Die Gefahr für Unternehmen und Behörden, Opfer eines Cyberangriffs zu werden, ist unvermindert hoch. Und die Zahl der Attacken nimmt eher zu als ab. Gründe dafür sind auch das wachsende Cybercrime-as-a-Service-Angebot und die verstärkte Zusammenarbeit von Hackern.
Cybercrime-as-a-Service hat sich zu einem äusserst erfolgreichen Geschäftsmodell entwickelt. Das Angebot an illegalen Services ist umfassend: Es reicht von Ransomware-Toolkits über die Bereitstellung von Botnetzen bis zur Identitätsverschleierung mittels Anonymisierungsdiensten. Nahezu problemlos kann jeder im Darknet inzwischen nach «geeigneten Waffen» suchen, und tiefgreifende technische Kenntnisse braucht er für einen Angriff auch nicht mehr. Denn auch Full-Service-Anbieter finden sich problemlos, die nach den Wünschen des Auftraggebers das Ziel ins Visier nehmen. Darüber hinaus liegen auch Hacker- Kooperationen im Trend. Cyberkriminelle verstärken ihre Zusammenarbeit, um dadurch auch Attacken grösseren Ausmasses durchzuführen, die bis dato nur für gut organisierte kriminelle Vereinigungen oder Staaten möglich waren. Und auch die Organisierte Kriminalität selbst erreicht durch Nutzung neuer – vielfach KI-basierter – Methoden quasi die nächste Evolutionsstufe. So hat auch erst kürzlich BSI-Präsident Arne
Schönbohm erklärt: «Wir erleben derzeit die massenhafte Verbreitung von raffinierten
Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren».
Privilegierte Konten schützen
Zur Abwehr der steigenden Gefahren müssen Unternehmen folglich ihre Sicherheitsmassnahmen intensivieren. Vor allem sollten sie die Haupteinfallstore für Attacken sichern – und dazu gehören die privilegierten Benutzerkonten und Zugangsdaten, insbesondere von Administratoren. Gelangen Angreifer in den Besitz administrativer Rechte, erhalten sie Zugriff auf IT-Infrastruktur und kritische Daten; damit können sie Knowhow entwenden, erhebliche Störungen verursachen und sogar den Geschäftsbetrieb unterbrechen. Eine dedizierte Privileged-Access-Management- Lösung ist deshalb zwingend erforderlich. Sie muss Anmeldedaten für privilegierte Accounts sicher verwalten, die Aktivitäten mit privilegierten Accounts proaktiv überwachen sowie Bedrohungen umgehend erkennen und verhindern. Nicht umsonst hat Gartner auch das Privileged Account Management im zweiten Jahr in Folge als das Top-1-Sicherheitsprojekt für Unternehmen eingestuft. Darüber hinaus muss auch der Schutz von Endgeräten höchste Priorität einnehmen, schliesslich ist der PC das erste Einfallstor in das Netzwerk, von dem aus die Verbreitung stattfindet. Erforderliche Sicherheitsmassnahmen sind der Entzug lokaler Administratorrechte und eine Anwendungssteuerung, die die Ausführung schädlicher Programme verhindert.
Passwortverwaltung organisieren
Jeder Rechner in einem Unternehmen enthält standardmässig integrierte Administratorkonten, die eine massive Sicherheitsgefahr darstellen. In vielen Unternehmen werden Hunderte von Rechnern mit einem identischen Passwort verwaltet, das nie oder
zumindest nicht regelmässig geändert wird. Zudem ist das Passwort oft auch dem Endanwender bekannt, damit dieser einen vollständigen Datenzugriff hat. Jeder Nutzer
mit lokalen Windows-Administratorrechten kann praktisch uneingeschränkt agieren. Die lokalen Admin-Rechte stellen nicht nur eine Gefahr hinsichtlich unbeabsichtigter oder
böswilliger Aktivitäten der – berechtigten – Anwender dar, sie sind auch von Angreifern
nutzbar. Das Aufspüren lokaler Administratorrechte und der Entzug dieser Rechte ist deshalb ein erster wichtiger Schritt auf dem Weg zu einem starken Endgeräteschutz.
Darüber hinaus ist eine Applikationsüberwachung vor allem im Hinblick auf die nach wie vor grassierenden Ransomware- Attacken erforderlich. Ransomware benötigt im Unterschied zu herkömmlicher Malware nicht immer administrative Zugriffsprivilegien, stattdessen reichen Standardrechte für das Lesen, Schreiben und Editieren von Dateien, die nahezu jeder Mitarbeiter besitzt.
Eine intelligente Applikationskontrolle ist eine effiziente Massnahme, um die Verschlüsselung von Dateien durch Ransomware zu unterbinden. Ein zielführender Ansatz ist vor allem das Greylisting von Anwendungen. Damit kann die Ausführung von Anwendungen unterbunden werden, die nicht explizit vertrauenswürdig oder unbekannt sind.
08
