{"id":27548,"date":"2021-10-12T11:26:09","date_gmt":"2021-10-12T09:26:09","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27548"},"modified":"2022-05-05T14:20:01","modified_gmt":"2022-05-05T12:20:01","slug":"most-common-initial-attack-vectors","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/most-common-initial-attack-vectors\/27548\/","title":{"rendered":"G\u00e4ngige initiale Angriffsvektoren"},"content":{"rendered":"

Andere Unternehmen kontaktieren oft unsere Experten, damit sie bei kritischen Vorf\u00e4llen mittels Vorfallsreaktion (eng. Incident Response)<\/a> die Untersuchung durchf\u00fchren (oder bei der Untersuchung helfen). Auch zur Analyse von den Tools der Cyberkriminellen werden unsere Experten h\u00e4ufig zurate gezogen. 2020 konnten wir eine Menge an wertvollen Daten sammeln<\/a>, die einen tiefen Einblick in die moderne Bedrohungslandschaft bieten. Diese Daten helfen uns m\u00f6gliche Angriffsszenarios vorherzusagen \u2013 einschlie\u00dflich der g\u00e4ngigsten initialen Angriffsvektoren \u2013 und die besten Abwehrtaktiken ausw\u00e4hlen.<\/p>\n

Wenn wir einen Cybervorfall untersuchen, widmen wir dem anf\u00e4nglichen Angriffsvektor besonders viel Aufmerksamkeit. Einfach ausgedr\u00fcckt, gelangen die Cyberverbrecher \u00fcber eine schwache Stelle in die Infrastruktur und diese Stelle im Abwehrsystem zu finden ist ausschlaggebend.<\/p>\n

Leider ist das nicht immer m\u00f6glich. Es kommt auch vor, dass es zu lange gedauert hat, bis der Vorfall erkannt wurde. In anderen F\u00e4llen hat das Opfer die Logdatei (auch Protokolldatei genannt) oder die Spuren zerst\u00f6rt (entweder ausersehen oder absichtlich).<\/p>\n

Kompliziert wird es auch, wenn die Cyberverbrecher \u00fcber eine Lieferkette<\/a> angreifen \u2013 eine Methode die zunehmend beliebter wird \u2013 weil bei solchen Angriffen der initiale Vektor nicht bei den letzten Opfern zu finden ist, sondern beim Drittanbieter-Programm eines Entwicklers oder Dienstleisters. Trotz alledem konnten unsere Experten in mehr als der H\u00e4lfte der Vorf\u00e4lle pr\u00e4zise feststellen, was der anf\u00e4ngliche Angriffsvektor war.<\/p>\n

Erster und zweiter Platz: Brute-Force-Angriffe und Exploits bei \u00f6ffentlich zug\u00e4nglichen Apps<\/h2>\n

Brute-Force-Angriffe und Exploit von Schwachstellen der \u00f6ffentlich zug\u00e4nglichen Apps und Systeme, auf die von au\u00dferhalb des Netzwerkperimeter eines Unternehmens zugegriffen werden kann, teilen sich die ersten zwei Pl\u00e4tze. Beide dienten als initialer Angriffsvektor zum Eindringen in die Systeme in 31,58 % der F\u00e4lle.<\/p>\n

Wie wir bereits in den vorherigen Jahren beobachten konnten, ist keine Methode so effektiv, wie die Durchf\u00fchrung eines Angriffs in Form von Exploit einer Sicherheitsl\u00fccke. Eine detailliertere Analyse der ausgenutzten Sicherheitsl\u00fccken deutete darauf hin, dass die Vorf\u00e4lle \u00fcberwiegend auf das Vers\u00e4umen der Updates seitens der Unternehmen zur\u00fcckzuf\u00fchren war, denn zum Zeitpunkt des Angriffs standen bereits Patches f\u00fcr jede einzelne Schwachstelle zur Verf\u00fcgung. Mit der rechtzeitigen Aktualisierung h\u00e4tten die Opfer die Angriffe vermeiden k\u00f6nnen.<\/p>\n

Der massive Wandel zur Arbeit im Homeoffice und der riesige Anstieg der Benutzung von Remote-Zugang sind f\u00fcr die Beliebtheit der Brute-Force-Angriffe verantwortlich. W\u00e4hrend des Wandels haben viele Organisationen die Sicherheitsangelegenheiten nicht ernst genug genommen. Die Folgen davon lie\u00dfen nicht lange auf sich warten \u2013 quasi \u00fcber Nacht stiegen die Angriffe auf Remote-Verbindungen drastisch an. Beispielsweise konnten wir im Zeitraum von M\u00e4rz bis Dezember 2020 einen Anstieg von 242 %<\/a> bei den Brute-Force-Angriffen beobachten, die auf Remote Desktop Protocol (RDP) basierten.<\/p>\n

Dritter Platz: Sch\u00e4dliche E-Mails<\/h2>\n

In 23,68 % der F\u00e4lle wurden E-Mails als anf\u00e4ngliche Angriffsvektoren verwendet, entweder mit Malware im Anhang oder in Form von Phishing-Mail. Diese Arten von sch\u00e4dlichen Nachrichten werden schon seit Langem sowohl f\u00fcr gezielte Angriffe als auch f\u00fcr Massenangriffe verwendet.<\/p>\n

Vierter Platz: Kompromittierung durch USB-Stick<\/h2>\n

Manchmal versuchen Angreifer Zugang zu einem System zu erhalten, indem sie eine Webseite verwenden, die von dem Opfer regelm\u00e4\u00dfig besucht wird oder wo es zuf\u00e4llig darauf st\u00f6\u00dft. F\u00fcr diese Taktik, die wir bei einigen komplexen APT-Angriffen (Advanced Persistent Threat)<\/a> beobachten konnten, statten die Cyberverbrecher die Webseite entweder mit Skripts aus, die eine Schwachstelle im Browser ausnutzen, um sch\u00e4dlichen Programmcode auf dem Computer des Opfers auszuf\u00fchren oder tricksen das Opfer aus, damit es die Malware herunterl\u00e4dt und auf dem Rechner installiert. 2020 war das der initialer Angriffsvektor bei 7,89 % der F\u00e4lle.<\/p>\n

F\u00fcnfter und sechster Platz: Externe Speichermedien und Insider<\/h2>\n

Die Verwendung von USB-Sticks zur Netzwerkinfiltration bei Unternehmen kommt nur noch selten vor. Abgesehen davon, dass Computerviren f\u00fcr USB-Sticks inzwischen gr\u00f6\u00dftenteils der Vergangenheit angeh\u00f6ren, ist die Taktik, jemanden unbemerkt einen sch\u00e4dlichen USB-Stick zuzustecken, nicht besonders zuverl\u00e4ssig. Trotzdem wurde diese Methode bei 2,63 % der F\u00e4llen von initialen Netzwerkpenetration verwendet.<\/p>\n

Insiders habe zum gleichen Prozentsatz an Vorf\u00e4llen (2,63 %) beigetragen. Insiders sind Mitarbeiter \u2013 oder ehemalige Mitarbeiter \u2013 die, aus welchem Grund auch immer, ihrem Arbeitgeber Schaden zuf\u00fcgen m\u00f6chten.<\/p>\n

Wie die Risiken von Cybervorf\u00e4llen und deren Folgen minimiert werden k\u00f6nnen<\/h2>\n

Die meisten Vorf\u00e4lle, die von unseren Experten analysiert wurden, waren vermeidbar. Basierend auf den Ergebnissen, empfehlen die Experten Folgendes:<\/p>\n