Autor: Jan Gisbertz

Kaum eine andere Form von Verbrechen gewinnt in den letzten Jahren so stark an Bedeutung wie die Cyberkriminalität. Die weltweiten Schäden belaufen sich laut Schätzungen mittlerweile auf rund sechs Billionen US-Dollar pro Jahr. Das entspricht dem gemeinsamen weltweiten Umsatz von Autoindustrie und Maschinenbau. Eine Trendwende ist nicht in Sicht. Sicherheitsbehörden wie das Bundeskriminalamt beobachten mit Sorge eine wachsende Professionalisierung der Täter:innen.

In Deutschland war schon fast jedes Unternehmen mindestens einmal Opfer von Cyberstraftaten. Knapp 90 Prozent waren es allein im Erhebungszeitraum 2020/21, schätzt der ITK-Fachverband Bitkom. Als „angespannt bis kritisch“ bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die gegenwärtige IT-Sicherheitslage in seinem Lagebericht für Deutschland. Teilweise gelte bereits „Alarmstufe Rot“, warnte dessen Chef Arne Schönbohm.

Die Corona-Pandemie erweise sich dabei als Wachstumsbeschleuniger für Online-Straftaten aller Art. Die enorme Zunahme der Arbeit im Homeoffice bringe ganz neue Herausforderungen für die Informationssicherheit, so das BSI.

Wie steht es vor diesem Hintergrund um die Gefahren in Ihrem Unternehmen? Sind Ihnen die neuesten Tricks der Cyberkriminellen bekannt – und können Sie Ihre Mitarbeitenden und Ihre Unternehmenswerte wirksam davor schützen?

Was ist Cyberkriminalität?

Sicherheitsexpert:innen unterscheiden zwischen zwei Formen der Cyberkriminalität. Als „Cybercrime im engeren Sinne“ gelten alle Straftaten, die sich gegen das Internet und dessen Infrastruktur selbst richten; oder die die darin gespeicherten Daten vernichten oder ausspionieren sollen. Verantwortlich dafür sind meist hochspezialisierte Hacker:innen.

Manche von ihnen arbeiten im Auftrag von Geheimdiensten oder Terrororganisationen. Ihre Aufgabe: Im Fall eines Krieges oder weltweiter Krisen die gegnerischen Kommunikationsnetze abschalten und so Verwirrung stiften.

Andere Täter:innen stehen in den Diensten konkurrierender Unternehmen oder gänzlich unbekannter Auftraggeber:innen. Cyberkriminalität im engeren Sinne macht allerdings nur den kleineren Teil der Online-Straftaten aus.

Die Definition „Cyberkriminalität im weiteren Sinne“ umfasst alle Verbrechen, die die Informationstechnik lediglich als Werkzeug nutzen. Die Bandbreite reicht von der sogenannten Phishing-Attacke per Massen-Mailing über den Betrug im Online-Handel bis hin zum gezielten Plündern von Onlinebanking-Konten.

So vielfältig wie die Art der Straftaten sind auch die Profile der Täter:innen. Es gibt versierte Einzelpersonen, die durch das Auffinden bisher unbekannter Sicherheitslücken Millionenbeträge aus digitalen Geldbörsen stehlen. Daneben sind aber auch viele technische Laien aktiv. Sie haben eher simple „Geschäftsmodelle“ und suchen nach leichten Opfern im Internet, denen sie beispielsweise Trojaner-Software unterschieben oder mit fingierten Online-Shops Waren verkaufen, die es nicht gibt.

Wie funktioniert Cybercrime in der Praxis?

Längst ist Cyberkriminalität ein hochprofessionelles Geschäftsmodell geworden: Zwar gibt es immer noch einzelne Hacker:innen, die keine finanziellen Interessen haben und lediglich in ihrer Szene bekannt werden möchten. Sie genießen den „Kick“ beim Eindringen in fremde Netze oder bei der Verbreitung ihrer Viren und schlagen daraus keinen Gewinn. Manche von ihnen haben auch politische Ziele und veröffentlichen zum Beispiel vertrauliche Gesprächsverläufe aus sozialen Netzwerken politisch Andersdenkender, um diese Gruppen zu diskreditieren.

Doch damit sind sie nur eine Minderheit unter den Cyber-Straftätern. Die meisten Formen von Cybercrime zielen auf den Diebstahl von Geld oder Daten. Viele Angriffe richten sich gegen Unternehmenswerte. Aber auch Privatpersonen stehen zunehmend im Fokus der Straftäter:innen oder sind bei Attacken auf Unternehmen indirekt betroffen – beispielsweise beim Diebstahl von Kund:innen- oder Kreditkartendaten aus Firmennetzen.

So arbeiten Cyberkriminelle

Sieht man von den wenigen Einzeltäter:innen ab, arbeiten die meisten Cyberkriminellen heute stark arbeitsteilig: Es gibt beispielsweise Programmier:innen, die ihre Schadsoftware über das sogenannte Darknet vertreiben. Das Darknet ist ein Bereich des Internet,  den Sicherheitsbehörden nur schwer kontrollieren können.Zugleich ist es der weltweit größte Handelsplatz für illegale Software.

Andere Straftäter:innen kaufen wiederum diese Programme, um mit ihnen in Firmennetze oder private Computer einzudringen und dort Daten auszuspionieren. Sie sammeln zum Beispiel gestohlene Kreditkartendaten  und verkaufen oder versteigern sie im Darknet in großer Zahl.

Die Käufer:innen tätigen dann mit den Kreditkartendaten möglichst schnell möglichst viele Einkäufe, bevor die rechtmäßigen Besitzer:innen  ihre Karten sperren .

Auf diese Weise ist die Cyberkriminalität zur arbeitsteiligen Wertschöpfungskette geworden, in der alle Beteiligten hochspezialisiert agieren. Nur so gelingt ihnen der immer schnellere Wettlauf gegen Hersteller von Antivirenprogrammen und gegen Strafverfolgungsbehörden. Denn diese sind bemüht, entstehende Sicherheitslücken möglichst schnell zu schließen und Sicherheitsmechanismen laufend zu verbessern.

Diese unterschiedlichen Formen von Internetkriminalität gibt es

Die vielen Arten von Cyberkriminalität lassen sich unter mehreren Oberbegriffen zusammenfassen. Expert:innen unterscheiden zwischen den nachfolgenden Cybercrime-Typen.

Cyber Extortion (Erpressung via Internet)

Der Begriff Cyber Extortion (zu deutsch etwa: Cyber-Erpressung) beschreibt alle Formen von digitaler Erpressung. Hacker:innen übernehmen beispielsweise die Kontrolle über Firmen-Netzwerke, Firmen-Websites oder sensible Unternehmensdaten und verlangen ein Lösegeld für deren Herausgabe.

Besonders verbreitet ist die Erpressung mit sogenannter Ransomware (Lösegeld-Software). Gelangt ein solches Programm auf einen Computer, verschlüsselt es alle darauf gespeicherten Daten mit einem starken Algorithmus. Anschließend verlangt die Software die Überweisung eines hohen Lösegeldes auf ein anonymes Konto im Ausland. Im Gegenzug soll das Opfer dann das Passwort für die Entschlüsselung der eigenen Daten erhalten.

