IT-Sicherheit Mehr Hackerangriffe durch Covid-19: Wie Sie jetzt Ihren Betrieb schützen

Zugehörige Themenseiten:
Coronavirus, Datenschutz, IT-Sicherheit und IT-Trends

Eine aktuelle Analyse des Dienstleisters für Cloud- und Sicherheitslösungen F5 zeigt: Corona hat zu einem deutlichen Anstieg von DDoS- und Passwort-Login-Attacken geführt – mit veränderten Angriffsmuster. Was Betriebe jetzt beachten müssen.

Cyberkriminalität hat während der Corona-Pandemie zugenommen
Cyberkriminalität bedroht die IT-Infrasktuktur in Handwerksbetrieben. - © ipopba - stock.adobe.com

Viele Menschen gehen seit Beginn der Pandemie häufiger ins Internet: Dort bestellen sie Produkte, informieren sich über Dienstleistungen und treten mit den Anbieter in Kontakt. Das neue Markttreiben im Netz lockt auch mehr Internet-Banditen an, wie der Dienstleister für Cloud- und Sicherheitslösungen F5 in einer Studie mit weltweiten Daten zeigt. "Die Angreifer tun alles, um pandemiebedingtes Online-Verhalten auszunutzen", stellt Raymond Pompon mit Blick auf den Analysezeitraum Anfang 2020 bis August fest. Der Director von F5 Labs rechnet mit weiteren Turbulenzen. "Unsere steigende Nutzung und Abhängigkeit von Technologie führt zu einer Zunahme bereits wachsender Angriffstrends."

Noch im Januar war die Zahl aller gemeldeten Vorfälle halb so hoch wie im Durchschnitt der Vorjahre. Als der Lockdown ab März einsetzte, stiegen die Vorfälle stark an. Im April kam es zu einem Plateau mit dreifach höheren Werten als in den Vorjahren. Erst im Mai und Juni begannen die Zahlen wieder auf das Normalmaß zurückzugehen. Im Juli schossen sie wieder auf das Doppelte im Vergleich zu 2019 .

Angriffe auf den Server und Passwortklau nehmen zu

Die Webräuber gehen dabei mit zweierlei Strategien vor: Sie unternehmen Distributed Denial of Service-Angriffe (DDoS), bei dem sie den Server oder das Netzwerk des jeweiligen Unternehmens gezielt überlasten, indem sie eine gefälschte Domain Name System-Abfragen (DNS) senden. Oder aber sie versuchen das Passwort-Login zu hacken. Dabei ziehen die Kriminellen vermehrt Brute-Force-Taktiken heran, bei der Software verschiedene Zeichenkombinationen ausprobiert. Auch Credential Stuffing nimmt zu: Bei diesem Cyberangriff werden Passwörter aus einer früheren Datenschutzverletzung verwendet - und für einen weiteren Account verwendet. Von Januar bis August standen 45 Prozent der gemeldeten Vorfälle im Zusammenhang mit DDoS und 43 Prozent waren Passwort-Login-Angriffe. Bei den restlichen zwölf Prozent handelte es sich um Malware-Infektionen, Web-Angriffe oder nicht klassifizierte Methoden.

Was sollen Betriebe jetzt tun, um nicht Opfer der Internetpiraten zu werden? In einer To Do-Liste nennt Roman Borovits, Senior Systems Engineer bei F5, exklusiv fürs handwerk magazin sechs relevante Punkte, die Handwerkschefs für die eigene Sicherheit im Betrieb berücksichtigen sollten :

  1. Verbindliche Passwortrichtlinien: Ein aktives Passwort-Management ist für eine moderne Sicherheitsstrategie absolut notwendig. Aber es zählt nicht nur die Komplexität der Passwörter. So sollte ein Passwort keinesfalls bei mehreren Anwendungen zum Einsatz kommen. Denn wird das Passwort gestohlen, erhält der Hacker auch Zugriff auf alle weiteren Anwendungen, für die das Passwort gilt. Diese Angriffsmethode wird Credential Stuffing genannt. Sind mehrere Passwörter nötig, empfiehlt sich ein Passwort - Safe , um nicht aus Bequemlichkeit dasselbe Passwort mehrfach zu verwenden.

