ausreichendem
Maße erfüllt, sind Hacker zumeist nicht weit.

Verdächtige
Okta-Aktivitäten
Okta wird häufig als Gateway zu Unternehmensanwendungen und -Accounts genutzt –
eine Tatsache, die auch Hackern nicht entgeht. Wenn die SSO-Schwachstelle ausgenutzt
wird, können Angreifer die Anmeldedaten bestehender Accounts für unbefugten Zugriff, Persistenz, Rechteausweitung und
Umgehung von Abwehrmaßnahmen missbrauchen. Denn sobald Anmeldeinformationen kompromittiert wurden, können Hacker die
Zugangskontrollen umgehen und sich Zugang zu VPNs, Outlook Web Access und Remote-Desktops verschaffen. Angreifer können
kompromittierte Zugangsdaten aber auch dazu verwenden, um ihre Berechtigungen auf bestimmte Systeme auszuweiten oder sich
Zugriff auf eingeschränkte Netzwerkbereiche zu sichern. Während sie gleichzeitig Malware einsetzen, um Informationen zu stehlen
bzw. ihre Präsenz zu verschleiern. Bei einem Angriffsszenario können Hacker inaktive Accounts von Mitarbeitern kapern, die das
Unternehmen verlassen haben und deren Anmeldeinformationen dann dazu verwenden, um auf wichtige Systeme zugreifen oder
Daten und Identitäten stehlen zu können.

Verdächtige Okta-Aktivitäten
Was Wie Woher

Okta ist der branchenführende Single-Sign- Die Ausnutzung dieser Schwachstelle ermöglicht Angriffe dieser Art können praktisch von überall
On-Anbieter, der es Benutzern ermöglicht, sich einen Credential-Stuffing-Angriff, bei dem der auf der Welt erfolgen. Manche Attacken lassen
einmal bei Okta zu authentifizieren und von Angreifer in den Besitz von Benutzernamen und sich möglicherweise auf raffinierte Hackerbanden
dort aus bequem auf eine Vielzahl webbasierter Passwörtern aus einer Vielzahl von Quellen erhält. zurückführen. Doch sie können auch von weniger
Anwendungen zuzugreifen. Diese Anwendungen Hierzu zählen bspw. kompromittierte Websites, ausgebufften, einzelnen Cyberkriminellen an
werden Benutzern zugewiesen und machen es Phishing-Angriffe oder Passwort-Dump-Sites. entfernten Standorten ausgeführt werden.
Administratoren möglich, zentral zu steuern, welche Angreifer, die über automatisierte Tools verfügen,
Durch Brute-Force-Angriffe mit Hilfe
Benutzer auf welche Anwendungen zugreifen mit denen sich jede Menge Brute-Force-Angriffe auf
automatisierter Tools probiert der Angreifer diese
dürfen. einmal durchführen lassen.
Zugangsdaten dann in großem Maßstab auf einer
Okta bietet zudem auch zentrales Logging, damit Vielzahl von Websites aus. In erster Linie um
man sich ein besseres Bild davon machen kann, wie festzustellen, ob eine Anmeldung erfolgreich ist
und von wem die Anwendungen genutzt werden. und ihm Zugriff auf die Website gewährt. Von dort
aus können Angreifer dann beliebig viele Angriffe in
SSO ist zwar eine große Erleichterung für Benutzer,
Form von Phishing- oder Spam-Kampagnen starten.
eröffnet aber auch Angriffsmöglichkeiten. Hacker,
Sei es, um auf personenbezogene Daten und
die sich Zugriff auf Okta verschaffen, können
andere sensible Informationen zuzugreifen oder die
darüber auch auf eine Vielzahl von Anwendungen
gekaperte Accounts finanziell ausbluten zu lassen.
zugreifen.
Bei Passwort-Spraying-Angriffen, die im Grunde
genommen nichts anderes sind als Brute-Force-
Angriffe, werden zahlreiche Benutzernamen in ein
automatisiertes Programm eingespeist. Dieses
versucht dann, zugehörige Passwörter zu erraten.
Wie der Name schon sagt, beruht es auf einem
„Spray“-Verfahren. Es wird also in der Hoffnung, dass
eine der Kombinationen aus Benutzername und
Passwort korrekt ist, nach dem Gießkannenprinzip
vorgegangen. Eine korrekte Kombination genügt.
Verdächtige
untergeordnete
Zoom-Prozesse
Der Gigant für Videokonferenzen, Zoom, hat sich in den letzten Jahren als
führende Videokommunikationsplattform für Unternehmen etabliert. Die
Nutzung dieser Plattform hat mit der Zunahme von Remote-Arbeit drastisch zugenommen, die sich vor allem auf die
Schutzmaßnahmen im Zuge der COVID-19-Pandemie zurückführen lässt. Mit der steigenden Popularität von Zoom
wurden jedoch auch die Schwachstellen in Windows- und macOS-Systemen von böswilligen Akteuren verstärkt ins
Visier genommen. So wurde dieser Angriffsvektor zunehmend dazu genutzt, um sich unbefugten Zugang zu verschaffen
und die Rechte auf den Zielsystemen auszuweiten – unter anderem, indem die Angreifer eine Validierungsfunktion für
lokale Bibliotheken in Zoom ausnutzten, um die Webcam und das Mikrofon eines nichts ahnenden Benutzers zu kapern.
Plausible Angriffsszenarien könnten nun sein, dass unrechtmäßig erlangte Berechtigungen dafür eingesetzt werden,
um gezielt Benutzer auszuspionieren – sei es in ihrem Privatleben oder in Teambesprechungen, bei denen sensible
Informationen ausgetauscht werden.