Aber auch andere Formen von Cyber Extortion sind bekannt und verbreitet: Im Mai 2021 brachten Hacker:innen beispielsweise die Infrastruktur einer Öl-Pipeline in den USA unter ihre Kontrolle und erpressten von ihrem Betreiber ein Lösegeld in Millionenhöhe.

Eine weitere Form von Erpressung ist das gezielte Lahmlegen von Firmen-Infrastruktur oder -Websites durch sogenannte DDoS-Attacken. Die Abkürzung DDoS steht für Distributed-Denial-of-Service (auf deutsch etwa: Verteilter Angriff zur Dienstverweigerung). Hierbei senden hunderttausende global verteilte Computer über das Internet pausenlos Daten-Abfragen an die Opfer-Website und lassen sie so unter der Masse der Anfragen zusammenbrechen. Erst nach Zahlung eines Lösegeldes werden die Abfragen beendet, sodass die Website wieder normal erreichbar ist.

Im Unterschied zu vielen anderen Formen von Cyber Extortion müssen Hacker:innen bei einer DDoS-Attacke nicht einmal in das betroffene Unternehmens-Netzwerk einbrechen. Die Website wird einfach von außen über das Internet angegriffen und lahmgelegt.

Cyber-Spionage

Die Cyber-Spionage zielt meist auf den Diebstahl von Unternehmensdaten. Privatpersonen stehen eher selten im Visier der Hacker. Opfer sind aber keineswegs nur Großunternehmen aus der Luftfahrt-, Automobil- oder Rüstungsindustrie. So warnt etwa der Verfassungsschutz Baden-Württemberg: „Gerade kleine und mittlere Unternehmen sind immer wieder von Know-how-Abfluss durch Cyberspionage betroffen.“

Dabei sei von einer hohen Dunkelziffer auszugehen, weil entstandene Schäden nicht immer sofort ersichtlich seien. Auch Politik und Verwaltung sind alarmiert: Immer wieder gibt es Angriffe von ausländischen Nachrichtendiensten oder Hackergruppen die versuchen, an geheime politische Informationen zu gelangen.

So hatten 2020 mutmaßlich russische Täter:innen eine Software des Windanlagenherstellers Solar Winds gehackt. Rund 300.000 Kunden setzen diese Software ein, darunter auch viele US-Ministerien und andere Behörden. Im Dezember desselben Jahres stahlen Unbekannte bei einer Cyberattacke auf die Europäische Arzneimittelbehörde (EMA) Informationen zum Corona-Impfstoff der Firmen Biontech und Pfizer.

Identitätsdiebstahl

Besonders Privatpersonen sind häufig Ziel von Identitätsdiebstahl. Die Täter:innen nutzen hierbei Namen, Adresse oder Bankverbindung ihrer unwissenden Opfer, um damit Waren im Internet zu kaufen oder zu verkaufen.

Diese Waren oder die damit erzielten Verkaufserlöse leiten die Täter:innen dann zu sich um. Die Opfer bemerken den Identitätsdiebstahl meist erst, wenn ihr eigenes Konto beim Online-Kaufhaus oder der Kreditkartengesellschaft gesperrt wurde; oder wenn sie E-Mail-Anfragen von getäuschten Käufern erhalten, denen sie angeblich Waren verkauft haben sollen.

Die Straftat ist eng verwandt mit dem E-Mail-Spoofing, bei dem Verbrecher die Identität von Dritten annehmen, um sich als vertrauenswürdige Personen auszugeben. Spoofer treten beispielsweise als Behördenvertreter oder Strafermittler auf und fordern per E-Mail von Ihnen Gebühren oder die Herausgabe von sensiblen Unternehmensdaten.

Kryptojacking

Das Kryptojacking ist eine noch sehr junge Form der Internetkriminalität. Es basiert darauf, dass bestimmte Krypto-Währungen wie der Bitcoin nicht von Banken ausgegeben, sondern über komplexe Rechenprozesse erschaffen werden. Dieser Vorgang wird auch als Bitcoin Mining bezeichnet.

Je mehr Rechenleistung einzelnen Nutzer:innen zur Verfügung steht, desto schneller können sie damit neue Bitcoins kreieren und mit deren Weiterverkauf reales Geld verdienen. Hacker:innen nutzen deshalb gerne Rechenkapazitäten von fremden Computern, die sie hierfür über das Internet  kapern.

Dieses Kapern wird auch als Kryptojacking bezeichnet. In der Regel merken die Besitzer der gekaperten Computer nicht, dass ihre Rechner heimlich für Dritte arbeiten, weil die Kaper-Programme gut getarnt sind. Allerdings werden die gekaperten Rechner hierdurch meist deutlich langsamer.

Das Kryptojacking ist eng verwandt mit dem schon länger verbreiteten Kapern von Computern für sogenannte Botnets. Solche Netzwerke aus mitunter vielen tausend oder zehntausend befallenen „Zombie“-Rechnern werden beispielsweise für DDoS-Attacken genutzt. Auch hier haben es die Verbrecher also auf fremde Rechenleistung abgesehen, die sie für eigene Zwecke missbrauchen.

Kryptophishing

Seitdem einige Krypto-Währungen wie Bitcoin oder Ethereum in den letzten Jahren stark an Wert gewonnen haben, wird auch der Diebstahl von virtuellen Währungen für Hacker:innen immer lukrativer. Entsprechende Krypto-Diebe sind meist hoch spezialisiert und nutzen gezielt Schwächen der jeweiligen Währungen aus. Jede auf einer Blockchain basierende Krypto-Währung ist technisch etwa anders aufgebaut und gegen Diebstahl auch anders abgesichert. Hier einige Beispiele für diese Form von Cyberkriminalität:

Im März 2022 stahlen Hacker:innen Krypto-Geld von der Online-Spieleplattform Axie, wo nichts ahnende Nutzer:innen Spieleinsätze hinterlegt hatten. Erst als Spieler:innen sich ihre dort deponierten Gelder zurück überweisen wollten, fiel der Diebstahl auf. Der Gesamtschaden könnte sich auf mehrere hundert Millionen US-Dollar summieren.

Einen Monat später überfielen Hacker:innen die Kryptowährungs-Börse Beanstalk. Ihr Vorgehen war so simpel wie trickreich: Alle Inhaber:innen des dort gehandelteten Kryptogeldes Bean dürfen entsprechend zu ihrer Menge an gehaltenen Bean-Münzen auch anteilig über die Handelsregeln der Krypto-Börse mitentscheiden. Die Hacker:innen nahmen deshalb für gerade einmal 13 Sekunden einen Milliarden-Kredit auf und erwarben damit zwei Drittel der Handelsplattform. Dann nutzten sie die so erlangte Stimmenmehrheit, um sich alle dort gehandelten Bean-Münzen kurzerhand auf ihr eigenes Konto zu überweisen. Nach Rückzahlung der Kreditzinsen brachte ihnen der Diebstahl einen Reingewinn von umgerechnet mehr als 80 Millionen US-Dollar ein.

Aber nicht nur Krypto-Börsen, sondern auch einzelne Inhaber von Krypto-Wallets (zu deutsch: virtuellen Geldbörsen), werden immer öfter Opfer von Phishing-Mails. In diesen E-Mails werden beispielsweise kostenlose Krypto-Münzen versprochen, sofern sich der oder die Mail-Empfänger:in auf einer bestimmten Website registriert. Natürlich verbirgt sich auch dahinter meist nur der Versuch, persönliche Daten der Wallet-Inhaber:innen zu „phishen“, um so das Krypto-Geld zu stehlen.

