Angriff am Tag 0: Wie Cyberkriminelle Sicherheitslücken ausnutzen

Mann mit Computer

Hacker*innen nehmen neben Privatanwender*innen verstärkt auch Unternehmen und staatliche Institutionen ins Visier ihrer kriminellen Machenschaften. Nicht zuletzt sind Cyber Angriffe teilweise auch staatlich getrieben. Um Daten abzugreifen und Schaden anzurichten, nutzen sie gezielt Sicherheitslücken von Organisationen aus. Eine besondere Form solcher Cyberattacken sind Zero-Day-Exploits. Doch was hat es mit Cyberangriffen auf sich, was sind Zero-Days-Exploits? Wir haben die Antworten auf die wichtigsten Fragen zusammengefasst.

Was sind Cyberangriffe?

Der Begriff Cyberangriff ist in aller Munde. Kein Wunder, denn laut Bundesamt für Sicherheit in der Informationstechnik (BSI) steigt die Zahl der Attacken und die Methoden der Kriminellen werden immer raffinierter. Ein Cyberangriff liegt immer dann vor, wenn Unbefugte versuchen, sich Zugriff auf IT-Systeme zu verschaffen, um Informationen zu manipulieren, zu stehlen oder zu zerstören – dabei spielt es keine Rolle, ob es sich um komplexe Infrastrukturen oder persönliche Geräte von Privatanwender*innen handelt.

In diesem Zusammenhang spricht man auch oft von Kompromittierung. Die sogenannten „Indicators of Comprise“ (IOCs, Deutsch: Indikatoren für eine Kompromittierung) sind Merkmale, die auf die Kompromittierung eines Computersystems oder eines ganzen Netzwerks hinweisen können. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse, die aber nicht von der Organisation selbst ausgeführt worden sind. Die Kompromittierungsindikatoren lassen sich in eine strukturierte Form bringen und automatisiert auswerten. Dafür werden, wie von Microsoft, oft Tools und Skripte bereitgestellt.

Was sind Exploits?

Durch den Einsatz von Schadprogrammen, sogenannter Exploits, machen sich Cyberkriminelle Schwachstellen in den jeweiligen Systemen zu nutze. Der Exploit funktioniert letztlich wie ein digitaler Dietrich, der sich eine Fehlkonstruktion eines Türschlosses zunutze macht. Ein Beispiel: Der Browser auf eurem Computer enthält eine Sicherheitslücke. Die erlaubt es, einen beliebigen Code auszuführen wie zum Beispiel ein schädliches Programm zu installieren und zu starten – ohne dass ihr es bemerkt. Sind die Hacker*innen mit dem Exploit erstmal in ein System eingedrungen, können sie bei Bedarf weitere Schadprogramme hineinlassen. Viren, Bots, Würmer und Trojaner sowie die darauf aufbauende Ransomware – die Daten verschlüsselt und deren Besitzer*innen erpresst – lassen sich dann leicht in Stellung bringen. Oft geht es den Hacker*innen aber nicht darum, einen Schaden zu hinterlassen. In vielen Fällen wird Software installiert, die klammheimlich und im Hintergrund Informationen abzapft und diese an einen Server irgendwo auf der Welt schickt. Vor allem staatlich getriebene Attacken sind oft auch mit Industriespionage in Zusammenhang zu bringen.

Was ist ein Zero-Day-Exploit?

Eine besondere Form des Exploits ist der Zero-Day-Exploit. Bei ihm nutzen die Angreifer*innen eine bis dahin noch unentdeckte Schwachstelle aus. Erst der Angriff auf das System verrät die Schwachstelle – wenn überhaupt. Daher auch der Name: Zwischen Entdeckung und Angriff vergehen null Tage. Angriffe mit Zero-Day-Exploits bleiben oftmals für lange Zeit unerkannt. Der zeitliche Vorsprung der Kriminellen vor den Herstellern und der Unternehmens-IT selbst machen diese Form von Angriff besonders gefährlich.

Wie werden Sicherheitslücken entdeckt?

Software-Hersteller wie Microsoft verbessern den Schutz und die Sicherheit ihrer Programme fortlaufend. So verarbeiten unsere Sicherheitslösungen täglich mehr als acht Billionen digitale Signale, um mit Hilfe von künstlicher Intelligenz und Machine Learning Cyberbedrohungen frühzeitig zu erkennen und abzuwehren. Zusätzlich sind weltweit mehr als 3.500 Sicherheitsexpert*innen im Cyber Defense Operations Center, der Digital Crimes Unit und dem Microsoft Threat Intelligence Center im Einsatz. Die Sicherheitsexpert*innen aus 77 Ländern interpretieren die Daten und bewerten sie auf Basis ihrer langjährigen Erfahrung. Sie überprüfen auch den Programm-Code und suchen nach möglichen Schwachstellen. Darüber hinaus gibt es Teams, die ganz gezielt nach Sicherheitslücken suchen und versuchen in die Systeme einzubrechen. Andere Teams versuchen dies zu verhindern, um so mit Hilfe des Gelernten die Software und deren Sicherheit zu verbessern. Man spricht dabei von sogenannten Red und Blue Teams. Daneben spielen auch externe Sicherheitsforscher*innen eine wichtige Rolle für das Microsoft-Ökosystem, indem sie Sicherheitsrisiken beim Softwareentwicklungsprozess ermitteln. Microsoft unterhält dafür unter anderem auch ein Bug-Bounty-Programm, mit dem wir in bestimmten Fällen die Meldung von Sicherheitslücken belohnen. Durch die Zusammenarbeit und den Austausch über die die neuesten Bedrohungsdaten und Kompromittierungsindikatoren tragen wir so jedes Jahr zum besseren Schutz von Milliarden von Kunden weltweit bei.

