2

Mit genügend Zeit, Geld, Aufwand und teilweise staatliche Unterstütung gelangen Cyberkriminelle fast immer an ihr Ziel.

Schaden durch Angriffe soll:

• minimiert werden

oder

• schnell ohne existenzielle Folgen behoben werden können.

Ziel: Widerstandsfähigkeit gegenüber Angriffen

Aktive Cyberabwehr: Verhindert Angriffe außerhalb der IT- Infrastruktur des Angegriffenen.

US-Justizministeríum schaltete russisches "Cyclops Blink” Botnet ab. —> laufende Angriffe und zukünftige Angriffe wurden verhindert.

Intrusiv- und nicht Intrusiv.

• Teil der Aktiven Cyaberabwehr

• zielen lediglich auf die Informationsgewinnung zur Identifikation von möglichen Zielsystemen und deren Schwachstellen (nicht offensiv)

• beeinträchtigen die IT-Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nicht

Bsp.: Portscans (Überprüfung auf Schwachstellen)

Angreifer soll geschädigt werden

—> Aufklärung und Wirkung sog. “Hack-Backs”

Bsp.: Übernahme der ANgreifer Infrastruktur und Zerstörung der Infrastruktur

1. Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, etc.

2. Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte.

3. Menschliche Fehlhandlungen: „Die größte Sicherheitslücke sitzt oft vor der Tastatur.“

4. Technisches Versagen: Systemabsturz, Plattencrash.

5. Vorsätzliche Handlungen: Hacker, Viren, Trojaner.

Unzureichende Software tests: Israel Mondlandung, Boeing 737 Max, Google+

Schadprogramm, das zur digitalen Erpressung genutzt wird.

—> Verbreitung oft per Mail

—> Laut BKA DIE Bedrohung für Unternehmen und öff. Einrichtungen

—> Verbreitung steigt, Lösegelder steigen, jedoch ist das Widerherstellen von daten oft noch teurer und nimmt viel zeit in Anspruch

—> In DE viele Angriffe auf Krankenhäuser, öff. Infrstruktur (Energeiversorger)

Informationen…

▪ … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen.

▪ … sollten deshalb - unabhängig von ihrer Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden.

Quelle: ISO/IEC 17799:2005, Einleitung

-> geordneter und effizienter Betrieb

-> Sicherheitsniveau messbar

-> Attraktiver für Sicherheitssensible Partner

-> versicherungen bevorzugen IT sicherere Unternehmen

1. Resignation, Fatalismus, Verdrängung

2. Kommunikationsprobleme

3. Sicherheit = nur technisches Problem (falsche Sichtweise)

4. Zielkonflikte: Sicherheit vs. Bequemlichkeit vs. Kosten

5. Unsystematisches Vorgehen/falsche Methodik

6. Management: Kein Interesse, schlechtes Vorbild

7. Sicherheitskonzepte nur für Experten → Benutzer werden vergessen

1. Konfusion im Notfall: Niemand weiß, was zu tun ist.

2. Lückenhafte Datensicherung: Unsichere Datenhaltung (z.B. auf Notebooks).

3. Fehlende Klassifizierung von Informationen: Keine klare Regelung für Verschlüsselung & Weitergabe.

4. Gefährliche Internetnutzung: Unsichere Verhaltensweisen ("Was alle machen, ist doch sicher").

5. Keine klaren Maßnahmen: Prozesse fehlen, Konsequenzen unklar oder unfair.

—> Dennoch hat der Stellenwert von It Sicherheit bei Top Unternehmen abgenommen.

Dirch Nachlässigkeit.

Keine Hackbacks, keine digitalen Vergeltungsangriffe,

Starfverfolgungsbehörden sollen dabie unterstützt werden, Starftaten zu vereiteln oder zu verhidern.

—> technische Maßnahmen, um Angriffe zu stoppen, oder proaktiv zu verhindern

1. Manipulation des Internetverkehrs (von/zum Angreifer) → Blockieren ohne Eindringen.

2. Übernahme/Abschalten von Angreifer-Netzwerk-Ressourcen → z.B. Botnetze lahmlegen.

3. Beseitigung von Schwachstellen & Schadsoftware auf Opfer-Ressourcen → Patchen & Bereinigung.

4. Eingriffe in vom Angreifer genutzte Ressourcen → z.B. Server, VMs, bewusst Schwachstellen einbauen.

5. KI & maschinelles Lernen → Ungewöhnliche Muster erkennen, Verschlüsselung nutzen.

6. „Weniger Aufwand – Mehr Schaden“ verhindern → Schwachstellen identifizieren, Mitarbeiter schulen.

IT-Grundschutz ist ein ganzheitlicher Ansatz zum Schutz von IT-Systemen. Er basiert auf:

• Typischen Abläufen und IT-Komponenten, die überall ähnlich sind. (Gefährudungen, Prozessen, Anwendungen)

• Wiederverwendbaren, anpassbaren und erweiterbaren Sicherheitsmaßnahmen.

• Betrachtung von technischen, organisatorischen, personellen und infrastrukturellen Aspekten.

