# Hacking im Kontext von Computersystemen – Techniken, Risiken, Schutzmassnahmen Von Markus und Markus2 Zürich, 2025-08-20 --- ## Begriffsdefinition und Abgrenzung Hacking bezeichnet im IT-Kontext das Ausnutzen von Schwachstellen in Computersystemen oder -netzwerken, um sich unbefugten Zugriff zu verschaffen oder Kontrolle über digitale Ressourcen zu erlangen [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Häufig wird Hacking mit Cyberangriffen und Schadaktivitäten gleichgesetzt, wobei „Hacker“ streng genommen nur die Person bezeichnet, die mit hohem technischem Know-how Barrieren überwindet – dies kann sowohl zu böswilligen Zwecken (Cyberkriminalität) als auch zu ethischen Zwecken (z.B. White-Hat-Hacking zur Sicherheitsüberprüfung) geschehen [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Ein Hacker im negativen Sinne wird oft als Angreifer bezeichnet, der Sicherheitslücken ausnutzt, um Daten zu stehlen, Systeme zu sabotieren oder finanziellen Gewinn zu erzielen [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Hacking grenzt sich insofern von reinen Social-Engineering-Methoden ab, als dass es primär technische Angriffspfade nutzt – beim Social Engineering steht hingegen die Manipulation des Menschen (durch Phishing, Vortäuschen falscher Identitäten etc.) im Vordergrund. Dennoch können erfolgreiche Cyberangriffe beide Ansätze kombinieren. Ebenfalls vom hier betrachteten Thema ausgenommen sind KI-bezogene Angriffe, also Attacken, die auf die Beeinflussung oder Ausnutzung von Künstlicher Intelligenz zielen – in dieser Recherche konzentrieren wir uns auf „klassische“ technisch orientierte Angriffe auf IT-Systeme. Kurz zur Entwicklungsgeschichte: In den Anfangstagen der Informatik galt „Hacken“ noch als kreatives Tüfteln. Der Begriff Hacker wurde in den 1960er-Jahren von Tech-Enthusiasten geprägt, die Computersysteme verbessern oder deren Grenzen austesten wollten. In den 1970ern kamen die ersten Phone Phreaker hinzu, die Schwachstellen im Telefonsystem ausnutzten (z.B. John Drapers berüchtigte 2600-Hz-Trillerpfeife, mit der sich kostenlose Ferngespräche schalten liessen). Mit der Verbreitung von Personal-Computern in den 1980er-Jahren nahm auch das kriminelle Hacking zu – erste Computerviren tauchten auf, Softwarepiraterie und Malware entstanden als neue Phänomene. Ein Meilenstein war der Morris-Wurm (1988), der grosse Teile des frühen Internets lahmlegte und als einer der ersten Denial-of-Service-Angriffe gilt [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). In den 1990er- und 2000er-Jahren professionalisierte sich das Hacking zunehmend: Organisierte Kriminelle und staatliche Akteure entdeckten Cyberangriffe für Spionage, Sabotage und Betrug. Die frühe Hacker-Subkultur differenzierte sich zudem in Black-Hat-Hacker (böswillige Angreifer), White-Hats (ethische Hacker) und Gray-Hats, die zwischen legalem und illegalem Hacking balancieren [fortinet.com](https://www.fortinet.com/de/resources/cyberglossary/what-is-hacking). Seit der Öffnung des Internets und besonders in den 2010er- und 2020er-Jahren hat sich die Bedrohungslandschaft weiter ausgedehnt: Cybercrime ist global vernetzt, neue Angriffstechniken tauchen laufend auf, und nahezu jedes digitale Gerät – vom Smartphone über Cloud-Server bis zur Industrieanlage – kann Ziel von Hackerangriffen werden [fortinet.com](https://www.fortinet.com/de/resources/cyberglossary/what-is-hacking). Trotz der enormen Vielfalt lassen sich die meisten technischen Angriffe grob kategorisieren. Im Folgenden werden wir systematisch die wichtigsten Angriffstypen vorstellen – von klassischen Netzwerkangriffen bis zu modernen Advanced Persistent Threats – und jeweils Funktionsweise, Risiken, konkrete Vorfälle sowie Schutzmassnahmen beleuchten. ## Systematische Kategorisierung und Beschreibung relevanter Angriffsmethoden Im Mittelpunkt dieses Kapitels stehen die verschiedenen Arten von Cyberangriffen auf technische Systeme. Wir gliedern sie thematisch nach ihrem Hauptziel oder -vektor: - Netzwerkspezifische Angriffe – Angriffe, die auf Netzwerkverkehr oder -protokolle abzielen (z. B. Abhören oder Stören von Verbindungen). - Betriebssystem-/System-Angriffe – Angriffe, die Schwachstellen in Betriebssystemen oder Systemdiensten ausnutzen. - Exploits – Ausnutzung von Softwarefehlern (z.B. Buffer Overflows, Privilege Escalation, Zero-Days). - Malware – Schadprogramme unterschiedlichster Art (Viren, Würmer, Trojaner etc.), inklusive moderner Varianten wie Ransomware und Fileless Malware. - Angriffe auf Authentifizierung & Identitäten – Methoden, um Zugangsdaten zu stehlen oder zu knacken (Brute-Force, Credential Stuffing, Pass-the-Hash etc.). - Webanwendungsangriffe – Angriffe auf Web-Apps und Websites (SQL Injection, XSS, CSRF, RCE, Directory Traversal, u.a.). - Angriffe auf Infrastruktur – Attacken auf spezielle Umgebungen: IoT-Geräte, OT/SCADA-Systeme, Firmware und Supply-Chain-Angriffe. - Physische Angriffe – Angriffe, die physischen Zugang oder manipulierte Hardware nutzen (Evil Maid, manipulierte USB-Geräte usw.). - Neue/fortgeschrittene Techniken – Moderne ausgefeilte Angriffsarten (Living off the Land, Fileless Attacks, Side-Channel Attacks etc.). Für jede Kategorie erläutern wir exemplarische Methoden detailliert, inklusive typischer Vorgehensweise, Voraussetzungen, bekannter Vorfälle und Trends, Zielscheiben (wer oder was besonders gefährdet ist), sowie Hinweise zur Risikoabschätzung. ## Netzwerkspezifische Angriffe Netzwerkangriffe zielen auf die Datenübertragung oder Netzwerk-Infrastruktur ab. Angreifer können versuchen, Daten mitzulesen, zu manipulieren oder die Verfügbarkeit von Netzwerken zu stören. Klassische Vertreter sind Man-in-the-Middle, Sniffing, Spoofing und DoS/DDoS-Angriffe. Diese Methoden greifen oft auf tiefem Protokoll-Level an und erfordern teilweise direkten Zugang zum gleichen Netzwerk oder zur Kommunikation des Opfers. - **Man-in-the-Middle (MitM):** Bei einem MitM-Angriff klinkt sich der Angreifer quasi unsichtbar zwischen zwei Kommunikationspartner ein. Er leitet den Datenverkehr durch sein eigenes System, um ihn abzuhören oder zu verändern [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Beispielsweise könnte ein MitM-Angreifer in einem öffentlichen WLAN den Datenverkehr anderer Nutzer abfangen – etwa indem er sich durch ARP-Spoofing als WLAN-Router ausgibt – und so Login-Daten oder sensible Informationen mitschneiden. Voraussetzungen sind meist, dass der Angreifer im gleichen Netzwerksegment ist oder den Datenfluss umlenken kann. Typische Ziele sind ungesicherte Verbindungen (ohne Verschlüsselung) oder schlecht konfigurierte Wi-Fi-Hotspots. Prominente Vorfälle: Immer wieder wird von MitM-Angriffen auf Hotel- oder Flughafen-WLANs berichtet, wo Reisende ausgespäht wurden. Auch HTTP-Verbindungen (ohne TLS) in Unternehmensnetzen wurden bereits systematisch von Insidern mitgelesen. Risiko: Wenn keine Ende-zu-Ende-Verschlüsselung vorhanden ist, gilt MitM als gravierende Bedrohung für Vertraulichkeit. Das Schadenspotenzial ist hoch (Diebstahl von Passwörtern, Session-Tokens, vertraulichen Daten), die Eintrittswahrscheinlichkeit ist in offenen Netzen ebenfalls hoch. Angriffsaufwand: Mit Tools wie Packet Sniffern oder einfachen ARP-Spoofing-Programmen ist der technische Aufwand moderat – viel Wissen braucht es nicht, um z.B. in einem unverschlüsselten Netzwerk E-Mails oder Webseiteninhalte abzufangen. - **Sniffing:** Unter Sniffing versteht man das Passiv-Mithören von Netzwerkverkehr. Ein Angreifer nutzt ein spezielles Programm (Packet Sniffer wie Wireshark, tcpdump etc.), um den Datenstrom in einem lokalen Netzwerk aufzuzeichnen. Im Gegensatz zum MitM verändert er keine Daten, sondern lauscht nur mit. Voraussetzungen: Sniffing ist besonders einfach in Hub-basierten Netzen oder offenen WLANs, wo der gesamte Traffic an alle Knoten geleitet wird. In modernen geswitchten Netzwerken muss der Angreifer entweder den Switch überlisten (z.B. MAC-Flooding) oder sich Admin-Zugang verschaffen. Typische Ziele sind Login-Kennwörter, Cookies oder unverschlüsselte Inhalte, die im Klartext übertragen werden. Beispiel: In frühen ungesicherten Unternehmensnetzen oder öffentlichen Netzwerken konnte man durch Sniffing z.B. E-Mail-Passwörter mitlesen, wenn diese per unverschlüsseltem POP3 übertragen wurden. Trends: Heutzutage wird viel Traffic durch HTTPS und andere Verschlüsselung geschützt, was Sniffing die Ausbeute erschwert – der Angreifer sieht meist nur noch wirre Daten. Allerdings sind noch immer Protokolle wie DNS oder IoT-Daten oft unverschlüsselt, sodass ein Lauschangriff dort Informationen offenbaren kann. Risiko: Sniffing kann sehr schwer erkennbar sein (passiver Angriff) und gefährdet vor allem die Vertraulichkeit. In gut verschlüsselten Umgebungen ist das Schadenspotenzial begrenzt, aber in schlecht gesicherten Netzen ist es hoch (Angreifer kann z.B. Session-IDs stehlen). Der Angriffsaufwand ist gering – frei verfügbare Tools erledigen die technische Arbeit. - **Spoofing:** „Spoofing“ bedeutet Vortäuschen einer falschen Identität im Netzwerkverkehr. Angreifer fälschen beispielsweise IP-Adressen, MAC-Adressen oder DNS-Antworten, um Empfänger zu täuschen. Spoofing tritt oft in Kombination mit anderen Angriffen auf, etwa um einen MitM-Angriff einzuleiten oder Phishing-Mails echter wirken zu lassen. Formen sind u.a. IP-Spoofing (Pakete mit gefälschter Absender-IP versenden), DNS-Spoofing (Manipulation von Namensauflösungen, um Nutzer auf falsche Server zu leiten [flashstart.com](https://flashstart.com/de/die-versteckte-web-falle-dns-spoofing-angriff-und-wie-sie-sich-schutzen-konnen/)) oder E-Mail-Spoofing (gefälschte Absenderadressen in E-Mails). Voraussetzungen: Der Angreifer muss in der Lage sein, die jeweiligen Protokollfelder zu manipulieren und (je nach Methode) die Antwortpakete auch zu empfangen. Typische Ziele sind Vertrauensbeziehungen im Netz. Beispiel: Bei DNS-Spoofing schleust der Angreifer falsche Einträge in den DNS-Cache eines Servers, sodass Anfragen für „bank.example.com“ zur IP des Angreifers geleitet werden – der Nutzer merkt nichts und gibt womöglich auf der gefälschten Website seine Daten ein [flashstart.com](https://flashstart.com/de/die-versteckte-web-falle-dns-spoofing-angriff-und-wie-sie-sich-schutzen-konnen/). Reale Vorfälle: Ein bekanntes Beispiel ist der DNS-Cache-Poisoning-Angriff von Dan Kaminsky (2008), der zeigte, wie verwundbar DNS-Server waren – mehrere grosse Provider-DNS wurden manipuliert, bis Patches verteilt wurden. Auch ARP-Spoofing auf LANs ist verbreitet, um sich als Gateway auszugeben (häufiger Vorläufer für MitM). Risiko: Spoofing an sich verursacht oft keinen Schaden direkt, sondern ermöglicht andere Angriffe. Die Erfolgschance hängt stark von Konfigurationen ab – z.B. ist IP-Spoofing in TCP-Verbindungen durch die Sequenznummern erschwert. Schadenspotenzial: Hoch, wenn es gelingt (z.B. alle Nutzer auf eine Betrugsseite umzuleiten). Angriffsaufwand: Variiert – DNS-Spoofing erfordert technisch versiertes Vorgehen, E-Mail-Spoofing hingegen ist trivial (absender@firma.de kann leicht gefälscht werden, wenn keine Authentifizierungsmechanismen wie SPF/DMARC greifen). - **Distributed Denial-of-Service (DDoS):** Diese Angriffe zielen auf die Verfügbarkeit von Diensten ab. Bei einem DDoS-Angriff wird das Opfer-System mit einer Flut an Anfragen oder Datenpaketen überschüttet, sodass es überlastet und legitime Anfragen nicht mehr beantworten kann [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). „Distributed“ bedeutet, dass der Angriff von vielen verteilten Systemen gleichzeitig ausgeht – meist einem Botnetz aus kompromittierten Rechnern oder IoT-Geräten. Typischer Ablauf: Der Angreifer steuert ein grosses Botnetz und befiehlt allen Bots, gleichzeitig Verkehr an die Zieladresse zu senden (z.B. eine Webserver-IP). Varianten sind Volumenbasierte Angriffe (sehr hohe Bandbreite, z.B. UDP-Floods), Protokoll-Angriffe (Ausnutzen von Schwächen in TCP, HTTP etc., z.B. SYN-Flood, HTTP-Requests), oder Anwendungsangriffe (gezielte teure Anfragen, die Serverressourcen binden). Voraussetzungen: Zugang zu genügend Bandbreite und Botressourcen. Daher mieten Kriminelle oft Botnet-Leistungen oder nutzen eigene Malware (wie Mirai) zum Aufbau eines Botnetzes aus IoT-Geräten. Reale Vorfälle: DDoS-Angriffe gehören zu den häufigsten sichtbaren Cyberangriffen. Ein berüchtigtes Ereignis war der Mirai-Botnetz-Angriff 2016 auf den DNS-Provider Dyn, der prominente Websites wie Twitter, Netflix und Reddit zeitweise unerreichbar machte – mit bis zu 1,2 Terabit/s Angriffstraffic [myrasecurity.com](https://www.myrasecurity.com/de/was-ist-ein-ddos-angriff/). Die Angriffsspitzen sind seither weiter gestiegen: 2023/2024 wurden bereits DDoS-Spitzen über 5–7 Terabit/s gemessen [it-boltwise.de](https://www.it-boltwise.de/rekord-ddos-angriff-mit-56-tbps-von-mirai-botnetz-aufgedeckt.html) [blog.cloudflare.com](https://blog.cloudflare.com/defending-the-internet-how-cloudflare-blocked-a-monumental-7-3-tbps-ddos/). Im Oktober 2024 etwa wehrte Cloudflare einen Rekordangriff mit 5,6 Tbps ab, der von über 13.000 gehackten IoT-Geräten (Mirai-Variante) ausging. Risiko- und Bedrohungsmodell: DDoS bedroht v.a. Unternehmen mit Internet-Präsenz – z.B. E-Commerce, Finanzdienste, aber auch kritische Infrastrukturen oder Behörden (politisch motivierte DDoS). Die Schadenswirkung ist hoch, da ein erfolgreicher Angriff zum Ausfall von Online-Diensten führt, was finanziellen Verlust, Imageschäden oder gar Gefährdung (z.B. in Gesundheitssystemen) bedeuten kann. Die Eintrittswahrscheinlichkeit solcher Angriffe ist ebenfalls hoch – laut europäischen Analysen machten DoS-Angriffe 2023 rund 28 % aller Cyberbedrohungen aus (nach Ransomware auf Platz 2) [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). Angriffsaufwand: Durch die „Cybercrime-as-a-Service“-Ökonomie ist DDoS leider mit geringem Aufwand startbar – für wenige Dollar lassen sich Botnetze mieten. Komplexer ist es, DDoS abzuwehren, wenn es erst läuft. | Angriffsmethode | Schadenspotenzial (Impact) | Eintrittswahrscheinlichkeit (Likelihood) | Angriffsaufwand (Skill /Resources) | |-----------------|----------------------------|------------------------------------------|------------------------------------| | MitM / Sniffing | Hoch (Datendiebstahl, Manipulation) | Mittel (in offenen/unsicheren Netzen) | Mittel (Zugang zum Netz + Tools nötig) | | Spoofing | Mittel (häufig Vorbereitungshandlung) | Mittel (abhängig von Ziel & Schutz) | Niedrig bis Mittel (viele Tools, teils trivial) | | DDoS | Hoch (Systemausfall, extremer Stress) | Hoch (häufig, insbesondere Erpressung) | Niedrig (Botnet-Miete möglich) bis Hoch (eigene Bot-Infrastruktur) | (Tabelle 1: Risikoeinschätzung einiger Netzwerkangriffe) Erläuterung: Netzwerkangriffe variieren stark – DDoS hat z.B. enormes Schadpotenzial und tritt häufig auf (siehe Zunahme um +53 % DDoS-Angriffe 2024) [it-boltwise.de](https://www.it-boltwise.de/rekord-ddos-angriff-mit-56-tbps-von-mirai-botnetz-aufgedeckt.html), während Spoofing meist als Teil anderer Angriffe dient. Die Angriffsaufwände sinken dank verfügbarer Tools; selbst komplexe Angriffe wie DDoS können ohne Expertenwissen gebucht werden. ## Angriffe auf Betriebssysteme und Systeme Unter dieser Kategorie betrachten wir Angriffe, die sich gegen das Betriebssystem (OS) selbst oder dessen grundlegende Dienste richten. Betriebssysteme wie Windows, Linux, macOS und mobile OS (Android, iOS) stellen das Fundament der IT-Infrastruktur dar – Kompromittierungen auf dieser Ebene gewähren Angreifern häufig weitreichende Kontrolle. Hier überschneidet sich vieles mit Exploits und Malware, doch wir fokussieren auf systemnahe Angriffe: z.B. Kernel-Exploits, unsichere Konfigurationen oder OS-spezifische Besonderheiten. - **Betriebssystem-Schwachstellen und Exploits:** Jedes OS hat gelegentlich kritische Sicherheitslücken. Beispiele: Windows hatte in den letzten Jahren Schwachstellen wie EternalBlue (SMB-Protokollfehler, genutzt 2017 von WannaCry/NotPetya) oder PrintNightmare (2021, Drucker-Spooler). Linux wies Bugs wie Dirty COW (2016, Privilegieneskalation) auf. macOS blieb lange relativ verschont, hatte aber z.B. 2017 die „Root-Zugang ohne Passwort“-Lücke in den Systemeinstellungen. Angreifer, die solche Lücken (Exploits) ausnutzen, können oft höchste Rechte erlangen – im Kernel-Mode können sie dann beispielsweise Sicherheitsmechanismen deaktivieren, Benutzerkonten übernehmen oder Backdoors installieren. Ziele/Voraussetzungen: Um OS-Exploits auszunutzen, muss der Angreifer entweder Code auf dem System ausführen können (z.B. durch eine vorherige Infektion) oder dem System eine speziell präparierte Eingabe liefern (z.B. bösartiges Paket, Datei, Anfrage). Oft werden OS-Exploits von Malware im zweiten Schritt genutzt: Erst gelangt ein Trojaner mit Benutzerrechten auf den Rechner, dann nutzt er einen lokalen OS-Bug, um Administratorrechte zu erlangen (Privilege Escalation). Risiko: Ungepatchte OS-Schwachstellen gehören zu den gefährlichsten Eintrittspunkten, gerade weil sie auf alle Nutzer dieser Plattform wirken. Unternehmen, die Patches verzögern, sind hier besonders gefährdet. Trend: Betriebssystem-Hersteller reagieren mit schnellen Updates (Patchday) und Sicherheitsfunktionen (z.B. Windows mit ASLR, macOS mit Notarization). Dennoch tauchen immer wieder sog. Zero-Day-Exploits auf, die vor Bekanntwerden aktiv missbraucht werden [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Beispiel: 2020/2021 nutzte die APT-Gruppe Hafnium Zero-Days in Microsoft Exchange (teilweise OS-nah), um weltweit E-Mail-Server zu kompromittieren. - **Rootkits und Kernel-Backdoors:** Angriffe auf OS-Ebene manifestieren sich oft als Rootkits – das sind Tools, die sich tief ins System (z.B. Kernel oder Bootloader) einbetten, um dauerhaft die Kontrolle zu behalten und sich vor Entdeckung zu verbergen. Ein Rootkit auf Windows kann z.B. Kernel-APIs hooken, um sich vor dem Task-Manager zu verstecken, oder Tastatureingaben abfangen. Auf Linux können Rootkits als manipulierte Kernel-Module existieren. Sogar die Firmware (UEFI/BIOS) kann durch sog. Bootkits befallen werden, die vor dem OS-Start laden und somit äusserst persistent sind. Beispiele: Der Sony-BMG-Rootkit-Skandal (2005), bei dem ein CD-Kopierschutz unbemerkt ein Windows-Rootkit installierte, das später auch von Malware genutzt wurde. Moderne Angreifer (z.B. staatliche APTs) entwickeln UEFI-Rootkits wie LoJax (2018), die selbst komplette Neuinstallationen des OS überstehen [security.com](https://www.security.com/blogs/threat-intelligence/triton-malware-ics). Voraussetzungen: Rootkits werden meist nach initialer Kompromittierung nachgeladen. Teilweise erlangen sie via Exploit Kernelrechte und installieren sich dann. Risiko: Extrem hoch, da ein erfolgreiches Kernel-Rootkit dem Angreifer volle Kontrolle gibt und sehr schwer aufzuspüren oder zu entfernen ist. Typischerweise müssen Systeme mit Rootkit-Befall komplett neu aufgesetzt werden (inkl. Firmware-Reset). Aktuelle Trends: Sicherheitssoftware versucht, auf Kernel-Ebene mit Technologien wie Secure Boot, Kernel Integrity Monitoring (z.B. Windows ELAM) Rootkits zu verhindern. Es ist ein Katz-und-Maus-Spiel: 2022 wurden z.B. UEFI-Rootkits von Gruppen wie MosaicRegressor entdeckt, was zeigt, dass hochentwickelte Angreifer weiterhin OS-nahe Angriffe einsetzen. - **Unsichere Konfigurationen und Identitäten (OS-spezifisch):** Auch ohne Exploit können OS durch falsche Einstellungen kompromittiert werden. Beispiele: Administrator-Konten ohne Passwort, weltweit offene Remote-Desktop-Dienste, oder Standard-Kennwörter in IoT-Geräten (Linux-basiert), die nie geändert wurden. Ein bekanntes Problem in Windows-Umgebungen ist die Pass-the-Hash-Angriffstechnik (siehe unten in Authentifizierungsangriffe), bei der Windows-Anmelde-Hashes missbraucht werden, um sich lateral im Netzwerk zu bewegen – das ist zwar kein Exploit im klassischen Sinn, aber ein Design- und Konfigurationsproblem (Hashes werden im Speicher gehalten, man kann sie via Tools wie Mimikatz auslesen). Beispiel: Die Windows-Malware Stuxnet (2010) konnte via Standard-Administratorkonto auf Siemens-Systemen tiefer eindringen. Bei Cloud-Servern passieren viele Vorfälle durch falsch konfigurierte OS-Firewalls oder offen gelassene Admin-Zugänge. Risiko & Massnahmen: Hier zeigt sich die Bedeutung von Hardening: Ein vollgepatchtes System nützt wenig, wenn z.B. „Admin/admin“ als Passwort gesetzt ist. Insbesondere Windows benötigt sorgfältige Einstellung von Richtlinien (z.B. Deaktivieren von LM-Hashes, Durchsetzen starker Passwörter, Abschalten unnötiger Dienste). Linux/Unix-Systeme erfordern Absicherung von SSH (keine Root-Login per Passwort, nur Schlüssel etc.). Das Schadenspotenzial unsicherer Defaults ist hoch, aber vermeidbar durch Umsetzung von Security-Best-Practices (siehe Schutzmassnahmen). Zusammenfassend: Angriffe auf OS-Ebene haben oft sehr schwerwiegende Folgen, da sie tief ins System reichen. Unternehmen jeder Grösse sind gefährdet, wenn Patches fehlen oder Konfigurationen lax sind. Kritische Infrastrukturen mit spezialisierten OS (z.B. veraltete Windows XP-Embedded in Anlagen) sind besonders anfällig. Laut dem BSI-Lagebericht 2023 bleibt mangelhaftes Patch-Management eine der Hauptursachen vieler Vorfälle [mittelstand-heute.com](https://www.mittelstand-heute.com/cybersecurity/artikel/cybersicherheit-in-deutschland-weiterhin-kritisch-2023/24). ## Exploits: Buffer Overflows, Privilege Escalation und Zero-Days Der Begriff Exploit bezeichnet gezielt ausgenutzte Software-Schwachstellen. Diese können in Betriebssystemen liegen (wie oben), aber auch in Anwendungen, Bibliotheken oder Treibern. Hier betrachten wir klassische Exploit-Arten und Mechanismen: - **Buffer Overflow (Pufferüberlauf):** Dies ist ein „Urgestein“ der Sicherheitslücken. Ein Buffer Overflow tritt auf, wenn ein Programm mehr Daten in einen Speicherpuffer schreibt, als dafür vorgesehen sind – überschüssige Daten überschreiben benachbarte Speicherbereiche. Dadurch kann ein Angreifer häufig eigenen Code in den Speicher schmuggeln und zur Ausführung bringen. Klassisches Beispiel: Eine unsichere C-Funktion liest einen Eingabestring in ein Array fester Grösse ein, ohne Längenprüfung – ein zu langer Input überschreibt die Rücksprungadresse auf dem Stack. Der Angreifer kann so den Programmfluss kapern und z.B. einen Shellcode ausführen, der ihm eine Kommandozeile mit Systemrechten öffnet [aware7.com](https://aware7.com/de/blog/overflow-angriff-die-unsichtbare-schwachstelle-die-ihr-system-zerstoeren-koennte/). Buffer Overflows waren Ursache vieler berühmter Würmer (z.B. der Morris-Wurm 1988 nutzte einen Overflow in fingerd) und Exploits (z.B. Blaster-Wurm 2003 nutzte einen Overflow im Windows RPC-Dienst [eunetic.com](https://www.eunetic.com/de/kb/cyber-bedrohungen-und-angriffsvektoren/buffer-overflow)). Voraussetzungen: Der Angreifer muss dem verwundbaren Programm Daten zuspielen können – das kann remote (z.B. via Netzwerkpaket oder Web-Formular) oder lokal (durch Öffnen einer präparierten Datei) geschehen. Ziele & Auswirkungen: Oft führt ein Overflow zu Remote Code Execution (RCE) – der heilige Gral, da man dann beliebigen Code auf dem Zielsystem ausführt. Entsprechend ist das Schadenspotenzial enorm (vollständige Übernahme des Systems). Risikoeinschätzung: Zum Glück sind viele Standard-Overflows heute schwerer auszunutzen, weil moderne Systeme Schutzmechanismen haben: z.B. Stack Canaries (Erkennung von Überschreibungen), ASLR (zufällige Adressbereiche), DEP/NX-Bit (Daten auf dem Stack nicht ausführbar) etc. Exploit-Entwickler umgehen diese jedoch mit Techniken wie ROP (Return-Oriented Programming). Trends: Pufferüberläufe in populären Produkten kommen noch immer vor – z.B. 2021 die „Log4Shell“-Lücke in Log4j war streng genommen kein Buffer Overflow, aber eine ähnliche kritische Kodierungs-Schwachstelle, die RCE erlaubte. Memory-safe Languages (Rust, Go etc.) sollen künftige Software sicherer machen, doch viel Altcode in C/C++ bleibt. Pufferüberläufe bleiben somit relevant. - **Privilege Escalation (Rechteausweitung):** Hierbei handelt es sich um Exploits, die einem Angreifer höhere Benutzerrechte verschaffen, als ihm eigentlich zustehen. Man unterscheidet Vertical Privilege Escalation (von einem niedrig privilegierten Account zu Admin/System-Rechten) und Horizontal Escalation (z.B. Zugang zu anderem Benutzerkonto übernehmen). Viele Buffer Overflows können auch als Privilege Escalation wirken (wenn z.B. ein normaler Nutzer einen SUID-Root-Binary-Overflow ausnutzt). Es gibt aber auch logische Fehler-Exploits: z.B. ein schlecht konfigurierter Dienst, der mit Admin-Rechten läuft, aber Befehle eines Nutzers annimmt (EoP – Elevation of Privilege). Beispiele: Dirty COW (CVE-2016-5195) ist ein berühmter Linux-Kernel-Bug, der es einem lokalen Benutzer erlaubte, Root-Rechte zu erlangen, indem er ein Race Condition im Copy-On-Write-Mechanismus ausnutzte. Unter Windows gab/gibt es zahlreiche Privilege-Escalation-Bugs, etwa im Task Scheduler (CVE-2018-8440) oder im Drucker-Spooler (2021). Voraussetzung: Oft braucht es vorherigen Zugang als einfacher Nutzer – z.B. durch Social Engineering, Account-Kompromittierung oder als Folgeschritt einer Malware-Infektion. Daher tauchen Privilege Escalation-Exploits häufig in Exploit-Ketten auf: Ein Angreifer verschafft sich über eine Web-Server-Lücke Nutzerzugriff auf ein System, dann nutzt er eine EoP-Lücke, um vom erbeuteten Web-User zum System-Administrator zu wechseln. Risiko: Solche Lücken sind hochbrisant, vor allem in Multi-User- oder server-Umgebungen. In Kombination mit anderen Exploits ermöglichen sie erst den vollen Schaden. Trend: Automatisierte Exploit Kits (früher z.B. „Metasploit“ Framework-Module) kombinieren oft RCE+EoP. Das Bedrohungspotenzial bleibt hoch, weil neue EoP-Bugs kontinuierlich entdeckt werden – z.B. allein 2022/23 gab es mehrere 0-days in Windows für Rechteausweitung, die von Angreifern (mutmasslich staatlichen) aktiv genutzt wurden, bevor Patches erschienen. - **Zero-Day-Exploits:** Ein Zero-Day ist eine Schwachstelle, die noch nicht öffentlich bekannt oder gepatcht ist, aber bereits von Angreifern ausgenutzt wird. Der Begriff hebt hervor, dass Verteidiger 0 Tage Vorwarnzeit hatten. Zero-Day-Exploits können jegliche Art von Lücke betreffen (Overflow, Logikfehler, etc.), sie zeichnen sich aber durch ihre Überraschungseffekte aus – konventionelle Abwehr (Signaturen, Patches) greift ins Leere. Vorkommen: Häufig werden Zero-Days in Targeted Attacks verwendet, z.B. von APT-Gruppen gegen spezifische Ziele (Regierungen, Rüstungsunternehmen, Kritische Infrastruktur). Es gibt aber auch Fälle, wo 0-days in der Cybercrime-Szene auftauchen (z.B. 2021 wurde eine Exchange-Server-0-day in grossem Stil von verschiedenen Gruppen missbraucht). Beispiele: Ein besonders folgenreicher Zero-Day war CVE-2010-2568, ein Windows-LNK-Datei-Bug, der von Stuxnet ausgenutzt wurde – seinerzeit unbekannt und erst nach Stuxnets Entdeckung 2010 gepatcht. Weitere Beispiele: die Aurora-Angriffe 2009 (Zero-Day in Internet Explorer, genutzt gegen Google und andere) oder die iPhone iMessage-0days, die NSO Groups Pegasus-Spyware nutzte. Risiko & Trends: Zero-Days sind schwer einschätzbar – quantitativ sind sie selten (die meisten Angriffe nutzen bekannte Schwachstellen), aber qualitativ sehr gefährlich, da es keine direkten Gegenmassnahmen gibt ausser generischer Härtung. In den letzten Jahren ist ein gewisser Zero-Day-Markt entstanden; Firmen wie Zerodium kaufen Exploits, und gleichzeitig bemühen sich Hersteller und Sicherheitsinitiativen, solche Lücken proaktiv zu finden (Bug-Bounty-Programme, Red Teams). 2021 war ein Rekordjahr mit über 66 identifizierten Zero-Day-Exploits in freier Wildbahn [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). Besonders betroffen waren dabei oft mobile Geräte und Messaging-Apps (WhatsApp, iMessage), aber auch Standardsoftware. Für Verteidiger bedeutet dies: Threat Intelligence und Verhaltensbasierte Erkennung sind wichtig, um auch unbekannte Exploits anhand ungewöhnlicher Aktivitäten zu enttarnen. Fazit Exploits: Exploits bleiben eine der Hauptwaffen von Angreifern. Die Bedrohungslage ist hoch – nach dem EU-Agenturbericht ENISA zählen Ransomware und Exploit-basiertes Eindringen zu den Top-Gefahren 2022/23 [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). Wer Systeme nicht aktuell hält, vergrössert sein Risiko dramatisch. In Tabelle 2 sind exemplarisch Exploit-Typen mit Risiken gelistet. | Exploit-Typ | Möglicher Schaden (Beispiele) | Bekanntheitsgrad & Trends | Gegenmassnahmen (Grundprinzip) | |-------------|--------------------------------|---------------------------|--------------------------------| | Buffer Overflow | Remote Code Execution, System-Übernahme. Kann Wurm ermöglichen. | Klassisch; seltener in neuem Code, aber noch vorhanden. Neue Varianten (Use-After-Free etc.). | Sichere Programmierung (Bounds-Checking), Compiler-Schutz (Canaries, ASLR). | | Privilege Escalation | Erhöhung von Rechten: Angreifer wird Admin/System. Zugriff auf alle Dateien, Einstellungen. | Häufig als zweiter Schritt in Angriffen. Viele 0-days jedes Jahr, besonders auf Windows & Linux. | Patches einspielen; Prinzip der minimalen Rechte (Least Privilege), um Schäden zu begrenzen. | | Zero-Day-Exploit | Unvorhergesehenes Eindringen trotz aller Updates. Oft für Industriespionage oder hochrangige Ziele eingesetzt. | Steigend: Über 60 in 2021 beobachtet. Handel mit 0-days blüht (teuer). | Schwer: Netzwerksegmentierung, Anomalieerkennung. "Defense in Depth" damit eine Lücke nicht gleich Totalkompromiss bedeutet. | (Tabelle 2: Ausgewählte Exploit-Typen und Gefahren) ## Malware: Viren, Würmer, Trojaner, Ransomware & mehr Malware (malicious software) ist der Überbegriff für Schadprogramme aller Art. Sie sind das Werkzeug der Angreifer und oft das Vehikel, um die oben beschriebenen Exploits auszuführen oder Daten zu stehlen. Wir unterscheiden Malware grob nach Verbreitungs- und Wirkungsweise: - **Computerviren:** Ein Virus ist Schadcode, der sich in Dateien einhängt und sich durch Benutzeraktionen weiterverbreitet (klassisch durch Kopieren infizierter Dateien). Viren waren besonders in den 1980er/90er-Jahren verbreitet, oft durch Disketten und später E-Mail-Anhänge. Sie benötigen meist einen Wirt (z.B. infizieren EXE-Dateien oder Dokumente mit Makros). Beispiel: Der Virus „Michelangelo“ (1992) infizierte DOS-Systeme und aktivierte am 6. März seine Payload, die Festplatten überschreibt – tausende Rechner wurden an diesem Datum unbrauchbar. Heute sind klassische Viren etwas von Würmern und Trojanern abgelöst worden, aber Makro-Viren (die Office-Makros missbrauchen) existieren nach wie vor. Schadenspotenzial: Variabel – von harmlosen Spassnachrichten bis zur Zerstörung