Verdächtige untergeordnete Zoom-Prozesse
Was Wie Woher

Im Wesentlichen werden bei dieser Eine Angriffsmöglichkeit ist das Zoom- Das Besondere an dieser Schwachstelle ist,
Rechteausweitung lokale Schwachstellen der Installationsprogramm, das die Zoom dass ein Angreifer physisch Zugriff auf den
Softwarearchitektur von Zoom ausgenutzt. MacOS-App designgemäß ohne jegliche Computer des Opfers haben muss, um die
Diese Angriffe können von einem lokalen Benutzerinteraktion installiert. Bei diesem verschiedenen Sicherheitslücken auszunutzen.
Angreifer gestartet werden, wenn dieser Szenario kann ein lokaler Angreifer mit
Ein solcher Angriff kommt also entweder
beispielsweise bereits die physische Kontrolle geringen Benutzerberechtigungen
von inne. Oder aber von Hackern, die sich
über einen anfälligen Computer hat. das Zoom-Installationsprogramm mit
Zugang zu einem verlorengegangenen oder
Malware infizieren, um sich höchste Root-
Nach der Ausnutzung der Schwachstellen gestohlenen Laptop bzw. Computer verschafft
Berechtigungen zu verschaffen. Dadurch
können sich Angreifer dauerhaften Zugriff auf haben.
erhält der Angreifer den Zugriff auf das
verschiedene Funktionen des Computers eines
zugrundeliegende Mac-Betriebssystem, Ein weiteres Angriffsszenario ist eine Post-
Opfers verschaffen und auch aufrechterhalten.
was es ihm wiederum erleichtert, Malware Malware-Infektion durch einen externen
Dadurch erhalten sie die Möglichkeit, bei
oder Spyware ohne die Zustimmung oder Angreifer, der bereits zuvor Zugriff auf das
bedarf weitere Ransomware, Trojaner, Spyware
das Wissen des Benutzers auszuführen. Zielsystem hatte (wahrscheinlich durch einen
oder andere Arten von Schadcode auf den
früheren Malware-Exploit).
Zielsystemen zu installieren. Natürlich mit dem Eine weitere Angriffsmöglichkeit stellt eine
Ziel, dort noch mehr Schaden anzurichten. Schwachstelle in der Validierungsfunktion
für lokale Bibliotheken in Zoom dar. Angreifer
können eine bösartige Drittanbieter-Bibliothek
in den Prozess-/Adressbereich von Zoom
laden, die automatisch alle Zugriffsrechte von
Zoom erbt. Ohne Wissen oder Zustimmung
des Benutzers kann der Angreifer so die
Kontrolle über die Kamera- und Mikrofon-
berechtigungen erlangen.
System-
Fehlkonfiguration
Auch ein kleiner Fehler kann drastische Auswirkungen haben: Das musste Nissan North America erfahren, nachdem
aufgrund einer Systemfehlkonfiguration der Quellcode von mobilen Apps und internen Tools online verfügbar war.
Die Ursache war ein Git-Server, der ungesichert im Internet mit einer Standardkombination aus Benutzernamen
und Passwort eines Administrators verfügbar gewesen ist. Der Administrator wurde von einer anonymen Quelle
von diesem Leck in Kenntnis gesetzt. Das Leck betraf unter anderem Quellcodedaten von Nissan NA Mobile-Apps,
Kundenakquisitions- und Kundenbindungs-Tools, Marktforschungs-Tools und -Daten, dem Fahrzeuglogistikportal und
Diensten für die Fahrzeugvernetzung.

