Die zehn häufigsten Formen von Cyberangriffen

Eine Cyberattacke ist jegliche Art von Angriff, der auf computergestützte Informationssysteme, Infrastrukturen, Rechnernetze oder PC-Geräte abzielt. Mit verschiedenen Methoden versuchen die Angreifer dabei, Daten abzugreifen, zu manipulieren oder zu löschen bzw. Informationssysteme zu zerstören.

Im Folgenden finden Sie eine Beschreibung der zehn häufigsten Formen von Cyberattacken:

1. Denial-of-Service- (DoS) und Distributed-Denial-of-Service-Angriffe (DDoS)
2. Man-in-the-Middle-Angriffe (MitM)
3. Phishing- und Spear-Phishing-Angriffe
4. Drive-by-Downloads
5. Kennwortangriffe
6. Einschleusung von SQL-Befehlen
7. Cross-Site-Scripting (XSS)
8. Abhören
9. Geburtstagsangriffe
10. Schadsoftware (Malware)

1. Denial-of-Service- (DoS) und Distributed-Denial-of-Service-Angriffe (DDoS)

Bei einem Denial-of-Service-Angriff werden die Systemressourcen gezielt mit so vielen Anfragen bombardiert, dass sie die Aufgaben nicht mehr bewältigen können. Wird ein solcher Angriff von sehr vielen Hostrechnern, auf denen der Angreifer Schadsoftware installiert hat, parallel ausgeführt, spricht man von einem DDoS-Angriff.

Im Gegensatz zu Angriffen, mit denen sich Hacker Zugriff auf ein System oder erweiterte Zugriffsrechte verschaffen möchten, sind DoS- und DDoS-Angriffe nicht mit direkten Vorteilen für die Angreifer verbunden. Manchen genügt es, den angegriffenen Server oder Dienst außer Betrieb zu setzen. Anders verhält es sich hingegen, wenn die Angriffe auf die Ressourcen eines Mitbewerbers abzielen, mit denen sich der Angreifer durchaus Vorteile verschaffen kann. Ein weiteres Ziel von DoS-Angriffen kann darin bestehen, ein System zur Vorbereitung eines weiteren Angriffs außer Betrieb zu setzen. Ein typisches Beispiel dafür ist das Session-Hijacking, auf das ich später noch zu sprechen komme.

Es gibt unterschiedliche Arten von DoS- und DDoS-Angriffen. Die häufigsten unter ihnen sind TCP-SYN-Flooding, Teardrop-Angriffe, Smurf-Angriffe, Ping of Death und Botnets.

TCP-SYN-Flooding

Diese Angriffsform zielt auf die Nutzung des Pufferspeichers beim Handshake zu Beginn des Verbindungsaufbaus in einem TCP-basierten Netzwerk ab. Das Gerät des Angreifers überflutet die kurze Bearbeitungswarteschlange des Zielsystems mit Verbindungsanfragen, reagiert jedoch nicht, wenn das Zielsystem diese Anfragen beantwortet. Dadurch kommt es auf dem Zielsystem zu einer Zeitüberschreitung, während es auf die Antwort des angreifenden Geräts wartet. Das System bricht zusammen oder reagiert nicht mehr, wenn sich die Verbindungswarteschlange füllt.

TCP-SYN-Flooding-Angriffe lassen sich durch verschiedene Maßnahmen abwehren:

• Platzieren Sie Server hinter eine Firewall, die so konfiguriert ist, dass sie keine eingehenden SYN-Pakete durchlässt.
• Vergrößern Sie die Verbindungswarteschlange und verringern Sie den Wert für den Timeout offener Verbindungen.

Teardrop-Angriff

Ein Teardrop-Angriff führt dazu, dass sich die Offset-Felder für Länge und Fragmentierung sequenzieller IP-Pakete auf dem angegriffenen Host überlappen. Das angegriffene System versucht, diese Pakete neu zusammenzufügen, stürzt jedoch dabei ab oder startet neu.

Wenn auf den Systemen der Benutzer keine Patches zum Schutz vor diesen DoS-Angriffen installiert sind, deaktivieren Sie SMBv2 und sperren Sie die Ports 139 und 445.

