Die Bedrohungen in der IT werden immer stärker. Inzwischen haben es Angreifer darauf abgesehen, spurlos in fremde Systeme einzudringen. Dort suchen sie nach Daten, die sie gewinnbringend verkaufen können. Meistens geht es um Spionage oder darum, Zugangsdaten oder Adressen auszuspähen, um diese missbräuchlich zu nutzen. Da stellt sich die Frage, wie solche Angriffe vermieden werden können. Eine sehr gute Möglichkeit der Abwehr bietet das sogenannte Threat Hunting.
So funktioniert Threat Hunting
Es wird grundsätzlich davon ausgegangen, dass die IT-Infrastruktur eines Unternehmens schon mit bösartiger Software infiziert ist. Da diese jedoch keine offensichtlichen Schäden anrichtet, wird sie weder vom Antivirenprogramm noch von anderen Sicherheitsanwendungen erkannt und abgewehrt. Fachkräfte wenden daher andere Methoden an, um eine Infektion des Dateisystems zu analysieren. Dazu brauchen sie eine Menge Erfahrung. Zusätzlich werden die Threat Hunter von speziellen Tools unterstützt, die sie mitunter selbst entwickelt haben.
Nützliche Hinweise finden die Fachkräfte meistens in Systemthreats. Jedes Computersystem führt kontinuierlich Threats aus. Diese laufen unbemerkt im Hintergrund. Im Taskmanager ist zu erkennen, welche Tools aktiv sind. Darin gibt es auch Informationen dazu, wie viele Ressourcen die jeweiligen Threats benötigen. Weichen einige stark vom Durchschnitt ab, erkennen die Experten, dass das System bereits kompromittiert ist. Dann gilt es herauszufinden, wo das Problem liegt.
Fachkräfte müssen wie Angreifer denken
Damit die gezielte Suche nach der Bedrohung erfolgreich wird, müssen die Threat Hunter sich in die Denkweise der Angreifer versetzen. Dabei sollten sie immer folgende Überlegungen anstellen:
- Warum wird das Unternehmen angegriffen?
- Welche Informationen werden gesucht?
- Wie bekommen die Täter die Daten unbemerkt?
Oftmals geht es den Angreifern darum, an Entwicklungsdaten oder ähnlich wichtige Informationen zu gelangen. Die gestohlenen Daten können an Konkurrenzunternehmen verkauft werden, damit diese sich den enormen Aufwand für eine eigene Produktentwicklung sparen. Es geht aber nicht immer nur um Wirtschaftsspionage. Mitunter werden auch Unternehmen angegriffen, die keine wichtigen Daten besitzen. In solchen Fällen gibt es zwei Gründe für einen Angriff.
Angriffe im B2B-Business
Zahlreiche Unternehmen sind im B2B-Business tätig. Das wissen auch die Täter. Deshalb greifen sie mit Vorliebe das schwächste Glied in der Kette an. Dabei kann es sich auch um ein kleines Unternehmen handeln, das auf den ersten Blick als uninteressant für Cyberangriffe erscheinen mag. Über ein solches Unternehmen bekommen die Kriminellen dann jedoch einen Zugriff auf größere und damit zumeist interessantere Betriebe. Durch die enge Zusammenarbeit der Unternehmen im B2B-Bereich ist es kein Problem mehr, in die IT von begehrten Unternehmen einzudringen.
Mit gestohlenen Adressen handeln
Betriebe, die nicht im B2B-Business tätig sind, werden auch sehr häufig angegriffen. Bei solchen Angriffen geht es meistens darum, an Adressen und Zugangsdaten zu gelangen. Da fragen sich zahlreiche Betroffene: Was kann jemand mit meiner Adresse machen? Es gibt verschiedene Dinge, die mit gestohlenen Adressen durchgeführt werden können. Beispielsweise lässt sich der exakte Standort herausfinden. Das könnte für Einbrecher wichtig sein. In vielen Fällen werden die Informationen jedoch dazu genutzt, Cyberangriffe auf den jeweiligen Rechner durchzuführen. Kriminelle können sich für den Eigentümer der gestohlenen Adresse ausgeben und in seinem Namen illegale Geschäfte im Darknet durchführen. Das kann auf jeden Fall zu sehr viel Ärger führen.
Lässt sich der Diebstahl von Adressen vermeiden?
Um die eigene Adresse vor Dieben zu schützen, sind keine speziellen Threat Hunter nötig. Jeder Anwender kann ohne besondere Fachkenntnisse verhindern, dass mit seiner Adresse Unfug oder kriminelle Aktivitäten vorgenommen werden. Dazu muss lediglich ein VPN installiert und eingerichtet werden. Das virtuelle private Netzwerk verschlüsselt nicht nur die Daten bei der Übertragung, sondern es leitet sie über diverse Server um. Dabei wird die IP-Adresse überschrieben, sodass die Originaladresse nicht mehr sichtbar ist. Der Nutzer surft anonym im Internet. Das ist sowohl für private als auch für professionelle Anwender sinnvoll.
Den entsprechenden Dienst herausfinden
Stellen Threat Hunter fest, dass es zu einem Angriff gekommen ist, so wird dieser oftmals als Dienst ausgeführt. Dazu werden zwei unterschiedliche Vorgehensweisen genutzt. Einige Angreifer entwickeln einen zusätzlichen Dienst, der einem Systemdienst stark ähnelt. Es gibt aber auch Täter, die vorhandene Dienste des Systems geschickt manipulieren. Um es genau herausfinden zu können, müssen diverse Abfragen an das System gestellt werden. Fachkräfte kennen die Algorithmen, die zu den Abfragen genutzt werden. Anhand der jeweiligen Ausgaben erkennen sie, welche Dienste betroffen sind. Das Vorgehen kann sehr aufwendig sein und eine Menge Zeit in Anspruch nehmen. Trotzdem lohnt sich der Aufwand, weil Cyberangriffe oftmals zu einer ernsthaften Existenzbedrohung führen.
Abfrageprotokoller immer sichern
Um herauszufinden, welcher Dienst manipuliert wurde, müssen meistens ganze Reihen von Abfragen durchgeführt werden. Die späteren Auswertungen der Abfragen und Ergebnisse dienen dazu, den betroffenen Dienst zu ermitteln. Täter wissen jedoch, wie die Threat Hunter vorgehen. Deshalb entwickeln sie oftmals Tools, die Abfragen im Hintergrund löschen oder die Ergebnisse manipulieren. Deshalb ist es wichtig, sowohl die Abfragen als auch die Ergebnisse extern zu sichern. Nur wenn sämtliche Daten verfügbar sind, kann eine detaillierte Analyse erfolgen. Ist das Ergebnis bekannt, kann die Bedrohung eliminiert werden.
Sofern durch das Threat Hunting erkannt wurde, wie die Angreifer vorgegangen sind, sollte auch darüber nachgedacht werden, welche Modifikationen die Täter vornehmen könnten, um das Unternehmen erneut anzugreifen. Sofern ein Angriff abgewehrt werden konnte, werden sich die Kriminellen nicht so einfach damit abfinden und es erneut versuchen. Deshalb ist es wichtig, dass sich bereits angegriffene Unternehmen auf erneute Attacken vorbereiten.
Zusammenfassung
Der neueste Trend in der Cyberkriminalität besteht darin, unbemerkt in IT-Systeme von Unternehmen einzudringen. Das vorrangige Ziel ist der Diebstahl wertvoller Daten. Da die Angriffe an der Sicherheitssoftware vorbeigehen, schlagen diese keinen Alarm. Nur durch ein ausgeklügeltes Threat Hunting lassen sich die Attacken abwehren.