Was sind Bedrohungsvektoren? - Beispiele und Behebung

Was ist ein Bedrohungsvektor?

Ein Bedrohungsvektor, auch Angriffsvektor genannt, ist eine Methode, mit der sich Cyberkriminelle unbefugten Zugang zu Computersystemen und Netzwerken verschaffen. Hacker nutzen Bedrohungsvektoren, um sich Zugang zu Benutzerkonten zu verschaffen oder bösartige Software (Malware) auf Systeme zu laden. Sie starten daraufhin Cyberangriffe, um an sensible Informationen zu gelangen und Systemausfälle zu verursachen. Die Gesamtzahl aller möglichen Einstiegspunkte (Bedrohungsvektoren) für den unbefugten Zugriff auf ein System wird als Angriffsfläche bezeichnet.

Zu den üblichen Bedrohungsvektoren gehören bösartige E-Mails bei Phishing-Angriffen, unsichere oder gestohlene Kennwörter, Drive-by-Download-Angriffe, Webanwendungen und Beziehungen, die ausgenutzt werden. In diesem Artikel werden wir diese detailliert erklären.

Warum sollte man Bedrohungsvektoren kennen?

Cyberangriffe kommen leider bei jeder Art von Unternehmen vor und sie verursachen erhebliche Verluste und Störungen. Laut Statista liegen die durchschnittlichen Kosten pro Datenschutzverletzung im Jahr 2022 weltweit bei 4,35 Mio. USD, dem höchsten jemals verzeichneten Wert. Bedrohungsvektoren sind Eintrittspunkte in Computersysteme und Netzwerke. Deshalb können verheerender Cyberangriffe verhindert werden, indem diese Eintrittspunkte geschlossen werden und die Angriffsfläche damit so klein wie möglich zu gehalten wird. 

Allerdings muss man zunächst seine Risiken kennen, um sie zu mindern. Werfen wir also einen Blick auf die häufigsten Bedrohungsvektoren, um zu verstehen, wie sie ausgenutzt werden und wie man sie entschärfen kann.

Beispiele für Bedrohungsvektoren und wie man sie entschärft

1. Phishing Emails

Phishing-E-Mails sind betrügerische E-Mails, die von Angreifern verschickt werden, die sich als vertrauenswürdige Absender ausgeben. Dabei handelt es sich um eine Form des Social Engineering. Die E-Mail-Empfänger werden dabei so manipuliert, dass sie den Angreifern helfen, sich Zugang zu verschaffen. Die Opfer werden oft dazu verleitet, auf einen Link zu klicken, über den Malware heruntergeladen wird, oder sie werden auf eine gefälschte Anmeldeseite geleitet, auf der ihre Passwörter gestohlen werden, sobald sie diese eingegeben haben. Ebenso können Angreifer Opfer auch dazu bringen E-Mail-Anhänge zu öffnen, bei denen es sich selbst um Malware oder legitime Dateien handelt, die mit bösartigem Code versehen sind. In anderen Fällen geben Opfer ihre Benutzernamen und Passwörter preis, durch die der Angreifer einen direkten Zugriff auf ihre Konten erhält.

Möglichkeiten zur Entschärfung dieser Bedrohungsvektoren:

• Schulen Sie Ihre Mitarbeiter, wie sie am Besten Phishing-E-Mails erkennen können und wie sie darauf reagieren
• Setzen Sie eine Firewall der nächsten Generation (NGFW) mit integrierter Malware-Erkennung und Bedrohungsdaten ein, um Verbindungen mit bösartigen IP-Adressen und Downloads von Malware so schnell wie möglich zu erkennen und zu blockieren.
• Installieren Sie qualitativ hochwertige Endpunktsicherheitssoftware, wie z. B. EDR-Lösungen (Endpoint Detection and Response) um Bedrohungen wie unbekannte Malware und verdächtiges Verhalten auf Endpunktgeräten zu erkennen
  

2. Schwache und gefährdete Anmeldedaten

Cyberangriffe können effektiv durch den Zugang zu gültigen Konten durchgeführt werden. Dies verschafft Angreifern die User-Privilegien und sie rutschen durch die Sicherheitserkennung und lenken dadurch weniger Aufmerksamkeit auf sich. Hackern stehen unzählige Möglichkeiten zur Verfügung, um gültigen Konten zu infiltrieren. So können sie beispielsweise Passwort-Wörterbücher und Brute-Force-Angriffstools verwenden, um schwache Passwörter zu knacken. Angreifer haben mit diesen Methoden großen Erfolg, da einfache und standardmäßige Passwörter weit verbreitet sind. Alternativ können Angreifer kompromittierte Passwörter verwenden, die sie entweder im Dark Web erlangt oder selbst durch andere Angriffe gestohlen haben, um auf Konten zuzugreifen.

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Informieren Sie Ihre Mitarbeiter über Passworthygiene, z. B. über die Festlegung sicherer Passwörter, die Vermeidung der Wiederverwendung von Passwörtern, die Aufbewahrung von Passwörtern und die Änderung von Standardpasswörtern.

• Aktivieren Sie wann immer möglich die Zwei-Faktor-Authentifizierung (2FA).
• Legen Sie eine Kontosperrrichtlinie fest, die den Zugriff auf das Konto nach einer bestimmten Anzahl von fehlgeschlagenen Passwortversuchen sperrt.
• Verwenden Sie Sicherheitstools, die Brute-Force-Angriffe erkennen.
• Verwenden Sie Sicherheitstools, die schwache Passwörter erkennen und die User auffordern, diese zu ändern.
• Verwenden Sie Network Detection and Response (NDR), um ungewöhnliche Kontoaktivitäten zu erkennen und die böswillige Nutzung gültiger Konten aufzudecken.

3. Web Applikationen

Webanwendungen sind Programme und Dienste, die Unternehmen für den Zugriff auf das Internet verwenden. Dazu gehören E-Mails, Office-Suiten, Suchleisten, Foto-Editoren und Kommentar-Module. Schwachstellen finden sich jedoch häufig in Webanwendungen, einschließlich der Anwendungsserver, auf denen die Anwendungen gehostet werden, sowie in Datenbanken. Da sie über das Internet zugänglich sind, können Angreifer ihre Schwachstellen ungehindert ausnutzen, um Daten zu stehlen oder sich unbefugten Zugang zu verschaffen. Mit dem beliebten SQL-Injection-Angriff beispielsweise, bei dem böswillige Abfragen an eine SQL-Datenbank gestellt werden, können Angreifer Daten wie Passwörter (in verschlüsselter Form) und Kreditkartendaten auslesen.

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Verwenden Sie Sicherheitstools, die Systemschwachstellen erkennen und rechtzeitig Patches installieren.
• Kontrollieren Sie den Zugang zum Intranet vom öffentlichen Netz aus, um eine Ausbreitung zu verhindern.
• Setzen Sie eine spezielle Web Application Firewall ein, um Angriffe auf Webanwendungen zu erkennen und zu blockieren.

4. DRIVE-BY-DOWNLOAD-ANGRIFFE

Als Drive-by-Download wird ein Download von Malware auf ein Gerät bezeichnet, die beim normalen Surfen im Internet, auch auf legitime und vertrauenswürdige Websites, heruntergeladen wird. Die Angreifer haben zuvor die Website mit bösartigem Code infiltriert. In einigen Fällen wird Malware heruntergeladen, nachdem ein User auf einen Link, ein Pop-up-Fenster oder eine Werbung geklickt hat. Angreifer tarnen ihre Werbung oft als attraktive Angebote, Warnmeldungen und Browser-Update-Warnungen, um die Benutzer zum Klicken zu verleiten. In anderen Fällen wird die Malware ohne jegliche Interaktion des Users heruntergeladen. Dies wird durch Schwachstellen im Internetbrowser des Users ermöglicht, die der Code des Angreifers ausnutzen kann.

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Vermeiden Sie es, auf verdächtige Pop-ups und Werbung auf Websites zu klicken.
• Halten Sie Browser und Plugins auf dem neuesten Stand und stellen Sie sicher, dass Sie sie über die offiziellen Kanäle aktualisieren.
• Einsatz von Sicherheitstools wie NGFW, EDR und NDR zur Erkennung von und Reaktion auf Bedrohungen.

5. REMOTE-ZUGANGSDIENSTE

Fernzugriffsdienste ermöglichen es den Usern, sich mit entfernten Systemen und Netzwerken zu verbinden. Zu den häufig genutzten Fernzugriffsdiensten gehören virtuelle private Netzwerke (VPN) und Windows-Remote-Desktop-Dienste, die Fernarbeitern über ein anderes Gerät vollständigen Zugriff auf ihren Arbeitsplatz ermöglichen. Bedrohungsakteure können jedoch im Internet nach Instanzen dieser Remote-Verbindungen suchen. Sobald diese entdeckt werden, können sie die Verbindung hacken, indem sie mit einem Brute-Force-Angriff in das Konto des Users eindringen oder Fehlkonfigurationen und Schwachstellen des Dienstes ausnutzen. Ein erfolgreiches Eindringen in eine Remote-Verbindung verschafft Hackern Zugang zu Workstations und Netzwerkressourcen wie normalen Usern.

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Stellen Sie sicher, dass die Fernzugriffsdienste auf dem neuesten Stand sind, um die Ausnutzung von Schwachstellen zu verhindern.
• Legen Sie sichere Passwörter für Konten von Fernzugriffsdiensten fest und verwenden Sie nach Möglichkeit 2FA.

• Legen Sie eine Kontosperrungsrichtlinie fest, um erfolgreiche Brute-Force-Angriffe zu verhindern.
• Deaktivieren Sie die Fernzugriffsdienste für User, die sie nicht benötigen.

6. VERTRAUENSVOLLE BEZIEHUNGEN

Eine vertrauensvolle Beziehung bezieht sich in diesem Kontext auf eine dritte Organisation, der Zugang zu den Computersystemen und dem Netzwerk einer anderen Organisation gewährt wird. Diese Art von Beziehungen findet man häufig bei Managed Service Providern (MSP), sowie bei Unternehmen, die die IT-Infrastruktur und -Systeme eines Kunden per Fernzugriff verwalten, und bei Software-Providern. MSPs und Software-Provider erhalten oft erhöhte Rechte, um die vereinbarten Dienstleistungen zu erbringen. Angreifer können diese vertrauensvollen Beziehungen ausnutzen, indem sie Angriffe auf Drittanbieter starten, um sich uneingeschränkten Zugang zu den Systemen und Netzwerken ihrer Kunden zu verschaffen (so genannte Supply-Chain-Angriffe).

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Bewerten Sie die Zugriffsrechte Drittparteien kontinuierlich oder zumindest regelmäßig, um sicherzustellen, dass nur die für die Erbringung der Dienstleistungen erforderliche Zugriffsebene gewährt wird.
• Setzen Sie NDR ein, um ungewöhnliches Verhalten von Dritten zu erkennen.

7. Wechseldatenträger

Die Verbreitung von Malware über Wechseldatenträger gibt es schon seit langem. Der weltweit erste Ransomware-Virus wurde bereits 1989 über Disketten verbreitet. Diese Form der Verbreitung von Malware, die sich Zugang zu Computersystemen verschafft, gibt es jedoch auch heute noch und sie nimmt weiter zu. Untersuchungen von Honeywell zeigen, dass 52 % der Bedrohungen speziell für die Verwendung von USB-Laufwerken entwickelt wurden, gegenüber 32 % im Vorjahr drastisch gestiegen ist. Dabei sind die industriellen Kontrollsysteme  mit 81 % besonders gefährdet. In anderen Fällen kann sich Malware, die sich bereits auf einem System befindet, auf angeschlossene USB-Laufwerke kopieren. Auf diese Weise können Angreifer auf entfernte Systeme zugreifen, insbesondere auf solche, die sich in Netzwerken mit Luftabdeckung befinden.