Smurf-Angriff

Diese Angriffsform nutzt IP-Spoofing und ICMP, um das Zielnetz mit Anfragen zu überfluten. Dabei werden über eine gefälschte IP-Adresse ICMP-Echo-Anfragen an Broadcast-IP-Adressen gesendet. Wenn das anvisierte Opfer beispielsweise die Adresse 10.0.0.10 hat, sendet der Angreifer eine gefälschte ICMP-Echo-Anfrage von der IP-Adresse 10.0.0.10 an die Broadcast-Adresse 10.255.255.255. Diese Anfrage wird an alle IP-Adressen in diesem Adressbereich gesendet. Da alle Antworten zurück an die Adresse 10.0.0.10 gesendet werden, kommt es zu einer Überlastung des Netzwerks. Dieser Prozess lässt sich wiederholen und so automatisieren, dass das Netzwerk massiv überlastet wird.

Um Ihre Geräte vor solchen Angriffen zu schützen, müssen Sie auf Ihren Routern IP-Broadcasting deaktivieren. Dadurch können keine ICMP-Echo-Broadcast-Anfragen an die Netzwerkgeräte gesendet werden. Eine weitere Möglichkeit besteht darin, die Endsysteme so zu konfigurieren, dass sie nicht auf ICMP-Pakete von Broadcast-Adressen reagieren.

Ping of Death

Bei dieser Angriffsform werden IP-Pakete an das Zielsystem gesendet, deren Größe die maximal zulässigen 65.535 Byte überschreitet. Der Angreifer teilt das IP-Paket in kleinere Fragmente auf. Bei der Zusammensetzung dieser Fragmente auf dem Zielsystem kommt es zum Pufferüberlauf und anderen Abstürzen.

Ping-of-Death-Angriffe können mit einer Firewall abgewehrt werden, die überprüft, ob die fragmentierten IP-Pakete die maximal zulässige Größe überschreiten.

Botnets

Botnets bestehen aus vielen Millionen mit Schadsoftware infizierten Systemen, die von einem Hacker kontrolliert werden, um DDoS-Angriffe auszuführen. Die Angriffe über diese Bots oder Zombie-Systeme führen auf den Zielsystemen meist zur Überlastung der Bandbreite oder Verarbeitungskapazität. DDoS-Angriffe dieser Art sind oft schwer nachzuverfolgen, da sich die Systeme der Botnets auf unterschiedliche Standorte verteilen.

Maßnahmen zur Abwehr von Angriffen über Botnets:

• RFC3704-Filterung blockiert den Datenverkehr von gefälschten Adressen und sorgt dafür, dass sich der Datenverkehr zum richtigen Ursprungsnetzwerk zurückverfolgen lässt. RFC3704-Filterung weist beispielsweise Pakete von Adressen auf Bogon-Listen ab.
• Mit der Black-Hole-Filterung wird unerwünschter Datenverkehr verworfen, bevor er über ein geschütztes Netzwerk transportiert wird. Wird ein DDoS-Angriff erkannt, sollte der BGP-Host (Border Gateway Protocol) Routing-Updates an die ISP-Router senden, damit sie den gesamten Datenverkehr an die angegriffenen Server beim nächsten Hop an eine null0-Schnittstelle weiterleiten.

2. Man-in-the-Middle-Angriffe (MitM)

Bei einem MitM-Angriff schaltet sich ein Hacker in die Kommunikation zwischen einem Client und einem Server ein. Die häufigsten Man-in-the-Middle-Angriffe:

Session-Hijacking

Bei dieser Angriffsform kapert ein Angreifer eine Verbindung zwischen einem vertrauenswürdigen Client und einem Netzwerkserver. Der angreifende Rechner ersetzt die IP-Adresse des vertrauenswürdigen Client durch seine eigene Adresse, während der Server in der Annahme, dass er mit dem Client kommuniziert, die Verbindung aufrechterhält. Ein solcher Angriff könnte beispielsweise wie folgt ablaufen:

1. Ein Client stellt eine Verbindung zu einem Server her.
2. Der Rechner des Angreifers übernimmt die Kontrolle des Client.
3. Der Rechner des Angreifers trennt die Verbindung vom Client zum Server.
4. Der Rechner des Angreifers ersetzt die IP-Adresse des Client durch seine eigene IP-Adresse und fälscht die Sequenznummern des Client.
5. Der Rechner des Angreifers setzt den Dialog mit dem Server fort und der Server glaubt, immer noch mit dem Client zu kommunizieren.

