Sie denken Cyberkriminelle schlagen immer sofort zu?
Laut dem «M-Trends 2021» von FireEye Mandiant Services, bleiben Cyberangriffe im Raum EMEA im Durchschnitt 66 Tage unbemerkt.
Die Entdeckung von Angriffen dauert in 29% der Fälle 91 Tage oder länger!
Sie können sich das wie bei einer Infektion vorstellen.
Als erstes dringen Krankheitserreger in einen Organisumus ein. Als nächstes verbleiben und vermehren sie sich (Inkubationszeit). Hat sich die Krankheit genügend verbreitet, werden die ersten Symptome erscheinen.
Mit Cyberkriminellen ist es häufig ähnlich. Sie verhalten sich ruhig. Denn je länger Cyberkriminelle unbemerkt auf die Systeme zugreifen können, desto weiter können sie sich vorarbeiten.
Die Verweilzeit wird nicht nur genutzt um die Absicht zu verschleiern und Spuren zu verwischen. In dieser Zeit wird Aufklärungsarbeit geleistet!
Auf der Suche nach wertvollen Informationen und Informationsquellen, durchstöbern sie die ganze Infrastruktur. Wurde das Ziel erreicht, startet der Tatsächliche Angriff. Was unter anderem das Verschlüsseln von Daten sein kann.
Damit können sie den Opfern einen erheblichen wirtschaftlichen Schaden zufügen.
Das Vorgehen von Cyberkriminellen
Lockheed Martin (ein US-amerikanischer Rüstungs- und Technologiekonzern) hat das militärische Konzept der Kill Chain auf den Bereich der Informationssicherheit übertragen.
Resultat: die Cyber-Kill-Chain
Die Idee dahinter ist zu erkennen, in welchem Prozess sich Cyberkriminelle befinden, um so geeignete Massnahmen einleiten zu können.
Phase | Beschreibung |
Aufklärung | Recherche, Identifizierung und Auswahl von Zielen. |
Bewaffnung | Kopplung von Malware (für den Fernzugriff) mit einem Exploit in Nutzdaten (Payload) (z.B.: Adobe PDF- und Microsoft Office-Dateien). |
Zustellung | Übertragung der Waffe auf das Ziel (z.B.: über E-Mail Anhänge, Websites oder USB-Laufwerke). |
Ausnutzung | Nach der Zustellung wird die Waffe ausgelöst, welche nun Schwachstellen von Anwendungen oder Systeme ausnutzt. |
Installation | Die Waffe installiert eine Hintertür (Backdoor) auf dem System des Ziels, die dauerhaften Zugriff ermöglicht. |
Befehl und Kontrolle | Externe Server (C&C Server) kommunizieren mit den Waffen und ermöglicht so einen «praktischen Tastatur Zugang» innerhalb des Netzwerk. |
Maßnahmen zur Zielerreichung | Der Angreifer arbeitet daran, das Ziel des Eindringens zu erreichen, was die Verschlüsselung von Daten oder das Eindringen und Infizieren weitere Systeme sein kann. |
Wie sicher sind Sie…?
… dass sich kein einziger Ihrer Mitarbeiter*innen von einem Phishing E-Mail austricksen lässt?
… dass Ihre schützenswerten Daten tatsächlich angemessen gesichert sind?
… dass Sie einen Cyber-Angriff auf Ihr Unternehmen tatsächlich bemerken würden?
Arbeiten Sie mit Experten zusammen!