  2. Multifaktor-Authentifizierung wird zum Muss: Ein Passwort alleine bietet keinen ausreichenden Schutz bei externen Zugängen. Hier sollte mindestens eine Multifaktor-Authentifizierung (MFA) zum Einsatz kommen. Das Prinzip "Zero Trust" geht sogar so weit, dass das Vertrauen an Identitäten und nicht an Geräte geknüpft wird. Denn zum einen laufen längst nicht mehr alle Applikationen im Unternehmen, sondern viele in der Cloud als Service. Zum anderen sollte ständig die Vertrauenswürdigkeit hinterfragt werden. Ein stundenlanger, unbeschränkter Zugriff auf alle Anwendungen und Daten wie über den klassischen VPN-Tunnel ist damit nicht mehr zulässig. Jeder Zugriff auf eine Applikation muss an eine geprüfte Reihe verschiedener Sicherheitsparameter geknüpft sein. Dazu gehören die Feststellung der Identität per MFA, der Zustand des eingesetzten Endgerätes sowie der in den Kontext gesetzte angefragte Service. Nur wenn alle Faktoren ein stimmiges Bild ergeben, wird der Zugriff gestattet.

  3. Fehlgeschlagenen Logins nachgehen: Bei Brute-Force-Attacken probieren Cyberkriminelle mögliche Passwörter automatisiert aus. Darum ist es auch wichtig, niemals dasselbe Passwort bei mehreren Applikationen zu verwenden. Zudem sollten niemals Wörter oder Namen als Passwort zum Einsatz kommen. Halten sich die Anwender an diese Vorgaben, wird Brute Force nicht erfolgreich sein. Dennoch ist es wichtig, die Anzahl der fehlgeschlagenen Einwahlversuche zu beobachten, um bei Bedarf Zugriffe von diesen Quellen zu unterbinden. Geeignete Proxies können solche Aktivitäten automatisch erkennen, berichten und abwehren.

  4. Leistungsgrenzen kennen und definieren: Eine IT-Infrastruktur besteht aus verschiedenen Komponenten. Dabei haben etwa Netzwerkgeräte andere Aufgaben als Web- oder Applikationsserver. Dadurch ergeben sich verschiedene Angriffsvektoren. Je genauer die Leistungsgrenzen bekannt sind, desto genauer lassen sich Grenzwerte festlegen, ab diesen keine weiteren Anfragen mehr zugelassen werden dürfen, da es sonst zu einer Überlastung und somit zu einem Leistungsverlust kommt. Das Eingrenzen der Anfragen lässt sich durch netzwerkseitige Vorkehrungen wie Anti-DDoS-Systeme und Web Application Firewalls umsetzen.

  5. Ausgewählte IP-Adressen blocken: Eine vergleichsweise einfache Methode, um unerwünschte Zugriffe abzuwehren, ist das Unterbinden der Anfragen von bestimmten IP-Adressen. Die Schwierigkeit liegt in der Bestimmung, welche IP-Adressen auf jeden Fall blockiert werden sollten und welche nicht. Es gibt beispielsweise Datenbanken, die eine Aussage über die Vertrauenswürdigkeit einer IP-Adresse treffen, um etwa bekannte "bösartige Proxies" zu blockieren. IP-Adressen, die auffällig viele Zugriffe tätigen, können ebenfalls auf Angriffe hinweisen. Aber Vorsicht: Es könnte sich auch um legitime Anfragen eines Service Providers oder großer Kunden handeln. Um eine fälschliche Abwehr legitimer Anfragen zu vermeiden, sollten auch hier Experten hinzuzugezogen werden.

  6. Konsequentes Monitoring: Um Angriffe zu erkennen, muss zunächst die Ausgangsituation bekannt sein. Permanentes Monitoring hilft dabei, das normale Nutzungsverhalten besser zu verstehen. Davon abweichende Anomalien sind zu untersuchen und bei Bedarf zu unterbinden. Technische Lösungen wie verhaltensbezogene Web-Application-Firewalls und Anti-DDoS-Systeme enthalten Algorithmen, die diesen Lern-, Vergleichs- und Alarmierungsprozess automatisch durchführen. Wenn es zu kompliziert wird, helfen Experten.