Typischer Ablauf eines Cyberangriffs

Sicherheit (Pexels, allgemeine Nutzung)Cyberangriffe auf Unternehmen und deren Netzwerke fallen oft erst auf, lange nachdem die Angreifer eingedrungen sind. Angreifer agieren im Geheimen, was es schwierig macht, den Hergang eines Angriffs im Nachhinein zu rekonstruieren und auf dieser Basis effektive Schutzmaßnahmen für die Zukunft zu etablieren. Daher sind Erkenntnisse aus aufgedeckten Cyberangriffen über die Vorgehensweise der Angreifer ggf. hilfreich.


Anzeige

aDvens, ein Unternehmen für Cybersicherheit, hat anhand der Daten aus seinem Security Operations Center den typischen Ablauf eines Cyberangriffs analysiert (abgesehen von Angriffen, denen keine finanziellen Motive zugrunde liegen – zum Beispiel Sabotage) und drei unterschiedliche Schritte identifiziert:

  • Erstzugriff: In diesem Schritt verschaffen sich Angreifer auf diskrete Art und Weise Zugang zum Unternehmensnetzwerk. Laut aDvens geschieht dies in 80 Prozent aller Fälle über legitime, zugangsberechtigte Nutzerkonten und in 80 Prozent davon wiederum über externe Zugänge von Drittanbietern oder Dienstleistern. Auch Social- Engineering-Angriffe wie Phishing sind bei Cyberkriminellen beliebt, wie auch die Nutzung von öffentlich zugänglichen Schwachstellen. Obwohl es zu diesem Zeitpunkt noch keine oder kaum direkte Auswirkungen auf das Unternehmen gibt, ist bereits dieses Stadium des Angriffs gefährlich. Denn viele Angreifer verkaufen die erbeuteten Anmeldedaten zusätzlich im Darknet, was weitere Angriffe zur Folge haben kann.
  • Auskundschaften: Im nächsten Schritt identifizieren Angreifer potenziell für ihre Ziele relevante Daten (z. B. HR-Daten oder Verträge). Dafür bewegen sie sich innerhalb des Systems mithilfe kompromittierter, aber legitimer Nutzerkonten und Verwaltungs-Tools, die keinen Verdacht erregen. Obwohl das Auskundschaften manchmal die Verbindung mit Systemkomponenten wie dem ERP oder mit Authentifizierungs-Tools stören kann, gibt es auch zu diesem Zeitpunkt noch keine oder kaum Auswirkungen auf das Unternehmen.
  • Ausnutzung: Im letzten Schritt sind die Auswirkungen auf das Unternehmen am größten, denn jetzt kommt üblicherweise die Ransomware zum Einsatz. Sobald die Angreifer die für sie relevanten Daten identifiziert haben, werden diese gestohlen und/oder verschlüsselt, um ein Lösegeld für die Entschlüsselung oder den Nichtverkauf der Daten zu fordern. Um die Zahlung des Lösegelds wahrscheinlicher zu machen, werden Tools verwendet, die es den Angreifern ermöglichen, die Kontrolle über die Systemverwaltung zu erlangen und evtl. vorhandene Daten-Backups zu löschen – so soll der Druck auf das Unternehmen erhöht werden, indem Alternativen zur Lösegeldzahlung wegfallen.

Weitere Bedrohungstrends und -entwicklungen sowie die Maßnahmen, die das Experten-Team von aDvens als besonders relevant für die aktuelle und zukünftige Bedrohungslage ansieht, finden Sie hier im vollständigen, englischsprachigen Threat Status Report von aDvens zum Download.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

45 Antworten zu Typischer Ablauf eines Cyberangriffs

  1. R.S. sagt:

    Daten-Backups löschen funktioniert nur bei einen Online Backupsystem.
    Best Practice bei Backups ist aber ein Offline Backupsystem, d.h. die Backupmedien werden nur für die Zeit des Backups/Restores mit dem System verbunden.
    Und natürlich sollte man mehrere Generationen eines Backups vorhalten für den Fall, das mal ein Backupmedium nicht lesbar ist.
    In Frage kommen da USB-Medien oder auch LTO-Bänder.
    In großen Rechenzentren nutzt man dafür LTO-Loader, die mit hunderten Bändern bestückt sind und vielen parallel laufenden Laufwerken.
    Bei einem Offline-Backup ist das Löschen des Backups weitgehend ausgeschlossen.

    • Luzifer sagt:

      Tja so machen das Experten… leider gibt es da nicht mehr allzuviele in den Firmen, da agieren eher "Hobbyadmins".

