Cyber-Kill-Chain: So gehen Angreifer vor, um ein Unternehmen zu hacken

Das Vorgehen von Angreifern lässt sich anhand der sogenannten „Cyber Kill Chain“ erklären. Dieses Konzept unterteilt einen Cyberangriff in verschiedene Phasen, von der ersten Erkennung des Ziels bis zur finalen Umsetzung des Angriffs. Durch das Verständnis dieses Vorgehens können Unternehmen ihre Abwehrstrategien gezielt verbessern.

Die 7 Phasen der Cyber-Kill-Chain

1. Erkundung und Informationsbeschaffung (Reconnaissance)

Stellen Sie sich vor, Sie sind ein Hacker und wollen in ein Unternehmen eindringen. Der erste Schritt ist die Erkundung: Sie sammeln so viele Informationen wie möglich über das Unternehmen. Websites, soziale Netzwerke und öffentliche Register sind Goldminen für solche Daten. Sie suchen nach dem kleinsten Riss in der Rüstung des Unternehmens, seien es veraltete Systeme, Mitarbeiterdaten oder interne Abläufe. Dieser Prozess, Reconnaissance genannt, ist entscheidend, weil er die Basis für alle weiteren Schritte legt. Als Unternehmer sollten Sie deshalb bedenken, dass man jede veröffentlichte Information potenziell gegen Sie verwenden kann. Es ist wie bei einem Schachspiel – Hacker suchen nach dem besten Zug, während Sie versuchen sollten, ihnen so wenig Anhaltspunkte wie möglich zu geben.

Sponsored Post

Arbeitszeitmodelle+Urlaubsanspruch

Wie funktioniert eine 4-Tage-Woche?

2. Erstellung einer maßgeschneiderten Attacke (Weaponization)

Nach der gründlichen Erkundung beginnen Hacker mit Phase 2 der Cyber-Kill-Chain: die „Bewaffnung“. Sie entwickeln oder wählen Malware, die genau auf die Schwachstellen Ihres Unternehmens zugeschnitten ist. Diese könnte in Form eines Trojaners, eines Virus oder anderer schädlicher Software sein.

3. Zustellung der Angriffswerkzeuge (Delivery)

Anschließend kommt die „Lieferung“: Sie versuchen, die Malware in Ihr System einzuschleusen. Oft geschieht dies durch Phishing-E-Mails, die so gestaltet sind, dass sie von einem vertrauenswürdigen Absender zu kommen scheinen. Sie, als Unternehmer, sollten daher besonders auf die Schulung Ihrer Mitarbeiter setzen, damit diese betrügerische E-Mails erkennen und richtig darauf reagieren können.

4. Ausnutzen von Schwachstellen (Exploitation)

Nachdem die Malware erfolgreich geliefert wurde, tritt der Angreifer in die Exploitation-Phase ein. In dieser nutzt er Schwachstellen aus, um Zugang zum Netzwerk oder System zu erlangen.

5. Einrichten eines Zugangspunktes im Netzwerk (Installation)

Sobald der Eintrittspunkt gesichert ist, beginnt die Installation-Phase. Hier installieren die Hacker ihre Tools oder Backdoors, um einen dauerhaften Zugang zu behalten. Dies ermöglicht es ihnen, unbemerkt zu bleiben und weitere bösartige Aktivitäten vorzubereiten. Für Unternehmen bedeutet das: Die Sicherheitslücken müssen schnell identifiziert und geschlossen werden, um den Schaden zu minimieren.

6. Aufbau einer dauerhaften Fernsteuerung (Command and Control (C2))

In der Command and Control (C2)-Phase etablieren die Angreifer eine Fernsteuerung über das kompromittierte Netzwerk, um Daten zu sammeln, zusätzliche Malware zu verbreiten oder spezifische Befehle auszuführen.

7.  Durchführen der geplanten Aktionen (Actions on Objectives)

Die letzte Phase, Actions on Objectives, sieht dann die Realisierung der eigentlichen Angriffsziele vor, sei es Datendiebstahl, Systemsabotage oder die Verbreitung von Ransomware. Für Unternehmer ist es entscheidend, die Kommunikation zwischen ihrem Netzwerk und verdächtigen externen Servern zu überwachen und einzuschränken.

Die 7 Phasen der Cyber-Kill-Chain. Bild: ©Yekta IT

Wie kann ich mein Unternehmen vor Cyberangriffen schützen?

1. Grundlegende technologische Maßnahmen wie aktuelle Antivirensoftware, 2-Faktor-Authentifizierung, Firewalls sowie eine Backup-Strategie gehören zur absoluten Basis-Ausstattung jedes modernen Unternehmens.
2. Mitarbeitende sind die erste und wichtigste Verteidigungslinie. Daher sollten sie auch mit entsprechenden Security Awareness Schulungen für diese Aufgabe vorbereitet werden.
3. Je weniger Systeme aus dem öffentlichen Internet erreichbar sind, umso besser. Werden Systeme nur intern genutzt, sollten die auch nur aus dem eigenen Netzwerk erreichbar sein. Mehr erreichbare Systeme bedeutet auch mehr Angriffsfläche.
4. Penetrationstests sind der beste Weg, um herauszufinden, ob das eigene Unternehmen gehackt werden kann. Hierbei werden IT-Sicherheitsforscher damit beauftragt, das Unternehmen mittels eines simulierten Cyberangriffs zu hacken. Damit lassen sich Schwachstellen in der IT-Infrastruktur sehr gut herausfinden.
5. Mit Security Monitoring überwachen Sie Ihre IT-Infrastruktur in Echtzeit. Schnelles Erkennen und Reagieren auf Anomalien kann entscheidend sein, da Cyberangriffe im Durchschnitt erst nach 100 Tagen entdeckt werden. Das ist eine Menge Zeit, um Schaden anzurichten.

Cybersicherheit ist erreichbar

Die Landschaft der Cybersicherheit mag komplex und die Bedrohungen vielfältig sein, doch können Unternehmen mit einem fairen Aufwand und Kosten eine hohe Cybersicherheit erreichen. Dies beginnt mit der Anerkennung der Realität, dass Cyberangriffe Teil unserer digitalen Existenz sind und nicht mehr weggehen werden. Die meisten Unternehmen haben gelernt, sehr gut mit realen Bedrohungen umzugehen. Sie können auch lernen mit Cyberbedrohungen hervorragend umzugehen. Eine starke Cybersicherheitskultur, die auf kontinuierlicher Weiterbildung, Nutzung von modernen Technologien und dem Engagement aller Mitarbeitenden beruht, ist der Schlüssel. Denn Vorbeugung ist viel einfacher und günstiger als Heilung.

Foto: istockphoto.com/gorodenkoff

Quellen:

• Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, Ph.D.: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains. Lockheed Martin Corporation, 2011