Das Wichtigste zu den verschiedenen Arten von Cyberangriffen

Cyber-Angriff bezeichnet eine Aktion, die auf einen Computer oder ein beliebiges Element eines computergestützten Informationssystems abzielt, um Daten zu ändern, zu vernichten oder zu stehlen sowie ein Netzwerk auszunutzen oder zu schädigen. Mit der Digitalisierung der Wirtschaft, die in den letzten Jahren immer beliebter geworden ist, sind auch die Cyber-Angriffe auf dem Vormarsch. 

Zwar gibt es Dutzende verschiedener Arten von Angriffen, doch diese Liste von Cyber-Angriffen umfasst die 20 häufigsten Beispiele.

Ein Denial of Service (DoS)-Angriff zielt darauf ab, die Ressourcen eines Systems soweit zu überfordern, dass es nicht mehr in der Lage ist, auf legitime Dienstanfragen zu antworten. Ein DDoS-Angriff (Distributed Denial of Service) ist insofern ähnlich, als er ebenfalls darauf abzielt, die Ressourcen eines Systems zu erschöpfen. Ein DDoS-Angriff wird von einer großen Anzahl mit Malware infizierten Host-Rechnern initiiert, die vom Angreifer kontrolliert werden. Diese Angriffe werden als „Denial of Service“-Angriffe bezeichnet, da die Opfer-Website denjenigen, die darauf zugreifen möchten, keine Dienste zur Verfügung stellen kann.

Bei einem DoS-Angriff wird die Ziel-Site mit unrechtmäßigen Anfragen überflutet. Da die Website auf jede Anfrage antworten muss, werden ihre Ressourcen durch die vielen Antworten aufgebraucht. Dies macht es für die Website unmöglich, die Benutzer wie gewohnt zu bedienen, und führt oft zu einer vollständigen Abschaltung der Website.

DoS- und DDoS-Attacken unterscheiden sich von anderen Cyber-Attacken-Arten, mit denen sich Hacker entweder Zugang zu einem System verschaffen oder ihren derzeitigen Zugang ausweiten. Mit diesen Arten von Angriffen profitiert der Angreifer direkt von seinen Bemühungen. Bei DoS- und DDoS-Netzwerkangriffen hingegen besteht das Ziel einfach darin, die Wirksamkeit des Dienstes des Ziels zu stören. Wenn der Angreifer von einem Konkurrenten angeheuert wird, kann er von seinen Bemühungen finanziell profitieren.

Ein DoS-Angriff kann dazu auch genutzt werden, eine Schwachstelle für eine andere Art von Angriff zu schaffen. Bei einem erfolgreichen DoS- oder DDoS-Angriff muss das System oft offline gehen, wodurch es anfällig für andere Arten von Cyber-Angriffen werden kann. Eine gängige Methode, DoS-Angriffe zu verhindern, besteht in der Verwendung einer Firewall, die erkennt, ob Anfragen an Ihre Website legitim sind. Betrügerische Anfragen können dann verworfen werden, sodass der normale Datenverkehr ohne Unterbrechung fließen kann. Ein Beispiel für einen großen Internetangriff dieser Art ereignete sich im Februar 2020 bei Amazon Web Services (AWS).  

Cyber-Angriffe des Typs Man-in-the-middle (MITM) bezeichnen Verletzungen der Cyber-Security, die es einem Angreifer ermöglichen, die Daten, die zwischen zwei Personen, Netzwerken oder Computern hin und her gesendet werden, abzuhören. Man spricht von einem „Mann in der Mitte“-Angriff, weil sich der Angreifer in der „Mitte“ oder zwischen den beiden Parteien positioniert, die miteinander zu kommunizieren versuchen. Tatsächlich spioniert der Angreifer die Interaktion zwischen den beiden Parteien aus.

Bei einem MITM-Angriff haben die beiden Beteiligten das Gefühl, dass sie wie gewohnt miteinander kommunizieren. Was sie nicht wissen, ist, dass die Person, die die Nachricht tatsächlich sendet, die Nachricht unrechtmäßig ändert oder auf diese zugreift, bevor sie ihr Ziel erreicht. Sie können sich und Ihr Unternehmen durch eine starke Verschlüsselung von Access Points oder die Nutzung eines Virtual Private Network (VPN) vor MITM-Angriffen schützen.

