janvier 18, 2023 —

Peter Mackenzie, Direktor Incident Response bei Sophos, ist so etwas wie der Indiana Jones der Cyberlandschaft: Unermüdlich scannt er mit seinem Team Computersysteme auf der Suche nach Auffälligkeiten, die Hinweise auf eine Cyberbedrohung geben. In den meisten Fällen rufen Geschädigte die Experten zu sich, weil sie Opfer zum Beispiel einer Ransomware-Attacke wurden oder noch mittendrin sind. Die Crux: wenn ein derartiger Erpresser-Vorfall die Rechner lahmlegt, ist das nicht der Anfang eines Cyberangriffs, sondern das aggressive Finale. „Ich beschreibe Ransomware oft als Quittung, die die Kriminellen zum Schluss dalassen. Viele der Opfer, die wir befragen, wann was passiert ist, geben an, dass die Verschlüsselung um ein Uhr nachts startete und sie daraufhin Alarme erhielten. Wenn wir dann die Systeme untersuchen, finden wir oft heraus, dass die Betrüger bereits seit zwei Wochen im Netzwerk sind und ihre Vorbereitungen getroffen haben“, so Peter Mackenzie.

Cybercrime ist längst professionalisiert

Wer jetzt denkt, dass eine Person oder ein Grüppchen Tag und Nacht auf die Tastatur hackt, die verschlüsselten Daten fein aufbewahrt und d’accord zur Ganovenehre nach erpresster Zahlung zurückgibt, um sich mit der erbeuteten Kohle ein schönes Leben an der Copacabana zu machen, hat zu viele Filme der 80er Jahre gesehen. In Wirklichkeit sind Cyberangriffe längst professionalisiert. Es gibt für jeden Bereich einer Attacke spezialisierte Anbieter, die von „Wir bringen Sie in jedes Netzwerk“ (hier gibt es bereits die Profession des Initial Access Brokers….), über „Wir kaufen gestohlene Daten“ bis zu „Wir übernehmen die Erpressung“ reichen. Expertenwissen ist nicht nötig, und auch wer den Zugang zum Dark Web scheut, wird via Google und How-To-Video bei Youtube zum Cybercrook-Lehrling.

Zuviel Enthusiasmus kann dabei auch schiefgehen, wie der kürzlich beschriebene Fall multipler Angreifer belegt, die als konkurrierende Ransomware-Gruppen das zufällig gemeinsame Opfer in einer Art Schichtwechsel attackierten und sich dabei gegenseitig sabotierten.

Schludrigkeit bei der Gerätepflege wird zur Achillesverse

Das Incident Response Team stoppt nicht nur die Attacke, sondern analysiert auch die Prozesse in den Systemen, was die Cyberganoven getan haben und wozu. Auch ob sie sich Hintertüren für ein späteres Zurückkehren eingebaut haben.

Für die Betrüger ist nach Eintritt in das Netzwerk nach Angaben von Mackenzie ein Aspekt immens wichtig: wozu habe ich Zugang. Dazu scannen sie das Netzwerk, gar nicht mal konkret nach etwas Bestimmtem, sondern eher wie ein Dieb im Büroflur, der jeden Türknauf drückt, irgendwann öffnet sich eine Tür.

Die Möglichkeiten für clevere Betrüger sind heutzutage immens. Wenn sich also ein verdächtiger Impuls auf einem System befindet, Sicherheits-Software diese erkennt und eliminiert, heißt das noch lange nicht, dass das Problem damit gelöst ist. Zumeist ist ein schludriger Umgang mit Aktualisierungen, Patches und Ausstattung jedes einzelnen Geräts der kleine Beginn einer großen Katastrophe.

Moderne Cyberabwehr nur mit aktueller Software und menschlichen Expertise

Peter Mackenzie rät nach all seiner Erfahrung im täglichen Umgang mit Cybergefahren in großen und kleinen Betrieben zur Prävention. Folgende Fragen helfen, die Schwachstellen im Betrieb ausfindig zu machen und Vorkehrungen (Tools, Experten, Services etc.) dazu zu treffen. Und zwar am besten sofort, um im Ernstfall rasch reagieren zu können.

  1. Was passiert, wenn wir eine Ransomware-Attacke haben?
  2. Was geschieht, wenn unsere Backups gelöscht werden?
  3. Was passiert, wenn uns jemand mitteilt, wir hätten einen Angreifer in unserem Netzwerk?

Sicherheit ist ein umfassender und zeitaufwändiger Prozess, der kontinuierlich der Pflege und Korrektur bedarf. Software, die initial Auffälligkeiten erkennt und MDR (Managed Detection and Response)-Experten, die rund um die Uhr Angriffe identifizieren und stoppen sowie den Schaden für die Systeme begrenzen sind essenzielle Grundlage einer modernen Prävention und Abwehr von Cyberangriffen.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées pour surmonter les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversales de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.