Attacken verstehen und Strategien benennen

Cyberkriminalität entwickelt sich stetig weiter. Angreifer nutzen immer ausgeklügeltere Methoden, um in Netzwerke einzudringen, Daten zu stehlen oder Systeme lahmzulegen. Ransomware, Phishing, DDoS-Angriffe und Social-Engineering sind nur einige der Taktiken, die regelmäßig zum Einsatz kommen. Künstliche Intelligenz vereinfacht Cyberangriffe zusätzlich, holprige Rechtschreibung wird korrigiert, Malware kann schnell angepasst werden und Chatbots betreiben das oft aufwendige Social-Engineering. Soziale Organisationen sind besonders gefährdet, da sie oft weniger in Cybersicherheit investieren können als große Unternehmen und daher attraktive Ziele darstellen.

Welche Strategien und Techniken für solche Angriffe grundsätzlich infrage kommen und wie diese unterschieden werden können, zeigt das Framework "Mitre Att&ck". Diese frei zugängliche Online-Datenbank sammelt und beschreibt aktuell 188 Techniken in 14 taktischen Kategorien, die für Cyberangriffe genutzt werden. Das Framework bietet eine einheitliche Typologie und klare Bezeichnungen der Angriffsstrategien, die ständig aktualisiert und erweitert werden. Anhand der Beschreibungen dieser Techniken können Organisationen IT-Schwachstellen identifizieren, Cyberangriffe simulieren oder vergangene Attacken analysieren. Durch solche Analysen wird es idealerweise möglich, schon in einer frühen Phase auf beginnende oder laufende Angriffe aufmerksam zu werden und einzugreifen – noch bevor ein ernstzunehmender Schaden entsteht.

Wie dieses Framework in der Praxis auch zur Analyse einer erfolgten Cyberattacke eingesetzt werden kann, wird deutlich, wenn man einen solchen Angriff anhand der Kategorien strukturiert nachvollzieht. "Mitre Att&ck" zeigt dabei, welche Taktiken, Techniken und Verfahren Cyberkriminelle nutzten, so dass die betroffene Organisation die Angriffsmuster besser verstehen und Abwehrstrategien für künftige Fälle entwickeln kann.

Analyse eines Cyber­angriffes mit dem Framework

Im Januar 2022 wurde eines der größten humanitären Netzwerke Opfer eines schwerwiegenden Cyberangriffs. Dabei wurden sensible persönliche Daten von über 515.000 besonders schutzbedürftigen Menschen kompromittiert, darunter Vermisste, ihre Familien und Personen in Haft. Dieser Vorfall zeigt eindrücklich, wie gezielte Cyberangriffe auf soziale Organisationen ablaufen können.

Die Angreifer nutzten externe Remote-­Dienste eines Drittanbieters und ermöglichten sich so den Zugang zu sensiblen Datenbanken. So konnten die Angreifer eine langfristige Präsenz im Netzwerk aufbauen. Im Framework entspricht dies einem typischen Vorgehen in der Kategorie "Initiale Zugangsgewinnung und Ausführung". Im zweiten Schritt haben die Angreifer diese Präsenz genutzt, um neue Konten mit hohen Privilegien zu erstellen. So konnten sie den Zugang aufrechterhalten, ohne aufzufallen. Im Framework fällt dieses Vorgehen in die Kategorie "Persistenz". Zugleich gelang es den Angreifenden, bestehende Accounts zu nutzen, um die eigenen Zugriffsrechte zu erweitern – was eine typische Strategie der Kategorie "Privilegienerweiterung" ist.

Um die eigenen Aktivitäten und die dafür eingesetzte Malware vor Sicherheitsüberwachungen zu verbergen, deaktivierten die Angreifenden im nächsten Schritt entsprechende Sicherheitssoftware. Dieses Vorgehen fällt in die Kategorie "Umgehen von Schutzmechanismen". Außerdem extrahierten sie Anmelde­informationen (Kategorie "Zugriff auf Anmelde­informationen") und nutzten diese gestohlenen Passwort-Hashes, um sich in weiteren Remote-Diensten und Protokollen auf anderen Systemen zu authentifizieren (Kategorie "Laterale Bewegung").