Ein Phishing-Angriff liegt vor, wenn ein böswilliger Akteur E-Mails sendet, die anscheinend aus vertrauenswürdigen, legitimen Quellen stammen, um vertrauliche Informationen vom Ziel abzugreifen. Phishing-Angriffe kombinieren Social Engineering und Technologie und werden so genannt, weil der Angreifer mit dem „Köder“ eines scheinbar vertrauenswürdigen Absenders nach Zugang zu einem verbotenen Bereich „fischt“. 

Um den Angriff auszuführen, sendet der Angreifer möglicherweise einen Link, der Sie zu einer Website führt, die Sie dann dazu verleitet, Malware wie Viren herunterzuladen oder dem Angreifer Ihre privaten Daten zu geben. In vielen Fällen bemerkt die Zielperson unter Umständen nicht, dass sie kompromittiert wurde, was es dem Angreifer ermöglicht, anderen Zielen in demselben Unternehmen nachzugehen, ohne dass jemand bösartige Aktivitäten vermutet.

Sie können verhindern, dass Phishing-Angriffe ihre Ziele erreichen, indem Sie sich genau überlegen, welche Arten von E-Mails Sie öffnen und auf welche Links Sie klicken. Sehen Sie sich E-Mail-Header genau an und klicken Sie nicht auf etwas, das verdächtig aussieht. Überprüfen Sie die Parameter für „Reply-to“ und „Return-path“. Sie müssen mit derselben Domäne eine Verbindung herstellen, die in der E-Mail angegeben ist.

Ein Whale-Phishing-Angriff wird so genannt, weil er auf die „großen Fische“ oder Wale eines Unternehmens abzielt, zu denen in der Regel die Mitglieder der Führungsetage oder andere Verantwortliche des Unternehmens zählen. Diese Personen besitzen wahrscheinlich Informationen, die für Angreifer wertvoll sein können, rechtlich geschützte Informationen über das Unternehmen oder seine Geschäftstätigkeit. 

Wenn ein anvisierter „Wal“ Ransomware herunterlädt, ist die Wahrscheinlichkeit größer, dass er das Lösegeld zahlt, um zu verhindern, dass die Nachricht über den erfolgreichen Angriff an die Öffentlichkeit gelangt und seinen Ruf oder den des Unternehmens schädigt. Whale-Phishing-Angriffe können verhindert werden, indem dieselben Vorsichtsmaßnahmen wie bei Phishing-Angriffen ergriffen werden, z. B. sorgfältiges Prüfen von E-Mails, den Anhängen und Links, die darin enthalten sind, um Ausschau nach verdächtigen Zielen oder Parametern zu halten.

Spear Phishing bezieht sich auf eine bestimmte Art von gezielten Phishing-Angriffen. Der Angreifer nimmt sich die Zeit, um seine beabsichtigten Ziele zu recherchieren und dann Nachrichten zu verfassen, die das Ziel wahrscheinlich persönlich relevant finden wird. Diese Cyber-Attacken-Arten werden aufgrund der Art und Weise, wie der Angreifer seine ganze Aufmerksamkeit auf ein bestimmtes Ziel richtet, treffend als „Speer“-Phishing bezeichnet. Die Nachricht erscheint legitim, weshalb es schwierig sein kann, einen Speer-Phishing-Angriff zu erkennen.

Bei einem Spear-Phishing-Angriff kommt häufig E-Mail-Spoofing zum Einsatz, bei dem die Informationen innerhalb des „Von“-Teils der E-Mail gefälscht sind, sodass es so aussieht, als käme die E-Mail von einem anderen Absender. Dies kann jemand sein, dem das Ziel vertraut, z. B. eine Person in ihrem sozialen Netzwerk, ein enger Freund oder ein Geschäftspartner. Angreifer können auch auf das Klonen von Websites zurückgreifen, um die Kommunikation legitim erscheinen zu lassen. Beim Klonen einer Website kopiert der Angreifer eine legitime Website, um das Opfer in Sicherheit zu wiegen. Da das Ziel denkt, dass die Website echt ist, fühlt es sich bei der Eingabe seiner privaten Informationen sicher.

Ähnlich wie bei regulären Phishing-Angriffen können Spear-Phishing-Angriffe verhindert werden, indem die Angaben in allen Feldern einer E-Mail sorgfältig überprüft werden und sichergestellt wird, dass Benutzer nicht auf einen Link klicken, dessen Ziel nicht als legitim verifiziert werden kann.