Auch Unternehmen können vom Kryptophishing betroffen sein. Denn immer mehr Firmen besitzen ein Krypto-Wallet, weil zum Beispiel bestimmte Online-Angebote wie Blockchain-Domains nur noch in Krypto-Währung bezahlt werden können.

Einsatz von Malware

Der Begriff Malware umfasst alle Formen von Schadsoftware. Hierzu gehören Viren und Würmer, die Computer befallen, aber meistens nur lästig sind und sich leicht mit der entsprechenden Antiviren-Software entfernen lassen. Aber auch Spionage-Software, Ransomware und Scareware gehören dazu. Letztere soll Anwender:innen einen angeblichen Virenbefall ihres Computers vorgaukeln und zum Kauf eines ganz bestimmten Antivirenprogrammes animieren. Dieses überteuerte Antiviren-Programm stammt dann meist von denselben Programmier:innen wie die Scareware.

Social Engineering

Das Social Engineering kommt ganz ohne Malware aus. Hierbei eignen sich Hacker:innen vielmehr die Identität von anderen Personen an und nehmen dann telefonisch oder per E-Mail Kontakt zu ihren Opfern auf. Die Täter:innen geben sich beispielsweise als Führungskraft des jeweiligen Unternehmens aus und fordern Mitarbeitende aus der Buchhaltung dazu auf, größere Geldbeträge von einem Firmenkonto an einen angeblichen Kunden im Ausland zu überweisen. Ist das Geld einmal überwiesen, heben sie es sofort ab und schließen das Konto.

Es gibt sogar Fälle, in denen Täter:innen mittels sogenannter Deepfake-Software die Stimmen der jeweiligen Führungskräfte erfolgreich nachgeahmt hatten. Expert:innen befürchten, dass bald auch Social Engineering per Deepfake-Videoanruf möglich ist.

Denn schon heute können entsprechende Programme dank künstlicher Intelligenz sogar das Videobild anderer Personentäuschend echt nachmachen. Bereits ein paar Stunden Videomaterial mit dem Gesicht eines echten Menschen reichen aus, um eine digitale Kopie von dieser Person zu erzeugen. Anschließend sagt diese im Video alles, was Hacker:innen ihr vorgeben.

So gehen Behörden gegen Internetkriminelle vor

In Deutschland sind die Polizeibehörden der einzelnen Bundesländer zuständig für die Ermittlungsarbeit und die Verfolgung von Cyberkriminalität.  Viele haben für betroffene Unternehmen jeweils eine sogenannte Zentrale Ansprechstelle Cybercrime (ZAC) eingerichtet. Diese ist sowohl beratend als auch strafverfolgend tätig. Sie ist in der Regel bei dem jeweiligen Landeskriminalamt angesiedelt.

Sie möchten bei der Polizei Cyberkriminalität melden oder Strafanzeige erstatten? Die jeweilige ZAC in Ihrem Bundesland ist auch Ihr erster Ansprechpartner. Sie suchen Unterstützung und Beratung zu Präventionsmaßnahmen in Ihrem Unternehmen? Auch hier bieten die einzelnen ZAC Hilfe an.

Auf nationaler Ebene ist das Bundeskriminalamt (BKA) für die Bekämpfung von Cybercrime zuständig. Es koordiniert zwischen den Polizeien der Länder, stellt Werkzeuge für die Kriminalitätsbekämpfung zur Verfügung und ist Bindeglied für die internationale Zusammenarbeit. Das BKA ermittelt außerdem, wenn beispielsweise Behörden oder Einrichtungen des Bundes oder wichtige Infrastruktur von nationaler Bedeutung durch Cyber-Attacken betroffen sind.

Das Bundesamt für Sicherheit berät Behörden in Sicherheitsfragen und bei möglichen Cybercrime-Angriffen. Hier ist seit 2011 auch das Nationale Cyber-Abwehrzentrum (Cyber-AZ) angesiedelt, das elektronische Angriffe auf die IT-Infrastrukturen von Behördenund privaten Unternehmen abwehren soll. Daher laufen hier auch Meldungen zu Cyber-Attacken auf kritische Infrastrukturen zusammen.

Erweiterte Meldepflichten

Mit dem IT-Sicherheitsgesetz von 2015 hat der Bundestag außerdem Mindestanforderungen und Meldepflichten für Betreiber kritischer Infrastrukturen eingeführt. Zu den kritischen Infrastrukturen gehören die Bereiche:

• Energie
• Wasser
• Ernährung
• Informations- und Kommunikationstechnik
• Transport und Verkehr
• Gesundheit
• Finanz- und Versicherungswesen

Unternehmen, die entsprechende Infrastrukturen betreiben, unterliegen daher besonderen Sorgfalts- und Meldepflichten. Sie müssen jegliche Verdachtsfälle von Hacking oder anderen Formen von Cyberkriminalität unverzüglich den Behörden melden.

Unternehmen und Regierungen bleiben beliebte Angriffspunkte für Cyberkriminalität

Wenn wegen einer einzigen E-Mail mit Malware oder missachteter Smartphone-Sicherheit ganze Unternehmensnetze zusammenbrechen und Produktionsanlagen stillstehen, entstehen schnell Millionenschäden.

So fiel beim Navigations- und Fitnessgeräte-Hersteller Garmin Ende Juli 2020 das Firmennetz aus, nachdem die Ransomware Wastedlocker zentrale Komponenten blockiert hatte. Nach Schätzungen von Expert:innen soll das Unternehmen bis zu 10 Millionen US-Dollar Lösegeld für die Wiedererlangung seiner Zugriffsrechte und Firmendaten gezahlt haben.

Einer der erfolgreichsten Trojaner ist die Software Emotet, die seit 2014 immer wieder in E-Mail-Anhängen gefunden wird. Einmal installiert, betätigt sich das Programm zugleich auch als Türöffner für andere Schadprogramme, etwa Ransomware. Allein in Deutschland soll Emotet schon Schäden von rund 15 Millionen Euro verursacht haben. Dabei ist von einer hohen Dunkelziffer und vielen nicht gemeldeten Schadensfällen auszugehen. Zwar gelang Sicherheitsbehörden wie dem BKA 2021 ein empfindlicher Schlag gegen ein Emotet-Botnet. Doch seitdem nimmt die Zahl der Emotet-Diagnosen wieder zu.

Ausfall von Satellitennetzen

Viel Aufsehen erregte der Ausfall von Teilen des Satellitenkommunikationsnetzes Viasat in Europa zu Beginn des Ukraine-Krieges im Februar 2022. Schuld war möglicherweise ein Update, das einem Teil der Viasat-Kunden zur Verfügung gestellt worden war. Experten vermuten, dass dieses Update Schadcode russischer Hacker:innen enthielt.

In Deutschland sorgte der Ausfall auch deshalb für Aufsehen, weil mindestens 3.000 einheimische Windräder über das Satellitennetz mit ihren Betriebszentralen kommunizieren und darüber ferngewartet werden. Auch sie waren plötzlich nicht mehr erreichbar.

Selbst kritische Infrastruktur wie Krankenhäuser und Behörden wurden schon wiederholt Opfer von Trojanern und Ransomware. Im Sommer 2015 traf es den Deutschen Bundestag; im Herbst 2019 fiel das Kammergericht Berlin wochenlang aus, weil die IT gehackt war. Dabei unterliegen staatliche Einrichtungen erhöhten Sicherheitsauflagen und müssen ihre Netze besonders schützen. Die Beispiele zeigen, welche massiven Schäden Cyberkriminalität verursachen kann – selbst in besonders abgesicherten Netzen.

So schützen Sie sich vor Cyberkriminalität

Viele Angriffe von Cyberkriminellen sind ungerichtet, haben also kein bestimmtes Ziel im Visier. Sie nutzen bekannte Lücken in Betriebssystemen und Anwendungsprogrammen. Die meisten Straftaten sind darüber hinaus nur dank einfachster Anwendungsfehler möglich – wie etwa durch das Öffnen vermeintlich sicherer E-Mail-Anhänge. Wenn Sie die Grundlagen des Eigenschutzes beachten, können Sie den größten Teil der Attacken bereits wirksam abwehren. Wenn Sie außerdem auf umfassenden Ransomware-Schutz im Unternehmen achten, sind Sie auch gegen viele zielgerichtete Angriffe geschützt.

In Ihrem Unternehmen sollten Sie darüber hinaus regelmäßig Cyber-Schulungen für alle Mitarbeitenden anbieten, beispielsweise zu den Themen Gehackt – was tun? oder Phishing erkennen und verhindern. So vertiefen Sie die wichtigsten Sicherheitsregeln und sensibiliseren alle Beteiligten für mögliche Risiken.

Grundlagen des Eigenschutzes gegen Cyberkriminalität

• Sicherheitsupdates zeitnah installieren
• Aktuelle Antiviren-Software installieren
• Passwortrichtlinien einhalten und regelmäßig Passwort wechseln
• Keine Mailanhänge unbekannter Herkunft öffnen
• Keine Links in E-Mails anklicken
• Vorsicht bei der Weitergabe persönlicher Informationen
• Keine öffentlichen WLAN-Netze ohne VPN nutzen
• Bei Malware-Verdacht unverzüglich fachliche
  Hilfe holen
• Zwei-Faktor-Authentifizierung verwenden, wo sie angeboten wird
• Firewall niemals deaktivieren

Cyberkriminalität: Eigene Hacker:innen als Schutz vor Internetkriminalität

Die Szene der Hacker:innen ist vielfältig. Unterschieden wird dabei vor allem zwischen drei Gruppen: Sogenannte Black-Hat-Hacker:innen sind kriminell. Sie stehlen Daten im Internet, programmieren und verbreiten aggressive Viren oder legen ganze Netze lahm. Ihr Geld verdienen sie zum Beispiel mit Internet-Erpressung und dem Verkauf von gestohlenen Daten oder Malware im Darknet.

Ihnen gegenüber stehen die White-Hat-Hacker:innen. Diese suchen ebenfalls gezielt in Netzwerken und Programmen nach potenziellen Lücken. Doch sie nutzen diese Programmfehler nicht zu ihrem persönlichen Vorteil aus. Sie warnen stattdessen die Softwarehersteller oder deren betroffene Kunden. So haben diese Unternehmen Gelegenheit, Programmfehler und -lücken zu beseitigen, bevor Black-Hat-Hacker:innen hiervon erfahren.

Eine dritte Hacker-Gruppe sind die Grey-Hat-Hacker:innen, die sich zwischen den beiden erstgenannten Gruppen bewegen. Sie decken ebenfalls Sicherheitslücken auf. Dazu dringen sie aber auch schon mal heimlich in Firmennetze ein und verlangen anschließend ein Honorar für das Aufdecken von Sicherheitslücken. Erhalten sie dieses nicht, drohen sie mit einer sofortigen Veröffentlichung der Lücke, sodass Black-Hat-Hacker:innen diese nutzen könnten. Manche Grey-Hat-Hacker:innen haben zusätzlich eine politische Agenda und beteiligen sich zum Beispiel an Attacken auf bestimmte Institutionen oder Parteien.

Größere Unternehmen beauftragen häufig White-Hat-Hacker:innen damit, Fehler und geheime Hintertüren in ihren eigenen Netzen zu suchen. So verhindern sie im besten Fall, dass Black-Hat-Hacker:innen diese Einfallstore zuerst entdecken.

Darknet: Die Börse für Cyberkriminalität

Im Zentrum der Cyberkriminalität steht häufig das sogenannte Darknet. In diesem versteckten Teil des Internet blüht der Handel mit gestohlenen Daten, mit Bauanleitungen für das Erstellen eigener Malware und mit anderen illegalen Waren und Dienstleistungen.

Über gewöhnliche Suchmaschinen ist das Darknet nicht zu finden. Der Zugriff erfolgt über vertraulich weitergegebene Zugänge zu Servern, die nicht indiziert, also für Dritte nicht sichtbar sind. Die Nutzer und Betreiber von Darknet-Inhalten verwenden ihrerseits zahlreiche Anonymisierungs- und Verschlüsselungsverfahren. Es gibt daher keine für Nutzer sichtbaren Verbindungen zwischen den vielen einzelnen Servern und Inhalten des Darknet. Wer im Darknet unterwegs ist, sieht immer nur kleine Teile des Schattennetzes.

Ein baldiges Abschalten dieser dunklen Seite des Internet ist nicht zu erwarten. Die Server werden sorgfältig versteckt und verteilt auf der ganzen Welt betrieben. Nur gelegentlich kommt es zu Fahndungserfolgen wie 2019, als Fahnder des Landeskriminalamtes Rheinland-Pfalz ein verstecktes Darknet-Rechenzentrum in einem Bunker aushoben.

Das Darknet wird also auch in Zukunft Cyberkriminelle mit Malware und nützlichen Tipps für den Diebstahl von Unternehmenswerten versorgen. Der beste Schutz dagegen sind Wachsamkeit und eine Cyberschutz-Strategie für Ihr Unternehmen, die immer auf dem aktuellen Sicherheitsstand ist.

Cyberkriminalität kurz zusammengefasst

• Cyberkriminalität ist sehr vielfältig. Es gibt Cyberkriminalität im engeren Sinne, die sich gegen Netze und Infrastrukturen richtet. Cybercrime im weiteren Sinne ist ein häufiges Problem: Hierbei wird das Netz als Werkzeug für Straftaten genutzt.
• Die Bandbreite bei der Cyberkriminalität reicht von der Erpressung über Datendiebstahl bis hin zur Industriespionage und –sabotage.
• Unternehmen, die wichtige Infrastrukturen betreiben, unterliegen besonderen Meldepflichten. Auch sie sind regelmäßig Opfer von Cyber-Attacken.
• Schon das Öffnen eines einzigen E-Mail-Anhanges mit Malware kann Millionenschäden verursachen. Daher sollten Sie Ihre Mitarbeiter:innen regelmäßig zum Thema Cybersicherheit schulen.
• Gegen viele Formen ungerichteter Cyberkriminalität reichen bereits einfache Sicherheitsmaßnahmen.
• Jedes Unternehmen sollte eine Cyberschutz-Strategie haben und sich regelmäßig über aktuelle Risiken informieren.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/cyberkriminalitaet-so-gelingt-wirksamer-schutz-fuer-ihr-unternehmen/

Mühelos gelangen die Hacker:innen in das Firmennetz: Die schon länger nicht mehr aktualisierte Firewall ist löchrig wie ein Schweizer Käse. Und dank Insider-Informationen einer unlängst gekündigten Mitarbeiterin ist auch die Buchhaltungssoftware schnell geknackt. Mit ungläubigem Staunen muss die Geschäftsführung mit ansehen, wie in Sekunden Millionenbeträge vom Firmenkonto ins Ausland überwiesen werden.