IP-Spoofing

Durch IP-Spoofing überzeugt ein Angreifer ein System, dass es mit einer bekannten, vertrauenswürdigen Entität kommuniziert, und verschafft sich so Zugriff auf das System. Der Angreifer sendet ein Paket an einen Zielhost, das anstelle seiner eigenen IP-Quelladresse die IP-Quelladresse eines bekannten, vertrauenswürdigen Hosts enthält. Ist der Angriff erfolgreich, nimmt der Zielhost das Paket an und gewährt dem Angreifer damit Zugriff.

Replay-Angriff

Bei einem Replay-Angriff fängt ein Angreifer Nachrichten ab und speichert diese. Er versucht später, diese Nachrichten erneut zu senden, indem er die Identität des ursprünglichen Absenders vortäuscht. Solche Angriffe lassen sich einfach durch Verwendung eines Zeitstempels oder eines Nonce (einer Zufallszahl oder einer Zeichenfolge, die später geändert wird) abwehren.

Es gibt zum gegenwärtigen Zeitpunkt keine Technologie oder Konfiguration, mit der sich alle Formen von MitM-Angriffen abwehren lassen. Im Allgemeinen bieten Verschlüsselung und digitale Zertifikate wirksamen Schutz gegen MitM-Angriffe, indem sie die Vertraulichkeit und Integrität der Kommunikation wahren. Ein Man-in-the-Middle-Angriff kann jedoch so in die Kommunikation eingeschleust werden, dass auch die Verschlüsselung nicht mehr greift. Ein Beispiel: Angreifer A fängt den öffentlichen Schlüssel von Person P ab und ersetzt ihn durch seinen eigenen öffentlichen Schlüssel. Dadurch verwendet jeder, der eine verschlüsselte Nachricht an P sendet und dabei den öffentlichen Schlüssel von P verwendet, ohne es zu wissen den öffentlichen Schlüssel von A. A kann deshalb die an P gerichtete Nachricht lesen und diese dann unter Verwendung des richtigen öffentlichen Schlüssels an P senden. Für P ist nicht erkennbar, dass die Nachricht abgefangen wurde. A könnte die Nachricht außerdem manipulieren, bevor er sie an P weitersendet. Wie Sie sehen, nutzt P Verschlüsselung und ist der Ansicht, dass seine Nachrichten geschützt sind. Tatsächlich sind sie jedoch infolge des MitM-Angriffs ungeschützt.

Wie können Sie daher sicher sein, dass der öffentliche Schlüssel von P auch tatsächlich P gehört und nicht A? Ansätze zur Lösung dieses Problems sind Zertifizierungsstellen und Hashfunktionen. Wenn Person 2 (P2) eine Nachricht an P senden möchte und P sichergehen will, dass A die Nachricht nicht lesen oder manipulieren kann und die Nachricht tatsächlich von P2 stammt, muss folgende Methode angewendet werden:

1. P2 erstellt einen symmetrischen Schlüssel und verschlüsselt diesen mit dem öffentlichen Schlüssel von P.
2. P2 sendet den verschlüsselten symmetrischen Schlüssel an P.
3. P2 berechnet eine Hashfunktion der Nachricht und versieht diese mit einer digitalen Signatur.
4. P2 verschlüsselt seine Nachricht und deren signierte Hashfunktion mit dem symmetrischen Schlüssel und sendet alles an P.
5. P kann den symmetrischen Schlüssel von P2 empfangen, da nur er den privaten Schlüssel für die Entschlüsselung besitzt.
6. Nur P kann deshalb die symmetrisch verschlüsselte Nachricht und die signierte Hashfunktion entschlüsseln, da er den symmetrischen Schlüssel besitzt.
7. Er kann somit überprüfen, ob die Nachricht geändert wurde, da er den Hashwert der empfangenen Nachricht berechnen und mit dem digital signierten Hashwert vergleichen kann.
8. P kann außerdem feststellen, dass der Absender P2 ist, da nur P2 den Hashwert signieren kann, sodass er sich mit dem öffentlichen Schlüssel von P2 überprüfen lässt.

3. Phishing- und Spear-Phishing-Angriffe

Ein Phishing-Angriff besteht darin, E-Mails aus offenbar vertrauenswürdigen Quellen mit dem Ziel zu versenden, persönliche Informationen abzugreifen oder den Empfänger zu einer bestimmten Handlung zu verleiten. Diese Angriffsform kombiniert Social Engineering mit technischen Tricks. Die Angriffe können auch über E-Mail-Anhänge erfolgen, über die Schadsoftware auf Ihren Rechner gelangt. Eine weitere Angriffsmöglichkeit sind Links zu einer Website, auf der Sie verleitet werden, Schadsoftware herunterzuladen oder persönliche Informationen preiszugeben.

