Wenn es staatliche Geheimdienste oder besonders durchtrieben-intelligente Hacker auf Sie abgesehen haben, werden Sie davon nichts mitbekommen - zumindest zunächst einmal nicht. Sie forschen Sie leise und langsam aus und starten ihre Angriffsmanöver mit chirurgischer Präzision, um Ihnen Ihren Datenschatz zu entreißen. Die meisten dieser Angreifer wissen genau, wie sie sich zu verhalten haben, damit sie unbeobachtet bleiben - und ab wann es besser ist, sich zu erkennen zu geben, weil sie dann von Ihrer Panik noch weiter profitieren können.
Professionelle Hacker verschleierten ihre Präsenz in sensiblen Bereichen von Unternehmens- und Behördennetzen zunächst, um sich dann später ganz bewusst zu erkennen zu geben, um ein bestimmtes Ziel zu erreichen, erklärt Danny Rogers, CEO beim Data-Intelligence-Anbieter Terbium Labs. Aber selbst wenn sie den Angegriffenen spüren ließen, dass es gibt, bewahrten sie sich so viel Verborgenheit wie möglich, um auch für künftige Aktionen ausreichend unerkannt zu bleiben. Rogers: "Wenn sie Ihre Arbeit gut machen, wie sollen wir dann überhaupt wissen, dass sie da sind?" Viele bekannt gewordene Fälle zeigen: Angreifer halten sich häufig Monate, gar Jahre in Unternehmensnetzen auf, ohne dass es auch nur den leisesten Verdacht gibt.
Hacker in Unternehmen: Einmal drin, immer drin
Staatlich unterstützte Hacker und andere Kriminelle hätten ihre Opfer in der Vergangenheit auf sehr effiziente Weise ausgespäht, berichtet Todd Inskeep, Mitglied des Advisory Board der RSA Conference, der weltgrößten IT-Sicherheitskonferenz. So seien schon früh Trojaner und Backdoors in Systeme eingeschleust worden, um diese dann immer und immer wieder infiltrieren zu können.
Diese Spähaktionen wurden zunehmend ausgefeilter und raffinierter - dank Command-and-Control-Servern (C&C) ließen sich Systeme heute leicht aus der Ferne manipulieren, Backdoors systemübergreifend installieren, Accounts fälschen und Sensoren einbauen, um bestimmte Dateien aufzuspüren und zu sammeln, erklärt Inskeep.
Command-and-Control-Server funktionieren, indem sie Daten von infizierten Systemen zugeschickt bekommen, die sich über den ausgehenden Netzwerkverkehr mit dem Internet verbinden. Das funktioniert, weil Netzwerksicherheit vom Grundprinzip her immer den eingehenden Datenverkehr berücksichtigt, nicht den ausgehenden. Hacker können nun viele Trojaner in verschiedenartige Systeme einpflanzen, weil sie sie mit vorhandenen Applikationen und Programm-Updates verbinden. Sobald die Angreifer die Kontrolle über ein System besitzen, das Login-Daten erzeugt, können sie beliebig viele davon erstellen. Solange die bestehenden Security-Kontrollen nichts mitbekommen und das verhindern, ist ein Zugriff über die neu erstellten Daten später weiterhin möglich, selbst wenn der ursprüngliche Schädling erfolgreich entfernt wurde.
Foto: Rawpixel.com - shutterstock.com
Hacker-Datenbanken und Sensoren im Code
Bei den erwähnten Sensoren handelt es sich nicht um die "klassische" Art kleiner Messgeräte, wie man vielleicht meinen könnte: "Sensoren können Codeschnipsel in Programmen sein, die in bestimmten Situationen eine Nachricht an die Angreifer senden - vergleichbar mit Cronjobs, die zu definierten Ereignissen im Hintergrund ablaufen - oder etwas anderes, dass dem Hacker ein Signal gibt, dass sich etwas im Netz oder System geändert hat", erläutert Inskeep.
Auf diese Art und Weise funktionieren alle Advanced Persistens Threats (APTs), die abwarten und beobachten, bis der richtige Zeitpunkt gekommen ist. Hacker hegen und pflegen ihre Datenbank an gestohlenen Informationen und (möglichen) Angriffszielen wie einen persönlichen Schatz - je besser und umfangreicher, desto wertvoller.
