Bedrohungsakteure wenden unterschiedliche Techniken an, um in das Netzwerk eines Unternehmens einzudringen und Cyberangriffe durchzuführen, bei denen Daten gestohlen und weitere kriminelle Handlungen begangen werden. Um sich wirksam vor solchen Angriffen zu schützen, müssen Unternehmen verstehen, auf welche Weise sie kompromittiert werden könnten, beginnend mit den Angriffsvektoren. So können Unternehmen ihre Ressourcen gezielt priorisieren und Abwehrmaßnahmen dort implementieren, wo sie den größten Nutzen bringen.
Definition: Was ist ein Angriffsvektor?
Ein Angriffsvektor (auch Bedrohungsvektor) beschreibt den konkreten Zugangspunkt oder die Methode, über die Cyberkriminelle Angriffe initiieren und operative Kontrolle erlangen. Dabei werden gezielt Schwachstellen ausgenutzt, um in Unternehmensnetzwerke einzudringen, sich lateral zu bewegen und geschäftskritische Ziele zu erreichen – etwa die Verbreitung von Ransomware oder die Exfiltration sensibler Daten.
Angriffsvektor vs. Angriffsfläche
Die Angriffsfläche umfasst sämtliche IT-Systeme und Komponenten, die von Bedrohungsakteuren über Angriffsvektoren ausgenutzt werden können. Sie beinhaltet alle potenziellen Einstiegspunkte und Zugriffswege – sowohl auf menschlicher Ebene (z. B. Mitarbeitende und Partner) als auch technologischer Ebene (z. B. Geräte und Anwendungen) –, die Angreifern innerhalb des Unternehmens zur Verfügung stehen.
Wie nutzen Cyberangreifer Angriffsvektoren?
Angriffsvektoren ermöglichen Bedrohungsakteuren, ihre Ziele zu erreichen – sei es die Störung von Geschäftsabläufen oder der Diebstahl vertraulicher Informationen mit anschließendem finanziellen Nutzen. Der Angriffsvektor fungiert dabei als Mittel zum Zweck. So müssen Cyberangreifer beispielsweise zunächst eine Hintertür auf einem System etablieren, eine Verbindung zu einem Command-and-Control-Center herstellen und den Computer aus der Ferne steuern, bevor sie sich im Netzwerk bewegen können.
Gängige Angriffsvektoren
In jeder Organisation existieren zahlreiche Angriffsvektoren. Cyberkriminelle prüfen häufig mehrere dieser Vektoren, um die schwächste Stelle zu identifizieren. Zu den gängigsten und effektivsten Angriffsvektoren zählen Malware, Phishing, Schwachstellen sowie schwache oder gestohlene Zugangsdaten. Diese Vektoren bilden oft den Ausgangspunkt für Datenpannen sowie andere Cyberangriffe und werden häufig in Kombination eingesetzt.
Phishing
Phishing ist eine weitverbreitete Methode, mit der Angreifer Zugangsdaten stehlen, Malware verbreiten oder Personen zu schädlichen Handlungen verleiten. Cyberkriminelle wissen, dass Menschen sich leichter täuschen lassen als technische Systeme – daher ist bei den meisten Datenschutzverletzungen ein menschlicher Faktor beteiligt. Phishing ist als Angriffsvektor besonders wirkungsvoll, da es gezielt menschliche Eigenschaften und Emotionen wie Neugier, Unachtsamkeit oder Angst ausnutzt.
Der Begriff Phishing umfasst verschiedene Angriffsmethoden. Am häufigsten erfolgt Phishing per E-Mail, aber auch Telefonanrufe („Vishing“) und SMS („Smishing“) werden eingesetzt. Cyberkriminelle greifen entweder auf Massenangriffe mit generischen Nachrichten zurück, um möglichst viele potenzielle Opfer zu erreichen, oder führen gezielte Attacken wie Spear-Phishing durch, die speziell auf einzelne Personen oder bestimmte Gruppen zugeschnitten sind.
Schadsoftware
Bedrohungsakteure verbreiten Schadsoftware über verschiedene Wege, etwa durch Phishing-E-Mail-Anhänge, kompromittierte Websites oder Wechseldatenträger (z. B. USB-Sticks). Unterschiedliche Schadsoftware-Familien verfolgen verschiedene Ziele: Sie verschlüsseln Dateien und Systeme, um Lösegeld zu erpressen (Ransomware), protokollieren Tastatureingaben (Keylogger), infizieren weitere Systeme (Viren) oder schaffen Hintertüren für den unbemerkten Zugriff (z. B. Trojaner, die sich als legitime Software tarnen).