von Daten. Da Viren nicht selbständig über Netzwerke springen (sondern auf Transport durch Nutzer/Datenträger angewiesen sind), ist ihre Ausbreitungsgeschwindigkeit begrenzt. Trends: Makroviren in Office-Dokumenten waren um 2010 herum häufig, doch Microsoft hat Makrosicherheit verbessert (neue Office-Versionen deaktivieren Makros standardmässig). Einige altmodische Viren tauchen in IoT-Umgebungen wieder auf (durch geteilte Firmware-Komponenten), aber insgesamt spielen Viren in der aktuellen Bedrohungslage eine geringere Rolle. - **Würmer:** Ein Wurm ist im Gegensatz zum Virus ein Schadprogramm, das sich selbstständig über Netzwerke verbreitet. Würmer nutzen häufig Exploits oder schwache Passwörter, um, von einem infizierten System aus, direkt weitere Systeme zu befallen – ohne menschliches Zutun (oder höchstens initial, um ihn loszutreten). Bekannte Beispiele: Der Morris-Wurm (1988) legte Teile des frühen Internets lahm; ILOVEYOU (2000) verbreitete sich via E-Mail-Anhang global in wenigen Stunden; Code Red (2001) und SQL Slammer (2003) infizierten zehntausende Server binnen Stunden durch Ausnutzen von Server-Schwachstellen. Würmer verursachen oft Denial-of-Service-Effekte durch ihr massives Scan- und Verbreitungstempo. Moderne Ransomware-Angriffe wie WannaCry (2017) enthielten ebenfalls Wurmkomponenten (nutzen SMB-Exploit EternalBlue zur automatischen Verbreitung im Netzwerk). Risiko: Würmer können in kürzester Zeit globalen Schaden anrichten – NotPetya 2017 (eigentlich ein Wiper, aber als Ransomware getarnt) breitete sich wurmähnlich aus und verursachte >10 Mrd. US$ Schaden weltweit [cyberranges.com](https://cyberranges.com/how-did-notpetya-cost-businesses-over-10-billion-in-damages/). Eintrittswahrscheinlichkeit: Würmer treten sporadisch auf, sind aber oft sehr schwer einzudämmen, wenn sie auftreten. Ein einzelner aggressiver Wurm kann temporär einen grossen Teil des Internets in Mitleidenschaft ziehen. Unternehmen können betroffen sein, auch wenn sie nicht Ziel waren (z.B. Maersk wurde durch NotPetya massiv beeinträchtigt, obwohl Attacke eigentlich Ukraine traf). Schutz: Striktes Patchmanagement (Würmer nutzen meist bekannte Lücken), Netzwerksegmentierung, sodass sich ein Wurm nicht intern frei bewegen kann. - **Trojaner (Trojanische Pferde):** Ein Trojaner tarnt sich als nützliche Software oder ist in eine solche eingebettet, um Nutzer zur Installation zu bewegen. Im Unterschied zu Viren/Würmern verbreitet sich der Trojaner nicht selbst, sondern wird vom Nutzer unwissentlich installiert (z.B. getarnt als kostenfreie Software oder in E-Mail-Anhang „Rechnung.pdf.exe“). Funktionen: Trojaner dienen oft dazu, dem Angreifer einen Backdoor-Zugang zum System zu verschaffen. Einmal aktiv, kann ein Trojaner z.B. Tastatureingaben protokollieren (Keylogger), Dateien exfiltrieren oder weitere Malware nachladen. Beispiele: NetBus und Sub7 waren in den 90ern populäre Trojaner, die Backdoors auf Windows-PCs öffneten. In jüngerer Zeit sind Trojaner häufig Initialzugang für Ransomware-Gangs: Etwa Emotet (bis 2021 aktiv) begann als Banking-Trojaner, entwickelte sich aber zu einer modularen Plattform, über die dann weitere Payloads wie TrickBot oder Ryuk-Ransomware nachgeladen wurden. Ziele: Alle Endnutzer, besonders wenn sie dazu verleitet werden können, ausführbare Dateien zu öffnen (Phishing-E-Mails, illegale Downloads, Piraterie-Software die „gecrackt“ ist und dabei einen Trojaner enthält, etc.). Risiko: Sehr hoch, da Trojaner oft unbemerkt agieren – ein infizierter Rechner kann monatelang Daten abfliessen lassen (z.B. Login-Daten zu Bankkonten, siehe Banking-Trojaner) oder im Botnetz für weitere Aktionen missbraucht werden (Spamversand, DDoS). Schutz: Virenscanner, Vorsicht bei Anhängen/Downloads, Anwendungs-Whitelisting. Dennoch gelingt es Trojanern immer wieder, z.B. als Fake-Apps in App-Stores aufzutauchen oder als E-Mail mit dringendem Betreff. - **Ransomware:** Ransomware ist Erpressungs-Schadsoftware, die Daten oder Systeme des Opfers verschlüsselt und nur gegen Lösegeld (ransom) wieder freigibt [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). In den 2010er-Jahren hat sich Ransomware zu einer der dominierenden Bedrohungen entwickelt. Funktionsweise: Meist gelangen Ransomware-Banden via Phishing (mit angehängtem Trojaner) oder über unsichere Remote-Zugänge ins Netzwerk, erkunden dann die Umgebung (oft Living off the Land-Techniken, siehe später) und starten schliesslich die Ransomware auf vielen Systemen gleichzeitig, um maximale Wirkung zu erzielen. Danach erscheint eine Lösegeldforderung, oft in Kryptowährung. Aktuelle Entwicklungen: Neben Verschlüsselung wird fast immer Datenexfiltration betrieben, um zusätzlich zu drohen, vertrauliche gestohlene Daten zu veröffentlichen („Double Extortion“) [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). Ransomware trifft alle Sektoren: von Krankenhäusern (z.B. Angriff auf Uniklinik Düsseldorf 2020), über Stadtverwaltungen (Angriff auf Verwaltung von Anhalt-Bitterfeld 2021 führte zum Katastrophenfall), bis hin zu grossen Unternehmen (z.B. Colonial Pipeline 2021, wo die grösste Treibstoff-Pipeline der USA heruntergefahren wurde [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know)). Schadenspotenzial: Extrem hoch – Ransomware kann den Geschäftsbetrieb tagelang lahmlegen, löschte in manchen Fällen auch Backups (via gezielte Vorab-Aktion der Täter), und die finanziellen Schäden (Lösegeld + Ausfall + Folgekosten) sind enorm. Im EU-Raum war Ransomware 2022/23 die Bedrohung Nr. 1, mit 34 % Anteil an Vorfällen [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). Die Eintrittswahrscheinlichkeit ist hoch, praktisch jede Organisation könnte Opfer werden – besonders gefährdet sind solche mit schwacher Cyberhygiene und attraktiven Daten (etwa mittelständische Fertigungsbetriebe, die oft zahlungswillig sind, um Produktionsstillstand zu beenden). Fallstudie: Colonial Pipeline (USA) wurde im Mai 2021 durch Ransomware (DarkSide-Gruppe) getroffen – man vermutet Zugang über ein geleaktes VPN-Passwort ohne MFA [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). Aus Vorsicht wurde die Pipeline stillgelegt, was zu Treibstoffengpässen führte; das Unternehmen zahlte ~$4,4 Mio. Lösegeld (ein Teil konnte vom FBI später beschlagnahmt werden) [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). Trend: Ransomware-Gruppen agieren inzwischen wie Unternehmen („Ransomware-as-a-Service“, Affiliates) und verlegen sich zusätzlich auf Erpressung ohne Verschlüsselung (nur Diebstahl sensibler Daten). Best Practices und Abwehr kommen im Schutz-Teil noch zur Sprache. - **Rootkits & Stealth-Malware:** (Bereits oben bei OS-Angriffen erwähnt) – Viele moderne Malware-Varianten versuchen, sich versteckt zu halten, indem sie Rootkit-Techniken einsetzen. Z.B. bestimmte Advanced Persistent Threat (APT)-Malware installiert Kernel-Treiber, die alle Spuren aus Logfiles entfernen oder sich im System als harmlose Prozesse tarnen. Fileless Malware (siehe unten) lebt oft nur im RAM, um einer klassischen Virensignaturerkennung zu entgehen. - **Fileless Malware:** Dabei handelt es sich um Schadcode, der keine eigene installierte Datei nutzt, sondern legitime Systemtools missbraucht und im Speicher operiert. Beispiel: Ein Angreifer lädt per PowerShell einen schädlichen Code direkt ins RAM (z.B. als .NET Assembly), ohne auf Festplatte zu schreiben. Living off the Land-Binaries (LOLBins) wie rundll32.exe, powershell.exe, wmic.exe werden hierzu zweckentfremdet. Vorteil für Angreifer: Viele Virenscanner prüfen vor allem Dateien auf der Platte – wenn nichts gespeichert wird, reduziert das die Erkennung. Beispiele: Emotet nutzte z.B. die PowerShell, um sein Modul zu laden. Cobalt Strike Beacons (Pentest-Tool, oft von Angreifern genutzt) residieren häufig nur im Speicher. Risiko/Trends: Steigende Tendenz, da Endpunkt-Security darauf reagieren musste mit verhaltensbasierter Erkennung. EDR-Systeme (Endpoint Detection & Response) schauen heute genauer auf PowerShell-Befehle im RAM. Dennoch sind fileless Angriffe eine ernstzunehmende Methode, insbesondere in zielgerichteten Attacken, wo der Angreifer manuell vorgeht und Spuren vermeiden will. Zusammenfassung Malware: Malware ist nach wie vor das Hauptmittel der Angreifer, flexibel einsetzbar für verschiedene Zwecke. 2023 beispielsweise blieb laut BSI-Bericht die Bedrohung durch Schadprogramme – insbesondere Ransomware und deren Vorboten – sehr hoch [allgeier-cyris.de](https://www.allgeier-cyris.de/de/blog/bsi-lagebericht2023.html). Jede Organisation sollte davon ausgehen, dass sie irgendwann mit Malware konfrontiert wird, sei es durch eine Phishing-Mail oder einen verseuchten USB-Stick. Wichtig ist das Verständnis: Malware kommt selten aus dem Nichts – oft braucht es eine Initialinfektion (Social Engineering, offene Lücke). Umso mehr muss man sowohl präventiv (Filter, Scanner, Updates) als auch reaktiv (Backup, Incident Response) gewappnet sein. ## Angriffe auf Authentifizierung und Identitäten Ein weiterer zentraler Angriffsvektor ist die digitale Identität: Benutzerkonten, Passwörter, Sitzungstokens. Angreifer versuchen einerseits, Passwörter zu erraten oder zu stehlen, andererseits, Authentifizierungsmechanismen zu umgehen. Hier einige gängige Methoden: - **Brute-Force- und Wörterbuchangriffe:** Dies sind Methoden, Passwörter durch systematisches Ausprobieren zu ermitteln. Brute Force probiert alle möglichen Kombinationen aus (was bei ausreichend langen Passwörtern sehr aufwändig sein kann), während der Wörterbuchangriff eine Liste häufiger Passwörter oder Wörter durchgeht [kaspersky.de](https://www.kaspersky.de/resource-center/definitions/what-is-hacking). Solche Angriffe können automatisiert sehr schnell ablaufen, insbesondere mit modernen GPUs. Typische Ziele: Online-Accounts (z.B. Web-Login, SSH, RDP) mit schwachen Passwörtern. Voraussetzungen: Der Angreifer benötigt Zugang zu einer Anmeldeschnittstelle oder zu Passwort-Hashes. Online-Bruteforce wird oft durch Account-Sperrmechanismen erschwert, daher sammeln Angreifer lieber zuvor Passwort-Hashes (z.B. aus Leaks) und knacken diese offline mit Tools wie Hashcat. Risiko: Für triviale Passwörter (<6 Zeichen, im Wörterbuch) ist die Gefahr hoch – solche werden innerhalb von Sekunden bis Minuten gefunden [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Starke Passwörter (längere Passphrasen, mit Sonderzeichen) sind praktisch nicht bruteforce-bar. Allerdings nutzen Angreifer auch Hybrid-Methoden (Wörterbuch + Mutationen). Laut einer Untersuchung sind schlechte Passwörter noch immer eine Hauptursache für viele Hacks [fortinet.com](https://www.fortinet.com/de/resources/cyberglossary/what-is-hacking). Trends: Das Bewusstsein wächst; viele Dienste erzwingen komplexe Passwörter oder Multi-Faktor-Authentifizierung. Jedoch verlagert sich Brute-Force auf Dienste ohne Lockout, z.B. auf Remote Desktop Dienste (RDP) im Internet – sogenannte Credential-Stuffing-Bots probieren dort millionenfach Kombinationen aus bekannten Leaks durch. - **Credential Stuffing (mit mehrfach verwendeten Zugangsdaten):** Hierbei nutzen Angreifer gestohlene Zugangsdaten aus Datenlecks, um sich bei anderen Diensten einzuloggen [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Da viele Menschen dieselben Passwörter für mehrere Konten verwenden, haben Angreifer mit einer erbeuteten E-Mail/Passwort-Liste eine gute Chance, damit z.B. auch ins E-Mail-Konto, den Cloud-Dienst oder Online-Shop des Nutzers zu gelangen. Vorkommen: Enorme Leaks wie Collection #1 (2019, mit 773 Mio. Accounts) liefern den Rohstoff. Bots probieren automatisch die Kombinationen auf Login-Seiten – bei grossen Websites sieht man teils Millionen Login-Versuche pro Tag, die auf Credential Stuffing zurückgehen. Zielgruppen: Vor allem Endanwender und Kundenkonten, aber auch Mitarbeiter-Logins bei Firmen. Risiko: Sehr hoch, wenn Nutzer Passwörter wiederverwenden. Erfolgreiche Stuffing-Angriffe führten u.a. bei grossen E-Commerce-Plattformen zu Account-Übernahmen (Account Takeover). Abwehr: Datenbanken mit bekannten Leaks (wie „Have I Been Pwned“) helfen Nutzern, ihre kompromittierten Passwörter zu ändern. Unternehmen setzen vermehrt auf Login-Throttling, IP-Blocker und MFA, um diese automatisierten Versuche zu vereiteln. Dennoch bleibt Credential Stuffing extrem verbreitet, da täglich neue Leaks auftauchen und die Bot-Infrastruktur billig ist. - **Phishing und Passwortdiebstahl:** Obwohl primär Social Engineering, sei kurz erwähnt: Viele Account-Übernahmen geschehen, weil Nutzer getäuscht werden, ihre Zugangsdaten einzugeben (z.B. auf gefälschten Login-Seiten) [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Technisch wird dann meist eine echte Sitzung eingeleitet (Session Hijacking) oder die Daten in Untergrundforen verkauft. Auch Malware (Keylogger, Info-Stealer) spielt hier hinein. Z.B. der Trojaner Emotet stahl E-Mail-Zugangsdaten und ermöglichte so weiterführende Angriffe mit echten E-Mail-Konten der Opfer. Risiko: Für praktisch jeden: Phishing zielt sowohl auf Privatpersonen (Banking) als auch auf Mitarbeiter (Unternehmenskonten). Massnahmen: Schulung, Phishing-Filter, MFA (macht abgefischte Passwörter weniger wertvoll). - **Pass-the-Hash (PtH):** Dies ist eine spezielle Technik, insbesondere relevant in Windows-Domänen. Anstatt ein Passwort im Klartext zu stehlen, fängt der Angreifer einen gehashten Passwortwert ab (z.B. NTLM-Hash) und benutzt diesen direkt, um sich zu authentifizieren [crowdstrike.com](https://www.crowdstrike.com/de-de/cybersecurity-101/cyberattacks/pass-the-hash-attack/). Hintergrund: Windows erlaubt unter gewissen Umständen die Authentifizierung mit Hashes (NTLM Challenge/Response). Wenn ein Angreifer z.B. auf einem kompromittierten Rechner LSASS-Speicher ausliest (wo Windows Login-Credentials cached), kann er Hashes von Admin-Konten finden. Mit Tools wie Mimikatz lassen sich diese extrahieren und dann mit PtH auf anderen Maschinen nutzen, ohne das Passwort zu kennen [crowdstrike.com](https://www.crowdstrike.com/de-de/cybersecurity-101/cyberattacks/pass-the-hash-attack/). Voraussetzungen: Initialer Systemzugriff mit lokalen Admin-Rechten – PtH ist oft ein Lateral-Movement-Werkzeug, d.h. innerhalb eines bereits angegriffenen Netzwerks breitet man sich auf weitere Rechner aus. Beispiel: Zahlreiche APT-Angriffe (z.B. der Sony Pictures Hack 2014) nutzten nach dem ersten Eindringen PtH, um die gesamte Windows-Domäne zu übernehmen. Risiko: In Umgebungen ohne angemessene Schutzmechanismen ist PtH fast immer erfolgreich, sobald ein erster Rechner fällt. Besonders gefährdet: Windows-Netzwerke mit veraltetem SMB/NTLM, wo Local Admin Passwords identisch sind oder keine Begrenzung für Hash-Wiederverwendung existiert. Mit neueren MS-Technologien (Kerberos, Patch KB2871997, Credential Guard) wurde PtH erschwert, aber nicht komplett eliminiert. Gegenmassnahmen: Unique Local Admin Passwords (LSAP), keine generellen Domain-Admin-Logins auf normalen Clients (um Hashes gar nicht erst dort abzulegen), Applocker/AV gegen Mimikatz, privilegierte Konten nur mit MFA. - **Session Hijacking / Pass-the-Cookie:** Neben Passwörtern kann auch die Session eines eingeloggten Nutzers gestohlen werden – z.B. durch Abfangen eines Session-Cookies in einem unsicheren Netzwerk oder mittels XSS auf einer Webseite. Der Angreifer übernimmt dann die laufende Sitzung, als wäre er der Benutzer [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Web-Anwendungen sind betroffen: Wird kein HTTPS erzwungen oder sind Cookies nicht ordentlich gesichert, kann ein MitM leicht Cookies mitlesen (was dank HSTS/HTTPS heute selten ist). In jüngerer Zeit versuchen Angreifer eher, Sessiontokens durch Malware aus Browsern auszulesen (so wurden z.B. Cloud-Administratoren attackiert, indem man deren Web-Session auf Office 365 übernahm). Risiko: Hoch, wenn keine zusätzliche Verifikation wie re-check von IP oder MFA pro Session vorhanden. Beispiel: Die Malware OwlProxy (2021) zielte auf VPN-Sessions, indem sie gültige Tokens entwendete, um sich ins Firmennetz einzuklinken. - **Multi-Faktor-Umgehung:** Da immer mehr Dienste auf Multi-Faktor-Authentifizierung (MFA) setzen, entwickeln Angreifer Methoden, auch diese zu überlisten. Techniken umfassen MFA-Phishing, bei dem der Nutzer nicht nur Passwort, sondern auch OTP (One-Time-Password) preisgibt (z.B. mit Echtzeit-Phishing-Sites und Reverse-Proxy – bekannt geworden durch Toolkits wie Evilginx2), oder das Abfangen von OTP-SMS per SIM-Swapping. Auch OAuth-Token können via Phishing autorisiert werden (Consent-Phishing in Office 365). Trends: 2022 gab es vermehrt MFA Fatigue Attacks – der Angreifer hat das Passwort, triggert ständig Push-Anfragen an die MFA-App des Users in der Hoffnung, dieser akzeptiert genervt irgendwann. Solche Entwicklungen zeigen: reine MFA ist keine Allheilwaffe, aber doch ein wesentlicher Hürdenerschwerer. Insgesamt: Angriffe auf Login-Daten sind in über 80 % aller Hacking-Vorfälle involviert [fortinet.com](https://www.fortinet.com/de/resources/cyberglossary/what-is-hacking) – oft sind schwache oder gestohlene Passwörter der Einstieg. Daher zählen Massnahmen wie Passwort-Management, MFA und Überwachung von Login-Anomalien zu den wichtigsten Schutzstrategien. ## Webanwendungsangriffe: SQL Injection, XSS, CSRF, RCE, Directory Traversal, usw. Webanwendungen (Websites, APIs, Web-Services) sind permanent vom Internet aus erreichbar und daher ein Top-Ziel für Angreifer. Das OWASP Top 10 Projekt listet regelmässig die gravierendsten Web-Schwachstellen – dazu gehören Injection-Fehler, Broken Authentication, XSS, Unsichere Konfigurationen etc. Wir konzentrieren uns auf einige der klassischen Angriffsarten: - **SQL Injection (SQLi):** Eine der bekanntesten Web-Schwachstellen. Sie liegt vor, wenn Benutzereingaben direkt in SQL-Datenbankabfragen eingebunden werden, ohne ausreichende Filterung/Escaping [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Dadurch kann ein Angreifer durch geschickte Eingaben die Abfrage manipulieren. Beispielsweise könnte ein Login-Formular SELECT * FROM users WHERE username='$input' AND password='$input2' haben – gibt man als Benutzername admin' -- ein und lässt das Passwortfeld egal, formt sich die Query zu ... WHERE username='admin' --' AND password='...' (der Rest nach -- ist Kommentar) und liefert ggf. Adminzugriff ohne Passwort. Mit SQLi lassen sich unautorisierte Datenbankzugriffe erzielen: Daten auslesen (z.B. alle Kundendaten), Daten verändern oder löschen, in einigen Fällen sogar Befehle auf dem Server ausführen (etwa via xp_cmdshell in MSSQL). Reale Vorfälle: Zahlreiche grosse Datenlecks wurzeln in SQLi – z.B. der Hack auf Sony Pictures 2011, bei dem Millionen Kundendaten über eine einfache SQL Injection abgegriffen wurden. Auch 2015 der Angriff auf TalkTalk (britischer ISP): ~150 000 Kundendatensätze exfiltriert über SQLi in einer alten ASP-Webseite. Risiko: Sehr hoch, wenn vorhanden – SQLi ist einfach auszunutzen und ermöglicht vollen Datenbank-Kompromiss. Leider immer noch häufig: In der OWASP Top 10 Liste steht Injection (inkl. SQL) meist an #1. Angriffsaufwand: Niedrig – Tools wie sqlmap automatisieren den Prozess; Angreifer brauchen oft nur eine Ahnung, wo ungesicherte Parameter sind. Schutz: Prepared Statements, ORMs, Eingabevalidierung, least privilege für DB-User. - **Cross-Site Scripting (XSS):** Hierbei gelingt es dem Angreifer, schädliches Skript (meist JavaScript) in eine Webseite einzuschleusen, die von anderen Nutzern besucht wird [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Ursache ist mangelnde Ausgabesäuberung: wenn z.B. ein Forum-Beitrag den Inhalt . Schutz: Filter oder Encode von Ausgabe (HTML-Escape von Sonderzeichen), moderne Frameworks die templating nutzen, Content Security Policy (CSP) als zusätzliche Browser-Schutz. - **Cross-Site Request Forgery (CSRF):** Hier nutzt der Angreifer das Vertrauen einer Anwendung in den Browser des Nutzers aus [cloudflare.com](https://www.cloudflare.com/de-de/learning/security/threats/cross-site-request-forgery/). Bei CSRF wird das Opfer vom Angreifer dazu gebracht, unbeabsichtigt eine Aktion auf einer Website auszuführen, bei der es bereits angemeldet ist [cloudflare.com](https://www.cloudflare.com/de-de/learning/security/threats/cross-site-request-forgery/). Beispielsweise schickt der Angreifer dem Opfer einen Link oder Image-Tag wie . Wenn das Opfer gerade bei bank.com eingeloggt ist, würde der Browser im Hintergrund diese GET-Anfrage mitsamt gültigem Session-Cookie senden – und 1000 € überweisen. Voraussetzungen: Opfer muss angemeldet sein und eine speziell präparierte Seite/Email des Angreifers aufrufen. Die anzugreifende Anwendung darf keine ausreichenden CSRF-Schutzmassnahmen haben (wie Anti-CSRF-Tokens oder SameSite-Cookies). Risiko: CSRF kann sehr gefährlich sein, vor allem bei transaktionsbezogenen Anwendungen (Banking, Shops: Bestellung auf fremde Rechnung etc.). Ein bekanntes Beispiel war 2010 ein CSRF-Angriff auf Twitters „Folgen“-Funktion, wodurch ein Wurm massenhaft Verbindungen knüpfte. Abmilderung: In modernen Frameworks sind Anti-CSRF-Tokens Standard. Der Browser-Support für SameSite-Cookie-Attribut (verhindert Cookie-Senden bei Cross-Site) reduziert praktikable CSRF deutlich. Daher sank CSRF in Wichtigkeit, gilt aber immer noch als relevant – vor allem in älteren Webapps oder durch komplexe Edge-Cases (z.B. Login CSRF). - **Remote Code Execution (RCE) in Webanwendungen:** Überlappt mit bereits besprochenen RCE/Exploits, aber speziell: Manche Web-Schwachstellen erlauben dem Angreifer, direkt auf dem Server Code auszuführen – jenseits von DB-Injection. Beispiele: Shell Injection (wenn eine Webapp Benutzereingaben in eine Systemshell weitergibt, z.B. ein Formular, das ping [IP] ausführt, und der Angreifer 8.8.8.8; rm -rf / eingibt). Oder Deserialisierungs-Lücken (wenn Webapps untrusted Data als Objekt deserialisieren, was oft zu RCE führen kann). Berüchtigt war Log4Shell (CVE-2021-44228): durch Log-Einträge mit ${jndi:ldap://...} konnten Angreifer Webserver dazu bringen, beliebigen Code nachzuladen und auszuführen – eine RCE-Lücke, die weltweit Alarm schlug. Risiko: RCE in Webanwendungen ist quasi der Jackpot für Angreifer: Der Webserver gehört dann komplett ihnen. Trends: Der Wechsel zu Memory-sicheren Sprachen (z.B. Go) im Webbereich senkt klassische Overflows, aber Logikfehler und unsichere Standardkonfigurationen (wie in Log4j) bleiben. Eine spezifische RCE-Variante in Webapps ist auch Template Injection (z.B. SSTI – Server-Side Template Injection) wo ein Angreifer Template-Sprachen (Thymeleaf, Jinja2 etc.) missbraucht, um Code ausführen zu lassen. - **Directory Traversal (Path Traversal):** Hier versucht der Angreifer, durch manipulierte Pfadangaben auf Dateien ausserhalb des vorgesehenen Web-Verzeichnisses zuzugreifen [fastly.com](https://www.fastly.com/de/learning/application-attacks/what-is-directory-traversal). Wenn z.B. eine URL download.php?file=bericht.pdf die Datei unter /var/www/files/bericht.pdf lädt, könnten Angreifer file=../../etc/passwd eingeben. Ohne Gegenmassnahmen würde das Skript dann /etc/passwd ausliefern – eine unautorisierte Datei. In schlecht abgesicherten Fällen kann man so Konfigurationsdateien (mit Passwörtern) oder Quellcode einsehen. Manche Traversal-Lücken erlauben auch Schreibzugriff oder gar Codeausführung (siehe Beispiel ManageEngine CVE-2022-48362: dort wurde Directory Traversal genutzt, um eine .zip ins lib-Verzeichnis zu schreiben, was beim Neustart als Code geladen wurde – ergo RCE) [fastly.com](https://www.fastly.com/de/learning/application-attacks/what-is-directory-traversal). Risiko: Häufig unterschätzt, aber path traversal zählt zu den meistbeobachteten Web-Angriffsvektoren. Schon Lesezugriff kann fatal sein (z.B. Zugriff auf config.php mit DB-Passwort). Angriffsaufwand: Gering – Listen mit typischen Pfaden (../../../../etc/passwd etc.) kursieren [fastly.com](https://www.fastly.com/de/learning/application-attacks/what-is-directory-traversal), Tools testen diese automatisiert. Schutz: Pfad-Normalisierung, Whitelisting erlaubter Dateipfade, Web Application Firewalls. Web Security im Allgemeinen: Webangriffe sind so vielseitig, dass kein einzelnes Muster alles abdeckt. Laut Berichten wie Verizon DBIR sind Webanwendungen das häufigste Angriffsziel in vielen Branchen. Entwicklungsfehler (wie ungeprüfte Eingaben) und Fehlkonfigurationen spielen die grösste Rolle. Daher betonen Standards wie OWASP Top 10 immer wieder: valide Eingaben, sichere Authentisierung, Prinzipien wie „secure by default“. Positiv zu vermerken: Viele Organisationen lassen heute regelmässige Penetrationstests oder automatisierte Scans ihrer Webapps durchführen, um solche Lücken proaktiv zu finden. ## Angriffe auf Infrastruktur: IoT, OT/SCADA, Supply Chain, Firmware In diesem Abschnitt betrachten wir Angriffe jenseits klassischer IT-Server und PCs: Internet of Things (IoT)-Geräte, Operational Technology (OT) in Industrieanlagen (SCADA/ICS), Angriffe über die Lieferkette (Supply Chain) sowie Firmware-Ebene. - **IoT (Internet der Dinge):** Darunter fallen vernetzte Geräte wie IP-Kameras, Smart-TVs, Router, smarte Sensoren, Wearables usw. Viele IoT-Geräte sind notorisch schlecht gesichert: Standardpasswörter, seltene Firmware-Updates, geringe Rechenleistung für Security-Features. Angreifer nutzen IoT v.a. zum Aufbau von Botnetzen (für DDoS, siehe Mirai). Vorfall: Das Mirai-Botnetz (entdeckt 2016) kaperte hunderttausende IoT-Geräte (v.a. Kameras, DVRs) durch simples Durchprobieren von 61 Standard-Logins. Mit diesen Geräten als Botnetz wurden die grössten damaligen DDoS-Attacken gefahren [it-boltwise.de](https://www.it-boltwise.de/rekord-ddos-angriff-mit-56-tbps-von-mirai-botnetz-aufgedeckt.html). Noch 2024 basieren viele DDoS-Netze auf Mirai-Varianten. Andere Gefahren: IoT in Haushalten könnte Privatsphäre verletzen (gehackte Kameras übertragen Bilder), in Firmen können kompromittierte IoT (z.B. smarte Klimasteuerung) als Einstiegspunkt ins interne Netzwerk dienen. Trends: Die Zahl der IoT-Geräte explodiert – Angreifer fokussieren sich auf leicht erreichbare Massen-Ziele. Qualys und Trend Micro berichteten 2023, dass Mirai-Varianten weiterhin IoT aktiv ausnutzen [it-boltwise.de](https://www.it-boltwise.de/rekord-ddos-angriff-mit-56-tbps-von-mirai-botnetz-aufgedeckt.html). Risiko: Hoch für Verfügbarkeit (Botnet-DDoS) und moderat für Integrität/Vertraulichkeit (gezielte IoT-Hacks bisher weniger, aber möglich). Schutz: IoT-Sicherheit steht noch am Anfang: Wichtige Massnahmen sind Ändern von Default-Passwörtern, Segmentierung dieser Geräte in getrennte Netzwerke, Firmware-Updates (soweit vom Hersteller geboten). - **OT/SCADA (Operational Technology / Industrial Control Systems):** Dies umfasst Steuerungssysteme in kritischen Infrastrukturen wie Energie, Fertigung, Verkehr. Lange Zeit galten OT-Netze als abgeschottet („air gap“), doch zunehmende Vernetzung (Industrie 4.0, IIoT) hat die Angriffsfläche erhöht [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). OT-Angriffe können physische Auswirkungen haben – z.B. Stromausfälle, beschädigte Maschinen. Prominente Vorfälle: - **Stuxnet (2010):** Ein hochkomplexer Wurm, entwickelt vermutlich von staatlichen Akteuren, zielte auf iranische Urananreicherungsanlagen. Stuxnet infizierte Windows-PCs (über mehrere Zero-Days) und suchte gezielt nach Siemens Step7 Steuerungen. Es manipulierte die Frequenzumrichter von Zentrifugen, um sie durch Drehzahländerungen zu sabotieren, während es gleichzeitig den Überwachungssystemen falsche Normalwerte vorgaukelte [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). Dadurch wurden zahlreiche Zentrifugen zerstört, ohne dass die Betreiber es sofort bemerkten. Stuxnet gilt als erstes bekanntes Beispiel von Cyberwaffe, die physischen Schaden verursacht. - **Ukraine-Stromnetz-Angriffe (2015/2016):** Russische Hacker (APT Sandworm) drangen in ukrainische Stromversorger ein (teils via Phishing, teils via ungepatchte VPN-Server) und schalteten im Dezember 2015 die Stromversorgung in Teilen der Ukraine ab. 2016 wurde mit der Malware Industroyer gar gezielt das Stromnetzprotokoll (IEC 104) manipuliert und ein umfangreicher Blackout in Kiew ausgelöst. - **Triton/Trisis (2017):** Ein Angriff auf eine saudische Petrochemie-Anlage, bei dem die Sicherheitssteuerung (SIS) ins Visier genommen wurde [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). Die Malware Triton versuchte, Safety-Controller zu reprogrammieren, offenbar um Sicherheitsabschaltungen zu sabotieren – was potenziell katastrophale Folgen (Explosion) hätte haben können. Glücklicherweise führte ein Absturz der Controller zur Anlagen-Abschaltung, bevor Schlimmeres passierte [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). - **Colonial Pipeline (2021):** Zwar primär ein Ransomware-Vorfall (siehe oben), aber seine Bedeutung als kritische Infrastruktur (Treibstoffversorgung) zeigte, dass auch indirekte IT-Angriffe OT zum Stillstand bringen können. Aus Angst vor Übergreifen auf OT-Systeme hatte man die Pipeline manuell heruntergefahren [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). Risiko & Trends: OT-Systeme sind oft veraltet (Windows XP, uralte ungepatchte Software), da Upgrades teuer und Downtime kritisch sind [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). Gleichzeitig nehmen staatlich gesteuerte Angriffe zu; im Russland-Ukraine-Konflikt seit 2014 sind Cyberangriffe fester Bestandteil (NotPetya war z.B. Teil davon, auch wenn der Schaden global wurde). Laut Fortinet-Bericht hatten 2020 78 % der OT-Unternehmen mindestens 3 Intrusions in 12 Monaten [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). Das zeigt: OT ist ein aktives Schlachtfeld. Besonders gefährdet: Energie, Produktion, Transport – also KRITIS. Schutz: Segmentierung vom IT-Netz, strenge Zugriffskontrollen, Notfallpläne (manuelle Bedienung ermöglichen), spezielle Netzwerkmonitoring-Lösungen für ICS-Traffic. BSI und IEC haben eigene Standards (IEC 62443, BSI ICS-Security-Kompendium) zur Absicherung industrieller Anlagen. - **Firmware-Angriffe:** Hier geht es um Eingriffe auf niedrigster Ebene – z.B. BIOS/UEFI, Controller-Firmware von Festplatten, Netzwerkgeräten oder auch manipulierter Hardware. BadFirmware/Bootkits: Ein Angreifer mit genügend Zugriff (lokal oder über Supply Chain) könnte Firmware mit Malware flashen. Fälle: - **BadUSB (2014 bekannt geworden):** Forscher zeigten, dass USB-Stick-Firmware umprogrammiert werden kann, um den Stick wie eine Tastatur oder Netzwerkkarte auszugeben – und so unbemerkt Befehle einzugeben oder Traffic umzuleiten [csoonline.com](https://www.csoonline.com/article/3494717/was-ist-badusb.html). Praktisch bedeutete das: Ein anscheinend normaler USB-Stick kann beim Einstecken sofort Attacken starten (z.B. eine