System-Fehlkonfiguration
Was Wie Woher

Falsche oder schlichtweg fehlende Diese Art von Angriff erfolgt in der Regel Eine Fehlkonfiguration ist an und für sich
Sicherheitskonfigurationen sind ein weit aufgrund fehlender Patches. Aber auch keine böswillige Handlung, da sie meist auf
verbreitetes Problem, das ein Unternehmen die Verwendung von Standardkonten menschliches Versagen zurückzuführen ist.
und dessen Systeme extrem gefährden kann. oder unnötigen Diensten, unsichere
Angreifer wissen jedoch genau, wo sie suchen
Standardkonfigurationen und eine schlechte
Dies kann auf fast jeder Ebene des IT- und müssen, wenn sie eine unsichere Konfiguration
Dokumentation können die Ursache sein.
Sicherheits-Stacks geschehen, vom im IT-Stack einer bestimmten Organisation
drahtlosen Netzwerk des Unternehmens über Es könnte durchaus auch einfach nur das vermuten.
Web- und Serveranwendungen bis hin zum Versäumnis sein, einen Security Header auf
benutzerdefinierten Code. einem Webserver zu implementieren oder
den administrativen Zugang für bestimmte
Mitarbeiterebenen zu deaktivieren.
Ein solcher Angriff kann auch dann erfolgen,

wenn sich Hacker aufgrund fehlender
Aktualisierungen einen entsprechenden
Zugriff auf ältere Anwendungen mit inhärenten
Fehlkonfigurationen verschaffen.

www.wkiped
Typosquatting
Noblox.js ist ein Wrapper für die Roblox-API, die von vielen Gamern genutzt wird, um Interaktionen mit der beliebten
Gaming-Plattform Roblox zu automatisieren. Die Software scheint aber auch für andere attraktiv zu sein. Im Jahr 2021
starteten Hacker Typosquatting-Angriffe über das noblox.js-Paket, indem sie verwirrend ähnliche, mit Ransomware
bestückte Pakete in eine Registry für Open-Source JavaScript-Bibliotheken hochluden. Anschließend wurden die
infizierten Dateien dann über einen Chat-Dienst verbreitetet. Seit September 2021 gehen Josh Muir und andere Gamer
aktiv gegen die Angreifer vor und versuchen, die Verbreitung von Ransomware durch das noblox.js-Paket und andere
Code-Bibliotheken zu verhindern und weitere Angriffe auf die Gaming-Community zu vereiteln.

www.wkiped
Typosquatting
Was Wie Woher

Typosquatting ist ein Phishing-Angriff, bei dem Beim Typosquatting handelt es sich Die Ursprünge dieser Art von Cyber-Angriff
sich Angreifer häufig falsch geschriebene nicht um einen ausgeklügelten Angriff. sind nicht so wichtig wie das eigentliche
Domain-Namen zunutze machen. Sondern kann theoretisch auch von einem Ziel. So zielen diese Attacken in der Regel
14-Jährigen begangen werden, der eine auf unbedarfte Internetnutzer ab, die nicht
Oftmals wollten die Täter gar keinen
Domain registriert und dort anschließend bemerken, dass die URL ihrer Lieblingsdomain
Angriff ausführen, sondern hoffen, dass ein
schädlichen Code installiert. Bei der um einen oder zwei Buchstaben geändert
Unternehmen, eine Marke oder eine Person
bösartigen Form dieses Angriffs verwendet wurde.
ihnen die Domain abkauft.
ein Hacker in der Regel gefälschte Domains,
Und weil dieser Angriffstyp so einfach ist und
In anderen Fällen erstellen die Diebe gezielt um Benutzer zur Interaktion mit einer
z.B. ganz einfach über die Registrierung eines
schädliche Domains, die denen legitimer schädlichen Infrastruktur zu verleiten.
Domain-Namens erfolgen kann, lässt er sich
Marken zum Verwechseln ähnlich sind.
Selbst wenn die Benutzer ausführlich über von fast jedem Ort der Welt aus vornehmen.
diese Risiken aufgeklärt werden, lässt sich
menschliches Versagen nie ganz ausschließen.
Dieser Tatsache sind sich die meisten Angreifer
nur allzu bewusst und nutzen sie gerne aus –
z.B. beim Phishing mit ähnlichen Adressen,
dem Einbetten gefälschter Command &
Control-Domains in Malware und dem
Hosten schädlicher Inhalte auf Domains, die
Unternehmensservern sehr ähnlich sind.
Watering-
Hole-Angriff
Im Rahmen eines klassischen Watering-Hole-Angriffs hat ein Unternehmen für Wasser- und Abwasseraufbereitungsanlagen
in Florida unwissentlich bösartigen Code auf seiner Website gehostet. Im Jahr 2021 führte genau solch ein Szenario zum
Hack des Wasserwerks Oldsmar. Dabei hatten die dafür veantwortlichen Cyberkriminellen es offensichtlich eine bestimmte
Zielgruppe abgesehen: So schien der Schadcode, der auf der Website des Unternehmens gefunden wurde, auch auf andere
Wasserversorgungsunternehmen in Florida abzuzielen. Zudem wurde er genau am Tag des Hacks von einem Browser
aufgerufen, dessen Ursprung sich im Städtchen Oldsmar befindet.
Die Website startete zwar keinen Exploit-Code, injizierte aber Malware, die als Browserauflistungs- und Fingerprinting-Skript
fungierte. Auf diese Weise sollten Informationen von Website-Besuchern wie z.B. Betriebssystem, Browsertyp, Zeitzone sowie
Angaben zu Kamera und Mikrofon gesammelt werden. Diese Informationen wurden dann an eine Remote-Datenbank gesendet,
die wiederrum auf der Website einer Heroku-App gehostet wurden, auf der auch das Skript gespeichert war.

Watering-Hole-Angriff
Was Wie Woher

Bei einem Watering-Hole-Angriff wird der Zunächst erstellen die Angreifer ein digitales Zwar können diese Angriffe von jedem Ort der
Computer des Benutzers durch den Besuch Profil ihrer Zielperson. Dadurch wollen Welt aus erfolgen. Viele der Cyberkriminellen,
einer infizierten Website mit Malware sie feststellen, welche Websites häufig die hinter diesem Angriff stecken, stammen
kompromittiert. Ziel der Attacke ist es, das besucht werden. Anschließend wird dann jedoch aus Ländern wie z.B. Russland oder
Netzwerk zu infiltrieren und Daten oder nach Schwachstellen gesucht, die sie China, in denen organisierte Hackergruppen
finanzielle Vermögenswerte zu stehlen. komprimittieren und ausnutzen können. derzeit florieren.
Bei der eingesetzten Technik handelt es sich Dann braucht der Angreifer nur noch zu Im Jahr 2018 wurde ein Watering-Hole-
im Grunde genommen um einen Zero-Day- warten, bis die Website erneut besucht Angriff auf Länderebene der chinesischen
Angriff. Mit dem Ziel, das Computersystem wird. Die inzwischen kompromittierte Bedrohungsgruppe „LuckyMouse“ (auch
zu infizieren, sich Zugriff auf das Netzwerk Website infiziert wiederum das Netzwerk bekannt als „Iron Tiger“, „EmissaryPanda“, „APT
zu verschaffen und so finanzielle Vorteile der Zielperson, wodurch der Hacker in 27“ und „Threat Group 3390“) zugeordnet.
oder geschützte Informationen zu erlangen. das System eindringen und von dort aus Diese ist dafür bekannt, mit Hilfe zahlreicher
auf andere Systeme zugreifen kann. Arten von Cyber-Attacken (z.B. Watering-
Hole-Angriffen) weltweit Regierungen sowei
Unternehmen im Energiesektor oder der
Fertigungsindustrie zu schaden.

Web
Session
Cookie-
Diebstahl
Fast jede von uns genutzte Webanwendung arbeitet mit Authentifizierungs-Cookies – von Social Media- und Streaming-
Plattformen bis hin zu Cloud-Diensten und Finanzanwendungen. Cookies machen das Surfen im Internet zwar sehr viel
bequemer. Zugleich stellen sie aber auch eine Schwachstelle dar, die mit großem Erfolg ausgenutzt werden kann. Ende 2019
machte sich ein lose verbundener Kreis von Hackern einen Namen. Mit Hilfe von Malware stahl die Gruppe damals Cookies,
um verschiedene YouTube-Kanäle zu kapern. Auf diese Weise wurden nichts ahnende Besitzer mit gefälschten Angeboten
geködert, um sie für Kryptowährungsbetrug zu missbrauchen oder die Accounts an den Höchstbietenden zu verkaufen.

Web Session Cookie-Diebstahl
Was Wie Woher

Wenn ein Angreifer erfolgreich ein Nachdem ein Nutzer auf einen Dienst Der Diebstahl von Web Session Cookies erfolgt
sogenanntes Web Session Cookie stiehlt, kann zugegriffen und seine Identität bereits in der Regel durch Malware, die ausgewählte
er alle Aktionen durchführen, zu denen der bestätigt hat, wird ein Web Session Cookies des Opfers kopiert und direkt an
ursprüngliche Benutzer berechtigt ist. Cookie für einen längeren Zeitraum auf den Angreifer sendet. Die Malware kann
dessen Rechner gespeichert. Dadurch auf verschiedens Weise auf dem Computer
Eine Gefahr für Unternehmen besteht vor
soll verhindert werden, dass sich der des Opfers landen, die in diesem Handbuch
allem darin, dass Cookies zur Identifizierung
Benutzer jedes Mal neu anmelden muss. vorgestellt werden. Angefangen beim Phishing
authentifizierter Benutzer in Single-Sign-
über Makroviren bis hin zu Cross-Site-Scripting
On-Systemen verwendet werden können. Hacker können solche Session Cookies
und mehr.
Wodurch der Angreifer möglicherweise Zugriff mit Hilfe von Malware stehlen und es in
auf alle Webanwendungen erhält, die das einen von ihnen kontrollierten Browser Viele Hacker, die Web Session Cookies
Opfer nutzen kann. Inklusive Finanzsystemen, importieren. Dadurch können sie die stehlen, gehören zu größeren Netzwerken, die
Kundendatensätzen oder Branchensystemen, Website oder Anwendung dann so lange von Russland oder China aus operieren. Die
die möglicherweise vertrauliches geistiges nutzen, wie das Session Cookie aktiv Hintermänner des YouTube-Angriffs gehörten
Eigentum enthalten. ist. Einmal auf einer Website angemeldet, z.B. zu einer Gruppe von Hackern, die über ein
kann der Angreifer dann problemlos auf russischsprachiges Forum verbunden waren.
sensible Daten zugreifen, E-Mails lesen
oder andere Aktionen durchführen.