Schwachstellen
Eine Möglichkeit, wie Schadsoftware Computer, Server oder andere Endpunkte kompromittieren kann, besteht in der Ausnutzung von Schwachstellen, etwa fehlerhaften Programmcode. Diese Schwachstellen werden auch „Vulnerabilities“ genannt. Sie betreffen jedoch nicht ausschließlich die Technologie – auch Menschen und Prozesse können betroffen sein.
Aus technologischer Sicht zählen Fehlkonfigurationen und nicht aktualisierte Software zu den häufigsten Schwachstellen. Während einige Angreifer bislang unbekannte Schwachstellen ohne verfügbare Patches (sogenannte Zero-Day-Exploits) ausnutzen, werden in der Praxis meist bekannte Schwachstellen angegriffen. Es kann Monate oder sogar Jahre dauern, bis Organisationen verfügbare Sicherheitsupdates einspielen – ein Zeitraum, den Cyberkriminelle gezielt ausnutzen.
Schwache oder kompromittierte Zugangsdaten
Zugangsdaten zählen zu den beliebtesten Zielen für Cyberkriminelle. Kompromittierte oder schwache Anmeldedaten werden häufig genutzt, um sich unbefugt Zugang zu Unternehmen zu verschaffen. Solche Zugangsdaten können leicht durch Phishing oder im Darknet erlangt werden. Dieser Angriffsvektor ist besonders effektiv, da er es Angreifern ermöglicht, länger unentdeckt zu bleiben – effektiver als etwa das Überwinden einer Firewall. Schätzungsweise sind bei rund 60 % aller Datenschutzverletzungen Zugangsdaten involviert.
Wie Cyberangreifer Angriffsvektoren ausnutzen
Bedrohungsakteure nutzen Angriffsvektoren in verschiedenen Phasen der sogenannten Kill Chain aus – einer Abfolge von Schritten, die einen Cyberangriff strukturieren. Die Phasen eines Cyberangriffs beginnen mit der Aufklärung (Analyse der Umgebung, Identifikation von Zielen und Taktiken) und enden mit der Erreichung des Hauptziels – im Fall einer Datenschutzverletzung mit der Exfiltration von Daten. Zu den einzelnen Schritten dieses Prozesses zählen:
Zielsystem identifizieren
In der Aufklärungsphase legen Cyberangreifer fest, welches System sie kompromittieren wollen – etwa einen E-Mail-Server, eine Webdatenbank oder ein Endgerät. Dabei agieren sie von außen nach innen und führen Maßnahmen wie das Scannen von Systemen auf Schwachstellen durch. So kann beispielsweise automatisierte Software eingesetzt werden, um offene Ports oder falsch konfigurierte Datenbanken zu identifizieren.
Verwendung von Werkzeugen zur Datenerfassung und Beobachtung
In dieser Phase nutzen Angreifer Scan-Tools, Schadsoftware, Phishing und weitere Methoden, um möglichst viele Informationen über die Zielorganisation und deren Systeme zu sammeln. Ziel ist es, Schwachstellen zu identifizieren, um die effektivsten Angriffsmöglichkeiten zu bestimmen. So suchen Angreifer beispielsweise gezielt nach Rechnern mit veralteten Betriebssystemen oder nach Anwendungen mit bekannten Sicherheitslücken.
Einsatz von Werkzeugen zur Ausnutzung von Angriffsvektoren
Nachdem Angreifer Schwachstellen in den Zielsystemen identifiziert haben, nutzen sie entsprechende Angriffsvektoren, um sich Zugang zu verschaffen. Dafür greifen sie entweder auf Standard-Malware und andere verfügbare Tools zurück oder entwickeln eigene Werkzeuge, etwa selbst erstellte Skripte.
Installation von Schadsoftware
Nachdem sich die Cyberangreifer initialen Zugang verschafft haben, setzen sie Schadsoftware und nutzen weitere Techniken ein, um ihre Position im Netzwerk zu stabilisieren. Dazu gehört beispielsweise die Ausweitung von Berechtigungen auf Benutzerkonten oder Systeme mit Administratorrechten. Zudem wird Malware eingesetzt, um Spuren zu verwischen – etwa durch das Löschen von Protokolldateien – und um eine Verbindung zu externen Standorten herzustellen, über die Daten exfiltriert werden.