Powershell öffnen und Malware laden). Unter dem Sammelbegriff BadUSB laufen sowohl solche Angriffe als auch Kampagnen, in denen präparierte USB-Sticks gezielt verteilt werden (z.B. per Post an Firmen, gesehen 2021 durch FIN7 [csoonline.com](https://www.csoonline.com/article/3494717/was-ist-badusb.html)). - **UEFI-Rootkits:** Wie erwähnt, der Fall LoJax (2018) – APT28 nutzte einen UEFI-Trojaner, um Rechner in osteuropäischen Behörden persistent zu infizieren. - **Hardware-Supply-Chain:** Gerücht um 2018, dass chinesische Spionagechips in Server-Motherboards (Supermicro) eingeschleust worden seien – auch wenn bis heute umstritten, zeigt es die denkbare Gefahr. Risiko: Solche Angriffe sind sehr gezielt und meist auf hohem technischen Niveau. Für Otto Normal sind sie selten die primäre Sorge, für Geheimdienste oder High-Value-Ziele allerdings real. Beispiel: CIA-Dokumente (Vault7-Leaks) offenbarten Firmware-Schädlinge wie DarkMatter (für iPhone-EFI). Verteidigung: Schwieriger Bereich – Secure Boot, Firmware-Checksummen, nur Hardware aus vertrauenswürdigen Quellen beziehen. - **Supply-Chain-Angriffe (Lieferkette):** Dabei greifen Täter nicht direkt das Endziel an, sondern ein vorgelagertes Element – z.B. die Software eines Drittanbieters, der vom Ziel eingesetzt wird, oder Updateserver. Dadurch „liefert“ das Ziel sich die Malware selbst aus, im Vertrauen auf legitime Updates/Komponenten. Beispiele: - **SolarWinds Orion (2020):** Eines der gravierendsten Beispiele: Russische APT (Nobelium) hackte die Build-Umgebung des IT-Monitoring-Herstellers SolarWinds und fügte in ein Orion-Update eine Backdoor (Sunburst) ein. Dieses ging digital signiert an tausende Kunden, darunter zahlreiche US-Behörden und Grossunternehmen. Folge: Angreifer hatten bei diesen Kunden monatelang Zugang, ohne aufzufallen [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). Das war ein Weckruf für die Industrie hinsichtlich Software-Lieferketten. - **NotPetya (2017):** Der destruktive „Ransomware“-Wurm startete seinen Feldzug über ein verseuchtes Update einer ukrainischen Buchhaltungssoftware (MeDoc) [istari-global.com](https://istari-global.com/insights/spotlight/re-cap-the-untold-story-of-notpetya-the-most-devastating-cyberattack-in-history/) [iwantleverage.com](https://iwantleverage.com/disaster-recovery/notpetya-primer/). Indem die Angreifer den Softwareanbieter kompromittierten, bekamen sie Zugriff auf all dessen Kunden – vor allem Firmen in der Ukraine, aber auch global (Maersk etc. waren betroffen). Im Endeffekt war NotPetya ein militärisch motivierter Angriff auf die Ukraine, der über Supply Chain global eskalierte. - **Weitere:** 2021 Codecov-Bash-Uploader (Dev-Tool) gehackt, 2022 Kaseya VSA (MSP-Software) Update als Ransomware-Vektor. Auch Hardware: 2010 gelang es Angreifern, Manipulierte ATM-Terminals in den Vertrieb zu schleusen – so waren die Geldautomaten ab Werk schon kompromittiert. Risiko: Supply-Chain-Angriffe sind hochwirksam, da man vertrauenswürdige Kanäle ausnutzt. Sie sind aber auch aufwändig, oft APT-Terrain. Dennoch gibt es auch einfachere Fälle – z.B. Typosquatting bei Bibliotheken: Angreifer laden eine Package mit dem Namen reqeusts (statt requests) hoch, sodass wer sich vertippt, die falsche Library mit Schadcode importiert. Solche Angriffe gab es in npm/PyPI zunehmend. Betroffen: praktisch jede Organisation kann indirekt betroffen sein, denn alle sind auf Zulieferer angewiesen. Abwehr: Zero-Trust-Prinzip auch in Lieferbeziehungen, Code Audit, Signierung/Verifizierung von Software, Software Bill of Materials (SBOM) einführen, um Überblick zu haben, was man da eigentlich eingebaut hat. ## Neue und fortgeschrittene Angriffstechniken Abschliessend zu den Angriffsmethoden einige neuere Trends und ausgefeilte Techniken: - **Living off the Land (LotL):** Dieses Prinzip bedeutet, dass Angreifer möglichst vorhandene System-Tools und -Funktionen nutzen, anstatt eigene Dateien (Malware) zu verwenden [digicomp.ch](https://digicomp.ch/blog/2021/12/20/was-sind-living-off-the-land-angriffe). Beispiele: Statt eine Hacker-Backdoor zu installieren, nutzt man PowerShell, WMI, PsExec, bitsadmin etc., um Befehle auszuführen – für das System sehen diese Aktivitäten zunächst legitim aus (es sind ja signierte Windows-Programme). Ebenso gehört dazu, Skriptfunktionen vom System zu nutzen (z.B. Excel-Makros) oder Sicherheitssoftware zu missbrauchen (es gab Fälle, in denen Angreifer die Management-Konsole von Antivirus nutzten, um eigene Pakete unter dem Deckmantel der Sicherheitslösung auszuspielen). Ziele: Diese Taktik dient der Tarnung. Da „gute“ Bordmittel verwendet werden, schlagen weniger Signaturen an. Realität: Quasi jede moderne APT nutzt LotL nach dem ersten Eindringen. Beispielsweise war bei der Ukraine-BlackEnergy-Attacke 2015 ein Teil, dass legitime Admin-Tools im Netzwerk verteilt wurden. Oder Emotet lud seine Payload per PowerShell. Risiko: Hoch, weil klassische Verteidigung (AV-Signaturen) nicht greift. Erkennung nur über Verhaltensanalyse (EDR). Beispiel: Ein Penetrationstester schreibt: „Ich erreiche meine Ziele vielfach über cmd.exe, dem meist weniger Aufmerksamkeit geschenkt wird als PowerShell“ [digicomp.ch](https://digicomp.ch/blog/2021/12/20/was-sind-living-off-the-land-angriffe). Verteidigung: Application Whitelisting (nur erlaubte Prozesse), Powershell Constrained Language Mode, Logging/Monitoring (Sysmon etc.) – aber Gesamtbild: LotL erfordert einen entwickelten Security-Betrieb mit Fokus auf Anomalien. - **Fileless Attacks:** (siehe Malware) – überschneidet mit LotL. Alles, was ohne maliziöse Datei auskommt: z.B. Code injection in laufende Prozesse (Reflective PE Injection), Scripts in Registry speichern und via legitime Loader ausführen, etc. Trends: Nehmen zu, weil Angreifer sich auf EDR einstellen. - **Side-Channel Attacks (Seitenkanalangriffe):** Diese höchst technischen Angriffe nutzen physikalische Nebeneffekte von Computersystemen, um an geheime Daten zu kommen [security-insider.de](https://www.security-insider.de/was-ist-eine-seitenkanalattacke-a-893560/). Beispiele: Timing-Angriffe (die Zeit messen, die eine bestimmte Operation – z.B. eine kryptografische Entschlüsselung – braucht, um Rückschlüsse auf den Schlüssel zu ziehen), Stromverbrauchsmessungen (wird in Chipkarten-Lesern gemacht, um RSA-Schlüssel zu extrahieren), elektromagnetische Abstrahlung (TEMPEST-Angriffe), oder gar akustische Angriffe (Geräusch der CPU, Tastatureingabe via Mikro). In 2018 wurden mit Meltdown und Spectre zwei CPU-Seitenkanalattacken publik, bei denen über Cache-Zugriffszeiten geschützte Kernel- und fremde Prozessdaten gelesen werden konnten [security-insider.de](https://www.security-insider.de/was-ist-eine-seitenkanalattacke-a-893560/). Risiko: Im Alltag gering, da diese Angriffe sehr aufwendig und meist für gezielte Spionage genutzt werden. Für Cloud-Anbieter war Spectre/Meltdown allerdings ein Schock, da theoretisch ein VM-Mieter aus seiner VM Daten anderer VMs lesen konnte – grosse Cloud-Provider mussten rasch patchen und Performance-Einbussen in Kauf nehmen. Trends: Forschung gelingt immer wieder Erstaunliches – z.B. 2020 eine Attacke, die per Lautsprecher-Geräusch systematische Unterschiede erkannte. Aber praktische Angriffe sind selten sichtbar (vermutlich bleiben die im Bereich Geheimdienste). Gegenmassnahmen sind ebenfalls sehr speziell (Hardware Shielding, Rauschen hinzufügen, konstante Ausführungszeiten in Kryptografie etc.). - **Kombinierte Attack Chains / APT Techniken:** Die fortschrittlichsten Angreifer nutzen mehrstufige Angriffe, oft über längere Zeit (Advanced Persistent Threats). Hierbei kommen viele der genannten Methoden in Sequenz: z.B. Spear-Phishing → Trojaner → Privilege Escalation → interne Aufklärung (LotL) → Credentials sammeln (Pass-the-Hash) → weitere Systeme übernehmen → exfiltrieren → Spuren verwischen mit Rootkits. Solche komplexen Angriffsketten werden z.B. durch Frameworks wie MITRE ATT&CK beschrieben – eine Matrix von Taktiken und Techniken, die zeigt, welche Schritte ein Angreifer typischerweise von Initialzugang bis Ziele erreicht. Beispiel: Phasen einer Cyber-Kill-Chain nach Lockheed Martin (Aufklärung, Angriff, Eindringen, Installation, Kontrolle, Aktionen) – frühzeitiges Stoppen in den ersten Phasen minimiert den Schaden [csoonline.com](https://www.csoonline.com/article/539916/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html). - **Quantencomputing-Ausblick:** Noch kein akuter Angriff, aber mittelfristig relevant: Quantencomputer könnten die heute gebräuchlichen asymmetrischen Kryptoverfahren (RSA, ECC) brechen. Zwar existiert noch kein ausreichend grosser Quantencomputer dafür, doch Behörden warnen bereits, dass gespeicherter verschlüsselter Traffic später entschlüsselt werden könnte („Steal now, decrypt later“). Die Antwort sind Post-Quanten-Krypto-Algorithmen, die in Entwicklung sind – NIST hat 2024 die ersten Standards verabschiedet (drei Verfahren standardisiert) [en.wikipedia.org](https://en.wikipedia.org/wiki/NIST_Post-Quantum_Cryptography_Standardization). Organisationen sollten in den nächsten Jahren planen, Krypto-Agilität zu gewährleisten. - **KI-unterstützte Angriffe:** Angreifer nutzen zunehmend Machine Learning, etwa um Phishing-E-Mails noch überzeugender zu gestalten (automatisiert personalisierte Texte), oder um CAPTCHAs zu lösen. Deepfakes ermöglichen neue Social-Engineering-Qualitäten (z.B. ein CEO-Call als Audio-Fälschung). Zugleich können KI auch die Verteidigung unterstützen (Anomalieerkennung). Hier tobt ein Wettrüsten – aber da KI kein Wundermittel ist, bleiben die Grundmechanismen ähnlich, nur in der Skalierung und Täuschungsqualität verbessert. --- ## Risiken und Schutzmassnahmen Nach dieser umfangreichen Übersicht über Methoden wollen wir nun den Blick auf die Risiken und Schutzmassnahmen richten: Wie bewertet man die Wahrscheinlichkeit und Auswirkungen der genannten Angriffe? Und vor allem: Welche praktischen Massnahmen können Organisationen und Einzelpersonen ergreifen, um sich bestmöglich zu schützen? ## Risikoabschätzung: Wer ist gefährdet und wie wahrscheinlich sind Angriffe? Nicht alle Angriffe treffen jeden gleichermassen. Eine Risikomatrix hilft, den Blick zu schärfen: - **Unternehmen und Organisationen:** Sie sind Hauptziel vieler Angriffe – sei es durch Cyberkriminelle (Ransomware für Lösegeld), staatliche Hacker (Spionage, Sabotage) oder Hacktivisten. Grosse Unternehmen und KRITIS-Betreiber (Kritische Infrastruktur) müssen praktisch mit dem gesamten Spektrum rechnen: von DDoS über APT bis Insider. KMU sind häufig Opfer von Massenangriffen (Phishing, Ransomware via ungeschützte RDP) – das Schadenspotenzial ist existenzbedrohend, während die Eintrittswahrscheinlichkeit leider hoch ist (Cybercrime „spray and pray“ findet immer schwache). Besonders gefährdet: Branchen mit wertvollen Daten (Gesundheit, Forschung, Finanz), mit kaum Toleranz für Ausfall (Produktion, Logistik) oder politisch exponiert (Behörden, NGOs). - **Einzelpersonen:** Privatnutzer sehen meist Phishing, Betrug, Identitätsdiebstahl und Botnet-Malware (z.B. Kryptomining-Trojaner) als primäre Gefahren. Das Schadenspotenzial individuell ist niedriger (z.B. Kontoabbuchungen), aber immer noch ernst (Identitätsdiebstahl kann Kreditwürdigkeit ruinieren). Die Wahrscheinlichkeit für Verbraucher, mal Opfer von Phishing oder Malware (etwa via infizierte Werbung, sog. Malvertising) zu werden, ist ziemlich hoch. Allerdings: gezielte Hacking-Angriffe auf Einzelpersonen (ausser Prominente) sind selten – meist sind es Massenkampagnen. - **Kritische Infrastrukturen (KRITIS):** Hier geht es um Strom, Wasser, Gesundheit, Verkehr. Das Bedrohungsniveau ist in den letzten Jahren enorm gestiegen (siehe Ukraine, aber auch z.B. 2021 Angriff auf irisches Gesundheitssystem durch Ransomware). Schadenspotenzial ist extrem hoch (Leib und Leben, gesamtgesellschaftliche Wirkung). Staatliche Stellen (BSI, ENISA) stufen die Lage als angespannt ein – keine Entwarnung in Sicht [mittelstand-heute.com](https://www.mittelstand-heute.com/cybersecurity/artikel/cybersicherheit-in-deutschland-weiterhin-kritisch-2023/24). - **Angriffsaufwand vs. Ertrag:** Cybercrime rechnet sich. Viele Angriffe (Phishing, Botnetze) sind billig und automatisiert – daher sehr häufig. Hochaufwendige Angriffe (0-days, APT) sind seltener, aber bestimmten Zielen vorbehalten. Die Kosten-Nutzen-Rechnung der Angreifer bestimmt das Muster: Warum mühsam in ein top-gesichertes System einbrechen, wenn beim schwächeren Dienstleister ein einfacher Phish genügt (Supply Chain)? Die Verteidiger müssen also anstreben, den „Preis“ für Angriffe zu erhöhen, sodass sie unattraktiv werden. Eine einfache qualitative Bewertung einiger Angriffsarten zeigt Tabelle 3: | Angriffstyp | Schadenspotenzial | Häufigkeit/Auftreten | Beispiel-Ziele | |-------------|-------------------|----------------------|----------------| | Ransomware (Unternehmen) | Sehr hoch: Betriebsunterbrechung, Datenverlust, Lösegeld, Reputationsschaden | Hoch: täglich mehrere Attacken weltweit, immer neue Opfer | Mittelstand, Konzerne, Kommunen, Krankenhäuser | | Phishing (Massenspam) | Mittel: einzelne Konten/Daten, ggf. finanzieller Betrug pro Opfer. In Summe gross | Sehr hoch: Millionen Phishing-Mails täglich. Trifft viele (Erfolgsrate jedoch gering pro Mail) | Allgemeine Nutzer, Mitarbeitende | | DDoS (Botnetz) | Hoch: Online-Service offline, Umsatzverlust, ggf. Kettenreaktionen | Mittel: häufig, aber meist kurzlebig. Gängiges Erpressungsmittel | Webshops, Behördenwebseiten (politisch motiviert), Glücksspielseiten | | APT-Infiltration (staatlich) | Sehr hoch: Spionage oder Sabotage von hoher Tragweite (z. B. Geheiminfos, Produktionsanlagen) | Niedrig: wenige Akteure, gezielte lange Aktionen. Nicht alltäglich sichtbar | Rüstungsindustrie, Regierung, High-Tech, Opposition in autoritären Staaten | | Insider-Missbrauch | Mittel bis hoch: je nach Zugriffsrechten – von Datendiebstahl bis Zerstörung | Niedrig: kommt seltener vor als externe Angriffe, aber Risiko ist immer vorhanden | Ehemalige Mitarbeitende stehlen Kundendaten; Admin sabotiert nach Kündigung | | IoT-Botnetzangriff | Mittel: DDoS oder Spamversand, in der Regel kein direkter Schaden am Gerät | Hoch: viele IoT schwach, daher stetig unter Botnetz-Kontrollversuch | alle schwachen IoT-Geräte global – Ziel ist dann z. B. Drittpartei via DDoS | | Zero-Day-Exploit-Ausnutzung | Variabel: vom unbemerkten Datendiebstahl bis zur vollständigen Systemübernahme | Sehr niedrig (generell), hoch bei speziellen Opferprofilen (z. B. diplomatische Einrichtungen) | Spezifische Zielpersonen oder -systeme mit hohem Wert (Diplomaten, Forschung, KRITIS) | (Tabelle 3: Bedrohungsmatrix – Beispielhafte Angriffe vs. Potenzial & Häufigkeit) Hinweis: Diese Matrix ist verallgemeinert – die konkrete Risikobewertung erfordert immer eine individuelle Betrachtung der eigenen IT-Landschaft und Bedrohungsumgebung. In Summe lässt sich festhalten: Cyberangriffe sind allgegenwärtig, jeder vernetzte Akteur ist potenziell Angriffen ausgesetzt. Die Wahrscheinlichkeit eines beliebigen Angriffs (z.B. Phishing-Mail-Erhalt) ist fast 100 %. Die Wahrscheinlichkeit eines erfolgreichen schweren Angriffs hängt jedoch massgeblich vom Reifegrad der Sicherheitsmassnahmen ab. Damit kommen wir zu eben diesen: Wie kann man sich schützen? ## Schutzmassnahmen und Prävention Angesichts der Fülle an Bedrohungen erscheint IT-Sicherheit als komplexe Herausforderung – jedoch basieren viele erfolgreiche Hacks auf Versäumnissen bei grundlegenden Schutzmassnahmen. Prävention muss auf mehreren Ebenen ansetzen (Defense-in-Depth): Technische Sicherungen, organisatorische Vorkehrungen, regelmässige Überprüfung und Sensibilisierung. Hier strukturieren wir die wichtigsten Massnahmen: ## Technische Massnahmen - **Netzwerksegmentierung und -filterung:** Netzwerke sollten in Segmente unterteilt sein (z.B. Produktionsnetz, Büronetz, Gast-WLAN getrennt). Firewalls regeln den Datenfluss zwischen Segmenten und nach aussen – unnötige Verbindungen werden blockiert. Segmentierung begrenzt die Seitwärtsbewegung von Angreifern (Lateral Movement) und schränkt DDoS/Scanning auf einen Teil ein. Z.B. sollte ein IoT-Kamera-Netz keinen Zugriff auf die Finanzserver haben. Firewalls und Netzwerk-Zugangskontrollen (NAC) verhindern auch, dass unbekannte Geräte sich frei einklinken. - **Intrusion Detection/Prevention (IDS/IPS):** Solche Systeme überwachen den Netzwerkverkehr auf verdächtige Muster (Signaturen von Malware, Anomalien) [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). Ein IDS alarmiert im Falle eines erkannten Angriffs, ein IPS kann ihn automatisch blockieren. Beispielsweise kann ein IDS bekannte Exploit-Snippets im Webtraffic erkennen oder eine Portscan-Aktivität melden. In modernen Umgebungen kommen oft verhaltensbasierte Systeme (NDR – Network Detection and Response) zum Einsatz, die z.B. ungewöhnlich grosse Datenabflüsse identifizieren. - **System- und Software-Patchmanagement:** Viele Angriffe gelingen nur, weil Systeme nicht aktuell sind. Daher ist zeitnahes Einspielen von Sicherheitsupdates essenziell. Das betrifft Betriebssysteme (monatliche Patchdays, notfalls Out-of-Band-Patches bei kritischen Lücken) und alle Anwendungen inkl. Firmware von Geräten. Beispielsweise hätte WannaCry in vielen Firmen 2017 keinen Erfolg gehabt, wäre der im März 2017 veröffentlichte Microsoft-Patch gegen EternalBlue flächendeckend eingespielt gewesen. Automatische Updates sollten – wo möglich – aktiviert sein. Für ungepatchte kritische Lücken sollten Workarounds angewandt werden (z.B. Dienst abschalten, Firewall-Regel), bis Patch verfügbar. - **System-Härtung (Hardening):** Über die Updates hinaus sind Standardkonfigurationen oft unsicher. Härtung bedeutet, unnötige Dienste deaktivieren, sichere Defaults setzen. Beispiele: SMBv1 deaktivieren (verhindert alte Würmer), AutoRun/AutoPlay bei Wechselmedien ausschalten (BadUSB-Eindämmung), Lokale Adminrechte entziehen wo nicht nötig, Secure Boot aktivieren, BIOS-Passwort setzen, Protokollierung einschalten etc. Betriebssystemhersteller und z.B das BSI (Bundesamt für Sicherheit in der Informationstechnik) bieten Checklisten für Hardening (z.B. CIS Benchmarks, BSI Windows Sicherheitsaudit). - **Prinzip der geringsten Rechte (Least Privilege):** Jeder Benutzer und Prozess soll nur die minimal nötigen Rechte haben. Administrator-Accounts sollten nicht für tägliche Aufgaben genutzt werden (in Firmen per getrennte Admin-Accounts), User sollen keine Adminrechte auf ihren Clients haben, wo vermeidbar. Dienste-Accounts (für Datenbanken, Webserver) sollen mit eng geschnürten Berechtigungen laufen (z.B. Webserver darf nicht in andere Verzeichnisse schreiben). Dieses Prinzip begrenzt den Schaden z.B. bei Kompromittierung eines Accounts – ein einfacher Benutzer kann kein System neu konfigurieren oder Software installieren, Ransomware kann mit Standardbenutzerrechten evtl. nicht in gesicherte Bereiche schreiben. - **Antivirus/Anti-Malware und Endpoint Detection & Response (EDR/XDR):** Auf Endgeräten und Servern sollten Sicherheitsprogramme laufen, die bekannte Bedrohungen erkennen und blockieren. Klassische Antiviren-Scanner durchsuchen Dateien nach Signaturen oder verdächtigen Verhalten (Heuristik). Moderne EDR-Lösungen gehen weiter: Sie überwachen laufende Prozesse und Systemaktivitäten auf Muster, können bei Auffälligkeiten Alarm schlagen oder Gerät isolieren. Beispielsweise würde ein EDR bemerken, wenn ein Prozess plötzlich an vielen Dateien Verschlüsselungsoperationen durchführt (Ransomware-Indikator). Wichtig: Signaturbasierte AV ist nach wie vor nützlich für Massen-Malware, aber gegen zielgerichtete oder unbekannte Attacken oft blind. EDR adressiert das teilweise, erzeugt aber auch Alerts, die ein Security-Team bearbeiten muss. Unternehmen ohne eigenes SOC (Security Operations Center) können Managed Detection & Response Services nutzen. - **Backup- und Recovery-Strategie:** Da nie 100 % Schutz existiert, ist regelmässige Datensicherung entscheidend. Insbesondere als Antwort auf Ransomware: tägliche Backups (offline oder in Cloud mit MFA) stellen sicher, dass verschlüsselte Daten wiederhergestellt werden können. Wichtig: Offline-Backups (die nicht vom gleichen System aus erreichbar sind) schützen vor Malware, die gezielt Backups löscht. Ebenso sollten Backups getestet werden – nichts ist schlimmer als festzustellen, dass die Sicherungen unvollständig waren. Ein Disaster-Recovery-Plan (Notfallwiederanlauf) sollte definieren, wie man im Fall des Falles Systeme neu aufsetzt und Daten einspielt. - **Verschlüsselung:** Vielfältig einzusetzen: Festplattenverschlüsselung (z.B. BitLocker, LUKS) schützt Daten auf verlorenen/gestohlenen Geräten oder bei Einbruch, sofern das System aus ist – wichtig für Laptops, USB-Sticks um Evil Maid-Szenarien zu erschweren (Evil Maid-Szenarien sind Angriffe, bei denen jemand vor Ort am Rechner hantiert, um Schutzmechanismen zu unterlaufen – besonders gefährlich bei Festplattenverschlüsselung). Kommunikationsverschlüsselung: ausnahmslos TLS für Web, VPN für Fernzugriff, Ende-zu-Ende-Verschlüsselung wo möglich (E-Mails PGP o.ä., Messenger mit E2EE). Datenverschlüsselung in Backups und sensiblen Archiven, damit ein Datendieb nicht einfach an alles kommt. Kryptografie muss richtig verwaltet werden (Schlüssel sicher speichern, gute Algorithmen). Gegen manche Angriffe (MitM) ist Verschlüsselung das beste Mittel – z.B. verhindert konsequentes HTTPS das Abhören durch Sniffing [kaspersky.de](https://www.kaspersky.de/resource-center/definitions/what-is-hacking). - **Multi-Faktor-Authentifizierung (MFA):** Eine der wirksamsten Massnahmen gegen Account-Kompromittierung. Selbst wenn ein Passwort gestohlen wird (Phishing oder Leak), verhindert die zweite Komponente (z.B. Einmalcode am Handy oder Hardware-Token) den Zugriff. Empfehlung: MFA überall dort aktivieren, wo es verfügbar ist – insbesondere für E-Mail, VPN, Cloud-Dienste, Admin-Zugänge. Moderne Angriffe versuchen zwar MFA zu umgehen, aber Statistiken zeigen, dass allein MFA bei z.B. Cloud-Logins >99% opportunistischer Angriffe abwehrt. Für Unternehmen sind insbesondere Remote-Zugänge (VPN, RDP) ohne MFA ein No-Go (Colonial Pipeline hatte hier versagt [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know)). - **Monitoring & Logging:** „Man kann nicht schützen, was man nicht sieht.“ Es ist essenziell, Logdaten zu sammeln und auszuwerten – von Firewall, IDS (Intrusion Detection System), Servern, AD (Active Directory), bis zu Endpoints. Ein SIEM (Security Information and Event Management) kann Logevents korrelieren und Warnungen generieren (z.B. viele Fehlanmeldungen = Brute-Force-Indikator). Netzwerk-Monitoring erkennt Anomalien wie plötzliche Datenmassen ins Ausland. Cloud-Dienste haben eigene Monitoring (AWS CloudTrail, Azure Monitor etc.). Wichtig: Logging sollte zentral und manipulationssicher sein – Angreifer versuchen oft, Spuren zu verwischen (daher ggf. Logs auf separate Systeme schreiben). Incident Response steht und fällt damit, ob man im Nachhinein rekonstruieren kann, was passiert ist. ## Organisatorische Massnahmen Neben Technik ist die Organisation entscheidend, um Sicherheitsmassnahmen wirksam zu machen: - **Security Policies und Richtlinien:** Klare Vorgaben für Mitarbeiter, was erlaubt ist und was nicht, bilden das Fundament. Beispielsweise Passwort-Richtlinien (Länge, Wechsel), Umgang mit USB-Sticks, Freigabeprozess für neue Software, Regelungen für Home Office (VPN-Zwang). Policies müssen durch das Management getragen und regelmässig kommuniziert werden. - **Schulung und Sensibilisierung:** Menschen sind oft das schwächste Glied. Regelmässige Awareness-Trainings helfen, Phishing-Mails zu erkennen, im Alltag sicherheitsbewusst zu handeln (kein Klick auf unbekannte Links, Vorsicht bei unbekannten USB-Sticks etc.). Interaktive Phishing-Tests (simulierte Phishing-Attacken an Mitarbeiter) können Lerneffekte bringen. Wichtig ist, dass Security Teil der Unternehmenskultur wird – Mitarbeiter sollten wissen, an wen sie sich wenden können, wenn ihnen etwas verdächtig vorkommt, und dafür nicht gescholten werden. - **Incident Response Plan (Notfallmanagement):** Kein Schutz ist 100 %, daher braucht es vorbereitete Reaktionspläne. Ein IR-Plan definiert Verantwortlichkeiten und Abläufe bei einem Sicherheitsvorfall: z.B. wer entscheidet über Trennung infizierter Systeme vom Netz, wie erfolgt Kommunikationsmanagement (auch Presse, Kundeninfo), welche Forensik-Partner können hinzugezogen werden. Regelmässige Übungen (Tabletop Exercises, im KRITIS-Bereich auch vorgeschrieben) sind sinnvoll, damit im Ernstfall alle wissen, was zu tun ist. Im Idealfall existiert ein Incident Response Team oder zumindest definierte Rollen (z.B. IT-Leiter, HR, PR, Recht – alle eingebunden). - **Audits und Penetrationstests:** Eine unabhängige Überprüfung der Sicherheitsmassnahmen sollte regelmässig stattfinden. Interne Audits (z.B. nach ISO 27001) oder externe Penetrationstests entdecken Lücken, die intern übersehen wurden. Pentester können z.B. versuchen, in das Firmennetz einzudringen (controlled hacking) und dann Bericht erstatten. Wichtig ist, die gefundenen Schwachstellen dann auch zu beheben. Für Webanwendungen sind speziell OWASP-Top10-Tests Pflichtprogramm. Rote-Team-Übungen gehen noch weiter: Ein Team simuliert einen echten Angreifer über längere Zeit, inkl. Social Engineering, um zu prüfen, ob die Blau-Team/Verteidiger ihn erkennen. - **Regulatorische und Compliance-Aspekte:** Je nach Branche sind bestimmte organisatorische Massnahmen vorgeschrieben – z.B. Banken müssen nach BAIT/VAIT (Bankaufsichtliche Anforderungen an die IT / Versicherungsaufsichtliche Anforderungen an die IT) bestimmte IT-Sicherheitsprozesse etablieren, Energieversorger nach IT-Sicherheitsgesetz ein ISMS (Information Security Management System) betreiben. Auch Datenschutz (DSGVO) erfordert „Stand der Technik“-Schutz. Solche Vorgaben sollte man nicht als lästige Pflichten sehen, sondern als Rahmen, um Security systematisch umzusetzen. - **Cyber-Versicherungen:** Organisatorisch kann eine Versicherung gegen Cyberrisiken erwogen werden. Diese ersetzt zwar keine Massnahmen (im Gegenteil: Versicherer fordern oft Nachweise bestimmter Sicherheitsniveaus), aber kann im Ernstfall finanzielle Folgen abmildern (Lösegeldzahlung, Forensik- und Ausfallkosten). Wichtig ist, das Kleingedruckte zu kennen – viele Versicherer zahlen z.B. kein Lösegeld oder erwarten bestimmte Prozeduren. - **Kooperation mit Behörden und CERTs:** Unternehmen sollten wissen, wie sie Vorfälle melden können/müssen (z.B. in Deutschland KRITIS ans BSI, Datenschutzvorfälle an Datenschutzbehörde). Die Zusammenarbeit mit branchenspezifischen CERTs (Computer Emergency Response Team) (z.B. CERT Bund, CERT Finanz) kann helfen, Infos über aktuelle Bedrohungen zu bekommen und im Ernstfall Unterstützung zu erhalten. Manche Länder haben Cyberabwehrzentren oder Partnerschaften zwischen Staat und Wirtschaft für den Krisenfall. ## Standards und Best Practices (OWASP, NIST, BSI, CIS Controls) Es gibt zahlreiche Standards und Normen, die als Leitfaden dienen: - **OWASP Top 10:** Für Webentwickler unerlässlich – die zehn häufigsten Web-Sicherheitsrisiken mit Erklärung und Gegenmassnahmen (Injection, XSS, misconfigurations etc.). Neu aufgenommen 2021 z.B. Insecure Design als Kategorie. OWASP bietet auch Cheat Sheets und Tools (ZAP Proxy) an. Wer Webanwendungen entwickelt, sollte die OWASP-Prinzipien in den SDLC (Software Development Life Cycle) einbauen (Secure Coding Training, Code Reviews, Pen-Tests vorm Launch). - **MITRE ATT&CK:** Eine Wissensbasis, die Angriffs-Techniken kategorial erfasst (Initial Access, Execution, Persistence, PrivEsc, Defense Evasion, ...). Sicherheitsteams nutzen ATT&CK, um ihre Abdeckung zu prüfen – z.B. "Können wir einen Credential Dump (TA0006:T1003) erkennen?" Es hilft auch bei Threat Intel – beobachtete Techniken lassen Rückschlüsse auf Akteure zu. Für Verteidiger: Mappings auf ATT&CK helfen Lücken in Erkennungsmechanismen zu schliessen. Die MITRE D3FEND-Matrix ist das Gegenstück mit Abwehrtechniken. - **NIST Cybersecurity Framework (CSF):** Ein allgemein gehaltener, aber nützlicher Rahmen aus den USA, der fünf Funktionen beschreibt: Identify, Protect, Detect, Respond, Recover. Unternehmen können damit ihren Reifegrad einschätzen und Massnahmen planen für jeden Bereich. NIST hat auch detaillierte Standards (800-53 Katalog von Sicherheitskontrollen; 800-63 für Authentifizierung etc.). Für Identity z.B. NIST rät zu MFA, langen Passphrasen statt Komplexitätsregeln, keine regelmässigen erzwungenen Passwortwechsel (da das oft kontraproduktiv ist) – diese Best Practices fliessen langsam global ein. - **ISO/IEC 27001:** Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Er ist vor allem organisatorisch – fordert z.B. Risikoanalyse, Massnahmen basierend auf einem Controls-Katalog (Anhang A) und kontinuierliche Verbesserung (PDCA-Zyklus). ISO 27001-Zertifizierung wird von vielen Unternehmen angestrebt, um Vertrauen zu schaffen. Indirekt sorgt die ISO dafür, dass viele der hier genannten Punkte (Policies, Zugriffskontrolle, Business Continuity etc.) umgesetzt werden, weil sie im Audit abgefragt werden. - **BSI IT-Grundschutz:** Ein deutscher Standard, ähnlich ISO 27001, aber praxisnäher mit konkreten Bausteinen. Das BSI stellt in Grundschutz-Kompendien sehr konkrete Massnahmenempfehlungen für verschiedenste Bereiche bereit, etwa einen Baustein für "Apache Webserver" mit X konkreten Schritten, oder "Windows-Client" etc. Gerade für kleinere Organisationen kann Grundschutz ein guter Leitfaden sein, was alles bedacht werden sollte. Es priorisiert auch Massnahmen (Muss/Soll/Kann). Grundschutz modernisiert sich kontinuierlich und integriert z.B. Cloud-Themen. Unternehmen können ein Grundschutz-Zertifikat erlangen (wenn auch in Praxis seltener geworden, ISO bevorzugt). - **CIS Controls:** Die Center for Internet Security publizieren eine Liste der “Top 18” Controls (früher 20). Das ist eine priorisierte Sammlung grundlegender Massnahmen, die nach Pareto-Prinzip (80/20) viel Risiko reduzieren. Ganz oben stehen z.B. Asset Management (man kann nur schützen, was man kennt), Secure Configurations, Vulnerability Management (Schwachstellenscanner), Access Control etc. CIS Controls sind sehr pragmatisch. Sie eignen sich gut, um schrittweise Security aufzubauen – Control 1 & 2 (Inventar) zuerst, etc. - **Branchenspezifische Standards:** Für PCI-DSS (Kreditkartendaten) gelten strenge technische Vorgaben (z.B. kein Storage von unsicheren Auth-Daten, regelmässige Netzwerkscans). Für medizinische Geräte gibt es FDA-Empfehlungen. Versorger in DE folgen B3S (Branchenspezifische Sicherheitsstandard). Wichtig ist: die Kernideen überschneiden sich – es geht immer um