Wire
Attack
Das SWIFT-Netzwerk verzeichnet seit dem berühmten Bankraub von 2016 deutlich
weniger Angriffe. Doch Cyberkriminelle finden immer wieder neue, einfallsreiche Methoden,
um elektronische Überweisungen für bösartige, durchaus lukrative und kreative Cyberangriffe
zu nutzen. Bei einem hochkarätigen Beispiel aus dem Jahr 2018 verlor Frank Krasovec,
Franchisenehmer von Domino's Pizza-Filialen in China, insgesamt 450.000 US-Dollar. Ein Betrüger hatte seine E-Mail
abgefangen und seine Assistentin dazu gebracht, zweimal Geld nach Hongkong zu überweisen. 2020 wurde ein Bankmanager
in Hongkong zum Ziel eines Angriffs: Er erhielt einen Anruf, bei dem Angreifer mittels KI die Stimme eines ihm bekannten
Vorstands klonten. Ein Hacker gab sich als jener Vorstand aus und behauptete, das Unternehmen führe gerade eine Übernahme
durch. Wofür der Bankmanager 35 Millionen US-Dollar elektronisch auf ein anderes Konto überweisen solle. Wire Attacks gehen
zumeist Phishing- oder Malware-Angriffe vorau und eignen sich optimal, um schnell große Geldsummen zu überweisen.

Wire Attack
Was Wie Woher

Bei Wire Attacks handelt es sich um eine In einem Angriffsszenario verwenden Hinter Wire Attacks, also Überweisungs-
ausgeklügelte Betrugsmasche, bei der Angreifer ausgeklügelte Malware, um lokale angriffen, steckten in der Vergangenheit
Zahlungen hoher Beträge über internationale Sicherheitssysteme zu umgehen. Dort haben oftmals hochgradig organisierte internationale
Überweisungsnetzwerke erfolgen. Wobei sie dann Zugriff auf ein Messaging-Netzwerk und nationalstaatliche Cybercrime-Gruppen
die Angriffe weit über den gewöhnlichen und senden gefälschte Nachrichten, um wie APT38 und die Lazarus-Gruppe. Diese
Überweisungsbetrug hinausgehen. Geldüberweisungen von Konten bei größeren Gruppen verfügen über die nötige Infrastruktur
Banken anzuweisen. und die Ressourcen, um diese komplexen
So haben es die Angreifer vielmehr auf Banken
und vielschichtigen Angriffe erfolgreich
in Schwellenländern abgesehen, die nur über Bei einer andere Form von Wire Attack setzen
durchzuführen.
eine begrenzte Cybersicherheitsinfrastruktur die Täter gezielte, authentisch erscheinende
oder limitierte operative Kontrollen verfügen. Spear-Phishing-Kampagnen ein. Dadurch Es ist zwar unklar, wer genau hinter diesen
Oder aber sie verleiten hochrangige wollen sie die Zielpersonen dazu bringen, Gruppierungen steckt, einige Berichte deuten
Zielpersonen mit raffinierten, glaubhaften große Geldsummen an sie zu überweisen. jedoch darauf hin, dass sie Verbindungen zu
Phishing-Scams dazu, Überweisungen Nordkorea haben. Es wurden aber auch schon
durchzuführen. Hackergruppen aus China und Nigeria als
Urheber ausgemacht.
All diese Cybercrime-Syndikate sind nur auf
eines aus: Geld. Und zwar möglichst hohe Gut zu wissen: Ausgeklügelte Wire Attacks auf
Beträge. Einrichtungen mit robusteren Systemen setzen
wahrscheinlich auf Insider, um sich Zugriff auf
deren Systeme zu verschaffen.