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Deaktivieren Sie die AutoRun-Funktion für Wechseldatenträger.
• Verhindern Sie, dass Wechselmedien mit Netzwerkgeräten verbunden werden, wenn sie nicht benötigt werden.
• Stellen Sie einen automatischen Virenscan auf Wechseldatenträgern ein, bevor diese angeschlossen werden können.

8. Bedrohungen durch Insider

Insider-Bedrohungen sind Bedrohungen, die in Form von fahrlässigen und böswilligen Mitarbeitern innerhalb einer Organisation ausgehen. Fahrlässige Insider sind diejenigen, die im Allgemeinen über die Sicherheitsrichtlinien des Unternehmens Bescheid wissen, sich aber dafür entscheiden, diese zu ignorieren. Sie geben zum Beispiel ihre Passwörter preis und stellen über öffentliche W-LANs oder persönliche VPNs eine Verbindung zum Intranet her. Diese Handlungen verschaffen Angreifern ungewollt einen leichten Zugang zu den Systemen und Netzwerken des Unternehmens. Böswillige Insider sind diejenigen, die absichtlich bösartige Aktivitäten durchführen. Sie können von Bedrohungsakteuren bestochen worden sein, um Daten wie Geschäftsgeheimnisse und Kundeninformationen zu stehlen oder ihnen zu helfen, Malware auf Systeme zu laden.

Möglichkeiten zur Entschärfung dieses Bedrohungsvektors:

• Führen Sie Maßnahmen ein, die das Personal kontinuierlich über bewährte Sicherheitsverfahren aufklären und sie daran erinnern.

• Verbieten Sie den Anschluss von Wechseldatenträgern oder das Kopieren von Daten auf Wechseldatenträger.
• Verwenden Sie NDR, um auffälliges Verhalten, wie große ausgehende Datenübertragungen zu erkennen

So kann Sie ForeNova unterstützen

Wir wissen, dass es schwierig sein kann, den Überblick über alle Schwachstellen und Risiken in Ihrer Netzwerkumgebung zu behalten. Deshalb bieten wir mit NovaTA einen Risikobewertungsdienst an, der Sie dabei unterstützt, alle Risiken, Schwachstellen und bestehenden Bedrohungen in ihrem Netzwerk aufzudecken.

  NovaTA nutzt unsere hochmoderne Network Detection and Response-Lösung NovaCommand, um Ihr gesamtes Netzwerk zu scannen. So können wir Informationen über alle mit Ihrem Netzwerk verbundenen Geräte sammeln, einschließlich PCs, Servern, mobilen Geräten sowie über IoT-Geräte. So stellen wir sicher, dass kein Gerät unentdeckt und ungeschützt bleibt. NovaCommand und unsere Experten identifizieren gemeinsam alle Sicherheitsrisiken und Schwachstellen, wie z. B. Schwachstellen im Betriebssystem und schwache Passwörter.

NovaCommand nutzt auch maschinelles Lernen (KI), um sich selbst das normale Verhalten Ihres Netzwerks beizubringen. Dadurch kann es unregelmäßiges Verhalten im Netzwerk erkennen, das wahrscheinlich auf eine bestehende Bedrohung hinweist. Nach einer vollständigen Bewertung der Sicherheitsrisiken berichten Ihnen unsere Experten über ihre Erkenntnisse und beraten Sie, wie festgestellten Schwachstellen oder Risiken minimiert werden können. Wir helfen Ihnen auch, Bedrohungen zu beseitigen und die Ursache des Angriffs herauszufinden, um die Schwachstelle zu schließen und künftige Kompromisse zu verhindern.

Mit NovaTA profitieren Sie von einer professionellen Risikobewertung und einem Service, der Ihre Angriffsfläche effektiv minimiert und Ihr Unternehmen schützt. Weitere Informationen finden Sie auf den  NovaTA- und NovaCommand-Seiten und zögern Sie nicht, uns bei Fragen zu kontaktieren.