Mit Ransomware wird das System des Opfers als Geisel gehalten, bis sich das Opfer bereit erklärt, dem Angreifer ein Lösegeld zu zahlen. Nachdem die Zahlung gesendet wurde, gibt der Angreifer dann Anweisungen dazu, wie das Ziel die Kontrolle über seinen Computer zurückerlangen kann. Der Name „Ransomware“ ist passend, da die Malware ein Lösegeld (engl. ransom) vom Opfer verlangt.

Bei einem Ransomware-Angriff lädt das Ziel Ransomware entweder von einer Website oder aus einem E-Mail-Anhang herunter. Die Malware ist so geschrieben, dass sie Schwachstellen ausnutzt, die weder vom Hersteller des Systems noch vom IT-Team behoben wurden. Die Ransomware verschlüsselt dann die Workstation der Zielperson. Manchmal kann Ransomware dazu verwendet werden, mehrere Parteien anzugreifen, indem der Zugriff auf mehrere Computer oder einen zentralen Server verweigert wird, der für den Geschäftsbetrieb unerlässlich ist.

Die Beeinträchtigung mehrerer Computer wird oft dadurch erreicht, dass die Übernahme der Systeme erst Tage oder sogar Wochen nach dem ersten Eindringen der Malware eingeleitet wird. Die Malware kann beim Cyber-Angriff AUTORUN-Dateien senden, die über das interne Netzwerk oder über USB-Laufwerke (Universal Serial Bus), die mit mehreren Computern verbunden sind, von einem System zum nächsten übertragen werden. Dann, wenn der Angreifer die Verschlüsselung initiiert, greift sie auf allen infizierten Systemen gleichzeitig.

In manchen Fällen schreiben Ransomware-Autoren den Code so, dass er herkömmliche Antivirus-Software umgeht. Daher ist es wichtig, dass die Benutzer wachsam bleiben, welche Websites sie besuchen und auf welche Links sie klicken. Viele Ransomware-Angriffe lassen sich durch den Einsatz einer Next-Generation Firewall (NGFW) verhindern, die mit künstlicher Intelligenz (KI), die nach den Merkmalen von Ransomware sucht, tiefgehende Datenpaketinspektionen durchführen kann.

Passwörter sind für die meisten Menschen das Mittel der Wahl, um den Zugang zu verifizieren, daher ist es für Hacker attraktiv, das Passwort eines Ziels herauszufinden. Zu diesem Zweck können verschiedene Methoden eingesetzt werden. Oftmals bewahren die Leute Kopien ihrer Passwörter auf Papier oder Haftnotizen in der Nähe oder auf ihrem Schreibtisch auf. Ein Angreifer kann entweder das Passwort selbst finden oder einen Insider bezahlen, es für ihn zu besorgen.  

Ein Angreifer kann auch versuchen, Netzwerkübertragungen abzufangen, um Passwörter abzugreifen, die vom Netzwerk nicht verschlüsselt werden. Er kann Social Engineering einsetzen, um sein Ziel davon zu überzeugen, sein Passwort einzugeben, um ein scheinbar „wichtiges“ Problem zu lösen. In anderen Fällen kann der Angreifer einfach das Passwort des Benutzers erraten, insbesondere wenn ein Standardpasswort oder ein leicht zu merkendes Passwort wie „1234567“ verwendet wird.

Angreifer verwenden auch oft Brute-Force-Methoden, um Passwörter zu erraten. Bei einem Brute-Force-Passwort-Hack werden grundlegende Informationen über die Person oder ihre Berufsbezeichnung für Versuche verwendet, ihr Passwort zu erraten. Zum Beispiel können der Name, das Geburtsdatum, der Jahrestag oder andere persönliche, aber leicht zu ermittelnde Details in verschiedenen Kombinationen verwendet werden, um das Passwort zu entschlüsseln. Informationen, die Benutzer in sozialen Medien veröffentlichen, können ebenfalls für einen Brute-Force-Passwort-Hack genutzt werden. Was die Person in ihrer Freizeit tut, spezifische Hobbys, Namen von Haustieren oder Namen von Kindern werden manchmal verwendet, um Passwörter zu bilden, sodass sie für Brute-Force-Angreifer relativ leicht zu erraten sind.

Ein Hacker kann zur Ermittlung des Passworts eines Benutzers auch auf einen Wörterbuchangriff zurückgreifen. Ein Wörterbuchangriff ist eine Technik, bei der gängige Wörter und Phrasen, wie sie in einem Wörterbuch aufgeführt sind, verwendet werden, um zu versuchen, das Passwort des Ziels zu erraten. 