Beim Spear-Phishing handelt es sich um sehr gezielte Phising-Aktivitäten. Die Angreifer befassen sich im Vorfeld gründlich mit ihren Opfern und senden ihnen Nachrichten, die an sie persönlich gerichtet sind und deren Inhalt für die Opfer relevant ist. Deshalb lassen sich Spear-Phishing-Angriffe oft nur schwer erkennen. Noch schwieriger ist es, sich davor zu schützen. Die einfachste Methode für einen Spear-Phishing-Angriff ist das sogenannte E-Mail-Spoofing. Dabei werden die Informationen zum Absender der E-Mail gefälscht, sodass der Empfänger glaubt, den Absender zu kennen (weil die E-Mail zum Beispiel offenbar von seinem Vorgesetzten oder von einem Unternehmenspartner stammt). Eine weitere Methode, mit der Betrüger ihre Glaubwürdigkeit erhöhen, ist das Klonen von Websites. Dabei kopieren sie rechtmäßige Websites so, dass das Opfer dazu verleitet wird, personenbezogene Informationen oder Anmeldedaten einzugeben.

Das Risiko eines Phishing-Angriffs können Sie wie folgt vermeiden:

• Kritisches Denken: Vertrauen Sie E-Mails nicht blind, nur weil Sie gerade viel zu tun haben und noch 150 weitere ungelesene Nachrichten in Ihrem Posteingang warten. Prüfen Sie die E-Mail zunächst, bevor Sie eine darin enthaltene Handlungsanweisung befolgen.
• Mit der Maus auf den Link zeigen: Bewegen Sie Ihre Maus über den Link, jedoch ohne darauf zu klicken! Wenn sich der Mauszeiger über dem Link befindet, können Sie sehen, wohin der Link führt. Schauen Sie sich die URL gründlich an und überlegen Sie, ob das Ziel vertrauenswürdig ist.
• Analyse der Header von E-Mails: Im E-Mail-Header wird angezeigt, von wo Sie die E-Mail erhalten haben: Die Adressen unter den Parametern „Reply-to“ und „Return-Path“ sollten zu derselben Domain führen, die auch in der E-Mail selbst angegeben ist.
• Einrichten einer Sandbox: Sie können den Inhalt einer E-Mail in einer Sandbox-Umgebung testen und dabei sämtliche Aktivitäten ab dem Öffnen des Anhangs oder dem Klicken auf darin enthaltene Links protokollieren.

4. Drive-by-Downloads

Drive-by-Downloads sind eine gängige Methode für die Verbreitung von Schadsoftware. Bei dieser Angriffsmethode suchen Hacker nach ungesicherten Websites und schleusen ein schädliches Skript in den HTTP- oder PHP-Code einer der Seiten ein. Über dieses Skript kann Schadsoftware direkt auf dem Rechner eines Seitenbesuchers installiert werden oder das Opfer wird auf eine Seite umgeleitet, die vom Hacker kontrolliert wird. Zu Drive-by-Downloads kann es beim Besuch einer Website oder auch beim Anzeigen einer E-Mail oder eines Pop-up-Fensters kommen. Im Gegensatz zu vielen anderen Arten von Cybersicherheitsangriffen kommt es bei Drive-by-Downloads nicht darauf an, dass ein Benutzer eine bestimmte Handlung ausführt, damit der Angriff gestartet wird. Sie müssen nicht auf eine Download-Schaltfläche klicken oder einen E-Mail-Anhang mit Schadsoftware öffnen, um infiziert zu werden. Ein Drive-by-Download kann Sicherheitslücken in einer Anwendung, einem Betriebssystem oder einem Browser ausnutzen, die aufgrund von fehlgeschlagenen oder nicht vorhandenen Updates auf dem System des Opfers noch nicht behoben wurden.

Um sich vor Drive-by-Downloads zu schützen, sollten Sie Ihre Browser und Betriebssysteme regelmäßig aktualisieren und Websites meiden, die schädlichen Code enthalten könnten. Nutzen Sie die Websites, die Sie auch sonst besuchen – und bedenken Sie dabei stets, dass auch diese Hackerangriffen zum Opfer fallen können. Deinstallieren Sie nicht benötigte Programme und Anwendungen auf Ihrem Gerät. Je mehr Plug-ins Sie installiert haben, desto mehr Schwachstellen gibt es, die von Drive-by-Downloads ausgenutzt werden können.

