Kenne deinen Gegner

Falls es überhaupt jemals gestimmt hat, das Klischee vom einsamen vermummten Hacker, der im dunklen Keller seinen bedrohlichen Aktivitäten nachgeht: Für moderne Cyberkriminelle trifft es wohl nicht mehr zu. Cyberkriminalität ist heute vielfach ebenso professionell organisiert wie jedes andere Business. Die Täter sind meist keine Einzelgänger, sondern als Teil von ausgeklügelten und organisierten Gruppen aktiv, die innerhalb eines größeren Ökosystems von Spezialisten mit anderen zusammenarbeiten. Diese Gruppen bauen im Laufe der Zeit beträchtliche finanzielle Ressourcen auf, und nutzen sie, um nachfolgende Angriffe zu verbessern oder ihre Infrastrukturen aufzurüsten. Zu wissen, wie Cyberkriminelle arbeiten, ist nicht nur interessant, sondern liefert Unternehmen auch wichtige Erkenntnisse für die Ausarbeitung ihrer Sicherheitsstrategie und die konkrete Gestaltung ihrer IT-Security-Lösung.

Cyberkriminelle arbeiten professionell und vernetzt

Wie im normalen Business arbeiten auch Cyberkriminelle heute oft arbeitsteilig in vernetzten Teams: So gibt es Spezialisten für das Ausspähen von Passwörtern, andere sind Experten für das Einschleusen von Daten, und wieder kennen sich mit Ransomware-Angriffen bestens aus. Viele schließen sich zu Angriffsgruppen zusammen und entwickeln ihre Methoden ständig weiter. Was können Unternehmen daraus lernen? Es ist wichtig, über aktuelle Bedrohungen und Trends auf dem Laufenden zu bleiben und dabei ebenso effektiv zusammenzuarbeiten, wie Cyberkriminelle es tun: Wenn sich Sicherheitsteams vernetzen und relevante Informationen austauschen, können auch sie für ihre IT-Security gut vorbereitet sein und wenn nötig schnellstens handeln. Dabei ist es hilfreich, im Interesse aller auch mit Mitbewerbern zusammenzuarbeiten und die eigene IT-Sicherheit auch innerhalb des Unternehmens abteilungsübergreifend zu betrachten und zu organisieren. Allzu oft sind nämlich Sicherheitstools nicht miteinander verbunden, so dass dem Sicherheitsteam möglicherweise der ganzheitliche Überblick fehlt, um einen Angriffsvorfall mit mehreren Vektoren zu erkennen. Wer gut organisierte Angriffe vereiteln will, muss für integrierte Sicherheitstools sorgen, die relevante Informationen wie beispielsweise Indikatoren für eine Gefährdung in Echtzeit austauschen können.

Angreifer sind finanziell gut ausgestattet

Cybercrime ist heute ein großes Geschäft: So geht Cybersecurity Ventures beispielsweise davon aus, dass die weltweiten Kosten für Cyberkriminalität bis 2025 auf 10,5 Billionen US-Dollar pro Jahr steigen werden. Professionell organisiert, gelingt es Cyberkriminellen und Angreifergruppen auf unterschiedliche Weise viel Geld einzunehmen: Zu den Geldquellen gehören Ransomware-Gewinne ebenso wie Geschäfte im Dark Web, in denen sie Daten oder spezielle Angriffsdienste verkaufen. Andere gehen bezahlten Cybercrime-Jobs für Nationalstaaten nach. Unternehmen müssen verstehen, dass Cyberkriminelle meist finanziell sehr gut ausgestattet sind. Ihnen gilt es ein Sicherheitsbudget gegenüberzustellen, mit dem eine hohe IT-Sicherheit gewährleistet werden kann. Gerade in Anbetracht möglicher finanzieller Schäden, die einem Unternehmen – neben eventuellem Image-Verlust – durch Cybercrime drohen, ist eine finanziell gut ausgestattete IT-Security eine gute Investition.