      Frägst du heutzutage in die Runde nach Backupstrategien kriegst du nur große Augen. Ich nutze sogar Privat schon seit Jahrzehnten LTO-Bänder zum Backup (auf nem Laufwerk von Quantum, derzeit LTO 8), sicherer geht es fast kaum. Die Bänder liegen dabei in nem F120 Safe und nen zweiter Satz im Schließfach bei meiner Bank. Privat ist da ja auch kein tägliches Backup notwendig ;-P

      • Tobias sagt:

        Naja, mit einem Offline-Backup adressiere ich zwar die Thematik, dass das Medium getrennt wird und nicht nachträglich verschlüsselt werden kann (z.B.) ich habe aber u.U. ein großes Thema mit der RTO. Das mag privat a) nicht die große Rolle spielen und privat habe ich b) vermutlich nicht die Volumina wie in Unternehmen.

        Offline-Medien haben aus dem Blickwinkel von BCM aber nach meiner Auffassung zwei Probleme:

        1. Es dauert für die Aufrechterhaltung der Geschäftsprozesse zu lange, bis ich die Wiederherstellung abgeschlossen habe
        2. Ich kann nicht im Backup anhand von IOCs z.B. nach Hashwerten suchen

        Der Punkt 2 ist m.E. eine von mehreren Ursachen für meinen Punkt 1. Ich stelle aus dem Backup wieder her und muss feststellen, dass auch dieses Backup schon kompromittiert ist (weil der Angreifer schon im Netz war, bevor ich ihn erkannt habe). Also geht die Bänderschubserei weiter und ich nehme das nächste Backup. Ebenso ist das Problem, dass ich gar nicht erkennen kann, wie viele meiner 900 VMware-Maschinen überhaupt kompromittiert sind. Es dauert also vielleicht Wochen, bis ich alle mühsam wiederhergestellt habe, um an Ende zu realisieren, dass von 900 Maschinen nur 45 infiziert waren.

        D.h. ob LTO-Bänder oder nicht brauche ich zusätzlich (!) eine Lösung im Bereich Disaster Recovery und ich brauche dafür auch Rechenpower in einer gut isoliertem Testumgebung, um einzelne VMs dort hochzufahren zu können und zu prüfen.

        Diese Lösung muss eine ganze Reihe Security-Features enthalten, die z.B. bermerken, wenn massenweise Daten verändert wurden (was auf eine Verschlüsselung hindeuten). Wenn ich rein auf Offline-Backup setze, habe ich zwar die höhere Sicherheit, was meine Daten angeht, aber mir läuft die Zeit einfach weg.

        Ich habe schon einmal eine Debatte geführt, dass dieses Disaster Recovery-Lösungen keinen Mehrwert bieten und man über Transaktionslogs ja jede Datenbank (wenn korrekt konfiguriert und gesichert) zu jedem Zeitpunkt wiederherstellen kann. Das ist in der Theorie richtig, wenn ich in der IT 12 Leute habe, die vielleicht 65 Datenbanken in unterschiedlichen Anwendungen von 35 Herstellern betreuen, dann wird das in der Praxis nicht in einer vertretbaren Zeit möglich sein und das Thema muss ich lösen.

        • Tomas Jakobs sagt:

          Veto… es gibt im BCM nichts schnelleres als Offlinemedien (ich nutze USB-Festplatten) zur Wiederherstellung. Einfach an einem Standby-System oder frisch installiertem Rechner anklemmen und los geht's. Schlägt jedes Bandlaufwerk oder LWL bei der Transfergeschindigkeit. Rotation hilft gegen kaputte Platten und ermöglicht einem in die Vergangenheit zurück zu gehen.

          Backup und Restore in ein "digitalen Zwilling" erfolgt komplett automatisiert Das Skript dazu habe ich unlängst auf Nachfrage hier gepostet:

          https://blog.jakobs.systems/micro/20241016-hyperv-backups-faq/

          Das ist zugleich auch Lösung zum "Schrödinger-Backup-Problem" und neue Updates oder Changes können immer zuerst sicher in einer Testumgebung ausprobiert werden, wo ich das komplette AD als Kopie vorhalte.

          Bänder haben Ihre unschlagbaren Vorteile bei Langlebigkeit – sofern die Lesegeräte und Schnittstellen auch aufbewahrt werden. Versuche mal heute einen Rechner mit SCSI zu finden, der Bänder aus den 1990ern einlesen könnte.

          Bei Datenbanken helfen nur feste RPOs, sprich Zeitpunkte wo man sicher zurückkehren kann. Irgendwo ein Diff gibt es immer, diese sind aber eher verkraftbar als gar nicht mehr zu haben.

          • 27102024 sagt:

            USB ist halt sehr langsam, und hat enorm viele Fehler Quellen. Alles schon durch. Von falsch/unvollständig angesteckt, fallen gelassen und niemand hat es bemerkt, kaputte Stecker, kaputte Kabel.. und dann ist USB halt langsam. Klassische HDDs schaffen da keine sinnvollen Datenraten, SSDs mit mehreren TB gibt es nicht zu kaufen. Viele Server haben gar keine extra schnellen USB Ports.
            Wer prüft vor dem Einstecken dass das USB Gerät nicht den Server schädigt? Z.b. durch Kurzschluss?
            Usw. Usw.

            In meiner Welt ist nur die letzte Sicherung relevant welche OK ist.
            Falls man Daten archivieren muss, ist das ein anderes Thema.

            Viele Kunden sichern inzwischen alle 2 Minuten. Das ist selbst bei sehr kleinen Severn (kleiner 2000eur) ohne großen Aufwand machbar.
            Fast Recovery also z.b. boot der VM direkt aus der Sicherung ist auch eher Standard.

            Und natürlich muss man nicht nur OnPrem sichern.. Google/O365 braucht auch Sicherung.

            • ChristophH sagt:

              "In meiner Welt ist nur die letzte Sicherung relevant welche OK ist." >> Was ist wenn man erst beim Restore merkt dass diese nicht OK ist?
              Dann sollte man schon noch ein paar Datensicherungen davor haben. Sonst ist das wie wenn man ohne Sicherung auf den Berg klettert und 1000m runter fällt.

              Zu USB:
              Beim Kauf des Server bzw. des Server mit der Backup-Software drauf, ein (oder mehrere) USB3.x oder USB-C Interface Karten mit 2-4 Port einplanen. Später nachrüsten scheitert manchmal daran, dass die passenden PCIe-Slot werksseitg schon mit NIC-Karte(n) oder FC-Interfaces belegt sind. Oder dann überdimensionierte Server kaufen wo auch nach 10-15 Jahren Betriebszeit immer noch 6 PCIe-Slot frei sind.

              Zu sichern in die Cloud:
              Beim Restore drängt die Zeit – wenn da nicht eine 1 GBit/s Glasfaser-Verbindung zur Verfügung steht kann das je nach Datenmenge von Stunden bis Tage dauern.

            • Tomas Jakobs sagt:

              Sorry auf ganz vielen Ebenen falsch..

              > USB ist halt sehr langsam…

              Jedes USB3.2 ist mit bis zu 20 Gbit/s (2,5 GByte/s) schneller als z.B. SATA Express mit nur 16 Gbit/s (2 GByte/s). Ich gehe stillschweigens davon aus, dass man sinnvollerweise für Backups kein USB1 @ 12 Mbit/s (1,5 MByte/s) oder USB2 @ 480 Mbit/s (60 MByte/s) nimmt.

              > und hat enorm viele Fehler Quellen.

              Bei USB-SSD Platten nicht mehr oder weniger als bei anderen Medien. Datenträgermedien sind generell Verschleißteile. In einem RZ fallen wöchentlich irgendwelche Platten aus, das ist normal.

              > falsch/unvollständig angesteckt, fallen gelassen und niemand hat es bemerkt, kaputte Stecker, kaputte Kabel..

              Dann ist Dein Monitoring kaputt, wenn Du das nicht merkst. Dann ist Dein Backup kaputt, wenn Du keine Infomail über Erfolg oder Nichterfolg bekommst. Dann ist Dein Prozess kaputt, wenn Du nicht weiß, ob ein Backup auch wieder (vorzugsweise automatisch) Wiederhergestellt ist.

              > …und dann ist USB halt langsam.

              Wiederholungen machen eine falsche Aussage nicht richtiger.

              > SSDs mit mehreren TB gibt es nicht zu kaufen.

              Falsch 5 TB sind mittlerweile üblich und günstig. Such mal nach ADATA 5TB in Amazon…

              > Viele Server haben gar keine extra schnellen USB Ports.

              Falsch, es sei denn Du kaufst Scheiß-Server (meist Markengeräte von Dell, HP & Co). In der Regel konfigurierst Du Dir diese BTO bei TK oder anderen zusammen (meist Supermicro).

              > Wer prüft vor dem Einstecken dass das USB Gerät nicht den Server schädigt? Z.b. durch Kurzschluss?
              Usw. Usw.

              What?!?!?

              > In meiner Welt ist nur die letzte Sicherung relevant…

              What!!?!?!??!?!?!?

              > Viele Kunden sichern inzwischen alle 2 Minuten.

              Welche?

              > Fast Recovery also z.b. boot der VM direkt aus der Sicherung ist auch eher Standard.

              Nö, ich denke Du wirfst hier einiges Durcheinander und/oder solltest Dein Sicherungskonzept einmal überdenken.

              > Und natürlich muss man nicht nur OnPrem sichern.. Google/O365 braucht auch Sicherung.

              Das ist allerdings zu 100% richtig…

              • Exchadmin sagt:

                „Schlägt jedes Bandlaufwerk oder LWL bei der Transfergeschindigkeit"

                Selten so gelacht.

                „…bis zu 20 Gbit/s"

                Und damit möchtest du welche Festplatte beschreiben?

                Kann man machen, ist aber weit entfernt von sinniger Backup-Lösung.

                • Bernd B. sagt:

                  Schon mittelmässige NVMe-SSDs bringen mehr.

                • R.S. sagt:

                  So ist es.
                  Und LTO 9 hat nicht ohne Grund zwei 12 GBit SAS-Schnittstellen.
                  Und beim kommenden LTO 10 ist die Übertragungsrate fast 3 mal so hoch wie bei LTO 9 und wird damit die 2 SAS-Schnittstellen an die Grenze treiben.
                  Schon LTO 7 sprengt die Leistungsfähigkeit von SATA 3.
                  Und was SSDs angeht:
                  Da sind die Kapazitäten schon deutlich weiter als bei HDDs.
                  Man darf nicht nur auf den Consumermarkt schauen!
                  Schon 2021 hat Samsung eine 30 TB SSD eingeführt.
                  Seit kurzem gibts eine 61 TB SSD von Samsung und auch Soligm hat eine 61 TB SSD im Programm.
                  Das sind aber Enterprise SSDs und kosten dementsprechend sehr viel Geld.
                  Und schon letztes Jahr hat Samsung Prototypen gezeigt, die satte 256 TB Kapazität haben!
                  Und selbst im Consumerbereich gibt es schon länger M.2 SSDs mit 8 TB. Es gibt auch externe Gehäuse für M.2 SSDs.

              • 27102024 sagt:

                Wir haben neue Kunden da hat das Backup über Jahre jeden Tag geschrieben, dass es nicht funktioniert. Per Mail.

                Die Sekretärin nur "mir wurde gesagt von meiner Vorgängerin, dass das normal ist". Wir wechseln jeden Tag brav die Festplatte.

                Das andere Extrem habe ich auch oft, "die Sicherungs Festplatte", genau eine, die seit Jahren fix verbunden ist mit dem System.

                Von einem ehemaligen Kunden, bekomme ich noch immer von dessen System die E-Mails nach über 10 Jahren, dass die Sicherung defekt ist. Versteht niemand, interessiert niemanden.

                Auch nur einmal zu testen ob die Sicherung wirklich wiederherstellbar ist, hätte geholfen.

            • Anonymous sagt:

              > SSDs mit mehreren TB gibt es nicht zu kaufen.

              Habe erst kürzlich einige Samsung 4 TB SSDs für Backupzwecke in PCs verbaut…

        • R.S. sagt:

          Noch ein Aspekt wird gerne beim Backup vergessen:
          Steuerrelevante Daten (Finanzbuchhaltung, Lohnbuchhaltung, etc.) müssen so gesichert werden das die nicht mehr nachträglich verändert oder gar gelöscht werden können.
          Und diese Backups müssen für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfrist aufbewahrt werden.
          Und sie müssen auch jederzeit lesbar sein. Um das zu gewährleisten, muß man i.d.R. auch die zur Sicherung verwendete Soft- und Hardware entsprechend lange aufbewahren.

          Als Backupmedium für steuerrelevante Daten kommen daher nur WORM-Medien in Frage.
          Also z.B. CD-R, DVD-R, BD-R oder bei den heutigen Datenmengen eher LTO WORM-Bänder.
          USB-Festplatten sind keine WORM-Medien und daher für die Sicherung steuerrelevanter Daten nicht zulässig.

          • Tomas Jakobs sagt:

            Sorry das mit der "Unabänderbarkeit" ist eine längst widerlegte Mär aus der GoBD. Denn müssten die Tabellen diverser ERP und Warenwirtschaftssysteme an jedem Datensatz Prüfsummen hinterlegen und Logs müssten mit Hashes der jeweiligen Vorzeile arbeiten und darauf Ihre neue, eigene Hash bilden. Kein DMS System der Welt macht das, Belege werden meist Raw als Datei irgendwo im Filesystem abgelegt, maximal mit einem Hash versehen, der im Klartext in der Datenbank steht und ebenfalls manipuliert werden könnte. Am Ende des Tages kann man auch immer ein Original und eine manipulierte Kopie brennen. Das ganze auch nachträglich.

            Ich empfehle den Podcast "Rechtsbelehrung" Folge 129 zur digitalen Forensik.

          • ChristophH sagt:

            Wer archivierungspflichtige Dokumente in einem zertifizierten Dokumentmanagmentsystem (DMS) speichert wird wohl kaum den Backup dieses Systems auch nochmals auf einem WORM-Medium speichern müssen. Nach dem Restore sollte das System ja weiterhin "beweisen" können, dass die Belege nicht verändert wurden.

            • Tomas Jakobs sagt:

              Was IMHO die Referenz ("Docuware") schlicht ergreifend nicht kann, weil Datenbank und Dokumente direkt frei bearbeitbar sind.

              • ChristophH sagt:

                Wir haben ELO im Einsatz.
                Die GoBD-Konformitätserlärung findet man hier:
                [https://]www.elo.com/files/public/downloads/compliance/GoBD-Konformitaetserklaerung.pdf

                Ich frage mal nach ob und wie genau das Änderen von Prüfsummen in der DB verhindert wird damit diese dann wieder zum geänderten Dokument passen würden.

                Wobei – in einem Papierarchiv war und ist es ja auch möglich Dokumente nachträglich zu "ersetzen". Muss bzw. musste so gut wie möglich organisatorisch verhindert werden. Rechtsgültig war das ja auch (nicht das austauschen,
                das archivieren an sich). :-)

                • Tomas Jakobs sagt:

                  Ach Gottchen, eine Bullshit Erklärung:

                  "Mit den vorgenannten Softwarelösungen lassen sich die gesetzlichen und steuerrechtlichen
                  Anforderungen (…) umsetzen und erfüllen."

                  Das ist eine juristische Nullnummer! Da kann man gleich auch behaupten, dass es sich bei Kauf eines Lottoloses grunsätzlich gewinnen lässt.

                  Den Rest auch gelesen?

                  "Auf Grund der Vielzahl und unterschiedlichen Ausgestaltung und Kombination der eingesetzten
                  DV-Systeme (…) kann es weder eine
                  allgemeingültige Aussage der Finanzbehörde hinsichtlich der Konformität einer Lösung noch
                  eine Globalzusicherung eines einzelnen Komponentenherstellers mit Geltung für alle anderen
                  Komponenten geben."

                  "Ein generelles Vorab-Abnahmezertifikat bzw. eine generelle Vorab-Bescheinigung kann es naturgemäß nicht geben"

                  Rein technisch dürfte einzig und alleine eine "Hash Chain" gewährleisten, dass ein Datensatz nicht nachträglich verändert wurde. Mir ist kein DMS bekannt, welches diese nutzt. Falsifiziert mich, wenn ich daneben liege.

                  https://en.wikipedia.org/wiki/Hash_chain

                • 27102024 sagt:

                  Das ist einfach. Man signiert diese mit einem der vielen Zeit-Stempel-Anbieter, und speichert diese. Auf diese Art kann man belegen, dass der Stempel zu dieser Uhrzeit so ausgesehen hat. Siehe RFC 3161.

              • Gix-Gax sagt:

                Deshalb haben wir auch GrauData File Lock in Verbindung mit Docuware im Einsatz.

    • Rolf sagt:

      Ich arbeite für ein Cybersecurity Disaster Recovery Unternehmen. Sprich ich komme wenn es schon passiert und zu späte ist. Leider muss ich euch sagen das wir dieses Jahr allein auch 25 Fälle hatten wo die Hacker die LTO Bänder und Loader am Wochenende in den RZ unter kontrolle hatten und diese Aufgefordert haben alles zu löschen.

      Das einzige was wirklich in meinen Augen hilft ist entweder eine Person zu haben auch am Wochenende die die Bänder mit den Daten raus zieht auch aus einem Loader und in einem anderen Raum ablegt oder man hat einfach mehre Brick Driver. Die nach dem Backup ihre "virtuellen Bänder" auswerfen, sprich es wird mechanisch wie beim VHS Kassetten Recorder die Sammlung ausgeworfen und kann nur durch eine menschlische Hand wieder ans System angedockt werden.

  2. David sagt:

    "Bei einem Offline-Backup ist das Löschen des Backups weitgehend ausgeschlossen."
    Direkt hast du recht – indirekt nicht. Solche Angriffe versuchen natürlich auch, auf die "offline" Backups zuzugreifen und sie – zumindest – zu stören.
    Und das funktioniert komischerweise auch ganz gut! Offenbar sind viele Backups nicht so richtig abgesichert …

    • R.S. sagt:

      Und wie soll das bei Bändern funktionieren?
      Auf ein Band, das nicht im Laufwerk ist, kann nicht zugegriffen werden.

      Und was den Restore angeht:
      Bevor hier ein Band zum Restore ins Laufwerk wandert, wird erst einmal der Schreibschutzschieber benutzt, damit keine Schadsoftware den Inhalt des Bandes überschreiben kann.

      • ChristophH sagt:

        Bei uns wird der Schreibschutzschieber benutzt sobald das LTO-Tape aus dem Wechsler entnommen wird. Wenn die Tapes aus der Tagessicherungs-Rotation nach einigen Wochen wieder in den Wechsler kommen, sollte man den Schreibschutz dann nicht vergessen wieder auszuschalten. Gab deswegen schon Nachtspaziergänge in den Serverraum. In meinem Fall nur 10 Min. Wegstrecke und Gesund nach einem Tag hinter dem Bildschirm …

      • Robert Fischer sagt:

        z:b: könnte man eine Verschlüsselung am Laufwerk oder in der Software eintragen/ändern, die Rotation abwarten und wenn man dann die Verschlüsselung nochmal ändert sind die Backups nutzlos.

    • Froschkönig sagt:

      Backupsysteme gehören in ein eigenes Active-Directory, Firewall davor, entweder ganz ohne Trust oder viel besser mit einem Backup-AD zu Live-AD einseitigen Trust, mit dem sich die nach Tiering getrennten Backup-Accounts im Live-AD anmelden können. Wenn die Accounts in ein anderes AD ausgelagert sind, sind diese Accounts schonmal schwerer zu manipulieren. Die Backup-Accounts zum Zugriff aufs Livesystem können auch aus der ESAE-Domain oder aus Entra-ID kommen, wenn man das hat.

      Dann sollte man unbedingt ein Monitoring einrichten, und zwar auf Filesystemebene mindestens auf den Backupservern, wer greift zu, wann und was und von wo, ACLs, und vor allem, macht er das regelmäßig, also mit einer Verhaltensmusteranalyse. Das lässt sich auch noch ausweiten, Monitoren der selben Sachen auf den Life-Fileservern, Storage, AD-Audit (User, Gruppen, OUs, Policies, …) , M365/Onedrive/Teams/Copilot/Sharepoint(Online)/Exchange(Online),Jira,Confluence,Vspehre,Proxy,VPN-Gateway,Citrix-GW,DNS,…. geht alles (mit einem Produkt welches dann den kompletten Überblick hat), kann aber kostspielig werden. Aber was ist billiger, gehackt zu werden oder rechtzeitig Aktivitäten mitbekommen?

      Dann legt man da auf das Backupsysteme ein paar Dummy-Daten und Dummy-VM-Images, bei denen man ab und zu mal das Datum des letzten Zugriffs aktualisiert, so dass die Daten "aktuell" aussehen. Also, klassischer Honeypot und beobachtet mit dem oben angerissenen Monitoriing was da passiert. Und dann muss darauf täglich ein Check laufen, evtl. sogar mehrfach, der die Prüfsummen dieser Dateien kennt und gegencheckt. Falls Änderungen festgestellt werden, muss sofort das gesamte Backup in Frage gestellt werden und ein nachgelagertes Tape-Backup gestoppt werden, so dass keine veränderten Daten ins Offline-Backup gelangen.

      Man darf sich aber niemals auf nur Backup-to-Disk verlassen, auch wenn das in einem anderen Standort oder wenigstens nur in einem anderen Brandabschnitt ist. An Disks kommen "DIE" letztendlich auch dran, muss man befürchten, auch wenn man ihnen es so schwer, wie nur irgendwie geht, machen muss. Daher als letzte Instanz immer auch Tape-Backup. Komischwerise liest man bei Heise gerade, dass IBM der letzte Hersteller ist, der noch LTO-Laufwerke anbietet, Seagate, Quantum, HP machen das alles nicht mehr.

      • ChristophH sagt:

        Danke für die guten Tipps. Eine Firewall davor müsste dann ja schon 10 Gbit/s schaffen wenn das Backbone für 10 Gbit/s ausgelegt ist. Das ist kostenmässig für kleinere Firmen mit Markenprodukten realisiert schon teuer. Oder macht man das mit einer Linux-Box und zwei Interfaces? Fehlt halt dann Deep Paket Inspection usw. Die Backup-Applikation "zieht" ja überlicherweise den Traffic von den zu sicherenden Geräten. Somit kann die Richtung LAN>BackupLAN komplett gesperrt werden.

  3. haka12345 sagt:

    @Luzifer,
    Der Grund für "HobbyAdmins" ist ganz einfach. Billiger. Wird ja schon klappen.
    Oder so wie ich es kennen gelernt habe, Vitamin B. Ich kenne eine Firma die einen Admin haben, ist der Schwiegersohn, der wirklich null Ahnung hat. Der kann nicht mal einen Port freischalten weil er nicht weiß was das ist.

  4. Anonymous sagt:

    TL;DR aus der Realität:

    Es gibt keinen typischen Ablauf eines Cyberangriffs

  5. ChristophH sagt:

    1984 – HP3000 – Jeden Mittag hatte der jüngste Auszubildende die Aufgabe alle 15 Min. die Bandspule zu wechseln, bis die Datensicherung abgeschlossen war. Danach kamen die Spulen in den feuerfesten Datentresor.

    Einmal pro Woche, anfangs der 90er-Jahre waren es 8 grosse Spulen, die Spulen dann zum Banktresor tragen. Ein Ortsbus gab es damals auch noch nicht und Auto fahren war, wegen zu jung, noch nicht erlaubt.

    Wir machen das heute noch so, nach DAT und DLT, heute mit LTO.