5. Kennwortangriffe

Da zur Authentifizierung von Benutzern eines Informationssystems vorwiegend Kennwörter verwendet werden, ist das Abgreifen von Kennwörtern eine gängige und effektive Angriffsmethode. Zugriff auf das Kennwort einer Person erhalten Angreifer, indem sie sich auf dem Schreibtisch des Opfers umsehen, die Netzwerkverbindung „abhören“, um unverschlüsselte Kennwörter abzugreifen, Social-Engineering-Techniken nutzen, sich Zugriff auf eine Kennwortdatenbank verschaffen oder auch einfach raten. Bei der letzten Methode können Angreifer nach dem Zufallsprinzip oder systematisch vorgehen:

• Bei Brute-Force-Angriffen zum Erraten des Kennworts werden nach dem Zufallsprinzip verschiedene Kennwörter ausprobiert – in der Hoffnung, dass eines davon funktioniert. Dabei kann logisch vorgegangen werden, indem zum Beispiel Kennwörter ausprobiert werden, die mit dem Namen des Opfers, seiner Position, seinen Hobbys oder ähnlichen Dingen zusammenhängen.
• Bei einem Wörterbuchangriff verwendet der Hacker ein Wörterbuch mit gängigen Kennwörtern, um sich Zugriff auf den Rechner des Benutzers und das Netzwerk zu verschaffen. Eine Methode besteht darin, eine verschlüsselte Datei mit Kennwörtern zu kopieren, dieselbe Verschlüsselung auf ein Wörterbuch mit häufig verwendeten Kennwörtern anzuwenden und die Ergebnisse abzugleichen.

Um sich vor Wörterbuch- oder Brute-Force-Angriffen zu schützen, sollten Sie eine Richtlinie zur Kontosperrung implementieren, die dafür sorgt, dass das Konto nach einer bestimmten Anzahl von ungültigen Kennworteingaben gesperrt wird. Sie können die Best Practices für die Kontosperrung unten befolgen, um eine solche Richtlinie richtig zu konfigurieren.

6. Einschleusung von SQL-Befehlen

Das Einschleusen von SQL-Befehlen ist ein Problem, das auf datenbankgestützten Websites häufig auftritt. Dabei führt ein Angreifer über die Daten, die vom Client an den Server übermittelt werden, eine SQL-Abfrage der Datenbank aus. SQL-Befehle werden in die Benutzereingaben auf der Datenebene eingeschleust (beispielsweise anstelle des Benutzernamens oder Kennworts), um vordefinierte SQL-Befehle auszuführen. Mit einer erfolgreichen SQL-Einschleusung ist es möglich, sensible Daten aus der Datenbank auszulesen, Datenbankdaten durch Einfügen, Aktualisieren oder Löschen zu ändern, administrative Operationen in der Datenbank auszuführen (zum Beispiel Herunterfahren), den Inhalt einer bestimmten Datei wiederherzustellen und in manchen Fällen sogar Befehle an das Betriebssystem auszugeben.

In einem Online-Formular auf einer Website muss ein Benutzer beispielsweise seinen Kontonamen eingeben und an die Datenbank übermitteln, um wie folgt mit dynamischen SQL-Anweisungen die dazugehörigen Kontoinformationen abzurufen:

“SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”

Dies funktioniert, wenn Benutzer ihre Kontonummer richtig eingeben, stellt jedoch auch ein Schlupfloch für Angreifer dar. Die Eingabe der Kontonummer “‘ or ‘1’ = ‘1’” erzeugt zum Beispiel diese Abfragezeichenfolge:

“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”

Da ‘1’ = ‘1’ immer TRUE ergibt, gibt die Datenbank nicht nur die Daten eines Benutzers, sondern aller Benutzer zurück.

Cyberangriffe dieser Art machen sich die Tatsache zunutze, dass SQL nicht wirklich zwischen der Steuerungsebene und der Datenebene unterscheidet. Die Einschleusung von SQL-Befehlen funktioniert daher vor allem dann, wenn eine Website dynamisches SQL verwendet. Die SQL-Einschleusung ist auch eine beliebte Angriffsmethode für PHP- und ASP-Anwendungen, da bei diesen ältere funktionale Schnittstellen noch sehr verbreitet sind. J2EE- und ASP.NET-Anwendungen sind aufgrund ihrer Programmierschnittstellen weniger anfällig für SQL-Einschleusungen.