Wichtige Daten stehlen
Angreifer kopieren oder übertragen Daten entweder manuell oder mithilfe automatisierter Tools an von ihnen kontrollierte Ziele. Dabei kommen unter anderem Fernzugriffssoftware – häufig identisch mit der beim initialen Zugriff verwendeten – sowie DNS-Tunneling zum Einsatz, bei dem DNS-Protokolle gezielt genutzt werden, um Sicherheitsmechanismen zu umgehen. Ziel ist es, den Datenabfluss möglichst lange unentdeckt durchzuführen.
Cyberangriffe im Zusammenhang mit Angriffsvektoren
DDoS-Angriffe (Distributed Denial of Service)
Bei einem DDoS-Angriff zielen Angreifer auf die Infrastruktur und nicht auf Daten, mit dem Ziel, den Betrieb oder die angebotenen Dienste zu stören. Dazu wird ein Server mit Anfragen oder Datenverkehr aus zahlreichen entfernten Standorten überlastet, was zu erheblichen Engpässen oder Ausfällen führt. In der Folge können autorisierte Systeme und Benutzer nicht mehr auf die betroffenen Dienste zugreifen.
Botnet-Angriffe
Ein Botnet besteht aus einem großen Netzwerk von Computern und anderen Geräten, die durch Malware infiziert und von Angreifern ferngesteuert werden. Botnets werden unter anderem eingesetzt, um DDoS-Angriffe durchzuführen, Phishing-E-Mails zu versenden oder Systeme mittels Brute-Force-Angriffen zu kompromittieren.
Diebstahl von Kundendaten
Eine häufige Angriffsform zielt auf Datenbanken, Server und andere Systeme ab, die große Mengen wertvoller Informationen wie Kundendaten speichern. Cyberkriminelle, die es auf Datendiebstahl abgesehen haben, machen personenbezogene Daten (PII) meist zu Geld, indem sie diese im Darknet verkaufen, für Identitätsdiebstahl und Finanzbetrug nutzen oder die Daten als Druckmittel für Lösegeldforderungen einsetzen.
Bedrohungsakteure, die Angriffsvektoren ausnutzen
Sowohl interne als auch externe Akteure können Angriffsvektoren nutzen, wobei böswillige Insider-Aktivitäten seltener auftreten als Angriffe von außerhalb des Unternehmens.
Böswillige Insider
Böswillige Insider können unzufriedene Mitarbeitende oder ehemalige Partner sein, deren Systemzugriff nicht entzogen wurde. Beispielsweise könnten sie als Vergeltung Schadsoftware einsetzen, um Systeme lahmzulegen, oder sich bei Phishing-Angriffen als andere Mitarbeitende ausgeben.
"Hacktivisten"
Diese Akteure verfolgen andere Ziele als finanzielle Bereicherung. In der Regel möchten sie auf ein bestimmtes Anliegen aufmerksam machen oder ein Statement setzen.
Wettbewerber
Wettbewerber haben es häufig auf geistiges Eigentum wie Patente oder proprietäre Forschung abgesehen, um wertvolle Einblicke in die Strategien ihrer Mitbewerber zu gewinnen. Angreifer, die sich auf Wirtschaftsspionage spezialisiert haben, nutzen dabei dieselben Taktiken wie Akteure, die Daten stehlen oder Störungen verursachen möchten.
Cyberkriminelle Gruppen
Der Großteil der Cyberangriffe wird von organisierten, finanzell motivierten kriminellen Gruppen durchgeführt. Diese Gruppen sind Teil einer florierenden Schattenwirtschaft, die nach ähnlichen Prinzipien wie die reguläre Geschäftswelt funktioniert: Cyberkriminelle spezialisieren sich auf unterschiedliche Bereiche und handeln Dienstleistungen sowie Produkte über das Darknet.
Staatlich unterstützte Akteure
Hochentwickelte, von Staaten unterstützte Gruppen sind häufig für einige der schwerwiegendsten und am weitesten verbreiteten Cyberangriffe verantwortlich. Selbst wenn diese Gruppen gezielt kritische Infrastrukturanbieter ins Visier nehmen, geraten oftmals auch zahlreiche andere Unternehmen in den Fokus solcher Angriffe.
Arbeiten Sie mit SailPoint zusammen
SailPoint unterstützt Unternehmen, indem ausschließlich autorisierten internen und externen Nutzern der Zugriff auf Daten und Systeme ermöglicht wird. Erfahren Sie mehr über unseren Ansatz zur Identity Security und wie Ihr Unternehmen davon profitieren kann.