    Auch wenn wir inzwischen ältere Herren mit mehr oder weniger Haaren, meist grau oder bald ganz weiss sind, diese Praxis ist kein Zeichen das man langsam das berufliche EOL erreicht. Ganz im Gegenteil – wer kein vergleichbares Konzept mit Offline-Medien hat, erreicht sein IT-berufliches EOL eventuell schon viel früher…

    Was 2024 gegenüber 1984 ein grosser Vorteil ist – die Konzepte von Online-und Offline-Backup lassen sich sehr gut kombinieren. Backup to Disk to Tape – oder parallel oder was auch immer. Im Alltag ist Rücksicherung ab Disk sehr schnell, im Worst Case, wenn alles verschlüsselt und/oder zerstört wurde (Wasser, Feuer, Elemtarschäden), gibt es dann jedoch immer noch die Offline-Tapes an einem sicheren, externen Ort.

    • Froschkönig sagt:

      Genau so ist es. Was aber noch fehlt, ist eine Prüfung, dass das was da aufs Tape geschrieben wird, tatsächlich das ist, was man noch restoren kann, und nichts verschlüsseltes…

  6. Anonymous sagt:

    Immer viel laber , am Ende denke immer Alle, dass sie ja besser sind, was am Ende doch dann nicht so ist.

    Der umgekehrte weg wird nie hinterfragt, warum muss man von außen erreichbar sein.

    Am Ende Email ? Immer noch ?
    Windows = kann gehärtet werden, warum nicht Default ? Danke cra wird sich das ja wohl ändern müssen.
    Outbound = weil eigentlich jeder auf irgendeine Seite surfen will / "muss".

    Wie viele der admins , würden denn keinen Angstschweiß mehr haben wenn nix von außen rein kommen könnte was nicht wirklich verifiziert ist und von innen nicht aufrufbar wäre ?

    Supplychain mal weggelassen…

    Der Regierung ist das alles egal, sind ja mittlerweile nur Milliarden… Aber am Ende sind es die hobbyadmins , die nicht alles 10 Sekunden irgendwas auf Band schubsen . Lächerlich.

    Nist2,cra, Konsequentes opensource und vor allem alle Hersteller haftbar machen !!

    Und alte Zöpfe gnadenlos abschalten ohne Ausnahme.

    • ChristophH sagt:

      >> "Wie viele der admins , würden denn keinen Angstschweiß mehr haben…"
      Bis Mitte der 90er-Jahre war das ja an vielen Orten so. Geschlossene Host-Systeme und PC ohne Vernetzung. Von daher konnte der Admin gut schlafen.
      Schweisstreibend war damals eher die Hardware welche manchmal etwas launisch war.

      Dann kam das Internet – ist wie bei jeder neuen Technologie oder Entdeckung. Feuer kann wärmen oder zerstören. Internet bringt viel gutes aber auch viel schlechtes u.A. eben auch Cyberangriffe aller Art. Der Mensch muss immer erst lernen damit umzugehen. Das kann Jahrzehnte oder auch länger dauern.
      Hauptsache es arbeiten alle daran und setzen das Mögliche auch um.

      In diesem Sinne liefert der Blog-Beitrag von GB ja auch Denkanstösse. Auch wenn die Ergänzung von Anonymous weiter oben "Es gibt keinen typischen Ablauf eines Cyberangriffs" auch zutreffen mag.

      Was mir zu denken gibt – oft sind es neue Technologien in der IT welche sich schon bald gegen die IT-Infrastruktur selber einsetzen lassen.
      Arzneimittel brauchen eine Zulassung und eine Packungsbeilage die über Risiken und Nebenwirkungen informiert, weil eine falsche Anwendung oder Nebenwirkung gravierende Auswirkungen haben kann.
      Braucht die IT bald auch sowas um sicherer zu werden?

    • Froschkönig sagt:

      "Windows = kann gehärtet werden, warum nicht Default ? "

      Das ist eine gute Frage. Aber das tolle am AD ist ja, wenn man das einmal per Gruppenrichtlinien gemacht hat, sind automatisch alle neuen Systeme, die man ins AD bringt, automatisch auch gehärtet. Man muss das nicht jedes Mal wieder machen, nichtmal ein Script dafür laufen zu lassen kann man vergessen.

      Man kann jetzt höchstens darüber sinnieren, dass die Systeme per Default maximal gehärtet sind, und man dann per GPO die Türchen auf macht, welche für bestimmte Anwendungen leider nötig sind. So irrsinnig das sich jetzt vielleicht erstmal anhört, vielleicht ist genau das das Erfolgsrezept von Windows? Jeder Dummy bekommt erstmal eine Domäne aufgebaut und alle Systeme ans laufen. Sicherheit war früher ja nicht so wichtig, wenn ich mich 10 Jahre und weiter zurück entsinne und vergleiche wie sorglos wir damals gearbeitet haben, heute unvorstellbar! Aber man wächst halt mit den Aufgaben – und Bedrohungen…

    • 27102024 sagt:

      Perimeter Absicherung hat gezeigt, dass sie nichts bringt.