Glück gehabt: Der Millionendiebstahl war nur eine Übung und die Attacke das Werk von versierten Sicherheitsspezialist:innen im Auftrag des Unternehmens selbst. Kein Cent ist wirklich auf Auslandskonten gelandet – obwohl es leicht möglich gewesen wäre.

Weil die Gefahr von Hackingangriffen weltweit steigt, verlassen sich Immer mehr Firmen und Organisationen nicht mehr allein auf standardisierte Testprogramme oder die grüne Ampel im Anzeigefenster ihrer Firewall.

Viele Unternehmen unterziehen ihre Systeme mittlerweile regelrechten Stresstests, bei denen Sicherheitsexpert:innen die Hard- und Software kreativ und mit allen zur Verfügung stehenden Hacking-Werkzeugen angreifen. Genauso, wie es auch echte Cyberkriminelle machen würden.

Das Besondere dabei: Die Expert:innen testen die Unternehmen als Ganzes. Pentests decken beispielsweise Schwachstellen in den Sicherheitsschulungen der Mitarbeitenden auf – oder Angriffspunkte im firmeneigenen Internet of Things. Am Ende wird dann Bilanz gezogen: Wo besteht dringender Nachbesserungsbedarf? Wo könnten schon morgen echte Hacker:innen die Firmenkonten plündern? Und mit welchen Mitteln und Prozessen lassen sich Sicherheitsprobleme in Zukunft beheben, noch bevor sie das Unternehmensnetz überhaupt gefährden?

Was ist ein Penetrationstest?

Das „Penetration Testing” (Englisch für Eindringtest oder Durchbruchstest) ist der Versuch, in geschützte IT-Systeme einzubrechen, um Schwachstellen dieser Strukturen und ihrer Sicherheitsarchitektur aufzudecken. Häufig wird anstelle der Begriffe Penetration Testing und Penetrationstest die Kurzform Pentest verwendet. Auch der Begriff des White-Hat-Hackings ist hier gebräuchlich. Denn White-Hat-Hacker:innen richten im Unterschied zu Black-Hat-Hacker:innen keinen Schaden an, sondern decken Sicherheitsrisiken auf.

In der Regel beauftragt das Unternehmen einen Pentest für seine IT-Systeme. Entsprechend hierfür ausgebildete Sicherheitsexpert:innen führen den Pentest dann durch. Ein Penetrationstest besteht aus einem ganzen Bündel von Eindringversuchen in die IT-Architektur. Jeder einzelne Versuch basiert dabei auf anderen Voraussetzungen und anderen Kenntnissen über die vorhandene Hard- und Software.

Im Unterschied zu einem einfachen automatisierten Vulnerability Scan folgt ein Pentest keinem immergleichen Algorithmus. Die Sicherheitsexpert:innen sammeln im Testverlauf alle erreichbaren Daten über das anzugreifende System. Für jeden einzelnen Testschritt nutzen sie das Wissen, das sie bei vorherigen Testschritten gewonnen haben, um darauf aufbauend gezielt nach Lücken in der Sicherheitsarchitektur zu suchen. Dadurch ist ein Pentest einer typischen manuellen Hackingattacke sehr viel ähnlicher als ein simpler Vulnerability Scan. Gleichwohl kann ein Vulnerability Scan Bestandteil eines Pentests sein.

Jeder Pentest ist außerdem holistisch angelegt. Er betrachtet nicht nur isoliert Internetzugänge, Arbeitsplatzrecher, Speichersysteme und Server, sondern das gesamte Unternehmensnetzwerk und dessen Anwender:innen. Dazu gehören auch die Mitarbeitenden und ihr Umgang mit Passwörtern, ferner die Schnittstellen zu Geschäftspartner:innen und Kund:innen sowie die gesamte Technik im Unternehmen, soweit sie für Cyberattacken in irgendeiner Form missbraucht werden könnte. Somit finden Pentests auch solche Sicherheitslücken, die einzeln harmlos sind, aber in Kombination mit anderen Sicherheitslücken das Eindringen in Firmennetze ermöglichen. Denn die allermeisten Attacken werden durch Nachlässigkeiten oder übersehene Schwachstellen ermöglicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt Pentests deshalb ein „geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen.”

Penetrationstests: Diese Arten gibt es

Ein Pentest ist stets eine Kombination aus vielen unterschiedlichen Testverfahren. Er setzt sich zusammen aus Angriffen von außen über das Internet sowie Einbruchversuchen von innen heraus, beispielsweise per Social Engineering.

Beim Social Engineering werden ganz gezielt Mitarbeitendende, Geschäftspartner:innen oder Kund:innen des betroffenen Unternehmens unter einem Vorwand angesprochen. Ziel ist es, sie dazu zu bringen, den Eindringversuch unwissentlich zu unterstützen. Weil dies erschreckend gut funktioniert, setzen Hacker:innen zunehmend auf Social Engineering.

Black Box, White Box und Grey Box

Bei den systematischen Tests wird unterschieden zwischen Black-Box-, White-Box- und Grey-Box-Tests. So erfolgt ein Teil der Tests, ohne dass die Angreifenden den inneren Aufbau der IT-Struktur kennen. Diese Kombination aus „Black Box Pen Test”, „White Box Pen Test” und „Grey Box Pen Test” simuliert ein möglichst breites Spektrum unterschiedlicher Hacking-Strategien:

• Black-Box-Penetrationstests entsprechen Attacken von Hacker:innen, die das anzugreifende System überhaupt nicht kennen und vielleicht nicht einmal wissen, welche Organisation sie gerade angreifen. Auch den Pentester:innen ist bei solchen Angriffen über das Netz daher lediglich die IP-Adresse der Firmenwebsite bekannt.
• White-Box-Penetrationstests bilden die Attacken von Angreifer:innen nach, die bereits über umfangreiches Insiderwissen verfügen. Das könnte die Konkurrenz oder auch ein ausländischer Nachrichtendienst sein, der sich sein Ziel genau ausgesucht und zuvor längere Zeit ausgeforscht hat. Auch Attacken ehemaliger Unternehmensmitarbeiter:innen, die interne Schwachstellen kennen, fallen in diese Kategorie und werden durch solche White-Box-Pentests simuliert.
• Grey-Box-Tests simulieren Hacker:innen, die nur Teilinformationen oder veraltete Informationen mittels Social Engineering, Sniffing oder auf anderen Wegen gewinnen konnten und trotzdem einen Angriffsversuch starten.

Social Engineering als Pentest-Werkzeug

Pentests umfassen eine breite Palette von direkten und indirekten Ansätzen, um per Social Engineering Unternehmensnetze zu penetrieren. Bei den direkten Attacken versuchen die Sicherheitsexpert:innen des Pentest-Dienstleisters, selbst an Passwörter oder freie Netzwerkzugänge zu kommen.

