Was sind Cyberangriffe?

Diese bösartigen Angriffe richten sich gegen Webanwendungen, Websites und Webdienste mit dem Ziel, Schwachstellen auszunutzen und die Sicherheit zu gefährden. Die Bemühungen zur Modernisierung von Anwendungen und die daraus resultierende Entwicklung vieler herkömmlicher Webanwendungen hin zu API-basierten Systemen in Hybrid- und Multi-Cloud-Umgebungen haben die Angriffsfläche dramatisch vergrößert.

Sicherheitsteams müssen zahlreiche Risiken für Webanwendungen und APIs berücksichtigen, darunter:

• Ausnutzung von Schwachstellen, bei denen es sich um Sicherheitslücken oder Fehler in der Software handelt, auf die Kriminelle abzielen können, um die Sicherheit zu gefährden, einschließlich der Ausführung von bösartigem Code. Diese werden häufig durch nicht unterstützte oder nicht gepatchte Software, Softwarefehler oder Fehlkonfigurationen verursacht.
• Automatisierte Bedrohungen, die sich auf böswillige Angriffe beziehen, welche von Bots, Skripten oder Hacker-Toolkits und nicht von Menschen ausgeführt werden. Diese Bedrohungen können inhärente Schwachstellen in Webanwendungen und APIs ausnutzen und zu Sicherheitsverletzungen, Datendiebstahl, Account Takeover, Betrug und negativen Konsequenzen führen.
• Missbrauch der Geschäftslogik, zu dem es kommt, wenn Angreifer bei der Verfolgung ihrer böswilligen Ziele das erwartete Verhalten einer Webanwendung manipulieren, wobei häufig Automatisierung eingesetzt wird. Dies kann dazu führen, dass die Workflows einer Anwendung manipuliert werden, um Zugriff auf eingeschränkte Bereiche zu erlangen, unberechtigte Transaktionen durchzuführen oder auf vertrauliche Daten zuzugreifen.
• Umgehung von Authentifizierungs- und Autorisierungskontrollen, zu der es kommt, wenn eine unzureichende Durchsetzung von Zugriffskontrollen und Autorisierungsmethoden Angreifern den Zugriff auf nicht autorisierte Funktionen oder Daten ermöglicht.
• Clientseitige Angriffe, bei denen es sich um Bedrohungen handelt, die auf Software oder Komponenten auf den Geräten des Benutzers abzielen, z. B. einen Webbrowser oder installierte Anwendungen. Eine häufige Form von clientseitigen Angriffen stellt das Cross-Site-Scripting (XSS) dar, bei dem Angreifer bösartige clientseitige Skripte wie JavaScript in Websites einfügen, die von anderen Benutzern aufgerufen werden. Dies kann zum Diebstahl vertraulicher Informationen wie Anmeldedaten, personenbezogene Daten oder Sitzungscookies führen. Moderne Anwendungen weisen in der Regel zahlreiche wechselseitige Abhängigkeiten auf, wie z. B. Integrationen von Drittanbietern, Bibliotheken und Frameworks. Sicherheitsteams haben möglicherweise keinen Einblick in alle diese clientseitig ausgeführten Komponenten und öffnen so einen Bedrohungsvektor für Angreifer, um bösartige Skripte auszuführen und Daten direkt aus einem Webbrowser zu exfiltrieren.
• Sicherheitsrelevante Fehlkonfiguration treten auf, wenn Angreifer versuchen, nicht gepatchte Fehler, gemeinsame Endpunkte, mit unsicheren Standardkonfigurationen ausgeführte Dienste oder ungeschützte Dateien und Verzeichnisse zu finden, um unberechtigten Zugriff auf ein System zu erhalten. Die sicherheitsrelevante Fehlkonfiguration stellt ein zunehmendes Risiko dar, da die Architektur weiter dezentralisiert und auf Multi-Cloud-Umgebungen verteilt wird.

Cyberangriffe können verschiedene Ziele verfolgen, basierend auf den Motiven und Plänen der Bedrohungsakteure, welche die Angriffe starten.

Finanzielle Gewinne stellen ein häufiges Motiv für Cyberangriffe wie Ransomware-Angriffe und Betrug dar, ebenso wie der Diebstahl von Daten, die sich im Dark Web leicht zu Geld machen lassen. Zu den vertraulichen Daten, die zum Verkauf angeboten werden können, gehören geistiges Eigentum, Geschäftsgeheimnisse, Anmeldedaten und Finanzdaten. Spionage ist ein weiteres Motiv für Cyberangriffe, wobei nationalstaatliche Akteure und Cyber-Spione Informationen und sensible Daten zur Verfolgung nationaler oder politischer Interessen sammeln. Cyberangriffe können auch dazu genutzt werden, den gewohnten Betriebsablauf zu stören oder kritische Infrastrukturen zu beeinträchtigen, was zu Ausfallzeiten und Umsatzeinbußen führt.

Cyberkriminelle sind sehr gut darin, technologische Schwachstellen und Sicherheitslücken zu erkennen und gezielt anzugreifen, um Cyberangriffe über alle Angriffsvektoren hinweg zu starten. Eine häufige Schwachstelle stellt veraltete oder nicht gepatchte Software dar, die ein Angreifer ausnutzen kann, um sich unberechtigten Zugriff zu verschaffen, Daten zu kompromittieren oder bösartigen Code auszuführen. Auch schwache Authentifizierungsmechanismen können es nicht autorisierten Personen oder Angreifern ermöglichen, Zugang zu Systemen und vertraulichen Daten zu erhalten oder Konten zu kompromittieren. Ein unsicheres Anwendungsdesign kann auch zu Cyberangriffen beitragen, indem es Schwachstellen einführt, die Angreifer ausnutzen können, wie z. B. sicherheitsrelevante Fehlkonfiguration, fehlerhafte Sitzungsverwaltungen oder APIs, die nicht sicher entwickelt wurden.

Angreifer zielen auch auf Schwachstellen im Netzwerk ab. Dazu gehört ein ungesichertes WLAN, das es Angreifern ermöglicht, die Kommunikation zwischen zwei Parteien abzufangen oder zu manipulieren, möglicherweise vertrauliche Daten zu stehlen oder schädliche Inhalte einzuschleusen. Schwache Netzwerkkonfigurationen können auch Sicherheitslücken kreieren, die von Angreifern ausgenutzt werden können, z. B. unzureichende Firewall-Regeln, falsch konfigurierte Zugriffskontrolllisten (ACLs) und schwache oder veraltete Verschlüsselungsprotokolle.

Schwachstellen im Zusammenhang mit Lieferkettenproblemen können auch von Angreifern ausgenutzt werden. Auch Sicherheitslücken bei Drittanbietern oder Cybersicherheitspraktiken von Anbietern können von Angreifern ausgenutzt werden, um Zugriff auf das Netzwerk oder die Ressourcen eines Unternehmens zu erhalten. Dazu können unzureichende Sicherheitsmaßnahmen, nicht gepatchte Software oder anfällige Hardware gehören. Es ist wichtig, die Cybersicherheitspraktiken von Lieferanten und Partnern zu bewerten und von diesen zu fordern, dass sie die Sicherheitsstandards und Best Practices im Rahmen ihrer Sorgfaltspflicht als Anbieter einhalten. 

Menschliche Faktoren können auch zu Lücken in der Cybersicherheit beitragen. Neben Social-Engineering-Angriffen, bei denen Kriminelle Einzelpersonen zur Weitergabe vertraulicher Daten verleiten, kann auch die Verwendung schwacher Passwörter oder das mangelnde Sicherheitsbewusstsein der Mitarbeiter Tür und Tor für Cyberangriffe öffnen. Fahrlässiges Verhalten von Insidern, wie das unbeabsichtigte Herunterladen von Malware oder der – wenn auch unbeabsichtigte – falsche Umgang mit vertraulichen Daten, kann ebenfalls zu Cyberangriffen führen.

Wie viele andere Technologien kann KI sowohl für rechtmäßige als auch für böswillige Zwecke eingesetzt werden. KI wird zunehmend von böswilligen Akteuren genutzt, um ausgeklügelte und schädliche Cyberangriffe durchzuführen. Dabei kann KI eingesetzt werden, um Software und Systeme auf Schwachstellen zu scannen und Daten über potenzielle Ziele zu sammeln und zu analysieren. Wenn Schwachstellen erkannt wurden, kann die Technologie anschließend verwendet werden, um Angriffe zu starten. KI kann auch das Knacken von Passwörtern beschleunigen, indem sie maschinelle Lernalgorithmen verwendet, um Passwörter so effizienter zu erraten. KI-generierte Deepfake-Videos und -Audioinhalte können im Rahmen von Social-Engineering-Angriffen eingesetzt werden. Dabei geben sich die Personen in diesen Inhalten als hochrangige Führungskräfte oder andere vertrauenswürdige Personen innerhalb eines Unternehmens aus, um Mitarbeiter dazu zu bringen, sicherheitsgefährdende Maßnahmen zu ergreifen. Darüber hinaus demokratisiert der einfache Zugang zu leistungsstarker KI die Cyberkriminalität, indem die Einstiegshürden für die Durchführung automatisierter Cyberangriffe gesenkt werden, wodurch sich ein breiteres Spektrum von Einzelpersonen oder Gruppen leichter an cyberkriminellen Aktivitäten beteiligen kann.

Angreifer entwickeln die Techniken ihrer Cyberangriffe stetig weiter, und regelmäßig tauchen neue Angriffsvektoren auf. Darüber hinaus setzen nachhaltige und gezielte Angriffe häufig mehr als eine Methodik ein. Im Folgenden finden Sie Beispiele für die häufigsten Angriffsvektoren.

• Man-in-the-Middle (MitM)-Angriffe treten auf, wenn ein Angreifer die Kommunikation zwischen zwei Parteien ohne deren Wissen oder Zustimmung abfängt, wodurch der Angreifer das Gespräch abhören, Informationen stehlen oder sogar die übertragenen Daten manipulieren kann. MitM-Angriffe können auf verschiedene Weise auftreten: Ein Angreifer kann die drahtlose Kommunikation in einem öffentlichen WLAN abfangen oder sich an einer Sitzungsübernahme beteiligen, wenn Angreifer Sitzungscookies oder Token stehlen, um sich als Benutzer auszugeben und unberechtigten Zugriff auf Webanwendungen zu erhalten.
• Einschleusungen treten auf, wenn Angreifer nicht vertrauenswürdige oder feindliche Daten in Befehls- oder Abfragesprachen einfügen oder wenn vom Benutzer bereitgestellte Daten von der Anwendung nicht validiert, gefiltert oder bereinigt werden, was zur Ausführung schädlicher Befehle führt. Einschleusungen umfassen NoSQL-, OS-Command-, LDAP- und SQL-Einschleusungen sowie Cross-Site-Scripting (XSS), bei dem Angreifer bösartige clientseitige Skripte wie JavaScript in Websites einfügen, die von anderen Benutzern aufgerufen werden. Dies kann zum Diebstahl vertraulicher Daten wie Anmeldedaten, personenbezogenen Daten oder Sitzungscookies führen.
• Der Diebstahl von Anmeldedaten beinhaltet den Diebstahl von Benutzernamen und Passwörtern, oft durch Techniken wie Keylogging, Credential Stuffing und Password Spraying (hierbei werden gängige Passwörter für zahlreiche Benutzerkonten getestet). Kompromittierte Anmeldedaten können zu unbefugtem Kontozugriff, Datenschutzverletzungen und Lateral Movement innerhalb eines Netzwerks führen. Angreifer zielen häufig auf schwache oder mehrmalig verwendete Passwörter ab, was robuste Authentifizierungspraktiken zur Notwendigkeit macht. Credential Stuffing hat die Anzahl von Kontoübernahmen (Account Takeover, ATO) und Betrug in allen Branchen, insbesondere im E-Commerce und bei Finanzdienstleistungen, dramatisch erhöht.
• Betrügerische Websites sind absichtlich so konzipiert, dass sie schädliche Handlungen ausführen, welche die Gerätesicherheit von Besuchern gefährden oder illegale Aktivitäten durchführen. Betrügerische Websites können Schwachstellen in Webbrowsern, Plug-ins oder Betriebssystemen ausnutzen, um Malware ohne Zustimmung oder Wissen des Benutzers stillschweigend herunterzuladen und auf Geräten zu installieren. Diese Exploits werden oft als Drive-By-Downloads bezeichnet. Betrügerische Websites können außerdem anklickbare Anzeigen hosten, die bösartigen Code oder Links enthalten.
• Kompromittierte Software ermöglicht es Angreifern, unberechtigten Zugriff auf Systeme zu erhalten, indem bekannte Schwachstellen in nicht gepatchter Software ausgenutzt oder Malware in Software-Updates oder -Downloads eingeschleust wird.

Um sich vor diesen Arten von Schwachstellen zu schützen, sollten Sie starke Authentifizierungs- und Zugriffskontrollen wie starke Passwörter oder Passphrasen implementieren und die MFA um eine zusätzliche Sicherheitsebene erweitern. Durch die Anwendung des „Least Privilege“-Prinzips und die regelmäßige Überprüfung sowie Aktualisierung der Zugriffskontrollen wird sichergestellt, dass Benutzer nur über die Berechtigungen verfügen, die für die Ausführung ihrer Funktionen erforderlich sind. Stellen Sie außerdem sicher, dass Software und Systeme gepatcht und auf dem neuesten Stand sind, und führen Sie Schwachstellenbewertungen und Penetrationstests durch, um Schwachstellen zu identifizieren und zu beheben. Menschliche Faktoren können einen großen Einfluss auf das Risiko von Cyberangriffen haben. Sorgen Sie also dafür, dass alle Mitarbeiter und Benutzer über das Thema Cybersicherheit aufgeklärt und dafür sensibilisiert sind. Die Cybersicherheit ist eine gemeinsame Verantwortung, die nicht nur IT-Experten, sondern auch jeden Einzelnen innerhalb einer Organisation betrifft.

Cyberangriffe können erhebliche und weitreichende Folgen sowohl für Einzelpersonen als auch für Organisationen haben. Die unmittelbarsten Auswirkungen können finanzielle Verluste darstellen, sei es aufgrund von Betrug oder Diebstahl durch unberechtigten Zugriff auf die Benutzerkonten einer Person. Auch mit Umsatzeinbußen, Anwaltskosten und Bußgeldern können sich Unternehmen nach einem Cyberangriff konfrontiert sehen. Unternehmen können nach einem Angriff auch Reputationsschäden und Betriebsunterbrechungen erleiden sowie dem Diebstahl geistigen Eigentums ausgesetzt sein, der sich auf die Wettbewerbsfähigkeit und die Marktposition auswirkt. Im Falle von Ransomware-Angriffen können Unternehmen vor der schwierigen Entscheidung stehen, ein Lösegeld für die Wiederherstellung verschlüsselter Daten zu zahlen, zumal die Lösegeldzahlung die Datenwiederherstellung nicht garantiert und weitere Angriffe fördern kann.

Wie die folgenden Beispiele verdeutlichen, besteht die Gefahr von Cyberangriffen in einer Vielzahl von Branchen und Bereichen. 