Um sich vor SQL-Einschleusungen zu schützen, wenden Sie in Ihren Datenbanken das Prinzip der geringsten Rechte an. Verwenden Sie nach Möglichkeit ausschließlich gespeicherte Prozeduren (stellen Sie sicher, dass diese Prozeduren kein dynamisches SQL enthalten) und vorbereitete Anweisungen (parametrisierte Abfragen). Der Code, der in der Datenbank ausgeführt wird, muss ausreichenden Schutz vor solchen Angriffen bieten. Überprüfen Sie Eingabedaten außerdem mithilfe einer Whitelist auf Anwendungsebene.

7. Cross-Site-Scripting (XSS)

XSS-Angriffe führen mithilfe von Webressourcen Dritter Skripts im Webbrowser oder in einer skriptfähigen Anwendung des Opfers aus. Konkret schleusen Angreifer dabei eine Nutzlast mit schädlichem JavaScript in die Datenbank einer Website ein. Sobald das Opfer eine Seite dieser Website aufruft, wird diese Seite mit der Nutzlast des Angreifers als Teil des HTML-Textkörpers an den Browser des Opfers übertragen. Dort wird daraufhin das schädliche Skript ausgeführt. Das Skript sendet beispielsweise das Cookie des Opfers an den Server des Angreifers, der das Cookie dann extrahieren und für Session-Hijacking nutzen kann. Am gefährlichsten sind die Folgen dann, wenn im Zuge eines XSS-Angriffs weitere Sicherheitslücken ausgenutzt werden. Über diese Sicherheitslücken kann ein Angreifer nicht nur Cookies abgreifen, sondern auch Tastatureingaben protokollieren, Screenshots erfassen, Netzwerkinformationen auffinden und erfassen sowie per Fernzugriff den Rechner des Opfers steuern.

XSS-Angriffe können über VBScript, ActiveX und Flash ausgeführt werden, erfolgen jedoch in den allermeisten Fällen über JavaScript. Dies liegt vor allem daran, dass JavaScript von so vielen Webanwendungen unterstützt wird.

Zum Schutz vor XSS-Angriffen können Entwickler die von Benutzern in HTTP-Anforderungen eingegebenen Daten bereinigen, bevor diese Daten zurückgegeben werden. Stellen Sie dabei sicher, dass alle Daten überprüft, gefiltert oder mit Escapezeichen versehen werden, bevor Werte (zum Beispiel die Werte von Abfrageparametern bei einer Suche) an den Benutzer zurückgegeben werden. Wandeln Sie Sonderzeichen wie ?, &, /, <, > und Leerzeichen in die entsprechenden HTML- oder URL-codierten Zeichen um. Ermöglichen Sie den Benutzern die Deaktivierung von Skripts auf dem Client.

8. Abhören

Beim Abhören wird der Netzwerkdatenverkehr abgefangen. Auf diese Weise kann sich der Angreifer Zugriff auf Kennwörter, Kreditkartennummern und andere vertrauliche Informationen verschaffen, die ein Benutzer über das Netzwerk überträgt. Es wird zwischen aktivem und passivem Abhören unterschieden:

• Beim passiven Abhören gelangt ein Hacker an Informationen, indem er die Nachrichtenübertragung im Netzwerk abhört.
• Beim aktiven Abhören greift ein Angreifer die Informationen gezielt ab, indem er eine fremde Identität vortäuscht und Abfragen an die Sender sendet. Diese Vorgehensweise wird auch als Sondieren, Scannen oder Manipulation bezeichnet.

Das Erkennen passiver Abhörangriffe ist oft wichtiger als das Aufdecken aktiver Angriffe, da der Angreifer beim aktiven Abhören sich zunächst durch passives Abhören Kenntnisse verschaffen muss, um eine fremde Identität vortäuschen zu können.

Die beste Abwehrmethode für Abhören ist die Verschlüsselung von Daten.

9. Geburtstagsangriffe

Geburtstagsangriffe zielen auf Hashalgorithmen ab, mit denen die Integrität einer Nachricht, einer Software oder einer digitalen Signatur überprüft wird. Eine Nachricht, die mit einer Hashfunktion verarbeitet wird, erzeugt einen Nachrichtenhash mit fester Länge, und zwar unabhängig von der Länge der Eingabenachricht. Dieser Nachrichtenhash kennzeichnet die Nachricht eindeutig. Der Geburtstagsangriff bezieht sich auf die Wahrscheinlichkeit, dass zwei zufällige Nachrichten gefunden werden, für die bei der Verarbeitung mit einer Hashfunktion derselbe Nachrichtenhash erzeugt wird. Wenn ein Angreifer für seine Nachricht denselben Nachrichtenhash berechnet wie das Opfer, kann er die Nachricht des Benutzers unbemerkt durch seine eigene Nachricht ersetzen. Der Empfänger der Nachricht hat selbst beim Abgleich der Nachrichtenhashs keine Möglichkeit, den Angriff zu erkennen.