Eine wirksame Methode zur Verhinderung von Brute-Force- und Wörterbuch-Passwortangriffen ist die Einrichtung einer Sperrrichtlinie. Dadurch wird der Zugriff auf Geräte, Websites oder Anwendungen nach einer bestimmten Anzahl Fehlversuchen automatisch gesperrt. Mit einer Sperrrichtlinie hat der Angreifer nur wenige Versuche, bevor ihm der Zugang gesperrt wird. Wenn Sie bereits über eine Sperrrichtlinie verfügen und feststellen, dass Ihr Konto aufgrund zu vieler Anmeldeversuche gesperrt wurde, ist es ratsam, Ihr Passwort zu ändern. 

Wenn ein Angreifer systematisch einen Brute-Force- oder Wörterbuchangriff einsetzt, um Ihr Passwort zu erraten, notiert er sich möglicherweise die Passwörter, die nicht funktioniert haben. Wenn Ihr Passwort beispielsweise Ihr Nachname, gefolgt von Ihrem Geburtsjahr ist und der Hacker versucht, beim letzten Versuch Ihr Geburtsjahr vor Ihrem Nachnamen setzen, kann es sein, dass er beim nächsten Versuch einen Treffer landet. 

SQL-Injection (Structured Query Language), auch als SQL-Einschleusung bezeichnet, ist eine gängige Methode, um Websites auszunutzen, die auf Datenbanken angewiesen sind, um ihre Benutzer zu bedienen. Clients sind Computer, die Informationen von Servern abrufen, und ein SQL-Angriff verwendet eine SQL-Abfrage, die vom Client an eine Datenbank auf dem Server gesendet wird. Der Befehl wird in eine Datenebene anstelle von etwas anderem eingefügt oder „injiziert“, das normalerweise dorthin gehört, z. B. ein Passwort oder ein Login. Der Server, auf dem die Datenbank gespeichert ist, führt dann den Befehl aus und das System wird infiltriert.

Wenn eine SQL-Injection erfolgreich ist, können mehrere Dinge geschehen, darunter die Freigabe sensibler Daten oder eine Änderung oder Löschung wichtiger Daten. Außerdem kann ein Angreifer Administratorvorgänge wie einen Shutdown-Befehl ausführen, der die Funktion der Datenbank unterbrechen kann.

Um sich vor einem SQL-Injection-Angriff zu schützen, nutzen Sie das Modell der geringsten Rechte (Least-Privileged). Mit einer auf geringsten Rechten basierten Architektur erhalten nur diejenigen Zugang, die unbedingt auf Schlüsseldatenbanken zugreifen müssen. Selbst wenn ein Benutzer Macht oder Einfluss innerhalb des Unternehmens hat, kann ihm der Zugang zu bestimmten Bereichen des Netzwerks verwehrt werden, wenn seine Arbeit nicht davon abhängt. 

So kann beispielsweise dem CEO der Zugang zu bestimmten Bereichen des Netzwerks verwehrt werden, selbst wenn er das Recht hat, zu wissen, was sich darin befindet. Die Anwendung einer Richtlinie der geringsten Rechte kann nicht nur böswilligen Akteuren den Zugang zu sensiblen Bereichen verbauen, sondern auch denjenigen, die es zwar gut meinen, aber versehentlich ihre Anmeldeinformationen für Angreifer ungeschützt lassen oder ihre Workstations laufen lassen, während sie sich nicht an ihrem Computer befinden.

Bei der URL-Interpretation ändern und erstellen Angreifer bestimmte URL-Adressen und nutzen sie, um Zugang zu den persönlichen und beruflichen Daten des Ziels zu erhalten. Diese Art von Angriff wird auch als „URL-Vergiftung“ (engl. URL Poisoning) bezeichnet. Die Bezeichnung „URL-Interpretation“ kommt daher, dass der Angreifer die Reihenfolge kennt, in der die URL-Informationen einer Webseite eingegeben werden müssen. Der Angreifer „interpretiert“ dann diese Syntax, um damit herauszufinden, wie er in Bereiche gelangt, zu denen er keinen Zugang hat.

Um einen URL-Interpretationsangriff auszuführen, kann ein Hacker URLs erraten, die er verwenden kann, um Administratorrechte auf eine Website zu erlangen oder aber um auf das Back-End der Website zuzugreifen, um in ein Benutzerkonto einzudringen. Sobald Hacker zur gewünschten Seite gelangen, können sie die Website selbst manipulieren oder sich Zugang zu sensiblen Informationen über die Menschen verschaffen, die sie nutzen.