Schutzbedarf erkennen und passende Massnahmen aus den oben genannten Pools umsetzen. Best Practices lassen sich zusammenfassen in dem Konzept der „Mehrschichtigen Verteidigung“ (Defense in Depth): Kein einzelnes Mittel ist genug, aber viele Hürden zusammen machen es Angreifern schwer. So sollte etwa ein Unternehmen davon ausgehen, dass Phishing mal jemanden erwischt (Schicht Mensch), aber dann greift MFA (technische Schicht), oder dass Malware ins Netzwerk gelangt, aber dann segmentiert sich nicht ausbreiten kann, und so weiter. Resilienz entsteht durch Redundanz von Sicherheitsmassnahmen. ## Checklisten für Administratoren und Endnutzer Um konkrete Handlungsschritte abzuleiten, helfen kurze Checklisten. **Für System- und Netzwerkadministratoren / Security-Verantwortliche:** - Inventarisiere alle Geräte, Software und Dienste. (Du kannst nur schützen, was bekannt ist – Shadow IT vermeiden.) - Härte und aktualisiere Systeme regelmässig. (Patchpläne, Benchmark-Einstellungen umsetzen, nicht benötigte Funktionen deaktivieren.) - **Implementiere strikte Zugangskontrollen:** - Ein Konto pro Person, keine Shared-Accounts. - Admin-Konten getrennt vom normalen Account. - MFA auf alle Remote-Logins und wichtige Anwendungen. - Sichere deine Netzwerke ab: VLAN/Segmente einrichten, Firewall-Regeln minimal halten (Zero Trust Network Access Prinzip für interne Dienste prüfen). - Überwache aktiv Protokolle und Ereignisse: Richte SIEM (Security Information and Event Management)/Monitoring ein oder zumindest automatische Benachrichtigungen bei verdächtigen Ereignissen (z.B. AD (Active Directory): Anmeldungen ausserhalb Arbeitszeit bei sensiblen Accounts). - Teste Backups und Notfallpläne. Führe mindestens jährlich eine Notfallübung durch (Disaster-Recovery-Test). - Plane Incident Response: Halte Notfallkontakte (z. B. Incident-Response-Dienstleister:innen, Digitalforensiker:innen) bereit. Schaffe im Voraus Klarheit, wer im Krisenfall Entscheidungen trifft. - Schule dein Team: Auch Administrator:innen brauchen Fortbildung – etwa zu neuen Angriffsmethoden (z.B. Cloud-Security, Container-Security). Bleib informiert (CERT-Meldungen, CVE-News). - Kontrolliere Dienstleister:innen: Wenn IT ausgelagert ist, definiere Sicherheitsanforderungen vertraglich (z.B. MSPs sollen MFA nutzen, Patches zeitnah einspielen usw.). Frag nach Zertifikaten oder Auditberichten. **Für Endanwender:innen (Mitarbeitende und Privatnutzende):** - Sei skeptisch bei E-Mails und Links: Öffne keine Anhänge oder Klicks unbedacht – besonders wenn die Mail unbekannt, alarmierend oder „zu gut, um wahr zu sein“ wirkt. Im Zweifel IT/Security fragen. - Verwende starke, einzigartige Passwörter: Nutze einen Passwortmanager, um komplexe Passwörter zu generieren und nicht wiederzuverwenden. Aktiviere MFA überall, wo verfügbar (E-Mail, Social Media, Banking usw.) – das ist ein entscheidender zusätzlicher Schutz [fortinet.com](https://www.fortinet.com/de/resources/cyberglossary/what-is-hacking). - Halte dein System und Programme aktuell: Installiere Updates zeitnah – viele Angriffe missbrauchen längst gefixte Lücken. Insbesondere Browser, PDF-Reader, Office immer aktuell halten. - Installiere nur vertrauenswürdige Apps/Software: Lade Software möglichst von offiziellen Quellen/App-Stores. Misstraue unbekannten Tools, auch wenn sie nützlich scheinen (Trojanergefahr). - USB-Sticks und externe Medien vorsichtig behandeln: Fremde USB-Sticks nie einfach einstecken – sie könnten manipuliert sein (BadUSB). Wenn nötig, vorher von IT prüfen lassen. Im Unternehmen gelten oft Policies, diese beachten. - Sicher im Internet: Verwende wo möglich verschlüsselte Verbindungen (WLAN mit WPA2/3, HTTPS-Seiten). Meide offene WLANs – wenn doch, dann nur mit VPN. Prüfe bei Websites, ob die Adresse echt ist (gerade bei Login- oder Bezahlsites). - Keine überhöhten Rechte nutzen: Arbeite im Alltag nicht mit Administratorrechten auf deinem PC. Installationen nur, wenn erforderlich und von der IT freigegeben. - Datensicherungen auch privat machen: Gerade persönliche Fotos oder Dokumente regelmässig extern sichern (z.B. auf externer Festplatte). So bist du gewappnet, falls Malware zuschlägt oder das Gerät kaputtgeht. - Im Zweifel: melden! Lieber einmal mehr den IT-Sicherheitsbeauftragten anrufen, wenn etwas ungewöhnlich erscheint (z.B. Pop-up von „Ihr PC ist infiziert, rufen Sie Microsoft an“ – das ist Fake!). Schnelles Melden kann Schaden verhindern. Unternehmen sollten eine Meldekultur fördern, in der kein Vorfall vertuscht wird. Durch Befolgung dieser Punkte wird das „Grundrauschen“ der Angriffe – das täglich auf jeden einprasselt – bereits stark eingehegt. Natürlich gibt es keine absolute Sicherheit, aber das Ziel ist, zumindest lässliche Lücken zu schliessen und einem Angreifer das Leben so schwer wie möglich zu machen. --- ## Fallstudien und Lessons Learned Um zu illustrieren, wie die beschriebenen Angriffe in der Praxis ablaufen und was man daraus lernen kann, betrachten wir einige reale Fälle: ## Fallstudie 1: Stuxnet – Angriff auf eine Uran-Anreicherungsanlage (2010) Was ist passiert? Stuxnet war ein hochkomplexer Wurm, vermutlich entwickelt von USA/Israel, um Irans Atomprogramm zu stören. Der Wurm nutzte vier Zero-Day-Exploits in Windows sowie gestohlene Zertifikate, um sich unbemerkt zu verbreiten [fortinet.com](https://www.fortinet.com/blog/industry-trends/evolution-of-cyber-threats-in-ot-environments). Er infizierte per USB-Stick (Evil Maid-Szenario) zunächst Windows-Rechner und verbreitete sich im internen Netzwerk. Stuxnets besondere Payload zielte auf Siemens Step7 SCADA-Systeme und dort auf die SPS-Steuerungen der Uran-Zentrifugen. Er veränderte die Drehzahl dieser Hochgeschwindigkeitsmaschinen subtil so, dass sie Schaden nahmen, während er den Monitoring-Systemen normale Werte vorgaukelte. Über Monate wurden so ~1000 von 5000 Zentrifugen zerstört, was Irans Programm zurückwarf. Schwachstellen ausgenutzt: Fehlende Segmentierung zwischen Büroumgebung und Produktionsnetz; Nutzung von Windows XP mit vielen ungepatchten Lücken; kein aktueller Virenschutz, der solche raffinierte Malware hätte erkennen können; unzureichende Kontrolle von Wechseldatenträgern (USB). Folgen: Physischer Schaden an Industrieanlagen, internationaler Zwischenfall, der zeigte, dass Cyberangriffe sehr reale Wirkungen haben können. Für Iran wirtschaftlicher Schaden und Prestigeverlust. Für die Welt: eine neue Ära, in der Cyberwar kein theoretisches Konzept mehr war. Was hätte geholfen? Strikte Netz-Trennung von sensiblen SCADA-Systemen (idealerweise vollständig offline halten oder nur unidirektionale Gateways verwenden). Einsatz von Whitelisting auf SCADA-Workstations (nur erlaubte Code, damit fremde Software wie Stuxnet gar nicht läuft). Physische Zugangskontrollen – Wer kann USB einstecken? Evtl. mechanische Portsperren. Regelmässige Updates – einige der genutzten Windows-Lücken wurden nach Stuxnets Entdeckung gepatcht, aber bevor er entdeckt wurde, war es Zero-Day, also schwer. Lessons Learned: Selbst als isoliert geglaubte Systeme sind angreifbar („Air gap“ lässt sich mit gezielter Sabotage überbrücken). Man muss davon ausgehen, dass Angreifer mehrere Lücken kombinieren. Wichtig: Überwachungsmechanismen in OT könnten Anomalien erkennen (z.B. warum ändert SPS X plötzlich Parameter?). Stuxnet führte letztlich zu einer verstärkten internationalen Aufmerksamkeit auf ICS-Security – z.B. gründeten viele Länder ICS-CERTs. ## Fallstudie 2: NotPetya – Der beispiellos verheerende Cyberangriff (2017) Was ist passiert? NotPetya war eine Malware, die am 27. Juni 2017 in der Ukraine begann. Sie tarnte sich als Ransomware (Forderung nach Bitcoin), war aber so destruktiv, dass Wiederherstellung kaum möglich war – daher gilt sie als Wiper. Infektionsweg: Ein trojanisiertes Software-Update der ukrainischen Buchhaltungssoftware MeDoc – ein typischer Supply-Chain-Angriff [istari-global.com](https://istari-global.com/insights/spotlight/re-cap-the-untold-story-of-notpetya-the-most-devastating-cyberattack-in-history/). Nach Start auf einer Maschine verbreitete sich NotPetya wormartig weiter: via EternalBlue-Exploit (wie WannaCry) und via Credential Harvesting (lokale Passwörter/Hashes auslesen und mit PsExec/WMI auf andere Rechner springen). In Stunden waren zahlreiche ukrainische Firmen und Behörden lahmgelegt (Flughafen, Banken, Energie). Doch NotPetya blieb nicht lokal: globale Firmen, die in der Ukraine Niederlassungen oder Geschäfte hatten (und MeDoc installiert), wurden mitgetroffen – etwa der Logistikkonzern Maersk, der 49 000 PCs und tausende Server neu aufsetzen musste. Schaden > 10 Mrd. USD weltweit, Maersk selbst ~300 Mio. Schaden [cyberranges.com](https://cyberranges.com/how-did-notpetya-cost-businesses-over-10-billion-in-damages/), FedEx ähnlich hoch. Schwachstellen ausgenutzt: Unsicheres Update beim Softwarehersteller (Supply Chain), fehlende Patches für EternalBlue (bekannt seit März 2017, aber manche hatten nicht aktualisiert), schwache Netzwerksegmentierung – Maersk z.B. musste gesamtes Netzwerk herunterfahren, weil es sich überallhin verbreitete. Keine MFA (Multi Faktor Authentifizierung)/Netzwerkfilter, die die interne Ausbreitung gebremst hätten. Teilweise fehlende Offline-Backups – bei Maersk war interessant: Alle Domain Controller waren verschlüsselt, doch eine Niederlassung in Afrika war offline wegen Stromausfall und hatte ein DC-Image – dieses Zufallsglück half der Wiederherstellung (dies zeigt: Offline-Kopie rettet den Tag). Folgen: NotPetya gilt als bislang teuerster Cyberangriff. Politisch spannte es die Lage zwischen Ukraine und Russland weiter an; einige NATO-Staaten verurteilten es als völkerrechtswidrigen Angriff. Unternehmen lernten schmerzhaft, dass Cyberangriffe systemische Risiken bergen: Ein einziger infizierter Laptop in Kiew konnte global eine Firma stilllegen. Versicherungen gerieten in Streit, ob es „kriegerischer Akt“ war (und damit Ausschluss von Zahlung). Was hätte geholfen? Konkrete Learnings: - **Application Whitelisting:** MeDoc-Software hätte vielleicht erkannt werden können, als sie ungewöhnliche Aktionen machte. - **Patch-Disziplin:** Wer SMBv1/EternalBlue gepatcht hatte, blieb vom Wurmteil verschont (einige Firmen in der Ukraine waren immun, weil sie aus WannaCry gelernt hatten). - **Netzwerktrennung:** Firmen sollten auslandsübergreifende Flat Networks überdenken. Maersk baute danach um, mit separaten Zonen, um so eine Kaskade zu verhindern. - **Backup & Recovery:** Die absolute Wichtigkeit zeigte sich – Maersk war dabei vorbildlich in Reaktion: innerhalb 10 Tagen aus komplettem AD-Loss zurück zu 95% Betrieb – das gelingt nur mit Krisenübung und guten Backups (glückliche Umstände hinzukommend). - **Supply Chain Risk Management:** Vertrauen ist gut, Kontrolle besser. Firmen könnten fordern, dass Drittsoftware nur signierte Updates ausliefert (MeDoc hatte signiert, aber Key war auch kompromittiert – schwerer Fall). Minimierung: Kritische Systeme sollten nicht Software von riskanten Quellen nutzen oder diese streng isolieren. Lessons Learned: Cyberangriffe können überschiessende Effekte haben, die nicht intendiert waren (NotPetya war wahrscheinlich gegen die Ukraine gerichtet, verursachte aber einen globalen Kollateralschaden). Unternehmen sollten annehmen: Wenn eine Nation State Malware frei wird, könnte sie mich treffen, egal ob ich Ziel war oder nicht. Das unterstreicht die Bedeutung von robusten Basismassnahmen – NotPetya war technisch nicht hyper-innovativ (exploits+creds), es war die Kombination und Geschwindigkeit. Resilienz (Weiterfunktion trotz Angriff) wurde zum Schlagwort nach 2017. ## Fallstudie 3: Colonial Pipeline – Ransomware gegen kritische Infrastruktur (2021) Was ist passiert? Am 7. Mai 2021 bemerkte Colonial Pipeline Company, dass sie Opfer einer Ransomware geworden war [cisa.gov](https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years). Der Angriff (zugeschrieben der Cybercrime-Gruppe DarkSide) betraf die IT-Systeme der Firma – u.a. Abrechnung und zentrale Server [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). Aus Vorsicht wurde der Pipeline-Betrieb komplett gestoppt, da man nicht sicher war, ob OT-Systeme (Operational Technology) betroffen waren. Dies führte an der US-Ostküste binnen einem Tag zu Panikkäufen von Benzin und teils zu Versorgungsengpässen. Die US-Regierung rief den Notstand aus. Colonial bezahlte nach zwei Tagen ~75 Bitcoin (~4,4 Mio $) Lösegeld und erhielt ein Entschlüsselungstool (das aber sehr langsam war) [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). Innerhalb von 5 Tagen konnte die Pipeline wieder anlaufen. Später konnte das FBI einen Teil der Bitcoin zurückverfolgen und sicherstellen. Angriffsvektor: Ein geleaktes VPN-Passwort war das Einfallstor – zu einem VPN-Account, der vermutlich nicht mehr genutzt wurde, aber noch aktiv war, und der keine MFA hatte [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). Dieses Passwort war in einem früheren Datenbank-Leak im Internet publiziert. Offenbar hatte ein Mitarbeiter dasselbe Passwort woanders verwendet (Credential Reuse). Die Angreifer nutzen diese Zugangsdaten, gelangten ins interne Netz und konnten Ransomware ausrollen. Es wird angenommen, dass sie erst Daten exfiltrierten (100 GB an Daten) [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know) und dann die Verschlüsselung starteten. Folgen: Colonial Pipeline war 5 Tage offline – wirtschaftlicher Schaden direkt war moderat (vielleicht einige zehn Millionen), aber der Reputationsschaden enorm. Der Vorfall verdeutlichte, wie verletzlich kritische Infrastruktur durch indirekte IT ist. Politisch führte er zu einem grossen Push für OT-Security: In den USA wurde Cybersecurity zur Chefsache und neue Regulierungen (TSA-Richtlinien (US-Bundesbehörde für Transportsicherheit) für Pipelines) kamen. Für die Ransomware-Szene war es auch einschneidend – DarkSide schaltete sich kurz danach ab (wohl aus Angst vor Strafverfolgung), tauchte aber als BlackMatter später wieder auf. Was hätte es verhindert? - **Multi-Faktor-Authentifizierung auf VPN-Zugang:** Das allein hätte wohl die Attacke vereitelt – selbst mit geleaktem Passwort hätten die Täter nicht rein können [techtarget.com](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know). - **Netzsegmentierung zwischen IT und OT:** Pipeline-Betrieb wurde vorsorglich gestoppt, weil man unsicher war. Wäre OT streng getrennt gewesen, hätte eine IT-Ransomware nicht direkt die Pipeline stillgelegt (Colonial stoppte aber v.a., weil die Abrechnung und Überwachung betroffen war, was den Betrieb riskant machte). - **Asset Management & Deaktivierung alter Accounts:** Offensichtlich gab es aktive Accounts, die nicht in Gebrauch waren. Ein guter IAM-Prozess (Identity and Access Management) hätte ungenutzte Zugänge entfernt oder bemerkt. - **Offsite Monitoring:** Eventuell hätte ein SOC (Security Operations Center) einen ungewöhnlichen VPN-Login bemerkt. Lessons Learned: Basics wie Passworthygiene und MFA sind kritisch, selbst für grosse Firmen. Man sieht, ein simpler Fehler (Passwortreuse) kann nationales Ausmass haben. Diese Fallstudien machen deutlich: Oft sind es bekannte Schwachstellen, die ausgenutzt werden (kein MFA, offener Updateprozess, unsichere Standardsoftware). Viel Schaden liesse sich vermeiden, wenn grundlegende Massnahmen implementiert und tatsächlich auch konstant angewendet werden. Gleichzeitig sieht man: Perfekte Sicherheit gibt es nicht. Daher ist neben Prävention die Reaktionsfähigkeit essenziell. Unternehmen, die schnell reagieren und wiederherstellen können, kommen mit einem blauen Auge davon – wer unvorbereitet ist, erleidet katastrophale Ausfälle. --- ## Lücken, offene Forschungsfragen und Ausblick Abschliessend blicken wir auf zukünftige Entwicklungen und verbleibende Herausforderungen: - **Neue Technologien = neue Angriffsflächen:** Cloud Computing und Containerisierung verlagern zwar Verantwortung an grosse Provider, aber bringen z.B. Konfigurationsfehler als grosse Gefahr (Beispiel: Millionen S3-Buckets (Amazon Simple Storage Service) waren jahrelang falsch öffentlich lesbar, was zu zahlreichen Datenlecks führte). Container isolieren Applikationen, doch es gibt Attacken auf Container-Ebene (Escape in Host, z.B. durch unsichere Docker-Socket-Freigabe). Serverless und API-first Ansätze bedeuten, dass APIs zunehmend Ziel werden – 2023 gab es vermehrt API-spezifische Sicherheitsvorfälle (Unsichere Auth in API führte zu Massen-Data-Leak). Für all das entstehen zwar Tools (z.B. Cloud Security Posture Management), aber die Komplexität steigt. - **Quantencomputing und Post-Quantum-Krypto:** Es bleibt eine drängende Forschungs- und Implementierungsaufgabe quantenresistente Kryptografie einzuführen, bevor leistungsfähige Quantenrechner da sind. NIST (US National Institute of Standards and Technology) hat 2022/2024 Standards veröffentlicht [en.wikipedia.org](https://en.wikipedia.org/wiki/NIST_Post-Quantum_Cryptography_Standardization), nun müssen Produkte (VPN, TLS, Hardware-Security) angepasst werden. Parallel forscht man an quantensicheren Protokollen. Eine Unwägbarkeit: Wann genau wird QC praktisch relevant? Es könnte überraschende Durchbrüche geben – daher Prinzip „so schnell wie möglich umstellen“ (aber das ist logistisch ein Mammutakt – z.B. alle Public Keys in der Welt austauschen). **KI in Angriff und Verteidigung:** - **Auf Angreiferseite:** KI kann Phishing skalieren und personalisieren (man generiert z.B. 1000 Varianten einer CEO-Fraud-Mail mit dem gleichen Stil wie echte Mails des Chefs). Deepfake-Voices könnten in 2-Faktor-Anrufen Banken oder Helpdesks täuschen („Hallo, hier ist der CEO, ich hab meinen Token verloren...