Das Auskundschaften leicht zugänglicher Systeme und das Öffnen der virtuellen Eingangstür übernimmt der Computer-Bot. Gleich im Anschluss kommt der Cyberkriminelle höchstpersönlich zum Einsatz. Er leistet die Feinarbeit, um größtmöglichen Profit durch die Infiltrierung eines Unternehmensnetzwerkes zu erzielen. Eine erfolgsversprechende Strategie, die von den Sophos Labs in der Hackerszene immer häufiger angetroffen wird und unter dem Namen Blended Attacks firmiert.

Sobald die Bots potenzielle Ziele identifiziert haben, nutzen Cyberkriminelle ihr Wissen, um Opfer auf der Grundlage von sensiblen Daten, des geistigen Eigentums, des Potenzials für hohe Lösegeldzahlungen oder des Zugriffs auf andere Server und Netzwerke auszuwählen. Die letzten Schritte laufen im Anschluss manuell gesteuert ab: der Einbruch und das Erkunden des Systems im Stealth-Modus, um den Angriff möglichst effektiv abzuschließen. Schlussendlich können Angreifer so wichtige Daten stehlen und unbemerkt entkommen, Backups deaktivieren, Server verschlüsseln oder das Opfer als Startrampe für weitere Angriffe auf andere Unternehmen nutzen.

Der Blended-Attacks-Boom kommt laut Sophos nicht von ungefähr. Im Rahmen einer weltweiten Umfrage Anfang 2019 hat das Marktforschungsunternehmen Vanson Bourne herausgefunden, dass Cyberattacken im Schnitt erst nach 13 Stunden entdeckt wurden – in Deutschland durchschnittlich nach elf Stunden. Mehr als genug Zeit also für die Kriminellen, sich in aller Ruhe im System umzuschauen und Schaden anzurichten. Oftmals steht allerdings schon die reine Information über einen potenziellen virtuellen Einbruch gar nicht zur Verfügung.

Dieses fehlende Monitoring in Unternehmensnetzwerken spielt den Hackern ebenfalls in die Karten. 17 Prozent weltweit wissen laut Umfrage nicht, wie lange die Gefahr bereits im Unternehmen war, in Deutschland sind es 16 Prozent. Last, but not least können 20 Prozent aller international befragten IT-Manager, die im vergangenen Jahr einer oder mehrerer Cyberattacken ausgesetzt waren, nicht genau bestimmen, wie die Angreifer in die Umgebung gelangt sind. In Deutschland bestätigten dies 21 Prozent der Befragten.

„Blended Attacks waren lange Zeit eine Spielart nationalstaatlichen Angreifer. Heute ist diese Angriffsform zur alltäglichen Praxis geworden, schlicht weil sie profitabel ist. Einen wesentlichen Unterschied gibt es allerdings. Nationalstaatliche Angreifer neigen dazu, innerhalb des Netzwerks zu bleiben. Der gewöhnliche Cyberkriminelle hingegen sucht nach Möglichkeiten, schnelles Geld zu machen“, sagt Michael Veit, Security-Experte bei Sophos. „Die meiste Malware ist inzwischen automatisiert, sodass es für Angreifer einfach ist, Unternehmen mit schwachen Sicherheitsvorkehrungen zu finden und dann Hand-to-Keyboard-Hacking-Techniken einzusetzen, um so viel Schaden wie möglich zu verursachen.“ Ein probates Gegenmittel gegen Blended Attacks biete die EDR-Technik. Sie erkenne potenzielle Bedrohungen dank Machine Learning automatisch und priorisiert sie. Dies erspare eine Menge Arbeit und wirke der chronischen Zeitnot in IT-Abteilungen konsequent entgegen, so der Sophos-Mann.

Weitere Informationen gibt es auf www.sophos.com.

Dr. Jörg Schröper ist Chefredakteur der LANline.