10. Schadsoftware (Malware)

Schadsoftware ist unerwünschte Software, die ohne Ihre Zustimmung auf Ihrem System installiert wird. Sie kann sich an legitimen Code anhängen und so ausbreiten, in gewöhnlichen Anwendungen lauern oder sich selbst über das Internet replizieren. Die häufigsten Arten von Schadsoftware:

• Makroviren: Diese Viren befallen Anwendungen wie Microsoft Word oder Excel. Makroviren hängen sich an die Initialisierungssequenz einer Anwendung an. Sobald die Anwendung geöffnet wird, führt der Virus Anweisungen aus, bevor er die Kontrolle an die Anwendung übergibt. Der Virus repliziert sich selbst und hängt sich an andere Programme auf dem System an.
• Dateiinfektoren: Dateiinfektorviren hängen sich in der Regel an ausführbaren Code wie exe-Dateien an. Der Virus wird installiert, sobald der Code geladen wird. Eine andere Version von Dateiinfektoren hängt sich an eine Datei an, indem sie eine Virusdatei mit demselben Namen erzeugt und diese mit der Erweiterung „exe“ versieht. Dadurch wird der Viruscode ausgeführt, sobald die Datei geöffnet wird.
• System- oder Boot-Record-Infektoren: Ein Boot-Record-Virus hängt sich an den Master Boot Record von Festplatten an. Beim Start des Systems wird der Bootsektor geprüft und der Virus in den Arbeitsspeicher geladen. Von dort kann er sich auf andere Festplatten und Rechner ausbreiten.
• Polymorphe Viren: Diese Viren verstecken sich, indem sie die Verschlüsselungs- und Entschlüsselungszyklen variieren. Der verschlüsselte Virus und die dazugehörige Mutation Engine werden dabei zunächst von einem Entschlüsselungsprogramm entschlüsselt. Der Virus infiziert daraufhin einen Codebereich. Anschließend entwickelt die Mutation Engine eine neue Entschlüsselungsroutine und der Virus verschlüsselt die Mutation Engine und eine Kopie des Virus mit einem Algorithmus, der der neuen Entschlüsselungsroutine entspricht. Das verschlüsselte Paket mit Mutation Engine und Virus wird an den neuen Code angehängt und der Vorgang wird wiederholt. Solche Viren sind schwer zu erkennen, weisen jedoch aufgrund der zahlreichen Änderungen am Quellcode eine hohe Entropie auf. Antiviren-Software oder kostenlose Tools wie Process Hacker spüren sie anhand dieser Eigenschaft auf.
• Stealth-Viren: Stealth-Viren übernehmen bestimmte Systemfunktionen, um sich zu verstecken. Hierzu kompromittieren sie die auf dem System installierten Programme zur Erkennung von Schadsoftware, was dazu führt, dass infizierte Bereiche bei der Überprüfung als virenfrei identifiziert werden. Die Viren arbeiten so, dass Veränderungen der Größe einer infizierten Datei oder Änderungen am Erstellungs- und Änderungsdatum der Datei nicht erkannt werden.
• Trojaner: Ein Trojaner bzw. ein Trojanisches Pferd ist ein Programm, das sich in einem anderen Programm versteckt und in der Regel schädliche Funktion hat. Der wesentliche Unterschied zwischen Viren und Trojanern besteht darin, dass sich Trojaner nicht selbst replizieren. Ein Trojaner kann Angriffe auf ein System ausführen oder auch eine Hintertür öffnen, über die sich Angreifer dann Zugriff auf das System verschaffen können. Ein Trojaner kann beispielsweise so programmiert sein, dass er einen Port mit hoher Portnummer öffnet, über den der Hacker den Netzwerkverkehr abhören und dann einen Angriff starten kann.
• Logikbomben: Eine Logikbombe ist Schadsoftware, die an eine Anwendung angehängt und durch ein bestimmtes Ereignis (zum Beispiel bei Auftreten einer logischen Bedingung oder zu einem bestimmten Datum bzw. einer bestimmten Uhrzeit) ausgelöst wird.
• Würmer: Würmer unterscheiden sich von Viren dadurch, dass sie nicht an eine Hostdatei angehängt werden, sondern eigenständige Programme sind, die sich in Netzwerken und auf Rechnern ausbreiten können. Meist werden Würmer über E-Mail-Anhänge verbreitet; beim Öffnen des Anhangs wird das Wurmprogramm aktiviert. Ein typisches Beispiel für diese Angriffsform ist ein Wurm, der eine Kopie von sich selbst an alle E-Mail-Kontakte eines infizierten Rechners sendet. Er führt nicht nur auf diesem Rechner schädliche Aktivitäten aus, sondern kann sich auch über das Internet verbreiten und E-Mail-Server überlasten. Dadurch entstehen Denial-of-Service-Angriffen gegen Netzwerkknoten.
• Dropper: Ein Dropper ist ein Programm, über das Viren auf Rechnern installiert werden. In vielen Fällen ist der Dropper selbst nicht mit schädlichem Code infiziert und wird deshalb unter Umständen von Antiviren-Programmen nicht erkannt. Ein Dropper kann außerdem eine Verbindung zum Internet herstellen und Updates für Schadsoftware herunterladen, die auf einem kompromittierten System vorhanden ist.
• Ransomware: Ransomware ist eine Form von Schadsoftware, die den Zugriff auf die Daten des Opfers verwehrt. Der Angreifer droht mit Veröffentlichung oder Löschung der Daten, sofern nicht ein Lösegeld bezahlt wird. Während einfachere Varianten von Ransomware das System so sperren, dass diese Sperre von einer technisch versierten Person wieder aufgehoben werden kann, verwenden komplexere Programme ein Verfahren namens kryptovirale Erpressung. Dabei werden die Dateien des Opfers so verschlüsselt, dass es nahezu unmöglich ist, sie ohne Entschlüsselungsschlüssel wiederherzustellen.

