In Zeiten, in denen im Internet nur so mit persönlichen Daten um sich geschmissen wird, haben Hacker Hochkonjunktur. Es ist daher dringend notwendig, Menschen – und vor allem die Facebook-Generation – für den Umgang mit digitalen Informationen zu schulen. [...]
Cyberkriminelle setzen heutzutage zunehmend auf Malware, Bots und andere raffinierte Attacken, um Unternehmen anzugreifen. Dabei haben sie Kreditkartennummern, E-Mail-Kennwörter und Kontozugangsdaten im Visier, und immer häufiger wird Malware auch für die Verfolgung politischer Ziele eingesetzt. Unabhängig von der Motivation werden täglich neue Varianten von Malware generiert, die dann meist auf viele Websites und Unternehmen gleichzeitig angesetzt werden, um so die Wahrscheinlichkeit eines Initialerfolgs und der heimlichen, weiten Verbreitung der Schadsoftware zu erhöhen.
»Cyberkriminelle arbeiten nicht länger als isolierte Amateure«, sagt Christine Schönig, Technical Managerin bei Check Point. »Sie gehören strukturierten Organisationen an, die Hacker anheuern, um gezielte Attacken durchzuführen.« Viele dieser Hacker erhalten, je nach Region und Art der Attacke, beträchtliche Summen – Cybercrime ist Big Business geworden. Einige Gruppen weisen sogar Betriebsstrukturen auf, wie man sie von legitimen Unternehmen kennt und haben Beraterteams oder Projektmanager an Bord. Andere verfügen über Mitarbeiter mit Marketing-Know-how, die ihr Wissen für Angriffe über Social-Media-Plattformen nutzen.
In den meisten Fällen arbeiten dabei verschiedene Teams unabhängig voneinander, wobei es zentrale Figuren gibt, die die Operation als Ganzes überblicken, steuern und am Laufen halten. Andere arbeiten auf eigene Faust und vermieten zum Beispiel Teile von Botnets, die sie im Alleingang aufgebaut haben, oder verdienen Geld mit dem Aufdecken neuer Softwareschwachstellen und der Entwicklung entsprechender Angriffstools für andere Hacker. Abhängig von ihrer Funktionssicherheit und der Software, auf die sie abzielen, bringen solche Zero-Day-Angriffstools auf dem Schwarzmarkt Summen von 10.000 bis 500.000 Dollar ein. Um bereits 40 Dollar sind Toolkits zu haben, die auf die simple Tatsache setzen, dass die meisten Anwender nicht regelmäßig auf die jüngsten Softwareversionen aktualisieren. Sie nutzen – im Gegensatz zu Zero-Days – bereits länger bekannte Schwachstellen.
Doch ganz gleichgültig, ob alte Techniken oder modernste Angriffsmechanismen zum Einsatz kommen – die Objekte der Begierde sind immer brauchbare Daten. Dass diese zu haben sind, beweist ein Blick in die Regale der virtuellen Hacker-Shops: Dort liegen nebst Kreditkartendaten heutzutage auch Facebook-Logins oder E-Mail-Zugangsdaten zum Kauf bereit. Viele Banken verlangen inzwischen für die Verifikation von Online-Transaktionen verschiedene Authentifizierungen, so dass Angreifer mehr Informationen brauchen, um einen Account kompromittieren zu können. Cyberkriminelle erweitern dementsprechend ihr Betätigungsfeld und haben beispielsweise eine Malware entwickelt, die die IMEI-Nummer auf Mobiltelefonen abgreift. Mit dieser Nummer kann der Angreifer den Service Provider der betroffenen Person kontaktieren und zum Beispiel um das Zusenden einer neuen SIM-Karte bitten. Diese setzt der Hacker dann ein, um die Kommunikation zwischen der Bank und dem Kunden abzufangen, die ihm letztlich den Zugang zum Konto des Opfers verschafft.
Je mehr Informationen Angreifern zu ihrem Ziel zur Verfügung stehen, umso passgenauer ist die Attacke und umso höher ist die Wahrscheinlichkeit eines Erfolgs. Spear Fishing und andere Formen des Social Engineering zeigen, dass der Kampf gegen die Internetkriminalität nur gemeinsam mit denjenigen gewonnen werden kann, die mehr und mehr im Visier von unerwünschten Netzwerkeindringlingen stehen: den Mitarbeitern. Deren Aufklärung und Sensibilisierung für Warnzeichen, verdächtige E-Mails, ungewöhnliche Informationsanfragen und Reizworte, die dazu verleiten sollen, einen schadhaften Dateianhang zu öffnen, ist unerlässlich für den Schutz der Unternehmensdaten. (oli)
Be the first to comment