Cybercrime-as-a-Service: Die dunkle Seite des Internets
Welche Formen von CaaS lassen sich im (Dark) Web buchen und wie einfach sind diese zugänglich, erklärt Gastautor Stephan Dykgers von Imperva.
Wer Cybercrime-as-a-Service (CaaS)-Dienste in Anspruch nehmen will, braucht neben dem nötigen Kleingeld – in der Regel in Form von Kryptowährungen – einen passenden Browser mit Zugang zum Dark Net. Dabei spielt es keine Rolle, ob Privatpersonen oder Unternehmen das Ziel sind.
DDoS-Attacken – Angriff aus allen Richtungen
Bei Distributed Denial of Service (DDoS)-Attacken erfolgen gezielte Angriffe aus mehreren Quellen, mit dem Ziel eine bestimmte Website vorübergehend lahmzulegen oder zu verlangsamen. Dabei wird das Netzwerk, die Server oder eine andere Anwendung der Zielseite für eine kurze Zeit von den Hackern mit Datenverkehr überflutet. Für vergleichsweise wenig Geld – die Preisspanne solcher Services liegt dabei zwischen fünf bis 500 Euro – können Unternehmen damit die Website eines Konkurrenten lahmlegen lassen. Passiert ein solcher Angriff zu einer sensiblen Zeit mit vielen Kunden auf der Website des Angriffsziels, kann das zu erheblichen Umsatzeinbußen und einem Imageverlust führen.
Ergaunerte Zugangsdaten durch Phishing
Ob Facebook, Instagram, TikTok, Twitter oder das eigene Gmail-Konto – das Angebot an Social Media-Plattformen ist enorm und verleitet dazu das immer selbe (und möglichst leicht zu merkende) Passwort zu verwenden, um nicht die Übersicht zu verlieren. Doch Obacht, das birgt Gefahr. Das Angebot im Dark Net, Zugriff auf fremde Social Media-Konten zu erlangen ist groß. Für Hacker stellt eine solche Übernahme keine große Herausforderung dar – erst recht, wenn ihnen der Zugang durch schwache Passwörter leicht gemacht wird. Knapp 300 Euro kostet die Dienstleistung und nimmt keine 24 Stunden in Anspruch.
Was bei Social Media Konten geht, geht natürlich auch bei anderen Accounts – wie etwa Bankkonten, Treuekonten oder Plattformen fürs Online-Gaming. So werden im Dark Web nicht nur Dienste zur Übernahe von Social Media-Konten angeboten, sondern auch das Ausspähen von Personen mittels ihrer Bankkonten oder beispielsweise der Diebstahl von Treuepunkten. Ein üppig gefülltes Portemonnaie ist nicht von Nöten, um solche Dienste in Anspruch zu nehmen. Sie werden bereits im niedrigen dreistelligen Bereich bereitgestellt.
Eine solche Übernahme der eigenen Social Media Accounts oder sonstige Konten kann dabei nicht nur finanzielle Folgen haben. Emotionaler Stress und die Angst um die eigenen Daten oder der eigenen (online-)Identität sind weitere Faktoren, die zu Buche schlagen.
Ob Social Media-, Bank- oder Treuepunkte, die Zugangsdaten ergaunern Hacker sich zumeist mit Hilfe der Phishing-Methode. Dabei verschaffen sich Cyberkriminelle die Zugangsdaten der Opfer über gefälschte Webseiten, E-Mails oder Kurznachrichten, welche die Angaben von Login-Daten (wie E-Mail-Adresse und Passwort) verlangen. Die so erlangten Zugriffsdaten werden in Dark-Net-Foren als Massenlisten für nur wenige Cent angeboten. Verwendet ein Betroffener nun dieselbe Kombination aus E-Mail-Adresse und Passwort für mehrere Plattformen, können Kriminelle sich so einfach den Zugriff auf mehrere Konten verschaffen.