Wenn beispielsweise ein Hacker versucht, in den Admin-Bereich einer Website namens GetYourKnowledgeOn.com einzudringen, kann er http://getyourknowledgeon.com/admin, eingeben und damit auf eine Admin-Anmeldeseite gelangen. In manchen Fällen können der Admin-Benutzername und das Admin-Passwort den Standard „admin“ und „admin“ verwenden oder aber sehr einfach zu erraten sein. Ein Angreifer kann das Passwort des Administrators auch bereits herausgefunden oder es auf ein paar Möglichkeiten eingegrenzt haben. Der Angreifer probiert dann jedes einzelne aus, erhält Zugang und kann Daten nach Belieben manipulieren, stehlen oder löschen.

Verwenden Sie sichere Authentifizierungsmethoden für alle sensiblen Bereiche Ihrer Website, um den Erfolg von URL-Interpretationsangriffen zu vereiteln. Dies kann eine Multi-Faktor-Authentifizierung (MFA) oder sichere Passwörter erfordern, die aus scheinbar zufälligen Zeichen bestehen.

Beim Domain Name System (DNS)-Spoofing ändert ein Hacker DNS-Datensätze, um Datenverkehr an eine gefälschte oder „gespoofte“ Website zu senden. Auf der betrügerischen Website kann das Opfer sensible Informationen eingeben, die vom Hacker verwendet oder verkauft werden können. Der Hacker kann auch eine Website von schlechter Qualität mit abfälligem oder aufrührerischem Inhalt konstruieren, um ein konkurrierendes Unternehmen schlecht aussehen zu lassen.

Bei einem DNS-Spoofing-Angriff macht sich der Angreifer die Tatsache zunutze, dass der Benutzer denkt, dass die von ihm besuchte Website legitim ist. Dies gibt dem Angreifer die Möglichkeit, im Namen eines unschuldigen Unternehmens Verbrechen zu begehen, zumindest aus der Sicht des Besuchers.

Um DNS-Spoofing zu verhindern, stellen Sie sicher, dass Ihre DNS-Server stets auf dem neuesten Stand sind. Angreifer zielen darauf ab, Schwachstellen in DNS-Servern auszunutzen, und die neuesten Softwareversionen enthalten oft Fixes, die bekannte Schwachstellen schließen.

Session-Hijacking ist eine von mehreren Arten von MITM-Angriffen. Der Angreifer übernimmt eine Sitzung zwischen einem Client und dem Server. Der Computer, der bei dem Angriff verwendet wird, ersetzt seine Internet Protocol (IP)-Adresse durch die des Client-Computers, und der Server setzt die Sitzung fort, ohne zu bemerken, dass er mit dem Angreifer anstelle des Clients kommuniziert. Diese Art von Angriff ist effektiv, weil der Server die IP-Adresse des Clients verwendet, um seine Identität zu überprüfen. Wenn die IP-Adresse des Angreifers im Verlauf der Sitzung eingefügt wird, bemerkt der Server möglicherweise keinen Verstoß, da er bereits eine vertrauenswürdige Verbindung aufgebaut hat.

Um Sitzungs-Hijacking zu verhindern, verwenden Sie ein VPN für den Zugang zu geschäftskritischen Servern. Auf diese Weise wird die gesamte Kommunikation verschlüsselt, und ein Angreifer kann sich keinen Zugang zu dem vom VPN eingerichteten sicheren Tunnel verschaffen.

Ein Brute-Force-Angriff hat seinen Namen von der „brutalen“ oder einfachen Methode, die beim Angriff eingesetzt wird. Der Angreifer versucht einfach, die Anmeldedaten von jemandem mit Zugang zum Zielsystem zu erraten. Sobald er richtig geraten hat, ist er drin.

Das mag zwar zeitaufwändig und schwierig anmuten, aber Angreifer verwenden oft Bots, um die Anmeldedaten zu knacken. Der Angreifer gibt dem Bot eine Liste der Anmeldedaten, von denen er glaubt, dass sie ihm Zugang zum gesicherten Bereich verschaffen könnten. Der Bot probiert dann alle Daten aus, während sich der Angreifer zurücklehnt und abwartet. Sobald die richtigen Anmeldedaten eingegeben wurden, erhält der Kriminelle Zugang.