1. Typische Abläufe und Komponenten betrachten: Server, Clients, Rechenzentren, Datenbanken sowie organisatorische, personelle und physische Infrastruktur.

2. Typische Schadensszenarien vorgeben: Zur Ermittlung des Schutzbedarfs.

3. Standard-Sicherheitsmaßnahmen empfehlen: Maßnahmen aus der Praxis, die einfach anwendbar sind.

4. Soll-Ist-Vergleich durchführen: Um den aktuellen Sicherheitsstatus zu bewerten.

Durch infrastrukturelle, organisatorische, personelle und

technische Standard-Sicherheitsmaßnahmenein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähigist.

(Ganzheitlicher Ansatz.)

Nein, oft unentdeckt, oft sehr verschiedenartig.

Anzahl gefährdeter Systeme ebenfalls schwer nachvollziehbar.

Sicherheitslücken sind nicht allen bekannt, jedoch ist das Internet sehr Missbrauchsanfällig.

“fehlende oder unzureichend umgesetzte Sicherehitsmaßnahme”

—> Fehler, der eine Sicherheitslücke öffnet

Software, die Schwachstellen anderer Systeme ausnutzt.

Exploit enthält Schadcode, die dem Angreifer im betroffenen System höhere Berechtigung verleiht/ihm Zugriff verleiht.

CVE-2010-2553:

• Schwachstelle: Software-Fehler im Media-Codec von Windows XP, Vista, 7 → ermöglicht Remote Code Execution.

• Exploit: Angreifer präpariert eine Media-Datei (z.B. Video) und schickt sie dem Opfer.

• Beim Abspielen wird eingeschmuggelter Code ausgeführt → z.B. Daten löschen (Schadcode).

Zusatz: CVE = Common Vulnerabilities and Exposure, Datenbank bekannter Schwachstellen.

Beispiel für technischen exploit.

SQL Injection = Einschleusen von schädlichem SQL-Code in ein ungeschütztes Eingabefeld, um die Datenbank zu manipulieren (z.B. Daten auslesen, löschen).

—> fehlende Überprüfung

• Buffer Overflow

• SQL Injection

• Code Injection

• Cross-Site Scripting

Exploit, für den es noch keine Updates/patches gibt —> Ist dem Hersteller/betreiber noch nicht bekannt

Ein Angriff ist der Prozess, bei dem ein Exploit genutzt wird, um eine Schwachstelle auszunutzen und:

• Zugriff auf ein Zielsystem zu erlangen,

• die Funktion zu stören oder das System zum Absturz zu bringen,

• Daten einzusehen, zu manipulieren oder zu löschen.

Malware (Malicious Software):

Oberbegriff für Schadsoftware wie Viren, Würmer, Trojaner, Ransomware.

Viren:

Schadcode, der sich an andere Programme hängt und sich beim Ausführen verbreitet.

Würmer:

Selbstständig verbreitende Malware über Netzwerkverbindungen, ohne Wirtsprogramm.

Resource Exhaustion Attack:

Überlastung der Hardware-Ressourcen (z. B. Ping Flood).

DoS (Denial-of-Service):

Störung der Verfügbarkeit eines Dienstes durch Überlastung.

DDoS (Distributed DoS):

DoS-Angriff mit vielen Angreifern, oft via Botnetz.

Spoofing:

Fälschen von Absenderadressen (IP, E-Mail) → Identität vortäuschen.

Trojaner:

Malware, die getarnt ist als nützliches Programm, aber im Hintergrund schädliche Funktionen hat.

Ransomware:

Malware, die Daten verschlüsselt und Lösegeld fordert.

Phishing:

Täuschung durch gefälschte Nachrichten und Websites, um Passwörter oder Daten zu stehlen.

Spear Phishing:

Gezieltes Phishing mit personalisierten Nachrichten (z. B. Name, Kollege vorgetäuscht).

• Eines der größten und gefährlichsten Botnetze weltweit.

• Verbreitet sich hauptsächlich über Phishing-Mails mit infizierten Excel- oder Word-Dokumenten.

• Die Anhänge enthalten Makros, die beim Öffnen die Emotet-Malware nachladen.

• Sobald infiziert:

  • Wartet Emotet auf Anweisungen vom Command-and-Control (C2)-Server.

  • Kann Nutzerdaten stehlen, Ransomware nachladen oder DDoS-Attacken ausführen.

• Besonders gefährlich: Verhält sich im System unauffällig und versteckt sich effektiv vor Schutzsoftware.

• Im Juni 2022 gestoppt, tauchte aber im November 2022 wieder auf.

Angriff auf Webseiten oder Webserver, bei dem der Inhalt der Seite manipuliert oder verändert wird.

—> Ziel: Das „Gesicht“ (engl. face) der Seite zu verändern (z.B. politische Botschaften, Hacker-Logos, Beleidigungen).

Mithören und Aufzeichnen des Datenverkehrs in einem Netzwerk. Ein Sniffer-Tool (z. B. Wireshark) sammelt alle Datenpakete, die durchs Netzwerk laufen.