Spyware: Wenn das „Böse“ heimlich mithört
In den letzten Jahren machten zahlreiche Skandale und öffentliche Gerichtsverfahren Schlagzeilen, in denen Personen beschuldigt wurden, sich in die Telefone von Prominenten, Gesetzgebern oder gar Opfern von Verbrechen gehackt zu haben, um an brisante Informationen zu gelangen. Auch hier kommen oft professionelle Hacker ins Spiel, welche ihre Dienste im Dark Net anbieten, um im Auftrag von Dritten die Kontrolle über die Geräte zu übernehmen. Tief in die Tasche greifen müssen die Auftraggeber dafür keineswegs. Die Preise für solche Dienste bewegen sich für gewöhnlich auch hier im niedrigen dreistelligen Bereich.
Um an den Zugang zu den Telefonen der Opfer zu gelangen, verleiten die Angreifer diese dazu gefälschte Anwendungen zu installieren, auf infizierte Links zu klicken, oder auch hier mit der Phishing-Methode. Fällt das Opfer darauf rein, installieren die Täter Spyware (Keylogger und Trojaner) auf dem infizierten Gerät. Diese Art des Angriffs wird nicht nur zum Stehlen von Fotos oder abhören privater Nachrichten genutzt, auch Unternehmens-E-Mails können so gelesen oder Konto-Passwörter abgefangen werden. Eine besonders hohe Gefahr birgt daher das sogenannte “bring your own device” (BYOD) Prinzip in sich – welches vor allem von kleinen und mittleren Unternehmen angewandt wird –, da dadurch Mitarbeitende potenziell gefährdete Geräte für den Zugriff auf Unternehmensdaten verwenden.
Mit der richtigen Taktik für mehr Cybersicherheit sorgen
Die hier aufgezeigten Dienste sind nur einige der Beispiele für die wachsende Schattenwirtschaft, die auf dem CaaS-Model basieren. Angesichts der zunehmenden Medienpräsenz des Dark Webs, des leichteren Zugangs zu Kryptowährungen, oder der Tatsache, dass „Hacker“ sich immer stärker in der Pop-Kultur etablieren, ist das alles eine beunruhigende Entwicklung. Da mittlerweile jeder einen Tor-Browser herunterladen, ein Bitcoin-Wallet anlegen und dann innerhalb weniger Stunden Kriminelle rekrutieren kann, ist Vorbeugung immer die beste Medizin.
Die Tatsache, dass Cyberkriminalität jedoch meist billiger ist als Cybersicherheit, stellt für viele Unternehmen ein Hindernis dar, ausreichend Mittel für diese bereitzustellen – obwohl die Folgen für diese und ihren Ruf katastrophal sein können. In der modernen digitalen Welt ist die Bereitschaft zur Cybersicherheit für Unternehmen von zentraler Bedeutung, und ein sicherheitsorientierter Ansatz ist jetzt und in Zukunft für jeden Einzelnen unerlässlich.
Um sich und das eigene Unternehmen bestens vor solchen Cyber-Angriffen zu schützen ist eine kluge und umfassende Security-Strategie elementar. Zu einer solchen Strategie gehören die Aufklärung und das Wissen über potenzielle und aktuelle Cyberrisiken, ein umfangreiches Monitoring und Analysen, sowie geschulte Mitarbeiter.
Awareness, awareness und noch mal awareness!
Ein erster wichtiger Schritt zu mehr IT-Sicherheit ist eine erhöhte Security-Awareness bei den Mitarbeitenden – egal ob im Büro oder Remote. Oft haben es die Bedrohungsakteure auf die Mitarbeitenden abgesehen. Sie versuchen diese dazu zu bringen, vertrauliche Informationen wie Zugangsdaten preiszugeben, Schadsoftware herunterzuladen oder auf infizierte Links zu klicken. Proaktive und dauerhafte Awareness-Programme wie regemäßige Schulungen tragen dazu bei, die Sensibilität für das Thema IT-Sicherheit bei den Mitarbeitenden zu erhöhen, damit sie potenzielle Angriffe erkennen und richtig auf diese reagieren können.
Sicherheitsrisiko mobile Geräte
Im heutigen Arbeitsumfeld werden immer häufiger mobile Endgeräte wie Tablets oder Smartphones genutzt, um etwa unternehmenskritische Information abrufen zu können. Es ist unerlässlich diese Geräte und die sich darauf befindlichen geschäftskritischen Daten und Applikationen entsprechend zu schützen – erst recht, sollten die privaten Geräte der Mitarbeitenden genutzt werden.
Effektive Mittel zum Schutz der mobilen Geräte sind regelmäßige Updates der Sicherheits-Patches. Nicht gepatchten mobile Geräten, die versuchen auf das Unternehmensnetzwerk zuzugreifen, sollten im Gegenzug der Zugriff verweigert werden.
Vertrauen ist gut, Kontrolle ist besser!
Das Entstehen einer Schatten-IT kann sich zu einem erheblichen Geschäftsrisiko entwickeln. Über dieses ist sich die Unternehmensführung häufig nicht einmal bewusst. Solche Schatten-ITs entstehen, wenn Mitarbeitende nicht genehmigte Anwendungen auf ihren Arbeitsgeräten installieren. Da das IT-Team oft nicht einmal über diese Anwendungen informiert ist, kann die Sicherheit des Unternehmensnetzes in der Regel nicht gewährleistet werden.
Eine Schatten-IT wird verhindert, indem routinemäßige Asset-Management-Audits durchgeführt werden. Dabei werden die Sicherheitsnachweise aller von den Mitarbeitenden genutzten Dienste überprüft und die entfernt, die die Anforderungen des Unternehmens an Sicherheit, Datenintegrität und Datenschutz nicht erfüllen.
Regelmäßige Bewertung und Prüfung der Systeme
Heutige Netzwerke sind hochdynamische Umgebungen. Sie befinden sich in einem ständigen Wandel. Endgeräte, Software von Drittanbietern und Cloud-Ressourcen werden ständig mit dem Netzwerk verbunden und von diesem getrennt. Um dennoch die Sicherheit des Netzwerks zu gewährleisten, müssen Unternehmen die Lage ihrer Cybersicherheit regelmäßig testen und bewerten. Für diesen Zweck sollten Managed-Detection-and-Response- sowie Managed-Risk-Maßnahmen wie Security-Monitorings durchgeführt werden, bei denen Schwächen im Netzwerk gefunden, kritische Schwachstellen identifiziert und Informationen über interne und externe Bedrohungen ermittelt werden.
Entwicklung, Implementierung und Durchsetzung von Sicherheitsrichtlinien
Mit Hilfe von Sicherheitsrichtlinien werden Komponenten im Netzwerk kontrolliert, indem bestimmte Regeln durchgesetzt werden, welche sicherstellen, dass diese bestimmte Verhaltensstandards einhalten. So verhindern Kennwortrichtlinien etwa, dass Mitarbeitende schwache Passwörter verwenden. E-Mail- und Kommunikationsrichtlinien hindern Mitarbeitende daran, per E-Mail gesendete Dateien herunterzuladen, wodurch das Risiko von Phishing-Angriffen minimiert wird. Zugriffsmanagement und Zugriffskontrollrichtlinien sind derweil wichtig, um unbefugten Zugriff zu verhindern.
Fazit
Die Digitalisierung, Remote Work oder die Flut an Onlinediensten, die die sensiblen Daten der Nutzer speichern – all das erleichtert zum einen das Leben eines jeden, machen es Cyberkriminellen aber auch umso leichter. Die verschiedenen CaaS-Angebote öffnen diese Welt der Cyberkriminalität für jeden von uns, mit einem nur geringen finanziellen Aufwand unliebsame Personen und vor allem Konkurrenzunternehmen einen erheblichen Schaden zuzufügen. Unternehmen müssen daher mehr denn je darauf achten, ihre Netzwerke umfassend zu schützen. Sicherheitslücken müssen geschlossen, Angriffsversuche ausgiebig analysiert und vor allem die Mitarbeitenden umfassend und regelmäßig geschult werden. Werden diese Maßnahmen ergriffen, sind Unternehmen bestens gegen die hier aufgezählten CaaS-Angriffe gewappnet. Fehlen den Unternehmen die Ressourcen diese Maßnahmen alleine zu stemmen, ist die Zuhilfenahme von Security-Anbietern ratsam.
ist Area Vice President DACH bei Imperva.