Durch diesen umfassenden Zugriff auf verschiedene Systeme konnten die Angreifenden damit beginnen, die Netzwerke nach sensiblen Daten zu durchsuchen. Dafür griffen sie auf E-Mail-Server (Kategorie "Sammlung von Daten") zu und extrahierten Nachrichten mit vertraulichen Informationen. Um die Daten schnell und unerkannt auf die eigenen Server zu übertragen, wurden sie verschlüsselt und komprimiert und anschließend über übliche und zugelassene Protokolle wie HTTPS versendet. Diese Strategie der Kategorie "Exfil­tration von Daten" ist besonders schwer zu erkennen.

Gesteuert wurde das Vorgehen mit Befehlen, die ebenfalls über gängige Protokolle versendet wurden und zudem verschlüsselt waren. Dieses Vorgehen der Kategorie "Command and Control" verhinderte, dass Netzwerküberwachungstools die Aktionen bemerkten.

Die Auswirkungen (die im Mitre-Att&ck-Framework eine eigene Kategorie bilden) waren massiv: Es wurden persönliche und sensible Daten von Hunderttausenden von Personen entwendet (exfiltriert).

Folgen und Reaktion auf den Angriff

Die entwendeten Informationen betrafen besonders schutzbedürftige Gruppen wie Vermisste und Gefangene. Die Cyberattacke gefährdete die entsprechenden Personen, denn die Veröffentlichung oder der Missbrauch solcher Daten hat potenziell schwerwiegende Konsequenzen für die Betroffenen. Auch der Reputationsschaden für die Organisation war hoch, da das Vertrauen in die Fähigkeit, sensible Daten zu schützen, beeinträchtigt wurde. Zudem führte der Angriff zu Betriebsunterbrechungen. Bestimmte Dienste mussten vorübergehend eingestellt werden, um den Vorfall zu untersuchen und Sicherheitsmaßnahmen zu verstärken.

Der gezielte Angriff auf die soziale Organisation über einen Drittanbieter unterstreicht die Bedeutung von Sicherheitsmaßnahmen entlang der gesamten Lieferkette. Die präzisen Aktionen deuten darauf hin, dass die Angreifer ein detailliertes Verständnis der internen Netzwerke hatten und ihre Aktivitäten trotz vorhandener Sicherheitslösungen verbergen konnten. Das ist kaum ohne ausgeklügelte Technik möglich.

Nach dem Angriff wurden die betroffenen Systeme isoliert, um eine weitere Kompromittierung zu verhindern. Die Organisation kommunizierte transparent, benachrichtigte die Betroffenen und arbeitete mit Cybersicherheitsexperten und den Strafverfolgungsbehörden zusammen.

Zudem wurden die Sicherheitsmaßnahmen verbessert. Es galt, Drittanbieter zu überprüfen und sicherzustellen, dass alle Partner strenge Sicherheitsstandards einhalten. Die Implementierung fortschrittlicher Überwachungs- und Erkennungssysteme erhöhte die Netzwerksicherheit, und durch Mitarbeiterschulungen wurde das Bewusstsein für Cyberbedrohungen erhöht.

Lehren für die Sozialwirtschaft

Das Beispiel zeigt: Um Risiken zu minimieren, müssen auch die Systeme von Partnern in der gesamten Lieferkette gesichert werden. Anwendungen und Datenbestände sind so zu priorisieren, dass besonders sensible personenbezogene Daten den höchsten Schutz erhalten. Dabei gilt der Zero-Trust-Ansatz. Blindes Vertrauen kann sich niemand leisten – stattdessen müssen alle Systeme kontinuierlich überprüft werden.

In der Ressourcen- und Budgetplanung muss Cybersicherheit deshalb viel stärker berücksichtigt werden als bisher. Kleinere Organisationen, die keine eigene IT-Unit unterhalten, sollten sich extern Unterstützung suchen. Auch die Anwendung des Frameworks "MITRE ATT&CK" kann dabei helfen, die Taktiken und Techniken der Angreifer besser zu verstehen und vermittelt ein besseres Verständnis von Angriffsverläufen und den genutzten Schwachstellen.

Angreifer nehmen die Sozialwirtschaft in den Fokus, um an wertvolle und sensible Daten zu gelangen. Durch die detaillierte Analyse des Vorfalls und die Anwendung der notwendigen Mitigationsmaßnahmen können Organisationen effektive Strategien entwickeln, um Netzwerke zu schützen, Bedrohungen frühzeitig zu erkennen und angemessen zu reagieren. Die Kombination aus fortschrittlichen Angriffstechniken der Täter und menschlichen Schwachstellen in der Verteidigung macht proaktives Handeln unerlässlich.