Cyberkriminelle nutzen Cloud-Services für ihre Angriffe

Cloud-Infrastrukturen sind flexibel, lassen sich schnell und kostengünstig einrichten – und ebenso schnell wieder abbauen und woanders neu errichten. Über diesen Vorteil cloudbasierter Infrastrukturen und Services freuen sich nicht nur Unternehmen, sondern auch Cyberkriminelle: Indem sie dieselben Cloud-Dienste nutzen wie die Unternehmen, die sie angreifen, sind sie gerade durch ältere Sicherheitstechnologien nur schwer zu enttarnen: Herkömmliche Sicherheitssysteme können nicht einmal zentrale Komponenten von Microsoft Office 365 differenziert betrachten – wie beispielsweise Instanzen von Microsoft Teams, die von der Organisation genehmigt wurden, und Konten von Drittanbietern. Unternehmen sollten hier Sicherheitslösungen aus der Cloud nutzen: Die sind nicht nur skalierbar und günstig, sie machen es IT-Security-Verantwortlichen viel einfacher, einen Angriff zu erkennen. Ein Zero-Trust-Ansatz empfiehlt sich nicht nur beim Netzwerkzugang, sondern auch bei der Cloud-Sicherheit und dem Datenschutz.

Böswillige Akteure treiben Veränderung und Innovation

Cyberkriminelle entwickeln ihre Technologien und Methoden laufend weiter und probieren neue Dinge aus: Ransomware, vor ein paar Jahren noch unbekannt, beherrscht heute die Sicherheitsdiskussionen – und verändert sich weiter: Statt mit der klassischen Erpressung „Bezahle, damit wir deine Daten freigeben“, bedrohen Ransomware-Angreifer ihre Opfer nun häufiger mit einer Veröffentlichung von Unternehmensdaten. Und wahrscheinlich wird sich im Rückblick auf die erste Jahreshälfte 2022 sogar ein Wechsel von Ransomware zu anderen Angriffen zeigen, bei denen die Störung von Daten und Prozessen im Vordergrund steht – das deutet auf veränderte Motivationen aufgrund der neuen geopolitischen Lage hin. Angesichts dieser Veränderungen darf auch die Verteidigung nicht stillstehen. Unternehmen müssen über aktuelle Angriffsmethoden auf dem Laufenden bleiben und vorausschauend denken, um Cyberkriminellen immer auf Augenhöhe zu begegnen. Das kann heißen, dass man beispielsweise einfach die Hygiene bei der Patch-Verwaltung verbessert, aber es mag auch bedeuten, dass man veraltete On-Premise-Sicherheitsanwendungen mit langwierigen Update- und Upgrade-Zyklen durch moderne Cloud-Sicherheitsdienste ersetzt, die Angriffstechniken mithilfe moderner Technologien wie ML-gesteuerter (Machine Learning) Künstliche Intelligenz erkennt, abwehrt und ständig weiter entwickelt.

Die meisten Cyberkriminellen sind opportunistisch

Gelegenheit macht Diebe – heißt es über Verbrechen im echten Leben. Eine Aussage, die meist auch für Online-Kriminalität gilt. Denn auch wenn Cyberkriminelle professionell und zielgerichtete arbeiten, so machen sie es sich doch nicht gern schwerer als nötig und bevorzugen leichte Ziele. Die Lehre daraus: Unternehmen sollten sich so gut wie möglich wappnen, damit sie nicht zur leichten Beute werden. Eine gute Sicherheitshygiene ist dazu ein wichtiger Schlüssel, denn es macht ja beispielsweise keinen Sinn, ein Vermögen für teure Firewalls und VPNs auszugeben, wenn die Unternehmensmitarbeiter Google Docs und AWS-Buckets in der Cloud offen lassen. Es gilt, mit zeitgemäßen Lösungen die „Fenster und Türen“ geschlossen zu halten, um Cyberkriminellen keine Gelegenheit zu bieten und das Unternehmen nicht zum leichten Ziel zu machen.

Yaroslav Rosomakho

Field CTO bei Netskope