Dazu tarnen sie sich beispielsweise als Mitarbeitende des Unternehmens. So dringen sie in unzureichend gesicherte Serverräume ein, suchen in Mülleimern („Dumpster Diving”) nach Passwörtern und Zugangsdaten oder fangen auch schon mal Kurierlieferungen ab, die Zugangskarten oder -daten enthalten könnten.

Bei indirekten Attacken werden die Mitarbeitenden selbst unwissentlich zum Werkzeug. Die Tester:innen geben sich am Telefon als Mitarbeitende der Unternehmens-IT aus und fordern die Angerufenen dazu auf, angebliche Sicherheitssoftware zu installieren. Oder die Tester:innen bauen echte Webseiten nach, um Passworteingaben abzufangen. Auch die Phishing-E-Mail gehört zu den indirekten Attacken. Deren Dateianhang installiert beim Öffnen beispielsweise Spionagesoftware auf den Computern der Opfer.

Mit zunehmender Unternehmensgröße sehen Sicherheitsexpert:innen ein überproportional wachsendes Risiko für Hackingattacken von innen heraus. Als Täter:innen kommen aktuelle oder ehemalige Mitarbeitende infrage; aber auch Kund:innen und Dienstleister, die auf dem Firmengelände Zugang zu Unternehmenshardware haben oder hatten. Besonders gefährdet sind hierbei Organisationen wie Krankenhäuser, Behörden, Bildungseinrichtungen und andere Institutionen mit viel Besuchsverkehr oder häufig wechselnder Belegschaft.

Der Pentest prüft auch, ob ein Netzwerk robust gegen typische Benutzungsfehler und damit verbundene Sicherheitsrisiken ist. Dazu gehören beispielsweise schwache Passwörter und ungesicherte Verbindungen oder der Verlust von Büroschlüsseln, Zugangskarten und Geräte-Dongles. So ist das unwissentliche Herunterladen von Malware wie beispielsweise Ransomware durch Mitarbeitende eine der größten Gefahren für Netzwerke überhaupt. Ist das Unternehmen erst einmal infiziert, bleibt oft nur die Zahlung von Lösegeld.

Auch das BSI warnt: „In den letzten Jahren hat sich die Bedrohungslage durch Ransomware deutlich verschärft. Weil der Leidensdruck für die Betroffenen so hoch ist, zahlen Opfer in vielen Fällen das geforderte Lösegeld. Dieser Erfolg der Täter führt dazu, dass mittlerweile Kapazitäten aus dem ‚Banking-Trojaner-Geschäft‘ abgezogen werden und die Botnetze nun Ransomware verteilen.”

Wie ist ein Pentesting aufgebaut?

Eine besondere Stärke des Penetrationstests ist die sorgfältige Dokumentation aller Einzelschritte. Während reale Hacker:innen bemüht sind, ihre Datenspuren bestmöglich zu verwischen, ist der Pentest im Nachhinein völlig gläsern. Jeder Schritt einer Attacke im Rahmen des Pentest ist später also genau nachvollziehbar.

Exakte Vorplanung entscheidend für den Testerfolg

Wie bei einem wissenschaftlichen Experiment oder bei der Marktforschung zu einem neuen Produkt bestimmt auch beim Penetrationstest eine sorgfältige Vorbereitung maßgeblich über den Erfolg. Am Beginn des Pentesting steht daher die gemeinsame Testplanung. Das beauftragende Unternehmen bespricht mit dem Dienstleister die Ziele und die zur Zielerreichung angewendeten Strategien für den eigentlichen Pentest.

Die einzelnen Dienstleister unterscheiden sich im Aufbau ihrer Pentests. Als allgemeinen Planungsrahmen gibt es Teststandards wie den „Penetration Testing Execution Standard“ (PTES) oder den BSI-Leitfaden „IT-Sicherheits-Penetrationstest“. Das BSI untergliedert das Pentesting in fünf aufeinander aufbauende Phasen:

• Phase 1: Spezifikation und Vorbereitung
• Phase 2: Passiver Penetrationstest
• Phase 3: Feinplanung und Risikoanalyse
• Phase 4: Praktische Eindringversuche
• Phase 5: Abschlussanalyse

Phase 1: Zielvereinbarung und Spezifikation

In Vorbereitungsgesprächen stimmen Kunde und Anbieter Ziele und Verfahren des Pentests ab. Welche Strukturen sollen getestet werden? Sind stichprobenartige Tests gewünscht oder soll Arbeitsplatz für Arbeitsplatz überprüft werden? Wie weit sollen die Tests gehen? Gibt es beispielsweise Produktionssysteme, die aus Sicherheitsgründen von den Tests ausgenommen oder in einem separaten Test untersucht werden sollen?

Betroffen hiervon sind etwa Organisationen des Gesundheitswesens oder Unternehmen der Grundversorgung. Dort dürfen Pentests beispielsweise keine Systeme gefährden, die den laufenden Betrieb sicherstellen oder von denen Menschenleben abhängen.

Weitere Fragen zur Vorbereitung: Welche gesetzlichen oder branchenspezifischen Vorgaben und Sicherheitsstandards gelten für das zu untersuchende Unternehmen? Inwieweit soll der Pentest deren Einhaltung validieren oder mögliche Schwachstellen aufdecken, die im Widerspruch zu gesetzlichen Vorgaben stehen? Solche branchenspezifischen Sicherheitsstandards werden beispielsweise definiert durch:

• ISO/IEC 27001 und ISO/IEC 27019 unter anderem für Unternehmen der Energiewirtschaft
• Payment Card Industry Data Security Standard (PCI DSS)
• BSI TR-03161 für Anforderungen an Anwendungen im Gesundheitswesen und den Health Insurance Portability and Accountability Act (HIPAA)
• Vorschriften zur IT-Security der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

Die Überprüfung auf derartige Branchenstandards sollte idealerweise Bestandteil des Pentest-Dienstleistungsvertrages sein.

Auch das Aggressivitätslevel der Tests wird im Vorfeld besprochen. Sollen die Tests hauptsächlich passiv ablaufen und lediglich vorhandene Lücken ausnutzen? Oder dürfen die Tester:innen beispielsweise gezielt Schadsoftware im Unternehmen installieren und damit Daten herunterladen, sofern sie Angriffspunkte finden? Sind nur indirekte Social-Engineering-Attacken per Mail und Telefon erlaubt? Oder soll wirklich aktiv ins Unternehmen eingedrungen werden? Dürfen die Tester:innen Spionage-Hardware wie Keylogger, Minikameras oder „Rogue Access Points” für das WiFi-Spoofing im Unternehmen verstecken?

Der Pentest-Dienstleister sichert sich mit dieser Vereinbarung auch selbst ab. Denn in Deutschland ist bereits die Vorbereitung eines Hacking-Angriffs grundsätzlich strafbewehrt (§ 202 STGB). Der Dienstleister benötigt also einen genau umrissenen schriftlichen Auftrag des Unternehmens, dessen Netze er angreifen soll.

Sofern sensible Unternehmensdaten oder schützenswerte persönliche Daten im Sinne der Datenschutzgrundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) betroffen sind, ist auch hierfür zu klären, wie diese Daten während der Attacken bestmöglich geschützt werden.

Auch eine Vertraulichkeitsklausel ist Bestandteil eines solchen Pentest-Auftrags. Schließlich haben die Sicherheitsexpert:innen durch ihre Hackingattacken Zugriff auf alle sensiblen Daten des Unternehmens.

Phase 2: Passiver Penetrationstest

In der Phase des passiven Penetrationstests werden alle bereits im Vorfeld erreichbaren Informationen über die zu testenden Strukturen gesammelt. Außerdem wird der organisatorische Ablauf des Pentests in einem groben Rahmen definiert.

Umfangreiche Penetrationstests in großen Organisationen können sich durchaus über mehrere Wochen hinziehen. Daher muss bereits an dieser Stelle entschieden werden, welche Systeme wann getestet werden, inwieweit das Unternehmen für die Dauer der Tests Ersatzsysteme braucht und welche Tests überhaupt zwingend im laufenden Betrieb stattfinden sollten.

Ein Unternehmen mit Saisongeschäft wird seine Pentests vielleicht in Zeiten mit geringem Geschäftsaufkommen legen. Oder es möchte einen Pentest bewusst unter höchster Last fahren. Denn dann ist auch das Risiko größer, dass Mitarbeitende und Unternehmens-IT Sicherheitsprozeduren ausfallen lassen oder Updates verschieben und so temporäre Sicherheitslücken entstehen. Auch Angriffe, die die Überlastung von Systemen ausnutzen, sind dann aussagekräftiger. Um derartige Risiken aufzuspüren, wird das Unternehmen seine Testung also möglicherweise gezielt in die passende Saison legen.

Phase 3: Feinplanung und Risikoanalyse

Die Sicherheitsexpert:innen des Pentest-Dienstleisters bewerten die in Phase 2 gesammelten Informationen und erstellen auf dieser Grundlage eine Risikoanalyse. Mit Blick auf die in Phase 1 definierten Zielvorgaben planen sie im Detail ein möglichst wirtschaftliches und effizientes Vorgehen für die einzelnen Tests.

Sollen die Expert:innen vor allem Risiken identifizieren, die den Geschäftsbetrieb oder Unternehmenswerte gefährden? Dann können sie nachrangige Systeme, die in keiner Verbindung zu vitalen Strukturen stehen, in dieser Phase von den Tests ausschließen.

Ein solches unwichtiges System im Sinne der Pentests wäre beispielsweise im Einzelhandel ein Point-of-Sale-Informationsterminal, das keinen Internetzugang hat, keine Kundendaten oder andere sensible Informationen speichert und auch nicht mit weiteren Systemen des Unternehmens verbunden ist.

Phase 4: Praktische Eindringversuche

In dieser Phase erfolgen die eigentlichen Eindringversuche in die zuvor ausgewählten Systeme. Die Tests laufen mehrstufig ab. Für jeden Test werden andere Herangehensweisen gewählt. Zum Schutz laufender Produktionssysteme kann es geboten sein, während der Tests erkannte Lücken beispielsweise durch entsprechende Updates und Patches schließt. Systemsicherheit geht hierbei vor Testerfolg.

Mit einmaligem Zugriff per Hackingattacke erste Schwachstellen erkennen

Hacker:innen verfügen über einen reichhaltigen Software-Werkzeugkasten für das Eindringen in fremde Netze. Den selben Baukasten kennen und nutzen auch Sicherheitsexpert:innen, um Hackingattacken nachzustellen:

• Mit Denial-of-Service-Attacken (DoS) überlasten die Expert:innen die Unternehmenswebseite mit einer Vielzahl von Aufrufen in ganz kurzer Zeit so stark, dass die Seite nicht mehr erreichbar ist. Ähnliche Attacken fahren sie auch gegen das interne Netzwerk oder einzelne Hardware-Komponenten. Das kann etwa der VPN-Tunnel sein, über den sich Mitarbeitende von unterwegs einzuwählen. Bei diesen Tests geht es nicht darum, Daten mit Hackingmethoden auszuspionieren. Ziel ist es vielmehr, die Robustheit des Unternehmensnetzes zu testen.
• Im Rahmen sogenannter Code-Reviews testen die Expert:innen alle im Unternehmen verwendeten Programme unter Sicherheitsgesichtspunkten. Ein Beispiel: Anwendungen, Web-Oberflächen oder Makros, die intern genutzt werden, sollten beispielsweise keine Passwörter oder Personendaten im Klartext übertragen. Denn die Gefahr ist groß, dass dieselben Anmeldedaten, die für ein internes Schulungs-Tool oder ein internes Fußball-Tippspiel verwendet werden, von denselben Mitarbeitenden auch für ihren Zugang zum Mailkonto oder zur Firmen-Cloud genutzt werden. Schon hätten Hacker:innen damit Zugriff auf das Firmen-Netz. Aber auch Daten von Kund:innen dürfen in Deutschland nicht unverschlüsselt weiterverarbeitet und gespeichert werden, weil dies gegen die DSGVO verstößt.
• Mit Sniffer-Programmen („Netzwerk-Schnüfflern”) lesen manche Kriminelle die Kommunikation im Firmennetz mit. Die Sicherheitsexpert:innen stellen auch dieses Szenario nach, sofern das zu testende Unternehmen solche aggressiven Tests genehmigt hat.
• Per Portscanning analysieren die Expert:innen genau wie reale Hacker:innen die einzelnen Datenkanäle (Ports) der Kommunikation über das Internet-Protokoll (TCP/IP) näher, um Informationen über die verwendete Software zu sammeln und möglicherweise ungeschützte Ports für direkte Angriffe zu finden.
• Mittels Session Hijacking, IP-Spoofing und Man-in-the-Middle-Angriffen kapern echte Kriminelle bestehende Internetverbindungen oder täuschen Mitarbeitende des Unternehmens darüber, mit wem sie im Internet kommunizieren. Expert:innen simulieren auch diese Attacken und probieren aus, ob sie damit Erfolg haben.
• Hacker:innen infiltireren über das Internet gezielt Webanwendungen und Datenbanken des Unternehmens mit Schadcode, um unerlaubt Zugriff auf diese Systeme zu erlangen. Beispiele hierfür sind Format-String- und Buffer-Overflow-Attacken oder SQL-Injections. Mittels Software simulieren die Pentest-Expert:innen auch diese Angriffe und finden so Lücken.
• Getestet werden nicht nur die IT-Strukturen des Unternehmens selbst, sondern auch die Produkte des Unternehmens, soweit diese digitale Inhalte oder beispielsweise eingebettete Steuerungen haben. Für solche Tests können auch Digital Twins dieser Produkte genutzt werden.

Im ersten Schritt spüren die Sicherheitsexpert:innen mit diesen Werkzeugen aus der Praxis echter Hacker:innen nur die Einfallstore für Attacken auf. Erst In einem zweiten Schritt schleusen sie zu Testzwecken entsprechende Malware (Spyware, Ransomware) ein. Oft wird dieser zweite Schritt aber ausgelassen, weil die Sicherheitslücke im ersten Schritt bereits hinreichend erwiesen ist und durch die Pentests keine Einfallstore für echte Hacker:innen geschaffen werden sollen.