Zur Verhinderung von Brute-Force-Angriffen sollten Sie Sperrrichtlinien als Teil Ihrer Autorisierungssicherheitsarchitektur einrichten. Nach einer bestimmten Anzahl von Versuchen wird dann der Benutzer, der versucht, die Anmeldeinformationen einzugeben, ausgesperrt. Dazu gehört in der Regel das „Einfrieren“ des Kontos, sodass die Sperre nicht umgangen werden kann, auch wenn es jemand anderes von einem anderen Gerät aus mit einer anderen IP-Adresse versucht.

Es ist auch ratsam, zufällige Passwörter ohne reguläre Wörter, Daten oder Zahlensequenzen zu verwenden. Dies ist effektiv, denn selbst wenn ein Angreifer mithilfe von Software versucht, ein 10-stelliges Passwort zu erraten, wird er viele Jahre ununterbrochen probieren müssen, um das richtig zu erraten.

Webangriffe beziehen sich auf Bedrohungen, die auf Schwachstellen in webbasierten Anwendungen abzielen. Jedes Mal, wenn Sie Informationen in eine Web-Anwendung eingeben, starten Sie einen Befehl, der eine Antwort generiert. Wenn Sie beispielsweise mit einer Banking-Anwendung Geld an jemanden senden, weisen die von Ihnen eingegebenen Daten die Anwendung an, auf Ihr Konto zuzugreifen, Geld abzuheben und auf das Konto einer anderen Person zu senden. Angreifer arbeiten im Rahmen solcher Anfragen und nutzen sie zu ihrem Vorteil.

Einige gängige Webangriffe umfassen SQL-Injection und Cross-Site-Scripting (XSS), die später in diesem Artikel besprochen werden. Hacker nutzen auch Cross-Site Request Forgery (CSRF)-Angriffe und Parametermanipulation. Bei einem CSRF-Angriff wird das Opfer dazu gebracht, eine Aktion auszuführen, die dem Angreifer nützt. So kann das Opfer beispielsweise auf etwas klicken, das ein Skript startet, mit dem die Anmeldedaten für den Zugriff auf eine Web-Anwendung geändert werden. Der Hacker kann sich dann mit den neuen Anmeldedaten anmelden, als wäre er der legitime Benutzer.

Parametermanipulation umfasst die Anpassung der Parameter, die Programmierer als Sicherheitsmaßnahmen zum Schutz bestimmter Vorgänge implementieren. Die Ausführung des Vorgangs hängt davon ab, was im Parameter eingegeben wird. Der Angreifer ändert einfach die Parameter und kann so die Sicherheitsmaßnahmen umgehen, die von diesen Parametern abhängen.

Um Webangriffe zu vermeiden, sollten Sie Ihre Web-Anwendungen auf Schwachstellen überprüfen und diese beheben. Eine Möglichkeit, Schwachstellen zu patchen, ohne die Leistung der Web-Anwendung zu beeinträchtigen, ist die Verwendung von Anti-CSRF-Token. Ein Token wird zwischen dem Browser des Benutzers und der Web-Anwendung ausgetauscht. Vor der Ausführung eines Befehls wird die Gültigkeit des Tokens überprüft. Wenn es gültig ist, wird der Befehl ausgeführt – wenn nicht, wird er blockiert. Sie können auch SameSite-Flags verwenden, die nur die Verarbeitung von Anfragen von derselben Website zulassen und damit jede vom Angreifer erstellte Website nutzlos machen.

Manchmal kommen die gefährlichsten Akteure aus dem eigenen Unternehmen. Personen innerhalb eines Unternehmens stellen eine besondere Gefahr dar, da sie in der Regel Zugang zu einer Vielzahl von Systemen und in einigen Fällen Administratorrechte haben, die es ihnen ermöglichen, kritische Änderungen am System oder dessen Sicherheitsrichtlinien vorzunehmen.

Darüber hinaus verfügen Mitarbeiter innerhalb des Unternehmens oft über ein tiefgehendes Verständnis der Cyber-Security-Architektur sowie darüber, wie das Unternehmen auf Bedrohungen reagiert. Dieses Wissen kann verwendet werden, um sich Zugang zu geschützten Bereichen zu verschaffen, Änderungen an Sicherheitseinstellungen vorzunehmen oder den günstigsten Zeitpunkt für einen Angriff zu ermitteln.

Eine der besten Möglichkeiten, Bedrohungen durch Insider in Unternehmen zu verhindern, besteht darin, den Zugang der Mitarbeiter zu sensiblen Systemen auf diejenigen zu beschränken, die sie zur Erfüllung ihrer Aufgaben benötigen. Für die wenigen Auserwählten, die Zugang benötigen, empfiehlt sich außerdem der Einsatz von MFA, wobei sie mindestens eine ihnen bekannte Sache in Verbindung mit einem physischen Gegenstand verwenden müssen, den sie besitzen, um Zugang zu einem sensiblen System zu erhalten. So muss der Benutzer beispielsweise ein Passwort eingeben und ein USB-Gerät einstecken. In anderen Konfigurationen wird eine Zugangsnummer auf einem Handheld-Gerät generiert, mit der sich der Benutzer anmelden muss. Der Benutzer kann nur dann auf den sicheren Bereich zugreifen, wenn sowohl das Passwort als auch die Nummer korrekt sind.

MFA kann zwar nicht alle Angriffe verhindern, macht es aber einfacher, festzustellen, wer hinter einem Angriff bzw. einem versuchten Angriff steckt, insbesondere, weil nur relativ wenigen Personen überhaupt Zugang zu sensiblen Bereichen gewährt wird. Infolgedessen kann diese Strategie der Zugangsbeschränkung auch als abschreckend wirken. Cyber-Kriminelle innerhalb Ihres Unternehmens wissen, dass es aufgrund des relativ kleinen Pools potenzieller Verdächtiger einfach ist, den Täter zu ermitteln.

Bei einem Angriff mit einem trojanischen Pferd (auch Trojaner genannt) kommt ein bösartiges Programm zum Einsatz, das in einem scheinbar legitimen Programm versteckt ist. Wenn der Benutzer das vermeintlich harmlose Programm ausführt, kann die Malware im Trojaner dazu verwendet werden, eine Hintertür in das System zu öffnen, durch die Hacker in den Computer oder in das Netzwerk eindringen können. Diese Bedrohung hat ihren Namen von der Geschichte der griechischen Soldaten, die sich in einem Pferd versteckten, um die Stadt Troja zu infiltrieren und den Krieg zu gewinnen. Sobald das „Geschenk“ angenommen und hinter die Tore von Troja gebracht wurde, sprangen die griechischen Soldaten heraus und griffen an. In ähnlicher Weise kann ein ahnungsloser Benutzer eine unschuldig aussehende Anwendung in seinem System willkommen heißen, nur um damit eine versteckte Bedrohung einzuschleusen.

Zur Vermeidung von Trojaner-Angriffen sollten Benutzer angewiesen werden, nichts herunterzuladen oder zu installieren, dessen Quelle nicht verifiziert werden kann. Auch NGFWs können verwendet werden, um Datenpakete auf potenzielle Bedrohungen durch Trojaner zu untersuchen.

Bei einem Drive-by-Angriff bettet ein Hacker bösartigen Code in eine unsichere Website ein. Wenn ein Benutzer die Site besucht, wird das Skript automatisch auf seinem Computer ausgeführt und infiziert diesen. Die Bezeichnung „Drive-by-Angriff“ rührt daher, dass das Opfer die Website nur „im Vorbeifahren“ besuchen muss, um infiziert zu werden. Der Besucher der Website muss nicht einmal auf irgendetwas auf der Site klicken oder Informationen eingeben.

Zum Schutz vor Drive-by-Angriffen sollten Benutzer sicherstellen, dass sie die neueste Software auf allen ihren Computern ausführen, einschließlich Anwendungen wie Adobe Acrobat und Flash, die während des Surfens im Internet verwendet werden können. Sie können auch Web-Filter-Software verwenden, die erkennen kann, ob eine Website unsicher ist, bevor ein Benutzer sie besucht.

Mit XSS oder Cross-Site-Scripting überträgt der Angreifer bösartige Skripte mit anklickbaren Inhalten, die an den Browser des Ziels gesendet werden. Wenn das Opfer auf den Inhalt klickt, wird das Skript ausgeführt. Da sich der Benutzer bereits bei der Sitzung einer Web-Anwendung angemeldet hat, werden seine Eingaben von der Web-Anwendung als legitim angesehen. Das ausgeführte Skript wurde jedoch vom Angreifer geändert, was dazu führt, dass der „Benutzer“ eine unbeabsichtigte Aktion ausführt.