Zero-Day-
Exploit
Es ist nicht verwunderlich, dass die Zahl der Zero-Day-Exploits immer weiter zunimmt. Das Jahr 2021 war jedoch
bis jetzt mit Abstand das schlimmste. So hatten Angreifer insgesamt 58 neue Zero-Day-Bedrohungen ausgenutzt, während
es 2020 gerade einmal 25 Schwachstellen waren. Und mit der zunehmenden Vernetzung kritischer Systeme steht auch
zweifellos immer mehr auf dem Spiel. In den letzten Jahren haben Hacker gezielt auf Zero-Day-Angriffe gesetzt, um
Microsoft-Server zu kompromittieren und hochentwickelte Spyware auf Smartphones zu installieren. In erster Linie,
um Journalisten, Politiker und Menschenrechtsaktivisten auszuspionieren. Im August 2021 wurde beispielsweise ein
als „PwnedPiper“ bekannter Zero-Day-Exploit in den von Krankenhäusern für den Transport von Blutkonserven, Proben
und Medikamenten verwendeten Rohrpost-Systemen gefunden. Diese ermöglichte Angreifern, Schwachstellen in der
Bedienfeldsoftware auszunutzen und damit nicht autorisierte, unverschlüsselte Firmware-Updates vorzunehmen.

Zero-Day-Exploit
Was Wie Woher

Ein Zero-Day-Exploit ist im Kern eine Die Art der Schwachstelle hat Einfluss Die heutige Verbreitung von Technologien
Sicherheitslücke. Dabei handelt es sich darauf, wie der Angriff durchgeführt hat zu einer explosionsartigen Zunahme von
um eine Schwachstelle in einer Software wird. Zero-Day-Angriffe folgen jedoch Zero-Day-Angriffen geführt. Diese können
oder einem Computernetzwerk, die Hacker immer einem bestimmten Muster. zwar von überall aus gestartet werden,
kurz (oder sofort) nach der allgemeinen werden aber häufig über Nationalstaaten oder
Zunächst prüft der Angreifer (oder die
Verfügbarkeit oder Veröffentlichung des Regionen mit ausgedehnten cyberkriminellen
Hackergruppe) den Code auf mögliche
Produkts ausnutzen. Netzen und Infrastrukturen verbreitet.
Schwachstellen. Sobald sie fündig
Der Begriff „Zero“ bezieht sich dabei auf das geworden sind, erstellen sie einen eigenen Jüngsten Berichten zufolge ging der
Zeitfenster des ersten Tages, an dem die oben Code, der diese Schwachstelle ausnutzt. Großteil der Zero-Day-Exploits im Jahr 2021
genannten Schwachstellen durch Hacker Anschließend infiltrieren sie das System auf Hackergruppen in China zurück.
ausgenutzt werden. (mit einer oder mehreren der in diesem
Handbuch beschriebenen Methoden),
infizieren es mit ihrem schädlichen Code
und starten dann den Zero-Day-Exploit.

Mehr erfahren.
Erfahren Sie, wie Ihr Unternehmen unzählige Cyber-Bedrohungen abwehren kann und
wie sich Ihr Security-Operation-Center (SOC) mit Hilfe der datenzentrierten Security-
Operations-Lösung von Splunk bequem modernisieren lässt.
Splunk, Splunk> und Turn Data Into Doing sind Marken und eingetragene Marken von Splunk Inc. in den Vereinigten Staaten und anderen Ländern.
Alle anderen Markennamen, Produktnamen oder Marken gehören den entsprechenden Inhabern. © 2022 Splunk Inc. Alle Rechte vorbehalten.
Die Top 50 der Cyber-Sicherheitsbedrohungen