Cybercrime-Professionalisierung: Beispiele, Beweise, Ergebnisse
Geheimdienste beherrschen dieses Spiel in Perfektion, meint Inskeep: "Obwohl es beispielsweise bereits im Juni Anzeichen für den DNC Hack gegeben haben muss, erfuhren wir erst viel später davon - nämlich dann, als wir nichts mehr gegen den Angriff unternehmen konnten." Dass der Vorfall erst jetzt bekannt wurde, liege darin begründet, dass die US-Präsidentschaftswahlen nun in die heiße Phase gingen und das Bekanntwerden des Vorfalls einen spürbaren Einfluss ausüben könne.
Je abhängiger Staaten und die Welt insgesamt vom Internet und seinen vernetzten Strukturen werden, desto "normaler" würden diese Arten von Angriffen, meint Inskeep. Regierungen und Wirtschaftsunternehmen sollten grundsätzlich davon ausgehen, dass sich Geheimdienste und andere Hacker bereits in ihren Netzen und Systemen aufhielten - versteckt und unauffällig. Besser als die vollständige Abwehr der Angriffe ist es, wenn Unternehmen die Risiken managen. "Das stellt einen Widerspruch zum alten IT-Security-Mindset dar, dass sich auf die Auslieferung eines Standard-Sets von Defensiv-Techniken verließ und davon ausging, dass es Ihnen solange gut geht, bis das sprichwörtliche Feuer ausbricht", so Terbium-CEO Rogers.
Alles, was Sie planen und umsetzen wollen, sollten Sie in dem Wissen tun, dass sich Ihre Daten immer in einer latenten Gefahr befinden - sei es, dass sie gestohlen oder sabotiert werden. "Neben den guten Security-Standards sollten Sie immer einen Plan B in der Tasche haben für den Fall, dass die erste Schutzlinie versagt. Dieser Notfallplan könnte die aktive Überwachung der Systeme außerhalb des eigenen Netzes umfassen, aber auch eine gute Datenrettung nach einem Security Breach, eine Incident-Response-Strategie und eine Versicherung gegen Datendiebstahl", erläutert Rogers.
Es gibt Security-Anbieter am Markt, die im Darknet Ausschau nach Ihren gestohlenen Daten halten, damit Sie jederzeit sofort informiert sind, wenn die persönlichen Informationen Ihrer Mitarbeiter und Kunden, die Ihnen unfreiwillig abhandengekommen sind, in den dunklen Nebengassen des Internets gehandelt werden. Zu diesen Anbietern gehören beispielsweise Massive, MarkMonitor und Terbium Labs.
Gehackte Unternehmen: Regeln einhalten, Regierung einschalten
Wenn Sie Opfer eines Datenklaus geworden sind, gelten einige Regeln, die unbedingt eingehalten werden sollten: Reagieren Sie sofort, ergreifen Sie forensische Maßnahmen, finden Sie sowohl alle Spuren der Angreifer als auch alle Schwachstellen in Ihren Systemen, patchen Sie diese, stellen Sie notfalls verlorene Daten wieder her und befolgen Sie Ihren (hoffentlich vorhandenen) Response-Plan, den Sie bitte vorher ausgetestet haben, damit er auch im Notfall funktioniert.
Auch wenn es für Behörden und Unternehmen, die viel zu verlieren haben, mit Sicherheit schwierig ist, eine solche zu etablieren, sei es unabdingbar, eine maßgeschneiderte Cybersecurity-Policy zu haben, rät Inskeep. Dazu müssen Unternehmen zunächst die Frage beantworten, zu welchem Zeitpunkt eines Vorfalls welche Behörden eingeschaltet werden sollten, welche Hilfe bei welchen Angriffsarten erwartet wird, wie viel Geld für das Risiko-Management ausgegeben werden kann - besonders dann, wenn es um staatliche Angriffe geht. Inskeep: "Sie müssen Ihre Grenzen festlegen und dann Beziehungen, Prozesse und Know-how aufbauen, um diese Grenzen zu schützen."
Ohne staatliche Hilfe solle kein Unternehmen versuchen, sich gegen staatliche Angriffe aus dem Ausland zu verteidigen, meint Inskeep. Die Ausgaben, die für IT-Security aus Eigenmitteln bereitgestellt werden könnten, seien selbst bei den größten Konzernen durch Verträge mit den Anteilseignern begrenzt. Es bedarf einer breiten Front aus Unternehmen, Branchenverbänden, Security-Anbietern, Regierungen und Strafverfolgungsbehörden, die untereinander Informationen tauschen und im Kampf gegen Hacker und Cyberspione zusammenstehen, betont Inskeep: "Nur so kann die Verteidung gelingen."
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.