Praxisbericht: Wie Angriffe auf KMU ablaufen
1. Erste Infektion und Zugangsverschaffung
Der initiale Zugang zu KMU-Netzwerken erfolgt weiterhin häufig über Phishing-E-Mails mit schädlichen Links oder Anhängen. Moderne Phishing-E-Mails imitieren nicht nur perfekt das Erscheinungsbild vertrauenswürdiger Unternehmen oder Geschäftspartner, sondern sind auch inhaltlich so überzeugend gestaltet, dass selbst erfahrene Mitarbeiter getäuscht werden können. Besonders effektiv sind dabei kontextbezogene Angriffe, die aktuelle Geschäftsvorgänge oder branchenspezifische Ereignisse als Aufhänger nutzen.
Die Ausnutzung unsicherer Remote-Zugänge, insbesondere RDP (Remote Desktop Protocol) und VPN-Dienste mit schwachen Authentifizierungsmechanismen, bleibt ein zentraler Angriffsvektor. Scans nach solchen exponierten Diensten im Internet werden kontinuierlich und automatisiert durchgeführt. Laut aktuellen Statistiken werden neu eingerichtete, ungesicherte Remote-Zugänge im Durchschnitt mitunter nach 25 Minuten erstmals gescannt und auf Schwachstellen geprüft.
2. Verbreitung innerhalb des Netzwerks
Nach erfolgreicher Erstinfektion nutzen Angreifer zunehmend legitime Tools wie Fernwartungstools oder PowerShell-Skripte für die sogenannte laterale Bewegung im Netzwerk. Der Einsatz solcher legitimen Werkzeuge erschwert die Erkennung durch Sicherheitssysteme erheblich, da diese Aktivitäten kaum von normalen administrativen Tätigkeiten zu unterscheiden sind.
Die Nutzung gestohlener Zugangsdaten für Cloud-Dienste und ERP-Systeme blieb 2024 eine bevorzugte Methode zur Ausweitung der Kompromittierung. Dabei werden nicht nur lokale Netzwerke infiltriert, sondern zunehmend auch die für KMU geschäftskritischen Cloud-Infrastrukturen. Besonders problematisch könnte hierbei die vermutete weit verbreitete Praxis der Passwortwiederverwendung in KMU sein, die davon ausgehen, dass möglicherweise mehr als 60% der untersuchten KMU identische oder sehr ähnliche Passwörter für verschiedene Dienste und Systeme verwenden. Dies würde Angreifer nicht nur die Attacken über Internet, sondern auch die Übernahme interner Systeme erheblich erleichtern.
3. Exfiltration und Verschlüsselung von Daten
Im Jahr 2024 hat sich die bereits etablierte Taktik des vorgelagerten Datendiebstahls vor der eigentlichen Ransomware-Attacke als Standardvorgehensweise bestätigt. Laut Studien verbleiben Angreifer durchschnittlich bis zu 12 Tage unentdeckt in kompromittierten Netzwerken, bevor sie mit der Verschlüsselung beginnen. Diese Zeit wird genutzt, um systematisch wertvolle Informationen, einschließlich personenbezogener Daten, zu identifizieren und auf Server unter Kontrolle der Angreifer zu übertragen.
Darknet-Marktplätze fungieren mittlerweile wohl als zentrale Handelsplattformen auch für gestohlene Unternehmensdaten. Besonders gefragt seien in 2024 dabei auch Kundendaten mit persönlichen und finanziellen Informationen, geistiges Eigentum wie Konstruktionspläne oder Softwarecode sowie Geschäftsgeheimnisse wie Preiskalkulationen oder Übernahmestrategien.
Die Veröffentlichung von aus Unternehmensnetzwerken gestohlenen Daten auf speziellen Leak-Seiten bleibt auch in 2024 eine wirksame Erpressungsmethode. Die Anzahl solcher LeakSeiten hat 2024 zugenommen, was die wachsende Professionalisierung dieser Erpressungsmethode und deren agile Anpassung an die zunehmend international ausgerichtete Strafverfolgung unterstreicht.
Quelle: Bayerisches Landesamt für Datenschutzaufsicht
Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks