Das „Big Business“ mit der Malware

Längst sind sie vorbei, die „guten“ alten Zeiten, in denen Hacker ihre Angriffe auf Firmen- und Kundendaten „nur so zum Spaß“ betrieben haben – vielleicht nur, um zu sehen, wie weit sie kommen, oder auch, um Sicherheitslücken in weit verbreiteten Systemen anzuprangern.

Heute ist es schlicht die Aussicht auf viel Geld, die die Angreifer zu immer raffinierteren Taktiken motiviert. So geben laut einer kürzlich veröffentlichten Studie des Ponemon Instituts 69% aller deutschen, von gezielten Attacken betroffenen Unternehmen an, dass die Hackerangriffe von finanziellen Betrugsabsichten motiviert und oft auch erfolgreich waren: Die Attacken hätten, so die Befragten, zu Betriebsstörungen und dem Verlust vertraulicher Informationen geführt, geistige Eigentumsrechte und Geschäftsgeheimnisse seien kompromittiert. Der Bericht The Impact of Cybercrime on Businesses  zeigt außerdem, dass deutsche Unternehmen im Durchschnitt pro Woche 82 neue Security-Attacken hinnehmen müssen, wobei erfolgreiche Angriffe mit durchschnittlichen Kosten von jeweils 298.359 US-Dollar einhergehen.

Das haben Hacker im Visier: Kreditkartennummern, Kontodaten, Geld

Ein lapidarer Betrag, wenn man an eine der folgenschwersten Malware-Attacken in der amerikanischen Geschichte denkt: Es war in 2010, als das FBI rund um den Globus die Unterstützung internationaler Strafverfolgungsbehörden brauchte, um eine kriminelle Organisation außer Gefecht zu setzen, die zu diesem Zeitpunkt bereits 70 Millionen Dollar von diversen US-Banken abgezogen hatte. Dabei hatte die kriminelle Truppe weder mit gefährlichen Waffen hantiert noch Tresore geknackt. Es war der unrühmliche Trojaner ZeuS, mit dem sie sich den Zugang zu gut gefüllten Kundenkonten verschafft hatte.

Cyberkriminelle setzen heutzutage zunehmend auf Malware, Bots und andere Formen raffinierter Attacken, um Unternehmen anzugreifen. Dabei haben sie Kreditkartennummern, Email-Kennwörter und Kontozugangsdaten im Visier, und immer häufiger wird Malware auch für die Verfolgung politischer Ziele eingesetzt. Unabhängig von der Motivation werden täglich neue Varianten von Malware generiert, die dann meist auf viele Websites und Unternehmen gleichzeitig angesetzt werden, um so die Wahrscheinlichkeit eine Initialerfolgs und der heimlichen, weiten Verbreitung der Schadsoftware zu erhöhen.

„Cyberkriminelle arbeiten nicht länger als isolierte Amateure“, so Christine Schönig, Technical Managerin bei der Check Point Software Technologies . „Sie gehören gut strukturierten Organisationen an, die sehr geschickte Hacker anheuern, um gezielte Attacken durchzuführen. Viele dieser Hacker erhalten, je nach Region und Art der Attacke, beträchtliche Summen. Cybercrime ist ein handfestes Geschäft, ein „Big Business“ geworden. So sind zum Beispiel Bot-Toolkits für Hacker für lapidare 500 US-Dollar zu haben – eines von vielen Indizien dafür, wie ernst das Problem geworden ist. Und wie wichtig für die Unternehmen die Implementierung präventiver Schutzmaßnahmen ist, wenn sie ihre geschäftskritischen Informationsbestände wirklich schützen wollen.“

So arbeiten Cyber-Gangs: Betriebsstrukturen, wie legitime Unternehmen

Um diesen Schutz zu erreichen, ist es wichtig, die Arbeitsweisen von Cyber-Gangs zu verstehen. Kennt man ihre Strukturen, so hat man die Möglichkeit, gezielt in diese einzugreifen, etwa durch einen „Gegenangriff“ auf ein bestimmtes Glied in der Kette ihrer kriminellen Cyber-Machenschaften. Das kann etwa die Kontrolle von Websites sein, über die Kreditkarteninformationen verkauft werden, oder auch die Überwachung so genannter „Schurken-ISPs“ (Internet Service Provider), die dafür bekannt sind, dass sie einen „freundlichen Umgang“ mit kriminellen Gruppierungen pflegen. Und schließlich, wie im Falle McColo (das Unternehmen wurde wg. bekannt gewordener Spamaktivitäten am 11.11.2008 vom Internet getrennt) zum Lahmlegen der Aktivitäten führen.

Dabei ist zu bedenken, dass kriminell motivierte Hacker-Gruppen in allen Formierungen und Größen auftreten können. Einige weisen sogar Betriebsstrukturen auf, wie man sie von einem legitimen Unternehmen erwarten würde, haben zum Beispiel ein Beraterteam oder Projektmanager an Bord. Andere verfügen über „Mitarbeiter“ mit Marketing Know-how, die ihr profundes Wissen dafür nutzen, Angriffe und Informationen gezielt in Social Media-Sites und Foren einzubringen, wo sie dann ihre Botnets und Malware weit verbreiten können.