Ein verbreitetes Werkzeug von Hacker:innen sind sogenannte Exploits. Das sind im Internet oder Darknet verfügbare Codes, die Schwächen verbreiteter Programme wie Webbrowser oder Büro-Software ausnutzen. Auch hier klären die Expert:innen vorher ab, ob solche Exploits tatsächlich zu Testzwecken installiert werden sollen. Denn viele dieser Exploits sind noch gar nicht vollständig erforscht und könnten beispielsweise unbekannten Schadcode enthalten.

Das BSI warnt in seinem Pentest-Leitfaden: „Ist der Exploit unsicher programmiert, so kann er Schaden an der IT-Anwendung anrichten. Im einfachsten Fall kann ein Absturz die Folge sein, es können aber auch Speicherbereiche überschrieben werden, die für das Funktionieren der IT-Anwendung oder des gesamten IT-Systems erforderlich sind und damit die IT-Anwendung oder das gesamte IT-System unbrauchbar machen. Hier muss genau abgewogen werden, ob ein Exploit eingesetzt wird.“

Simulierte APTs für mehr Einblicke in Schwachstellen

Einige Hackingattacken benötigen nur wenige Sekunden für ihre Umsetzung: Dazu zählen der Diebstahl von Kryptowährung, das Leeren von Firmenkonten oder das Einspielen von Ransomware . Andere Hackingattacken dauern hingegen Monate oder Jahre. Dazu gehören:

• Das Kapern von Unternehmens-Rechnern für Botnets
• Das Einspielen von Schläfer-Malware, die erst zu einem festgesetzten Datum oder auf eine Aktivierung von außen hin ihre schädliche Arbeit aufnimmt
• Das dauerhafte Mitlesen des internen Mailverkehrs
• Das permanente Abschöpfen von Management-, Finanz- oder Produkt- und Forschungsdaten eines Unternehmens

Solche langfristigen Attacken werden auch als „Advanced Persistent Threats” (kurz: APT)) bezeichnet, was mit „fortgeschrittene, andauernde Bedrohung” übersetzt werden kann.

Integraler Bestandteil von Pentests ist die Suche nach solchen Bedrohungen, die möglicherweise schon lange in den Tiefen des Unternehmensnetzwerks schlummern. Gefährliche Schnüffel-Software kann sich beispielsweise in Freeware verstecken, die Mitarbeitende mit lokalen Administrationsrechten auf ihren Systemen installiert haben. Aber auch digitale Steuerungen sowie programmierbare Sensoren und Aktoren, die mit dem Netzwerk direkt oder indirekt verbunden sind, werden auf Lücken und möglichen Schadcode gecheckt.

Auch ausländische Nachrichtendienste, die für ihre heimische Industrie Wirtschaftsspionage betreiben oder gezielt deutsche Regierungsbehörden ausspionieren, können hinter solchen APT-Attacken stecken. Pentest-Dienstleister kennen die in der Fachliteratur und Veröffentlichungen von Sicherheitsbehörden dokumentierten Fälle von APT-Attacken und suchen daher gezielt nach Datenspuren solcher Angriffe.

Phase 5: Abschlussanalyse

Nach dem Ende aller Einzeltests erfolgt die Abschlussanalyse. Der Auftraggeber erhält einen ausführlichen Bericht, in dem der Pentest-Anbieter alle entdeckten Lücken aufführt. Auch Gefährdungen die bereits während der Testphase durch die Expert:innen beseitigt wurden, werden hier genannt. Denn nur so können mögliche strukturelle Schwächen identifiziert werden.

Gab es beispielsweise Probleme beim unternehmensweiten Ausspielen von Updates auf Arbeitsplatzrechnern, so hat der Pentest diesen Fehler zwar beseitigt. Er könnte beim nächsten Update aber erneut auftreten. In einem solchen Fall wäre die logische Konsequenz also, dass die IT Updates zukünftig auch kontrollieren und für alle vorhandenen Computer dokumentiert muss.

Auch die Social-Engineering-Attacken liefern wichtige Erkenntnisse: Haben Mitarbeitende erkannt, dass sie ausgeforscht wurden und haben sie diese Kontaktaufnehmen gemeldet? Hat die Unternehmens-IT, sofern sie von den Pentests nichts wusste, diese trotzdem bemerkt und ihre Schutzmaßnahmen entsprechend verstärkt?

Ein Pentest ist immer ein Test des ganzen Unternehmens, bestehend aus den dort tätigen Menschen und der genutzten Hard- und Software. Die Bereiche mit dem geringsten Sicherheitslevel bestimmen dabei die Verwundbarkeit des Gesamtsystems. Ein Pentest ist außerdem immer nur eine Momentaufnahme. Sie sollten ihn daher in regelmäßigen Abständen wiederholen.

Pentest-Tools: Geeignete Tools und ihre Funktionen auf einen Blick

Inzwischen gibt es eine Vielzahl von Softwarepaketen für Pentests und Vulnerability Scans. Zu den bekanntesten gehören Metasploit, Invicti, Acunetix, Qualys, Intruder und Burp Suite. Diese Pentest-Tools testen beispielsweise, ob alle Webanwendungen über die neuesten Patches verfügen, ob es offene Ports und Einfallstore für SQL Injections gibt und wie sicher eine eventuell vorhandene Cloud-Anbindung an AWS oder Azure gelöst ist.

Grundsätzlich eignen sich die meisten dieser Programme für regelmäßig angesetzte oder dauerhaft laufende Tests der eigenen Hardware. Sie sind aber kein Ersatz für einen professionellen Pentest, der genau auf das jeweilige Unternehmen zugeschnitten ist und nationale Branchen-Sicherheitsstandards berücksichtigt. Außerdem sollte der Test Social-Engineering-Komponenten beinhalten, die eine Software naturgemäß nur sehr eingeschränkt bieten kann. Insbesondere können solche Pentest-Programme nicht die kriminelle Kreativität echter Hacker:innen simulieren – denn diese programmieren täglich neue Exploits , mit denen sie Pentest- und Antivirenprogramme ausmanövrieren.

Wenn Sie sich vergewissern möchten, dass Ihr Unternehmensnetzwerk wirklich sicher ist und auch die Mitarbeitenden alle Risiken kennen und abwehren, sollten Sie daher die Dienste eines professionellen Pentest-Anbieters in Anspruch nehmen und nicht allein auf ein Software-Tool vertrauen.

Pentesting in der Übersicht

• Pentests bilden Hackingattacken auf das Unternehmensnetzwerk nach.
• Die Testverfahren umfassen eine Vielzahl sehr unterschiedlicher Angriffe, die verschiedene Formen von Hackingangriffen nachbilden.
• Pentests setzen sich zusammen aus Angriffen über das Netz, Angriffen aus dem eigenen Netzwerk heraus und Social-Engineering-Attacken.
• Für Pentests gibt es verschiedene Durchführungsstandards wie beispielsweise den BSI Leitfaden IT-Sicherheits-Penetrationstest.
• Pentests unterscheiden sich von automatisierten Testverfahren, weil die Tester:innen gezielt Lücken aufspüren und ausnutzen. Sie sind daher nicht mit reinen Vulnerability Scans zu verwechseln.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/pentests-wie-sie-sicherheitsluecken-in-der-unternehmens-it-via-penetrationstest-aufdecken/