Zum Beispiel kann ein XSS-Angriff die Parameter einer Überweisungsanfrage ändern, die über eine Online-Banking-Anwendung gesendet wird. In der gefälschten Anfrage wird der Name des vorgesehenen Empfängers des überwiesenen Geldes durch den des Angreifers ersetzt. Der Angreifer kann auch den zu überweisenden Betrag ändern, sodass er selbst mehr Geld erhält, als die Zielperson ursprünglich überweisen wollte.

Eine der einfachsten Möglichkeiten zur Verhinderung von XSS-Angriffen ist die Verwendung einer Whitelist der zulässigen Entitäten. Auf diese Weise werden von der Web-Anwendung ausschließlich zulässige Einträge akzeptiert. Sie können auch eine Technik namens Bereinigung verwenden, die die eingegebenen Daten auf schädliche Inhalte hin überprüft.

Bei Lauschangriffen fängt der bösartige Akteur den Datenverkehr ab, während er durch das Netzwerk gesendet wird. Auf diese Weise kann ein Angreifer Benutzernamen, Passwörter und andere vertrauliche Informationen wie Kreditkartendaten sammeln. Das Abhören kann aktiv oder passiv erfolgen.

Bei einem aktiven Lauschangriff fügt der Hacker eine Software in den Netzwerkverkehrspfad ein, um Informationen zu sammeln, die der Hacker dann auf nützliche Daten analysiert. Passive Lauschangriffe unterscheiden sich dadurch, dass der Hacker die Übertragungen „mithört“ oder abhört und nach nützlichen Daten sucht, die er stehlen kann.

Sowohl aktives als auch passives Lauschen sind Arten von MITM-Angriffen. Eine der besten Möglichkeiten, sie zu verhindern, ist die Verschlüsselung Ihrer Daten, die verhindert, dass sie von einem Hacker verwendet werden können, unabhängig davon, ob er aktives oder passives Lauschen verwendet.

Bei einem Geburtstagsangriff missbraucht ein Angreifer ein Sicherheitsmerkmal: Hash-Algorithmen, die zur Überprüfung der Authentizität von Nachrichten verwendet werden. Der Hash-Algorithmus ist eine digitale Signatur, die der Empfänger der Nachricht überprüft, bevor er die Nachricht als authentisch akzeptiert. Wenn ein Hacker einen Hash erstellen kann, der mit dem identisch ist, den der Absender an seine Nachricht angehängt hat, kann der Hacker die Nachricht des Absenders einfach durch seine eigene ersetzen. Das empfangende Gerät wird diese Nachricht akzeptieren, weil sie den richtigen Hash hat.

Der Name „Geburtstagsangriff“ bezieht sich auf das Geburtstagsparadox, das auf der Tatsache beruht, dass in einem Raum von 23 Personen mit einer Wahrscheinlichkeit von mehr als 50 % zwei von ihnen den gleichen Geburtstag haben. Obwohl die Leute denken, dass ihre Geburtstage wie Hashes einzigartig sind, ist das Gegenteil der Fall.

Zur Verhinderung von Geburtstagsangriffen sollten Sie längere Hashes zur Überprüfung verwenden. Mit jeder zusätzlichen Ziffer, die dem Hash hinzugefügt wird, sinken die Chancen, eine übereinstimmende Zahl zu erstellen, erheblich.

Malware ist ein allgemeiner Begriff für Schadsoftware, daher das „mal“ am Anfang des Wortes. Malware infiziert einen Computer und verändert seine Funktionsweise, zerstört Daten oder spioniert auf seinem Weg den Benutzer oder den Netzwerkverkehr aus. Malware kann sich entweder von einem Gerät auf ein anderes ausbreiten oder an Ort und Stelle verbleiben und nur das Host-Gerät beeinträchtigen.

Mehrere der oben beschriebenen Arten von Cyber-Angriffen können Formen von Malware beinhalten, darunter MITM-Angriffe, Phishing, Ransomware, SQL-Injection, Trojanische Pferde, Drive-by-Angriffe und XSS-Angriffe.

Bei einem Malware-Angriff muss die Software auf dem Zielgerät installiert werden. Dies erfordert eine Aktion seitens des Benutzers. Daher sollten Benutzer nicht nur Firewalls verwenden, die Malware erkennen können, sondern auch darüber aufgeklärt werden, welche Arten von Software zu vermeiden sind, welche Arten von Links sie vor dem Klicken überprüfen sollten und auf welche E-Mails und Anhänge sie sich nicht einlassen sollten.