      Spätestens wenn der Aussendienstler Zugang braucht oder ein Mitarbeiter mit Homeoffice, hat man eine neue Schnittstelle geschaffen.

      • ChristophH sagt:

        Jein – wenn der Aussendienstler oder die Homeoffice-MA nur Zugriff auf eine Remotedesktop-Farm oder einen Jump-Host bekommen und dieser Zugriff über ein VLAN an dezidiertem Interface der Farm-Server oder Jump-Host führt, ist schon etwas mehr Sicherheit da. Wenn die Login-Daten der Nutzer abgezogen wurden hilft es natürlich auch nicht weiter.

      • Andy sagt:

        Oftmals sind das aber auch Support-Zugänge von Softwaredienstleistern, die die ganze Zeit im Hintergrund laufen. Mir ist bisher noch kein Autohaus begegnet, in dem nicht auf mindestens einem Arbeitsplatz pcanywhere- oder teamviewer-APIs aktiv waren. Von Teamviewer ist der Angriff auf die Infrastruktur bekannt geworden, kleinere Anbieter merken das vielleicht garnicht.

  7. Thomas Schulz sagt:

    Warum lässt man sich von Klickibunti-Schrott-Performance-"Optimierung"-Programmierern, deren Arbeitgeber genug Profite anhäufen, um die WHO zu finanzieren, gefallen, dass es nach Jahrzehnten(!) ausgiebigster Erfahrung mit den Einbruchstellen und Methoden noch immer – und immer wieder neu – Kot(!) in professioneller Software gibt, der sich über aufgerufene Dateien oder über einen Online-Zugang für eine Übernahme nutzen lässt, wenn er nicht schon gleich selber den eigenen Rechner beim nächsten "Sicherheits-Update" ruiniert?

  8. Bolko sagt:

    Punkt 1 "Erstzugriff" dank "Phishing" kann man verhindern, indem man Smartcards statt Passwort benutzt.
    Die Hacker haben keine passende Smartcard.

    • R.S. sagt:

      Den Zugriff von außen kann man rel. einfach blockieren.
      Im AD gibt es eine Einstellung, mit der man festlegen kann, an welchen Rechner man sich mit einem Account anmelden kann.
      Wird hier auch genutzt.
      Leute aus einer Abteilung können sich nicht an Servern oder Rechnern in anderen Abteilungen anmelden. Und so ist es bei allen Abteilungen.
      Und zum Bündeln von Accounts gibts Sicherheitsgruppen.
      Durch diese Maßnahme sind auch gestohlene Credentials nutzlos, da die Hacker ja nicht an einem für den Account freigeschalteten PC sitzen.

      Man könnte das im AD noch verschärfen und definieren, das von bestimmten PCs aus nur auf bestimmte Ressourcen zugegriffen werden kann, egal, wer da am PC angemeldet ist.
      Z.B. Benutzer A darf sich an Rechner X und Y anmelden und auf Ressource Z zugreifen.
      Der Zugriff von Rechner Y auf Ressource Z ist gesperrt.
      Dann hat Benutzer A nur von Rechner X aus Zugriff auf Ressource Z, aber nicht von Rechner Y aus.

      • Anonymous sagt:

        Und alles basiert darauf, dass AD 100% sicher ist…

        • Bernd B. sagt:

          Nein, aber es ist weit mehr Schutz als "keine Restriktion".
          Selbst wenn man 3 Massnahmen kombiniert, die jede nur inakzeptable 90% Schutz bieten ist die Erfolgswahrscheinlichkeit eines Angreifers bei nur noch 0,1%.

          Nach Ihrer Philosophie hingegen hätten sie keinerlei Massnahmen, da keine 100% Schutz bietet.

  9. MarKo sagt:

    Ergänzung zum Punkt "Auskudschaften":

    1. Ja, es sollen die "Kronjuwelen" identifiziert werden, z.B. Kundendaten, Patente oder Konstruktionspläne, ohne die die Organisation nicht weiterarbeiten kann, zumindest wenn es sich um einen Erpressungstrojaner handelt; denn eben diese Daten sollen später verschüsselt, also (vorübergehend) unzugänglich gemacht werden, um der späteren Lösegeldforderung Nachdruck zu verleihen.

    2. Das Netzwerk als solches soll ausgekundschaftet werden: Wo sind noch Schwachstellen und nicht abgesicherte Schleichwege im System, über die man im Falle einer vorzeitigen Entdeckung und eines Rauswurfs wieder ins System reinkommt?

    3. Im Falle eines Erpressungstrojaners wird nach Geschäftsberichten gesucht, die Auskunft über Umsätze und Gewinne der attackierten Organisation geben, so daß die anschließende Lösegeldgeldforderung einigermaßen realistisch, also nicht zu hoch ausfällt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.