In den meisten Fällen arbeiten dabei verschiedene Teams unabhängig voneinander, wobei es praktisch immer zentrale Figuren gibt, die die Operation als Ganzes überblicken, steuern und am Laufen halten. Aber nicht jeder, der in den Cyber-Untergrund abgetaucht ist, ist Teil einer Gruppe. Einige arbeiten auf eigene Faust und vermieten zum Beispiel Teile von Botnets, die sie im Alleingang aufgebaut haben. Andere machen einfach Geld mit dem, was sie am besten können – z. B. mit dem Aufdecken neuer Softwareschwachstellen und der Entwicklung entsprechender Angriffstools für andere Hacker. Diese Schwachstellen, in Security-Kreisen als „Zero-Days“ bekannt, sind wahre Goldesel – für diejenigen zumindest, die sie ausfindig und sich mit der schnellen Erstellung des passenden Einbruchswerkzeugs zunutze machen können. Abhängig von ihrer Funktionssicherheit und der Software, auf die sie abzielen, bringen solche Angriffstools auf dem Schwarzmarkt beträchtliche Summen von 10.000 bis 500.000 Dollar ein.

Was in den Hacker-Shops zu haben ist: Angriffstoolsets ab 40 Dollar

 Sowohl Zero-Days als auch ältere Angriffstechniken finden ihren Weg nicht selten in und über Angriffstoolkits, die in Web-Foren bereits ab 40 Dollar zu haben sind – High-End-Versionen spülen mehrere tausend Dollar in die Kassen. Diese Toolkits bauen typischerweise auf die simple Tatsache, dass die meisten Anwender nicht regelmäßig auf die jüngsten Softwareversionen aktualisieren, und nutzen – im Gegensatz zu Zero-Days – längst bekannte Schwachstellen. In einigen Fällen kompromittieren die Angreifer seriöse Webseiten und versuchen dann den Anwender -  unter Bedienung des Angriffstools  - auf schadhafte Seiten umzuleiten. Der Erfolg dieser Angriffsformen ist enorm.

Doch ganz gleichgültig, ob alte Techniken oder modernste Angriffsmechanismen zum Einsatz kommen – die Objekte der Begierde sind immer brauchbare Daten. Dass diese zu haben sind, beweist ein Blick in die „Regale“ der virtuellen Hacker-Shops: Dort liegen nebst Kreditkartendaten heutzutage auch Facebook-Logins oder Email-Zugangsdaten zum Kauf bereit. Nicht zuletzt deshalb, weil viele Banken inzwischen für die Verifikation von Online-Transaktionen verschiedene Authentifizierungen verlangen, so dass Angreifer also mehrere Informationen brauchen, um einen Account kompromittieren zu können. Cyberkriminelle erweitern daher ihr Betätigungsfeld und haben u.a. eine Malware entwickelt, die z.B. die Internationale Mobile Equipment Identity (IMEI)-Nummer auf Mobiltelefonen abgreift. Mit dieser Nummer in Händen kann der Angreifer den Service Provider der betroffenen Person kontaktieren und zum Beispiel um das Zusenden einer neuen SIM (Subscriber Identity Module)-Karte bitten. Diese setzt der Hacker nun ein, um die Kommunikation zwischen der Bank und dem Kunden abzufangen, die ihm letztlich den ersehnten Zugang zu dem Konto des Opfers verschafft.

Je mehr Informationen dem Angreifer zu seinem Ziel zur Verfügung stehen, umso passgenauer ist die Attacke – und umso höher ist die Wahrscheinlichkeit eines Erfolgs. So wird eine Person Namens Stefan Müller einer Email, die an ihn persönlich gerichtet ist, mehr Aufmerksamkeit schenken, als einer allgemein gehaltenen Nachricht, die mit „Sehr geehrter Herr“ titelt. Diese Technik ist als „Spear Fishing“ („mit dem Speer fischen“) bekannt und kam in jüngster Zeit bei einigen der schwerwiegendsten Angriffe auf Geschäftsdaten zum Zug, etwa bei der sehr publik gewordenen Attacke gegen EMCs Security Division RSA.

Worauf die Unternehmen achten müssen: Aufgeklärte, sensibilisierte Mitarbeiter

Spear Fishing und andere Formen des Social Engineering machen deutlich, dass der Kampf gegen die Internetkriminalität nur gemeinsam mit denjenigen gewonnen werden kann, die mehr und mehr im Visier von unerwünschten Netzwerkeindringlingen stehen: den Mitarbeitern. Deren Aufklärung und Sensibilisierung für erkennbare Warnzeichen, verdächtige Emails, ungewöhnliche Informationsanfragen und Reizworte, die dazu verleiten sollen, einen schadhaften Dateianhang zu öffnen, ist unerlässlich für  den Schutz der sensitiven Unternehmensdaten vor Malware, Botnets und anderen Gefahren.

Hacker sind auf wertvolle Geschäftsdaten fokussiert. Die Unternehmen müssen das Gleiche tun. Sie müssen ihre erfolgskritischen Daten identifizieren und mit den richtigen Schutzmaßnahmen umgeben – von Firewalls über Verschlüsselung bis hin zur Aktivierung von Überwachungstechnologien. Denn, so konstatierte schon um 500 v. Chr. der berühmte, chinesische Militärstratege Sun Tzu: „Wenn du weder dich selbst kennst, noch deinen Feind, dann wirst du immer dich selbst gefährden.“

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags