InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Das Cyber Threat Intelligence (CTI) Team der InfoGuard erfüllt verschiedene Aufgaben zum eigenen Schutz und dem der Kunden. Dabei von zentraler Bedeutung: Die Erkennung von Tendenzen und Trends der Cyber-Angreifer. In diesem Artikel werfen wir einen Blick zurück auf die 53 grössten bearbeiteten Fälle des InfoGuard Computer Security Incident Response Teams (CSIRT) im letzten Jahr mit dem Ziel, 2023 noch besser gewappnet zu sein. Mithilfe einer Einschätzung zur Bedrohungslage lassen sich mögliche Prioritäten und optimalere Sicherheitsinvestitionen ableiten.
Ein wichtiger Bestandteil unserer Arbeit als Cyber Threat Intelligence (CTI) Team ist die kontinuierliche Einschätzung der Bedrohungslage. Dafür sind verschiedene Schritte notwendig. Da unser Hauptziel die Verbesserung der IT-Sicherheit ist, fokussieren wir uns auf Bedrohungen aus dem Cyber-Bereich. Allerdings beachten wir auch geopolitische Faktoren, die die Lage beeinflussen. Mit diesem Fokus identifizieren wir geeignete Datenquellen und bereiten deren Inhalt auf. Aus den resultierenden Informationen bilden wir eine Lageeinschätzung der Bedrohungslage durch eine Analyse.
Eine der wertvollsten Datenquellen sind die Spuren der Cyber-Angreifer, die das Computer Security Incident Response Team (CSIRT) bei der Bearbeitung der Vorfälle laufend sammelt. Für diesen Artikel haben wir uns bewusst auf die 53 grössten aller 158 Fälle, die das CSIRT 2022 bearbeitete, konzentriert. Diese Fälle resultierten aufgrund ihres Ausmasses, Auswirkungen sowie vorhandenen Täterspuren. Diese Daten wurden anschliessend aufbereitet, um eine detaillierte Übersicht und Auswertung der Angriffe zu ermöglichen.
Dieser Rückblick ist keine vollständige Lageeinschätzung. Von den analysierten Vorfällen lassen sich jedoch allgemeingültige Massnahmen ableiten, um den Schutz von aktuellen Cyber-Angriffen zu erhöhen.
Um die betroffenen Unternehmen der analysierten Fälle nach ihren wirtschaftlichen Tätigkeiten zu kategorisieren, verwendeten wir eine Liste, die auch im Open Source Tool OpenCTI anzutreffen ist. Diese Liste erfüllt zudem unsere zentrale Anforderung, dass sie Potential als Standard hat. Eine verbreitete Nutzung einer einheitlichen Liste kann eine bessere gesamthafte Wahrnehmung der Cyber-Bedrohungslage ermöglichen.
Die Liste enthält 22 unterschiedliche Sektoren, von denen sich zehn in den 53 Fällen wiederfanden. Aus den 53 Fällen kristallisierten sich zudem drei Sektoren heraus, die am häufigsten betroffen waren. Auch wenn das CSIRT am meisten Fälle im Finanzwesen, in der Produktion und in der Technologie bearbeitet hat, möchten wir nicht verallgemeinert daraus schliessen, dass die übrigen Sektoren weniger von Cyber-Vorfällen betroffen sind. Im Gegenteil, denn in unserer Arbeit wird immer wieder deutlich, dass es jede Firma treffen kann – unabhängig vom Sektor und der Unternehmensgrösse.
Abbildung 1: Wirtschaftssektoren mithilfe der Auflistung von OpenCTI der 53 grössten CSIRT-Fälle im Jahr 2022
Zu Beginn thematisierten wir unseren Datensatz und damit auch, dass wir uns auf die 53 grössten Fälle konzentrierten. Eine Auswirkung auf diese Auswahl hatten auch mehrere Fälle, bei denen IT-Dienstleister betroffen waren. Hier zeigte sich, dass aus nur einem Vorfall schnell eine Vielzahl an Vorfällen resultieren kann. So weiteten sich die Vorfälle auf die Kunden der IT-Dienstleister aus, welche anschliessend ebenfalls Unterstützung durch unser CSIRT anforderten.
Präventive Cyber-Sicherheit – IT-Dienstleister
Dies bringt uns zu präventiven Massnahmen, da in den letzten Jahren IT-Dienstleister auffallend häufig Opfer von Cyber-Angriffen wurden – Tendenz vermutlich weiterhin steigend.
Um sich als Kunde eines IT-Dienstleisters vor Schaden besser zu schützen, raten wir zu einer vertraglichen Regelung. Wichtiger Bestandteil: Bei einem Vorfall muss der IT-Dienstleister den Kunden umgehend informieren, damit keine Zeit verloren geht und Massnahmen eingeleitet werden können. Zudem sollten mindestens dieselben Sicherheitsstandards beim IT-Dienstleister gelten wie beim Kunden selbst und somit providerseitig Schutz- und Sicherungsmassnahmen getroffen werden. Dabei ist anzumerken, dass Gegenmassnahmen nie eine absolute Sicherheit garantieren, das Risiko jedoch verringern können.
Das NCSC (National Cyber Security Centre) der Schweiz und das NCSC des Vereinigten Königreichs (UK) geben noch weitere Empfehlungen ab:
Wie erfolgt der initiale Zugriff der Cyber-Angreifer?
Bevor Cyber-Angreifer Schaden anrichten können, müssen sie zuerst Zugang zum Netzwerk erlangen, der sogenannte «Initial Access». Die unterschiedlichen Initial-Access-Methoden der 53 Fälle haben wir in acht Kategorien unterteilt.
VPN/RDP Access: Hierbei verschafften sich Angreifer durch VPN oder RDP Credentials Zugriff auf das Netzwerk. Wir haben nicht weiter unterschieden, wie die Angreifer zu den Logindaten kamen. Beispiele hierfür sind jedoch Brute-Forcing, vorangegangenes Phishing oder auch bereits abgeflossene Credentials. Es wurden jedoch bei allen 15 Fällen legitime Credentials benutzt.
Abbildung 2: Initial Access der 53 grössten CSIRT-Fälle im Jahr 2022
Um sich gegen Cyber-Angriffe zu schützen, gibt es zahlreiche Massnahmen, welche die Hürden für die Angreifer erhöhen können. Mithilfe einer Bedrohungslage lassen sich dabei aber mögliche Prioritäten ableiten, um sich so für optimalere Sicherheitsinvestitionen zu entscheiden.
Folgende Massnahmen werden von unserem CSIRT basierend auf dieser Analyse empfohlen und wären bei den Fällen mit den drei häufigsten Initial-Access-Methoden von grosser Hilfe gewesen:
MFA (Multi-Faktor-Authentifizierung): MFA einzurichten kann helfen, folgende Initial-Access-Methoden zu verhindern: VPN/RDP Access, Phishing, Valid Accounts und Social Engineering. Priorität haben besonders exponierte Services. 34 der 53 Fälle ordneten wir diesen vier Kategorien zu.
In 85 % der 53 Fälle hätten diese Massnahmen helfen können, um den Angreifern den ersten Zugriff ins Netzwerk zu erschweren oder zu unterbinden.
Abbildung 3: Actions on Objective der 53 grössten CSIRT-Fälle im Jahr 2022
Bei den grösseren CSIRT-Fällen im letzten Jahr lohnt sich ein Blick auf die «Actions on Objective» gemäss der Cyber Kill Chain. Dabei untersuchten wir, was Angreifer für ein Ziel verfolgten und welchen Schaden sie anrichteten.
Ransomware: Das Ziel eines Ransomware-Angriffs ist es, die Opfer zu erpressen. Dafür benutzen Angreifer oft zwei Druckmittel: zum Ersten die Entschlüsselung der verschlüsselten Systeme und Daten; zum Zweiten der Verkauf oder die Veröffentlichung abgeflossener Daten.
Ransomware-Angriffe stellen weiterhin die grösste Bedrohung dar, nicht zuletzt wegen des hohen Business Impacts. Einerseits besteht die Gefahr, dass es aufgrund von verschlüsselten Systemen zu einem Betriebsausfall kommt. Andererseits konnten wir beobachten, dass oft zusätzlich Daten exfiltriert wurden, was zu einem Datenschutzvorfall führen kann.
In einem nächsten Blogpost werden wir noch detaillierter auf Ransomware-Vorfälle eingehen. Doch bereits jetzt stehen zwei Fragen im Raum, die jedes Unternehmen beantworten können sollte: Erstens, wie läuft der interne Eskalationsprozess ab? Und zweitens, wer entscheidet, ob ein System oder das Netzwerk bei einem Vorfall vom Internet entkoppelt wird?
Die erläuterten Massnahmen sind keine Garantie, dass Vorfälle gänzlich verhindert werden können. Sie erhöhen jedoch die Hürde für Angreifer und geben den Verteidigern mehr Zeit, um die Angreifer vor Actions on Objective zu erkennen und zu stoppen. Dadurch können Schäden minimiert werden. Zum Schluss zusammenfassend nochmals die erwähnten empfohlenen Massnahmen:
IT-Dienstleister:
Eine vertragliche Regelung – vor allem bezüglich umgehender Information im Falle eines erfolgreichen Angriffs – ist empfehlenswert.
Mindestens sollten dieselben Sicherheitsstandards beim IT-Dienstleister gelten wie beim Kunden.
MFA (Multi-Faktor-Authentifizierung) wird empfohlen; auf exponierten Services ist dies ein Muss.
Sie merken schon: Unsere Arbeit ist unglaublich spannend und wir möchten durch unsere Lageeinschätzung unseren Kunden sowie der Öffentlichkeit beim Schutz gegen Cyber-Angriffe unterstützen.
Und denken Sie daran: Sollte Ihr Unternehmen einmal von einer Cyber-Attacke betroffen sein - wir unterstützen Sie im Falle eines Security Incidents schnell, kompetent und erfahren. Mehr Informationen zu unserem Incident Response Retainer finden Sie hier:
Wenn Sie den nächsten CTI-Blogpost mit Fokus Ransomware nicht verpassen wollen, abonnieren Sie ganz einfach unsere Blog-Updates!