Von Michael Sentonas, Chief Technology Officer bei CrowdStrike

Technologie hat die moderne Welt, wie wir sie kennen, geformt. IT-Unternehmen haben Tools entwickelt, mit denen wir Unternehmen aufbauen und führen, Verbrauchertransaktionen abwickeln, miteinander kommunizieren oder unser privates und berufliches Leben organisieren.

Auch Cyberkriminelle und nationalstaatliche Akteure haben die Bedeutung der Tech-Branche längst erkannt und nehmen IT-Unternehmen aus ganz unterschiedlichen Gründen ins Visier: um strategische, militärische und wirtschaftliche Ziele zu erreichen, um an vertrauliche Unternehmensdaten zu gelangen, mit denen dann Lösegeld erpresst wird oder die im Dark Web verkauft werden, um Lieferketten zu gefährden – und noch viele weitere.

Cyberkriminalität ist für Technologieunternehmen kein Fremdwort – denn Hacker haben diese bereits seit einiger Zeit im Visier. Doch im vergangenen Jahr haben die Angriffe rapide zugenommen. So war laut des OverWatch Reports von CrowdStrike der Technologiesektor zwischen Juli 2021 und Juni 2022 das beliebteste Ziel von Cyberangriffen. Im Beobachtungszeitraum registrierte das CrowdStrike Threat Hunting-Team mehr als 77.000 potenzielle Eindringlinge, was ungefähr einem Angriff alle sieben Minuten entspricht.

Wahrscheinlich kommt Ihnen das Thema bekannt vor – die Schlagzeilen im Jahr 2022 waren nämlich geprägt von Datendiebstählen in der Technologiebranche. Tech-Unternehmen jeglicher Größe sollten sich daher über die potenziellen Aktivitäten von Angreifern im Klaren sein, da diese häufig versuchen, Daten zu stehlen.

Wie Cyberakteure heutzutage Tech-Unternehmen angreifen

Egal ob Großunternehmen, kleine und mittlere Unternehmen (KMU) oder Start-ups – sie alle müssen wissen, welchen Bedrohungen sie ausgesetzt sind und wie man diesen bestmöglich begegnet.

Ein Trend: Um nicht entdeckt zu werden, verzichten Angreifer zunehmend auf Malware. Aus dem Report von CrowdStrike geht hervor, dass zwischen Juli 2021 und Juni 2022 71 Prozent aller erkannten Bedrohungen keine Malware-Komponente enthielten. Diese Verlagerung lässt sich zum Teil darauf zurückführen, dass Angreifer immer häufiger legitime Anmeldedaten missbrauchen, um sich Zugang zu IT-Umgebungen zu verschaffen und sich dauerhaft einzunisten. Auch die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt werden, und die Schnelligkeit, mit der Angreifer diese Schwachstellen ausnutzen können, spielen hier eine Rolle. So steigt von Jahr zu Jahr die Anzahl von Zero-Days und neu gemeldeten Schwachstellen weiter an. Laut den Bedrohungsdaten von CrowdStrike wurden im Jahr 2021 mehr als 20.000 neue Schwachstellen gemeldet – mehr als in jedem anderen Jahr zuvor. Und allein bis Anfang Juni 2022 waren es mehr als 10.000 gemeldete Schwachstellen – ein klares Indiz dafür, dass dieser Trend weiter anhält.

Betrachtet man die Taktiken, Techniken und Verfahren (TTPs), mit denen die Angreifer vorgehen, genauer, lassen sich Gemeinsamkeiten erkennen. So folgt auf die erfolgreiche Ausnutzung einer Schwachstelle in der Regel der Einsatz von Web-Shells, also von bösartigen Skripten, mit denen die Angreifer Webserver kompromittieren und weitere Angriffe starten können.

Was können Technologieunternehmen tun, um Sicherheitsverletzungen zu verhindern?