Wie werden Sicherheitslücken geschlossen?

Nachdem Microsoft von einer Sicherheitslücke Kenntnis erlangt, arbeiten wir mit Hochdruck an Möglichkeiten, diese zu schließen. Dafür stellen wir Patches bereit. Ein Patch korrigiert die entsprechenden Passagen im Programmcode und behebt die Fehler. Werden mehrere Patches zusammengefasst oder auch die Funktionen eines Programms erweitert, so ist meist von einem Update die Rede. Gerade der Fall des Zero-Day-Exploit führt dabei deutlich vor Augen, warum es wichtig ist, solche Patches oder Updates so schnell wie möglich zu installieren. Hacker*innen könnten ansonsten ausnutzen, dass Systeme noch nicht die aktuellen Patches installiert haben. Das ist in etwa vergleichbar mit einer Nachlässigkeit beim Passwortschutz. Bei der Entwicklung müssen wir sicherstellen, dass der Patch sauber funktioniert, mit den verschiedenen Versionen der betroffenen Systeme im Markt kompatibel ist und sie nicht in ihrer Funktionalität beeinflusst.

Wie erkenne ich einen Cyberangriff?

Ob das eigene System kompromittiert wurde, ist häufig nicht auf den ersten Blick erkennbar. Die Symptome können von Indizien wie einem langsameren Arbeiten des Systems reichen bis zu einer Mitteilung, dass Daten verschlüsselt wurden wie etwa bei einer Ransomware-Attacke. Es gibt jedoch Wege, um zu überprüfen, ob das System sicher ist. IT-Expert*innen können Kompromittierungsfaktoren (IOCs) identifizieren. Das können zum Beispiel außergewöhnliche Aktivitäten im Netzwerk oder einzelne ausgeführte Prozesse sein. Dateien lassen sich anhand ihrer Namen, ihrer Größe oder auch ihrem Erstellungsdatum untersuchen. IOCs ermöglichen eine automatisierte Untersuchung von Netzwerk und Dateien, um eine mögliche Bedrohung aufzudecken. Informationen zur Identifizierung von Bedrohungen bietet das Microsoft Security Response Center. Bei Fragen rund um das Thema Sicherheit können unsere Microsoft-Partner sowie der Microsoft Support weiterhelfen.

Wie kann ich mich schützen?

Insbesondere für Unternehmen ist es unerlässlich, sich mit einer umfassenden Sicherheitsstrategie vor Cyberangriffen zu schützen und Patches sowie Updates sofort und unverzüglich einzuspielen. Netzwerke sind nicht mehr wie früher von der Außenwelt abgeschirmt. Viele Systeme sind mit dem Internet verbunden und haben Schnittstellen ins freie Netz. Die Angriffsfläche ist enorm gewachsen. Die Prävention von Cyberattacken beginnt bei der Analyse von potenziellen Risiken und einer intelligenten Sicherheitsplattform, die Risiken erkennt, sie minimiert und automatisiert überwacht. Bei Microsoft arbeiten wir nach dem Zero-Trust-Prinzip.

Was ist das Zero-Trust-Prinzip?

Früher mag es ausreichend gewesen sein, eine Mauer um ein Netzwerk zu ziehen. Heute ist es gefährlich, davon auszugehen, dass jede*r innerhalb eines Netzwerks auch eine Berechtigung hat, dort zu sein. Das Zero-Trust-Prinzip ist ein datenzentrierter Ansatz, der alle verfügbare Datenpunkte in die Authentifizierung und Autorisierung mit einbezieht – Identität, Standort, Geräteintegrität, Datenklassifizierung, Anomalien, Dienst oder Workload. „Vertrauen ist gut, Kontrolle ist besser“ lautet also das Motto. Bevor Zugriff auf eine Ressource gewährt wird, muss eine Anforderung vollständig authentifiziert, autorisiert und verschlüsselt sein.

Wer informiert über mögliche IT-Gefahren?

Um die Nachrichtenlage zu aktuellen Sicherheitsrisiken immer im Blick zu behalten, lohnt es sich, regelmäßig die Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu besuchen. Wir selbst informieren in verschiedener Weise über konkrete und allgemeine Gefahren und wie Unternehmen und Verbraucher*innen ihren Schutz optimieren können. Dazu gehören beispielsweise das Microsoft Security Response Center, das 1×1 der IT-Sicherheit  oder unser Digital Defense Report. Auch in unserem News-Center informieren wir regelmäßig Updates zu Entwicklung im Bereich der Cyber-Security.

Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos

Profilbild Stratos Komotoglou

Tags: , , ,

Weitere Infos zu diesem Thema

30. März 2021
Security Signals Report: Firmware-Angriffe sind auf dem Vormarsch

Die Ergebnisse unseres neuen Security Signals Reports zeigen: Firmware-Angriffe nehmen zu – und Unternehmen schenken der Absicherung dieses kritischen Bereichs nicht genügend Aufmerksamkeit. Wir zeigen, wie sie sich auf die neue Angriffsform vorbereiten können.

26. März 2021
Im Daten-Dschungel: Ende-zu-Ende-Verschlüsselung in Microsoft Teams

Besonders in Zeiten von hybrider Arbeit findet der Großteil unserer Kommunikation digital statt und wir müssen uns darauf verlassen, dass die ausgetauschten Informationen geschützt sind. In diesem Beitrag erfahrt ihr, wie Microsoft die Daten seiner Kund*innen verschlüsselt, was Data-in-Transit und Data-in-Rest bedeutet und wer die Ende-zu-Ende-Verschlüsselung in Microsoft Teams benötigt.