Ein Bedrohungsvektor, auch Angriffsvektor genannt, ist eine Methode, mit der sich Cyberkriminelle unbefugten Zugang zu Computersystemen und Netzwerken verschaffen. Hacker nutzen Bedrohungsvektoren, um sich Zugang zu Benutzerkonten zu verschaffen oder bösartige Software (Malware) auf Systeme zu laden. Sie starten daraufhin Cyberangriffe, um an sensible Informationen zu gelangen und Systemausfälle zu verursachen. Die Gesamtzahl aller möglichen Einstiegspunkte (Bedrohungsvektoren) für den unbefugten Zugriff auf ein System wird als Angriffsfläche bezeichnet.
Zu den üblichen Bedrohungsvektoren gehören bösartige E-Mails bei Phishing-Angriffen, unsichere oder gestohlene Kennwörter, Drive-by-Download-Angriffe, Webanwendungen und Beziehungen, die ausgenutzt werden. In diesem Artikel werden wir diese detailliert erklären.
Cyberangriffe kommen leider bei jeder Art von Unternehmen vor und sie verursachen erhebliche Verluste und Störungen. Laut Statista liegen die durchschnittlichen Kosten pro Datenschutzverletzung im Jahr 2022 weltweit bei 4,35 Mio. USD, dem höchsten jemals verzeichneten Wert. Bedrohungsvektoren sind Eintrittspunkte in Computersysteme und Netzwerke. Deshalb können verheerender Cyberangriffe verhindert werden, indem diese Eintrittspunkte geschlossen werden und die Angriffsfläche damit so klein wie möglich zu gehalten wird.
Allerdings muss man zunächst seine Risiken kennen, um sie zu mindern. Werfen wir also einen Blick auf die häufigsten Bedrohungsvektoren, um zu verstehen, wie sie ausgenutzt werden und wie man sie entschärfen kann.
Phishing-E-Mails sind betrügerische E-Mails, die von Angreifern verschickt werden, die sich als vertrauenswürdige Absender ausgeben. Dabei handelt es sich um eine Form des Social Engineering. Die E-Mail-Empfänger werden dabei so manipuliert, dass sie den Angreifern helfen, sich Zugang zu verschaffen. Die Opfer werden oft dazu verleitet, auf einen Link zu klicken, über den Malware heruntergeladen wird, oder sie werden auf eine gefälschte Anmeldeseite geleitet, auf der ihre Passwörter gestohlen werden, sobald sie diese eingegeben haben. Ebenso können Angreifer Opfer auch dazu bringen E-Mail-Anhänge zu öffnen, bei denen es sich selbst um Malware oder legitime Dateien handelt, die mit bösartigem Code versehen sind. In anderen Fällen geben Opfer ihre Benutzernamen und Passwörter preis, durch die der Angreifer einen direkten Zugriff auf ihre Konten erhält.
Möglichkeiten zur Entschärfung dieser Bedrohungsvektoren:
Cyberangriffe können effektiv durch den Zugang zu gültigen Konten durchgeführt werden. Dies verschafft Angreifern die User-Privilegien und sie rutschen durch die Sicherheitserkennung und lenken dadurch weniger Aufmerksamkeit auf sich. Hackern stehen unzählige Möglichkeiten zur Verfügung, um gültigen Konten zu infiltrieren. So können sie beispielsweise Passwort-Wörterbücher und Brute-Force-Angriffstools verwenden, um schwache Passwörter zu knacken. Angreifer haben mit diesen Methoden großen Erfolg, da einfache und standardmäßige Passwörter weit verbreitet sind. Alternativ können Angreifer kompromittierte Passwörter verwenden, die sie entweder im Dark Web erlangt oder selbst durch andere Angriffe gestohlen haben, um auf Konten zuzugreifen.
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Webanwendungen sind Programme und Dienste, die Unternehmen für den Zugriff auf das Internet verwenden. Dazu gehören E-Mails, Office-Suiten, Suchleisten, Foto-Editoren und Kommentar-Module. Schwachstellen finden sich jedoch häufig in Webanwendungen, einschließlich der Anwendungsserver, auf denen die Anwendungen gehostet werden, sowie in Datenbanken. Da sie über das Internet zugänglich sind, können Angreifer ihre Schwachstellen ungehindert ausnutzen, um Daten zu stehlen oder sich unbefugten Zugang zu verschaffen. Mit dem beliebten SQL-Injection-Angriff beispielsweise, bei dem böswillige Abfragen an eine SQL-Datenbank gestellt werden, können Angreifer Daten wie Passwörter (in verschlüsselter Form) und Kreditkartendaten auslesen.
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Als Drive-by-Download wird ein Download von Malware auf ein Gerät bezeichnet, die beim normalen Surfen im Internet, auch auf legitime und vertrauenswürdige Websites, heruntergeladen wird. Die Angreifer haben zuvor die Website mit bösartigem Code infiltriert. In einigen Fällen wird Malware heruntergeladen, nachdem ein User auf einen Link, ein Pop-up-Fenster oder eine Werbung geklickt hat. Angreifer tarnen ihre Werbung oft als attraktive Angebote, Warnmeldungen und Browser-Update-Warnungen, um die Benutzer zum Klicken zu verleiten. In anderen Fällen wird die Malware ohne jegliche Interaktion des Users heruntergeladen. Dies wird durch Schwachstellen im Internetbrowser des Users ermöglicht, die der Code des Angreifers ausnutzen kann.
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Fernzugriffsdienste ermöglichen es den Usern, sich mit entfernten Systemen und Netzwerken zu verbinden. Zu den häufig genutzten Fernzugriffsdiensten gehören virtuelle private Netzwerke (VPN) und Windows-Remote-Desktop-Dienste, die Fernarbeitern über ein anderes Gerät vollständigen Zugriff auf ihren Arbeitsplatz ermöglichen. Bedrohungsakteure können jedoch im Internet nach Instanzen dieser Remote-Verbindungen suchen. Sobald diese entdeckt werden, können sie die Verbindung hacken, indem sie mit einem Brute-Force-Angriff in das Konto des Users eindringen oder Fehlkonfigurationen und Schwachstellen des Dienstes ausnutzen. Ein erfolgreiches Eindringen in eine Remote-Verbindung verschafft Hackern Zugang zu Workstations und Netzwerkressourcen wie normalen Usern.
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Eine vertrauensvolle Beziehung bezieht sich in diesem Kontext auf eine dritte Organisation, der Zugang zu den Computersystemen und dem Netzwerk einer anderen Organisation gewährt wird. Diese Art von Beziehungen findet man häufig bei Managed Service Providern (MSP), sowie bei Unternehmen, die die IT-Infrastruktur und -Systeme eines Kunden per Fernzugriff verwalten, und bei Software-Providern. MSPs und Software-Provider erhalten oft erhöhte Rechte, um die vereinbarten Dienstleistungen zu erbringen. Angreifer können diese vertrauensvollen Beziehungen ausnutzen, indem sie Angriffe auf Drittanbieter starten, um sich uneingeschränkten Zugang zu den Systemen und Netzwerken ihrer Kunden zu verschaffen (so genannte Supply-Chain-Angriffe).
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Die Verbreitung von Malware über Wechseldatenträger gibt es schon seit langem. Der weltweit erste Ransomware-Virus wurde bereits 1989 über Disketten verbreitet. Diese Form der Verbreitung von Malware, die sich Zugang zu Computersystemen verschafft, gibt es jedoch auch heute noch und sie nimmt weiter zu. Untersuchungen von Honeywell zeigen, dass 52 % der Bedrohungen speziell für die Verwendung von USB-Laufwerken entwickelt wurden, gegenüber 32 % im Vorjahr drastisch gestiegen ist. Dabei sind die industriellen Kontrollsysteme mit 81 % besonders gefährdet. In anderen Fällen kann sich Malware, die sich bereits auf einem System befindet, auf angeschlossene USB-Laufwerke kopieren. Auf diese Weise können Angreifer auf entfernte Systeme zugreifen, insbesondere auf solche, die sich in Netzwerken mit Luftabdeckung befinden.
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Insider-Bedrohungen sind Bedrohungen, die in Form von fahrlässigen und böswilligen Mitarbeitern innerhalb einer Organisation ausgehen. Fahrlässige Insider sind diejenigen, die im Allgemeinen über die Sicherheitsrichtlinien des Unternehmens Bescheid wissen, sich aber dafür entscheiden, diese zu ignorieren. Sie geben zum Beispiel ihre Passwörter preis und stellen über öffentliche W-LANs oder persönliche VPNs eine Verbindung zum Intranet her. Diese Handlungen verschaffen Angreifern ungewollt einen leichten Zugang zu den Systemen und Netzwerken des Unternehmens. Böswillige Insider sind diejenigen, die absichtlich bösartige Aktivitäten durchführen. Sie können von Bedrohungsakteuren bestochen worden sein, um Daten wie Geschäftsgeheimnisse und Kundeninformationen zu stehlen oder ihnen zu helfen, Malware auf Systeme zu laden.
Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:
Wir wissen, dass es schwierig sein kann, den Überblick über alle Schwachstellen und Risiken in Ihrer Netzwerkumgebung zu behalten. Deshalb bieten wir mit NovaTA einen Risikobewertungsdienst an, der Sie dabei unterstützt, alle Risiken, Schwachstellen und bestehenden Bedrohungen in ihrem Netzwerk aufzudecken.
NovaTA nutzt unsere hochmoderne Network Detection and Response-Lösung NovaCommand, um Ihr gesamtes Netzwerk zu scannen. So können wir Informationen über alle mit Ihrem Netzwerk verbundenen Geräte sammeln, einschließlich PCs, Servern, mobilen Geräten sowie über IoT-Geräte. So stellen wir sicher, dass kein Gerät unentdeckt und ungeschützt bleibt. NovaCommand und unsere Experten identifizieren gemeinsam alle Sicherheitsrisiken und Schwachstellen, wie z. B. Schwachstellen im Betriebssystem und schwache Passwörter.
NovaCommand nutzt auch maschinelles Lernen (KI), um sich selbst das normale Verhalten Ihres Netzwerks beizubringen. Dadurch kann es unregelmäßiges Verhalten im Netzwerk erkennen, das wahrscheinlich auf eine bestehende Bedrohung hinweist. Nach einer vollständigen Bewertung der Sicherheitsrisiken berichten Ihnen unsere Experten über ihre Erkenntnisse und beraten Sie, wie festgestellten Schwachstellen oder Risiken minimiert werden können. Wir helfen Ihnen auch, Bedrohungen zu beseitigen und die Ursache des Angriffs herauszufinden, um die Schwachstelle zu schließen und künftige Kompromisse zu verhindern.
Mit NovaTA profitieren Sie von einer professionellen Risikobewertung und einem Service, der Ihre Angriffsfläche effektiv minimiert und Ihr Unternehmen schützt. Weitere Informationen finden Sie auf den NovaTA- und NovaCommand-Seiten und zögern Sie nicht, uns bei Fragen zu kontaktieren.