• Adware: Adware ist eine Softwareanwendung, die von Unternehmen für Marketingzwecke verwendet wird. Dabei werden während der Ausführung eines Programms Werbebanner angezeigt. Adware kann beim Browsen im Internet automatisch auf Ihr System heruntergeladen werden und zeigt Werbung in Pop-up-Fenstern oder auf Leisten an, die sich automatisch öffnen.
• Spyware: Spyware ist ein Programm, das installiert wird, um Informationen zu Benutzern, ihren Rechnern und ihrem Surfverhalten zu erfassen. Dabei werden sämtliche Aktivitäten des Benutzers ohne dessen Wissen nachverfolgt und diese Daten an einen anderen Benutzer übertragen. Spyware kann außerdem andere Schadprogramme aus dem Internet herunterladen und auf dem betroffenen Rechner installieren. Spyware funktioniert ähnlich wie Adware, besteht aber in der Regel aus einem separaten Programm, dass bei der Installation von Freeware ohne Ihr Wissen installiert wird.

Fazit

Um geeignete Sicherheitsvorkehrungen treffen zu können, müssen Sie zunächst verstehen, welchen Bedrohungen Sie ausgesetzt sind. In diesem Artikel wurden die zehn häufigsten Cybersicherheitsangriffe vorgestellt, mit denen Hacker Informationssysteme kompromittieren und zum Absturz bringen. Wie Sie sehen können, stehen Angreifern zahlreichen Optionen zur Verfügung: DDoS-Angriffe, die Infizierung mit Schadsoftware, Man-in-the-Middle-Attacken und Brute-Force-Angriffe zum Erraten des Kennworts. Damit versuchen sie, sich unbefugten Zugriff auf kritische Infrastrukturen und sensible Daten zu verschaffen.

Es gibt unterschiedliche Maßnahmen, mit denen Sie sich vor diesen Bedrohungen schützen können, doch vor allem sollten Sie folgende Grundsätze befolgen: Halten Sie Ihre Systeme und Antiviren-Datenbanken stets auf dem neuesten Stand, schulen Sie Ihre Mitarbeiter, konfigurieren Sie Ihre Firewall mit einer Whitelist, die ausschließlich die benötigten Ports und Hosts beinhaltet, verwenden Sie sichere Kennwörter, wenden Sie das Prinzip der geringsten Rechte in Ihrer IT-Umgebung an und überprüfen Sie Ihre IT-Systeme kontinuierlich auf verdächtige Aktivitäten.