Ziel:

• Analyse von Netzwerkdaten (ursprünglich für Diagnose),

• aber auch Abfangen sensibler Infos (Passwörter, Nachrichten) durch Angreifer möglich.

Eavesdropping = Abhören von Datenpaketen im Netzwerk, ohne Erlaubnis.

Der Angreifer verbindet sich mit dem Netzwerk und sammelt IP-Pakete, um vertrauliche Informationen (Passwörter, Identitätsdaten) zu stehlen.

Merkmale:

• Besonders effektiv bei unverschlüsseltem Verkehr (z. B. HTTP, unverschlüsselte E-Mails, Chats).

• Ähnlich wie Sniffing, aber immer böswillig und illegal.

Ausnutzung menschlicher Schwächen (z. B. Vertrauen, Hilfsbereitschaft), um an vertrauliche Informationen zu gelangen oder bestimmte Handlungen zu erzwingen.

1. Angreifer sammelt Infos über den Dienstleister (z. B. Mustermann GmbH ist Kunde).

1. Gefälschte E-Mail wird an Mitarbeiter der Mustermann GmbH geschickt.

2. Mitarbeiter hält E-Mail für echt.

3. Kontonummer für die Bezahlung wird geändert (auf Konto des Angreifers).

4. Mustermann GmbH überweist unwissentlich Geld an den Angreifer

1. Abhören (Sniffing, Eavesdropping)

2. Modifizieren übertragener Daten

3. Maskerade (Spoofing)

4. Sabotage (Denial of Service)

5. Unerlaubter Zugriff (Hacking)

Aktive Angriffe:

—> Verändern oder Stören von Daten und Systemen.

Beispiele:

• Modifizieren von Daten

• DoS/DDoS (Verfügbarkeitsangriff)

• Maskerade (Spoofing)

• Hacking

• Phishing

Passive Angriffe:

—> Lauschen und Beobachten, keine Veränderung.

Beispiele, unerlaubte Informationsbeschaffung:

• Sniffing

• Eavesdropping

• Analyse des Datenverkehrs

Man-in-the-Middle (MitM) Angriff:

—> Aktiver + passiver Angriff kombiniert!

Ablauf:

1. Abhören übertragener Daten (passiv): Angreifer liest Kommunikation mit (z. B. Passwörter).

2. Datenmanipulation (aktiv): Angreifer ändert Nachrichten, bevor sie das Ziel erreichen (z. B. Kontonummer austauschen).

→ Unterschiedliche Sicherheitsniveaus (mehere Clouds) + schnelle Einführung (Corona) = neue Schwachstellen.

1. Seit COVID-Krise: Angriffe auf Webanwendungen stark angestiegen.

2. Häufigste Angriffe:

   • Cross-Site-Scripting (XSS)

   • SQL Injection

   • Protokollmanipulation

   • Remote Code Execution

   • Remote File Inclusion

3. Problem: Besonders gefährlich für Institutionen mit wenig Ressourcen, da schwer abwehrbar.

Social Engineering – Techniken:

1. Ködern:

   • Ausnutzung von Neugier/Gier.

   • Verteilung von Geschenken mit Schadsoftware (z. B. USB-Sticks, Apps).

2. Pretexting:

   • Vortäuschen von Geschichten/Lügen.

   • Opfer wird zur Herausgabe von Infos gebracht (z. B. Enkeltrick, Katastrophenhilfe).

3. Reverse Social Engineering:

   • Angreifer bietet scheinbar Hilfe an → Vertrauen erschleichen.

4. CEO Fraud (Business E-Mail Compromise – BEC):

   • Betrüger gibt sich per E-Mail als CEO, Anwalt, Kunde aus.

   • Fordert sensible Informationen oder Überweisungen.

   • Opfer wird durch Recherche, APT-Angriffe, Kommunikation vorbereitet.

   • Schäden oft im Millionenbereich.

Nachrichten können besser verfasst werden —> hacker werden internetionaler.

Ablauf Web Server Hacken:

1. Informationen über den Webserver sammeln → IP-Adresse rausfinden.

2. Mit Google oder Bing nach Schwachstellen suchen → speziell nach SQP/PHP Schwachstellen schauen.

3. Ein Injection Tool benutzen → um den Hack vorzubereiten.

4. PHP Shell nutzen (z. B. icfdkshell) → um Kontrolle zu bekommen.

5. Wenn Schwachstelle gefunden: → Zugriff auf den Server verschaffen.

Technische Mängel, Menschliches Fehlverhalten, Organisatorische Mängel

• Spezifische Merkmale dieser Art von Kriminalität:

• Kein Tatort oder bestenfalls verteilte Tatorte

• Keine Fingerabdrücke

• Keine biologischen Spuren

• Keine Zeugen

• Keine Täterbeschreibung

• Kein Vandalismus (wie bei Einbrüchen)

• Einsatz von multifunktionalen Software-Tools (z.B. Trojaner, der nmap beinhaltet)