Die Top 50 Der Cyber-Sicherheitsbedrohungen

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Die Top 50 Der Cyber-Sicherheitsbedrohungen

Hochgeladen von

Copyright:

Verfügbare Formate

TOP

Die Top 50 der Cyber-

Advanced Persistent Threat..................................................8 DoS-Angriff........................................................................................ 50 SIM-Jacking...................................................................................... 94

AWS-Angriffe (Amazon Web Services).....................10 Drive-by-Download-Angriff................................................ 52 Social-Engineering-Angriff.................................................. 96

Application Access Token....................................................12 Insider-Bedrohungen............................................................... 54 Spyware .............................................................................................. 98

Rechnungsbetrug.........................................................................14 IoT-Bedrohungen......................................................................... 56 SQL Injection................................................................................100

Brute-Force-Angriff ...................................................................16 IoMT-Bedrohungen.................................................................... 58 Supply-Chain-Angriffe......................................................... 102

Geschäftsrechnungsbetrug................................................18 Makroviren......................................................................................... 60 Verdächtige Cloud-Authentifizierungs-

Cloud-Zugriffsverwaltung .................................................. 20 Schädliche PowerShell ......................................................... 62 aktivitäten.......................................................................................104

Cloud-Kryptomining.................................................................. 22 Man-in-the-Middle-Angriff.................................................. 64 Verdächtige Cloud-Speicher-Aktivitäten...........106

Command & Control..................................................................24 Masquerade-Angriff ................................................................. 66 Verdächtige Okta-Aktivitäten.......................................108

Credential Dumping.................................................................. 28 Network Sniffing ...........................................................................70 System-Fehlkonfiguration ...............................................112

Credential-Reuse-Angriff..................................................... 30 Open Redirection ........................................................................72 Typosquatting...............................................................................114

Credential Stuffing...................................................................... 32 Pass the Hash...................................................................................74 Watering-Hole-Angriff...........................................................116

Cross-Site-Scripting (XSS).................................................. 34 Phishing.................................................................................................76 Web Session Cookie-Diebstahl....................................118

Kryptojacking-Angriff............................................................... 36 Phishing Payloads............................................................... 78 Wire Attack..................................................................................... 120

Daten aus Informations-Repositories...................... 38 Spear Phishing....................................................................... 80 Zero-Day-Exploit....................................................................... 122

DDoS Angriff.................................................................................... 40 Whale Phishing (Whaling)............................................ 82 Mehr erfahren. .............................................................................124

Deaktivieren von Sicherheitstools.............................. 42 Kompromittieren privilegierter Benutzer.............. 84

DNS Attacks..................................................................................... 44 Ransomware.................................................................................... 86

DNS Amplification.............................................................. 44 Ransomware-as-a-Service (RaaS).............................. 88

DNS Hijacking......................................................................... 46 Router- und Infrastruktur-Sicherheit........................ 90

4 Splunk | Die 50 größten Cyber-Bedrohungen

6 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 7

8 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 9

10 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 11

12 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 13

14 Splunk | Die Top 50 der Cyber-Sicherheitsbedrohungen

Was Wie Woher

Da die meisten Kunden regelmäßig

Die 50 größten Cyber-Bedrohungen | Splunk 15

16 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 17

18 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 19

20 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 21

22 Splunk | Die Top 50 der Cyber-Sicherheitsbedrohungen

Was Wie Woher

Wenn sich kriminelle Miner eine Cloud-

Die 50 größten Cyber-Bedrohungen | Splunk 23

24 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 25

26 Splunk | Die 50 größten Cyber-Bedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 27

28 Splunk | Die Top 50 der Cyber-Sicherheitsbedrohungen

Was Wie Woher

Die 50 größten Cyber-Bedrohungen | Splunk 29

Zu einer der bemerkenswerteren Credential-Reuse-Angriffe

30 Splunk | Die 50 größten Cyber-Bedrohungen