Die Technologiebranche steht vor der Herausforderung, eine starke Schutzstrategie gegen eine sich ständig verändernde Bedrohungslandschaft aufzubauen. Um subtiler vorzugehen, sich der Entdeckung zu entziehen und mehr Schaden anzurichten, ändern die Angreifer von heute nämlich laufend ihre TTPs. Daher liegt es mehr denn je an den Verteidigern, die Workloads, Identitäten und Daten zu schützen, auf die sich ihr Unternehmen verlässt. Und so wie es kein allgemeingültiges Modell dafür gibt, wie Cyberkriminelle ihre Angriffe durchführen, gibt es auch kein Patentrezept, mit dem sich Tech-Unternehmen gegen jegliche Art von Eindringlingen schützen können.

Ein genauer Blick auf die Angriffsaktivitäten offenbart jedoch kritische Bereiche, auf die sich IT- und Sicherheitsteams konzentrieren sollten:

• Back to basics: Für Technologieunternehmen ist es von entscheidender Bedeutung, dass sie die Grundlagen der IT-Hygiene beherrschen. Dazu gehören die Einführung eines strengen Patch Managements sowie die Sicherstellung einer zuverlässigen Kontrolle der Benutzerkonten und Verwaltung von Zugriffsrechten, um die Auswirkungen kompromittierter Anmeldedaten zu mindern.
• Regelmäßige Überprüfung von Remote Access Software: Angreifer nutzen jegliche Remote-Tools, die Ihnen zur Verfügung stehen oder versuchen, eine legale Remote Access Software zu installieren, in der Hoffnung, dass sie sich so den automatischen Erkennungen entziehen. Bei regelmäßigen Audits sollte überprüft werden, ob das Tool autorisiert ist und ob die Aktivität innerhalb eines erwartbaren Zeitrahmens liegt, beispielsweise innerhalb der Geschäftszeiten. Verbindungen, die innerhalb kürzester Zeit von demselben Benutzerkonto zu mehreren Hosts hergestellt werden, können ein Zeichen dafür sein, dass ein Angreifer die Anmeldedaten missbraucht hat.
• Proaktives Threat Hunting: Hat ein Angreifer erst einmal die Sicherheitsbarriere eines IT-Unternehmens durchbrochen, kann es schwierig sein, ihn aufzuspüren, weil er unbemerkt Daten sammelt, nach sensiblen Informationen sucht oder Anmeldeinformationen stiehlt. Genau hier setzt das Threat Hunting an. Durch die proaktive Suche nach Angreifern in ihrer Umgebung können Technologieunternehmen Angriffe früher erkennen und ihre Sicherheit stärken.
• Identitätsschutz priorisieren: Bedrohungsakteure haben es zunehmend auf Anmeldedaten abgesehen, um in Technologieunternehmen einzudringen. Jeder Benutzer, ob Mitarbeiter, Drittanbieter oder Kunde, kann unwissentlich kompromittiert werden und einen Angriffspfad für die Cyberkriminellen bilden. Technologieunternehmen müssen jede Identität authentifizieren und jede Anfrage autorisieren, um Cyberangriffe auf Lieferketten, Ransomware-Angriffe oder Datenschutzverletzungen zu verhindern.
• Bedrohungsabwehr stärken: Mit den richtigen Tools können IT-Unternehmen Cyberangriffe abwenden, noch bevor Angreifer in eine IT-Umgebung eindringen oder Schaden anrichten. Erkennung und Prävention gehen Hand in Hand. Um Bedrohungen einzuschränken, müssen sie in Echtzeit erkannt werden. Je größer die IT-Umgebung ist, desto größer ist der Bedarf an Tools, die bei der Erkennung und Bekämpfung von Bedrohungen helfen können.

Es gibt keine Anzeichen dafür, dass sich die Aktivitäten von Cyberkriminellen und Nationalstaaten verlangsamen. Technologieunternehmen müssen daher ihre Präventionsmaßnahmen verstärken und lernen, die Techniken des Gegners zu verstehen, um ihre Workloads, Identitäten und Daten zu schützen.