• Ende 2022 manipulierten Angreifer eine API bei T-Mobile und kompromittierten 37 Millionen Benutzerkonten, um Kundennamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern, Kontonummern und Geburtsdaten zu erhalten. Der Angreifer, der vor der Entdeckung der Sicherheitsverletzung über einen Monat lang unberechtigten Zugriff auf die Systeme von T-Mobile hatte, wurde nicht identifiziert.
• Im März 2023 starteten russische Hacker Social-Engineering-Kampagnen, die sich gegen US-amerikanische und europäische Politiker, Geschäftsleute und Prominente richteten, die Wladimir Putins Invasion der Ukraine öffentlich angeprangert hatten. Hacker überredeten die Betrugsopfer zur Teilnahme an Telefon- oder Videoanrufen und gaben dann irreführende Anweisungen, um so Putin- oder Russland-freundliche Soundbites zu erhalten. Diese wurden anschließend veröffentlicht, um die früheren, gegen Putin gerichteten Aussagen der Betrugsopfer zu diskreditieren.
• Im Juni 2023 führte ein DDoS-Angriff zu einer mehr als 8 Stunden andauernden Unterbrechung der Microsoft 365-Dienste, einschließlich Outlook, Teams, OneDrive und der Cloud-Computing-Plattform Azure. Microsoft erklärte, dass der Angriff von einer Gruppe namens Storm-1359 durchgeführt wurde, die Zugriff auf eine Sammlung von Botnets und Tools hat, durch die Bedrohungsakteure DDoS-Angriffe von mehreren Cloud-Diensten und offenen Proxy-Infrastrukturen aus starten können. Der Angriff nahm die Anwendungsebene (Ebene 7) des Netzwerkstapels und nicht die am häufigsten betroffenen Ebenen 3 oder 4 ins Visier.

Da die Bedrohungen der Cybersicherheit immer fortschrittlicher und hartnäckiger werden und auch die Folgen von Cyberangriffen immer katastrophalere Ausmaße annehmen, müssen Unternehmen von der Verwendung fragmentierter, punktueller Sicherheitstools zu einem umfassenden, integrierten Ansatz übergehen, der die Bereitschaft der Cybersicherheit erhöht und sich über die gesamte Angriffsfläche erstreckt. Ein neuer Sicherheitsansatz ist erforderlich, um Identitäten, Geräte, Netzwerke, Infrastrukturen, Daten und Anwendungen in einer dynamischen Multi-Cloud-Umgebung zu schützen, die moderne Architekturen, Microservice-basierte Edge-Workloads und Integrationen von Drittanbietern nutzt. 

F5 bietet eine Reihe integrierter Cybersicherheitslösungen, die den Schutz maximieren und das Risiko für ältere und moderne Anwendungen reduzieren sowie Sicherheitsrichtlinien für alle Umgebungen automatisieren. Die durch KI und ML gesteuerten Sicherheitslösungen von F5 ermöglichen anpassungsfähigere und reaktionsschnellere Sicherheitsmaßnahmen, um die Erkennung von Bedrohungen zu verbessern, die Reaktion auf Vorfälle zu automatisieren und umfangreiche Datensätze zu analysieren. So werden Muster und Anomalien identifiziert, die auf Verletzungen der Cybersicherheit hinweisen, und eine Verteidigung gegen aufkommende Bedrohungen etabliert.

Die F5-Sicherheitslösungen minimieren Schwachstellen und Cyberbedrohungen mit umfassenden Sicherheitskontrollen, einheitlichen Richtlinien und Beobachtungsmöglichkeiten, einschließlich vereinfachter Bereitstellung und Verwaltung der Anwendungssicherheit in allen Umgebungen. Mit F5 können Unternehmen umfassende Sicherheitsmaßnahmen, einschließlich Funktionen wie der Webanwendungs-Firewall (WAF), Abwehr von DDos-Angriffen (Distributed Denial-of-Service), API-Sicherheit und Bot-Abwehr von einer einzigen, speziell entwickelten Plattform aus nutzen, die problemlos über Multi-Cloud- und Edge-Umgebungen hinweg skaliert werden kann. Eine ganzheitliche Steuerungsstrategie und ein zentrales Bedienfeld vereinfachen den Betrieb, optimieren die Anwendungsleistung und erhöhen die Sicherheit Ihrer Investitionen durch die Beobachtung des gesamten Anwendungsdatenverkehrs und sämtlicher Ereignisse.