Am Ende steht immer der Datenabfluss. Doch blicken wir auf die größten Cyberangriffe der letzten Jahre, stellen wir fest, dass sich nicht nur ihre Opfer in Bezug auf Branche, Größe und Umgang mit den Vorfällen sehr unterscheiden, sondern auch die Angriffspfade, welche die Cyberkriminellen an ihr Ziel gebracht haben.
Equifax: Ausgenutzte Schwachstellen
Bei einer der größten Datenschutzverletzungen in der Geschichte entwendeten Angreifer persönliche Informationen wie Sozialversicherungsnummern, Geburtsdaten und Adressen von 147 Millionen Personen von Equifax, einer der drei größten Kreditauskunfteien in den Vereinigten Staaten. Die Cyberkriminellen nutzten dabei eine bereits im März 2017 veröffentlichte Schwachstelle von Apache Struts, einem Open-Source-Software-Framework, aus. Wie spätere Ermittlungen ergaben, begann der Angriff zwei Monate später und wurde dadurch ermöglicht, dass Equifax seine Website für Kreditanfragen noch nicht mit der neuen Version von Struts aktualisiert hatte.
SolarWinds: Angriff auf die Supply Chain
Im Jahr 2020 gelang es Angreifern, in die Updates der weit verbreitete Netzwerk-Managementsoftware von SolarWinds Malware einzuschleusen. Auf diese Weise konnten sie sich Zugang zu den Netzwerken tausender SolarWinds-Kunden verschaffen, darunter mehrere US-Behörden und zahlreiche große Unternehmen. Experteneinschätzungen zufolge könnte es noch Jahre dauern, die Angreifer aus den betroffenen Systemen zu entfernen und die vollständigen Auswirkungen des Angriffs zu beziffern.
Marriott: Phishing
Zwei Jahre nach Bekanntwerden einer enormen Datenpanne, bei der Cyberkriminelle bis zu 500 Millionen Gästedatensätze (darunter auch etliche Duplikate) entwenden konnten, wurde Marriott erneut Opfer eines Cyberangriffs. Hierbei wurden die Daten von 5,2 Millionen Gästen erbeutet, nachdem ein Mitarbeitender auf eine Phishing-Mail hereingefallen ist und seine Anmeldedaten preisgegeben hat.
Dow Jones & Company: Cloud-Fehlkonfigurationen
Im Juli 2019 kam es bei dem Finanzinformationsanbieter Dow Jones & Company zu einer Datenschutzverletzung, bei der die Daten von 2,4 Millionen Personen und Unternehmen offengelegt wurden. Der Verstoß wurde durch einen falsch konfigurierten AWS S3-Bucket verursacht, der unbefugten Zugriff auf alle Daten ermöglichte.
Apple: Insider-Bedrohungen
2018 wurden zwei Apple-Mitarbeiter verhaftet, die geheime Dokumente wie Schaltpläne und Fotos der firmeneigenen Anlage für autonomes Fahren, entwendet hatten, um diese ihren neuen Arbeitgebern weiterzugeben. Zuvor hatten beide angegeben, die Firma verlassen zu wollen, um kranke Verwandte in ihrem Heimatland China zu unterstützen.
Viele Vektoren, ein Ziel
Bei der Fülle an Angriffsvektoren stellt sich die Frage, wie die jeweiligen Sicherheitsverantwortlichen jeden Fall hätten verhindern können. Im Fall von Equifax wäre beispielsweise durch eine rasche Aktualisierung der Software der Angriff verhindert worden. Gleichwohl besteht immer das Risiko, dass neue Schwachstellen in der von den Unternehmen eingesetzten Software entdeckt werden, für die eine gewisse Zeit lang keine Patches zur Verfügung stehen. Auch kann die Sensibilisierung von Mitarbeitenden durch Schulungen dazu beitragen, seltener auf Phishing-Mails hereinzufallen. Ganz auszuschließen ist dies jedoch nicht, wie unter anderem Wissenschaftler der Friedrich-Alexander-Universität (FAU) Erlangen gezeigt haben: Wenn der Kontext und das Timing passen, ist dem Forscherteam zufolge niemand davor gefeit, zum Opfer zu werden – ganz gleich wie trainiert und sicherheitsaffin man ist. Noch schwieriger stellt sich für Sicherheitsverantwortliche die Situation in der Supply Chain dar. Natürlich sollten Unternehmen auch bei der Software nur auf vertrauenswürdige und seriöse Lieferanten setzen, die die höchsten Sicherheitsstandards und Best Practices befolgen. Allerdings hat ja gerade das Beispiel SolarWinds gezeigt, dass auch solche Anbieter Opfer (und damit Verbreiter) von Cyberrisiken werden können.
Die unterschiedlichen Angriffsvektoren machen aber auch deutlich, dass es letztlich nur eine Frage der Zeit ist, bis es Angreifer in die Systeme ihrer Opfer schaffen. Dies bedeutet freilich nicht, dass man nicht dafür sorgen sollte, seine Angriffsfläche möglichst gering zu halten und etwa mittels automatisiertem Posture Management Cloud-Fehlkonfigurationen zu erkennen und zu beheben. Vielmehr sollten Sicherheitsverantwortliche einem „Assume-Breach“-Ansatz folgen und davon ausgehen, dass sie bereits erfolgreich angegriffen worden sind. Entscheidend ist dabei, dass die Cyberkriminellen in der eigenen Infrastruktur keinen (größeren) Schaden anrichten können. Sicher, die Vorstellung, jemand Fremdes mit böswilligen Absichten in seinen Systemen zu haben, ist nicht angenehm. Solange die Angreifer aber hier nichts anstellen können, kann man damit notgedrungen leben.
Das Ziel der allermeisten Cyberangriffe sind Daten. Deshalb muss durch einen daten-zentrierten Sicherheitsansatz sichergestellt werden, dass die Eindringlinge diese nicht entwenden oder manipulieren können. Vergegenwärtigt man sich die Anzahl der entwendeten Daten und Dokumente der genannten Beispiele, kann man erahnen, dass Zugriffsrechte hierbei eine entscheidende Rolle spielen. Gemäß dem SaaS-Datenrisiko-Report sind in einem durchschnittlichen Unternehmen 157.000 sensitive Datensätze durch SaaS-Freigabefunktionen für jeden im Internet zugänglich. Zudem hat jeder Mitarbeitende Zugriff auf 9 Prozent der sensitiven Microsoft-365-Dateien. Ein einziges kompromittiertes Konto reicht also aus, um auf 1.000 vertrauliche Dateien zugreifen zu können. Deshalb müssen Sicherheitsverantwortliche den Explosionsradius, also den Schaden, den ein Konto anrichten kann, so klein wie möglich halten. Darüber hinaus kann durch die intelligente Analyse der Datennutzung auffälliges, abnormales Verhalten erkannt und automatisch gestoppt werden – wie die millionenfache Exfiltration von Kundendaten oder der Download von sensitiven Produktionsplänen auf den Computer seines Ehepartners.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.