“). Malware kann KI nutzen, um beispielsweise dynamisch Signaturen zu verändern (Polymorphismus). Allerdings brauchen viele dieser Ansätze noch menschliche Steuerung – KI macht es eher effizienter. - **Auf Verteidigerseite:** KI/ML wird in Anomalieerkennung, Benutzerverhaltensanalyse (UEBA) und Threat Hunting eingesetzt. Die Gefahr ist Overhype: KI ist kein Zauberstab, sie produziert False Positives und kann von geschickten Angreifern getäuscht werden (Adversarial ML). Dennoch dürften Sicherheitsprodukte immer mehr ML-Komponenten beinhalten. - **Angriff auf KI-Systeme:** Falls Unternehmen KI-Modelle einsetzen (etwa zur Betrugserkennung, Bildauswertung etc.), entstehen neue Angriffsarten: Datenmanipulation um Modelle zu beeinflussen, Model-Stealing (die KI ausspionieren), oder adversarial examples (Eingaben, die das Modell gezielt fehlleiten). Dies ist ein junges Forschungsfeld. Besonders relevant wird es z.B. für autonome Fahrzeuge (Schildererkennung täuschbar?) oder für Gesichtserkennung (Maskierung, um KI auszutricksen). - **Angriffe auf die Lieferkette – noch komplexer:** Wir haben Supply-Chain bereits behandelt. Die Prognose: Diese Angriffe werden zunehmen, da unsere IT immer modularer wird (Open-Source-Bibliotheken, SaaS-Dienste etc.). Die ENSA (EU Cyber Agency) warnte 2022, dass Supply-Chain-Attacken um ~300 % zugenommen haben. Hier sind auch politische Massnahmen im Gange: z.B. der EU Cyber Resilience Act will Hersteller verpflichten, für die Security ihrer Produkte zu sorgen, inkl. Updatepflicht. Das ist ein Versuch, die Schraube am Ursprung anzusetzen. - **Ransomware-Evolution:** Leider bleibt Ransomware lukrativ. Banden professionalisieren sich weiter, suchen neue Druckmittel (z.B. DoS gegen Opfer, falls diese nicht zahlen; gezielte Suche nach Cyberversicherungen in den Daten, um zu wissen, wie viel Deckung da ist). Möglich, dass Kritische Infrastruktur weiter ins Visier gerät, trotz politischem Tabu – Kriminelle haben gesehen, dass Payment-Bereitschaft bei essentieller Dienstleistung hoch sein kann (Colonial Pipeline). Hier wird es auf internationalen Druck ankommen, diese Gruppen zu verfolgen (Diverse Festnahmen 2021/22 zeigen Wirkung). Technisch könnten neue Angriffe Ransomware koppeln mit z.B. ICS-Sabotage (Industrial Control Systems) für maximalen Effekt. - **IoT und OT bleiben Sorgenkinder:** Die Zahl IoT-Geräte wächst, aber Security-Mechanismen wachsen nicht proportional mit. Viele IoT sind in Feld nicht updatebar (legacy). Gleichzeitig dringt 5G und Vernetzung tiefer in Fabriken und Städte (Smart City) ein – die Angriffsfläche für OT-weite Attacken steigt. Konzept Zero Trust sollte hier verankert werden: auch internen Geräten nie voll vertrauen, immer authentifizieren und segmentieren. Forschung in automatischer Anomalieerkennung in OT (da deterministische Prozesse) ist aktiv, es ist aber schwierig, Fehlalarme zu vermeiden. - **Usable Security & menschliche Faktoren:** Trotz Tech-Fortschritt werden Menschen weiter involviert sein – hier liegt noch viel Potenzial, Sicherheitsprozesse benutzerfreundlicher zu gestalten. Bsp: Passwörter sind nach wie vor ein Übel; evtl. setzen sich passwortlose Authentifizierungen (FIDO2/WebAuthn) flächendeckend durch, was Phishing und Brute-Force fast obsolet machen könnte. Security by Design in Software muss auch bedeuten: Secure Defaults, damit der Mensch gar nicht mehr so viel falsch machen kann (z.B. Cloud-Storage per Default privat statt öffentlich). - **Herausforderung Detektion:** Angreifer werden in einigen Bereichen so raffiniert (und ggf. KI-unterstützt), dass sie sehr „low and slow“ vorgehen – wenige Auffälligkeiten über lange Zeit (APT). Auch Supply-Chain-Angriffe sind schwer entdeckbar, weil sie im Kontext legitimer Updates passieren. Hier muss Security Intelligence noch besser werden. Eventuell wird zukünftig Cyber-Deception stärker genutzt – d.h. es werden absichtlich Fallen gestellt (Honeypots, Honigdateien), um Angreifer aus der Reserve zu locken. - **Compliance vs. Security:** Eine offene Frage ist auch, wie man das statische „Complianceschneckentempo“ (Jahre bis ISO-Audit) mit der dynamischen Threat-Landschaft in Einklang bringt. Eine Regulierung kann das Mindestniveau heben, aber Agilität und aktuelle Threat Intelligence müssen in Unternehmen verankert sein. Eventuell werden in Zukunft Echtzeit-Reporting-Pflichten kommen (EU NIS2 fordert z.B. Meldung binnen 24h bei Vorfällen) – das zwingt Organsiationen, besser vorbereitet zu sein. **Empfehlungen für die Zukunft:** - **„Secure by Default“ als Leitmotiv:** Hersteller sollen Produkte ausliefern, die im Auslieferungszustand sicher sind (Standardnutzer/Passwort kein „admin/admin“, alle Dienste dicht ausser benötigte). Das entlastet Nutzer. - **Sicherheitskultur auf Management-Ebene:** Cyberrisiko ist Geschäftsrisiko und Schutz davor braucht Unterstützung von oben – Budget, Personal, Awareness. - **Automatisierung in Defense:** Angriffe automatisieren sich, Verteidiger sollten ebenfalls mehr Automation nutzen (Patchmanagement, Response-Playbooks via SOAR, etc.). - **Global Collaboration:** Cyberangriffe kennen keine Grenzen – Austausch von Informationen (Indicators of Compromise) und gemeinsame Übungen (z.B. NATO Locked Shields) werden wichtiger. - **Resilienz statt Verhinderung:** Man erkennt, dass kein Netz 100% dicht sein kann. Fokus muss darauf liegen, schnell zu erkennen und Schäden einzugrenzen (assume breach). Konzepte wie Zero Trust Architecture (nie vertrauen, ständig verifizieren) werden Standard werden, um selbst im Fall eines Einbruchs die Reichweite zu begrenzen. Die IT-Sicherheit der Zukunft muss sich auf ein permanentes Katz-und-Maus-Spiel einstellen, jedoch kann man mit konsequenter Umsetzung bekannter Kontrollen bereits 80–90% der opportunistischen Angriffe abwehren. Für die restlichen gezielten 10% braucht es Spezialmassnahmen und oft Hilfe von Profis. Wichtig ist, dass Sicherheit nicht als Projekt, sondern als Prozess verstanden wird – ständig anpassungsfähig an neue Gegebenheiten. Mit diesem Mindset und einem Mix aus Technik, Organisation und Bewusstsein ist man bestmöglich gerüstet, um auch die kommenden Herausforderungen der Cyber-Bedrohungslandschaft zu bewältigen. --- ## Literatur und Quellen (Auswahl der verwendeten und empfohlenen Quellen mit weiterführenden Informationen:) - **Proofpoint Threat Reference – „Was ist Hacking?“ (2022):** Deutsche Einführung und Übersicht zu Hacking-Arten [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). (Für grundlegende Begriffe und Geschichte.) - **Kaspersky Resource Center – „Was ist Hacking und wie verhindern“ (2021):** Verbraucherorientierte Erklärung, mit Beschreibung häufiger Methoden und Historie [kaspersky.de](https://www.kaspersky.de/resource-center/definitions/what-is-hacking). (Gut verständlich, deckt u.a. Social Engineering ab.) - **Fortinet Cyber-Glossar – „Was passiert bei einem Hackerangriff?“ (2023):** Umfangreicher Artikel mit Hacker-Typen, Zielen und Schutzmassnahmen [fortinet.com](https://www.fortinet.com/de/resources/cyberglossary/what-is-hacking). (Hilfreich für allgemeinen Überblick und einfache Tipps.) - **BSI – Lage der IT-Sicherheit in Deutschland 2023:** Jährlicher Bericht des Bundesamts, analysiert Bedrohungslage, Angriffsarten und Trends in Deutschland [bsi.bund.de](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html) [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). (Aktuelle Statistiken, z.B. zu Ransomware und DDoS.) - **ENISA Threat Landscape 2023:** Bericht der EU-Agentur, identifiziert Top-Bedrohungen (Ransomware #1, DDoS #2, Supply Chain etc.) und Entwicklungen [cm-alliance.com](https://www.cm-alliance.com/cybersecurity-blog/11th-edition-of-the-enisa-threat-landscape-report-2023-top-findings). (Strategische Sicht EU-weit.) - **MITRE ATT&CK® Framework (aktuell 2023):** Online-Datenbank der TTPs (Tactics, Techniques, Procedures) von Angreifern [csoonline.com](https://www.csoonline.com/article/539916/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html). (Referenz, um Security-Massnahmen an Angriffsschritten auszurichten.) - **OWASP Top 10 (2021):** Auflistung der kritischsten Webanwendungsrisiken [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). (Webentwickler-„Must-Read“ inklusive Präventionsvorschläge.) - **CrowdStrike „Pass-the-Hash Angriffe“ (2022):** Deutscher Artikel über PtH und identitätsbasierte Angriffe [crowdstrike.com](https://www.crowdstrike.com/de-de/cybersecurity-101/cyberattacks/pass-the-hash-attack/). (Nützlich, um AD-Angriffe zu verstehen, inkl. Gegenmassnahmen wie Credential Guard.) - **Cloudflare Lernzentrum – Artikel zu CSRF, RCE etc. (2022):** Deutsche Erklärungen zu Webangriffen wie CSRF [cloudflare.com](https://www.cloudflare.com/de-de/learning/security/threats/cross-site-request-forgery/) und Remote Code Execution [cloudflare.com](https://www.cloudflare.com/de-de/learning/security/what-is-remote-code-execution/). (Gut für konkrete Definitionen und Abwehrmethoden.) - **Fastly Blog – Directory Traversal (2023):** Technischer Deep Dive zu Directory Traversal inkl. CVE-Beispiele [fastly.com](https://www.fastly.com/de/learning/application-attacks/what-is-directory-traversal). (Für tiefes Verständnis dieser oft unterschätzten Lücke.) - **Microsoft Security Response Center / NSA:** Guidance on Living-Off-the-Land (2020): Offizielle Leitfäden, wie man LoL-Angriffe erkennt und verhindert (z.B. Sysmon config von SwiftOnSecurity). (Hilft bei EDR-Feintuning.) - **NIST Cybersecurity Framework (2018):** Freie Publikation, gibt Rahmenwerk zur Implementierung von Identify/Protect/Detect/Respond/Recover. (Für Management und strukturierten Aufbau eines ISMS.) - **ISO/IEC 27001 2013/2022:** Internationaler Standard – gegen Gebühr erhältlich, aber viele sekundäre Quellen erklären Anforderungen. (Für Organisationen, die formales Sicherheitsmanagement wollen.) - **BSI IT-Grundschutz-Kompendium (Edition 2023):** Umfangreiche Sammlung von Bausteinen und Massnahmenkatalogen, frei verfügbar beim BSI. (Sehr praktisch orientiert, speziell für deutsche Institutionen.) - **CIS Controls v8 (Center for Internet Security, 2021):** PDF mit 18 Top-Sicherheitsmassnahmen, priorisiert. (Guter Fahrplan für „wo anfangen“.) - **Bruce Schneier’s Blog:** Renommierter Sicherheitsexperte, bloggt zu aktuellen Themen (z.B. Evil Maid Attack [schneier.com](https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html), IoT-Security etc.). (Für reflektierte Einschätzungen jenseits Marketing.) - **Wired:** „The Untold Story of NotPetya“ (Andy Greenberg, 2018): packende Reportage über den NotPetya-Angriff [wired.com](https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/). (Lesenswert, zeigt Zusammenhänge von Cyberwar und Kollateralschäden.) - **CSO Online / ComputerWeekly – diverse Definitionen:** z.B. Artikel „Was ist BadUSB?“ [csoonline.com](https://www.csoonline.com/article/3494717/was-ist-badusb.html), „Evil Maid Angriff“ [computerweekly.com](https://www.computerweekly.com/de/definition/Evil-Maid-Angriff) etc. (Gut für kurze Nachschlage-Definitionen auf Deutsch.) (Weiteres: siehe Glossar im nächsten Abschnitt sowie Praxisleitfäden in Form von CERT-Empfehlungen, Hersteller-Hardening-Guides, etc.) --- ## Glossar der wichtigsten Begriffe - **APT (Advanced Persistent Threat):** Hoch entwickelte, langfristige Angriffe meist durch staatliche oder professionelle Gruppen, die persistenten (andauernden) Zugriff auf ein Ziel anstreben. - **Botnetz:** Zusammenschluss vieler kompromittierter Computer (Bots), ferngesteuert von einem Botmaster. Oft genutzt für DDoS, Spam, Klickbetrug. - **Brute-Force:** Methode, Passwörter oder Schlüssel durch systematisches Ausprobieren aller Möglichkeiten zu ermitteln. - **CSRF (Cross-Site Request Forgery):** Angriff, der einen angemeldeten Benutzer dazu bringt, ungewollt eine Aktion in einer Webanwendung auszuführen [cloudflare.com](https://www.cloudflare.com/de-de/learning/security/threats/cross-site-request-forgery/). - **DDoS (Distributed Denial of Service):** Verteilter Dienstverweigerungsangriff, bei dem ein Zielserver durch eine Flut von Anfragen überlastet wird [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **Drive-by-Download:** Infektion allein durch Besuch einer kompromittierten Webseite, die automatisch Schadcode ausliefert (z.B. via Exploit Kit im Hintergrund). - **Evil Maid Attack:** Angriff, bei dem jemand mit physischem Zugang (z.B. Hotelzimmer-Reinigungskraft) ein Gerät manipuliert – etwa Bootloader verändern, Keylogger installieren [computerweekly.com](https://www.computerweekly.com/de/definition/Evil-Maid-Angriff). - **Exploit:** Stück Code oder Technik, die eine konkrete Schwachstelle ausnutzt, um ungewolltes Verhalten zu provozieren (z.B. Codeausführung, Rechteausweitung). - **Fileless Malware:** Schadsoftware, die keine Dateien ablegt, sondern im Arbeitsspeicher operiert und legitime Systemprogramme missbraucht (LotL-Prinzip). - **IoT (Internet of Things):** Gesamtheit internetfähiger „Dinge“ – von Haushaltselektronik bis Industrie-Sensoren – oft mit begrenzter Rechenleistung und Security. - **Kill Chain:** Modell der Phasen eines Angriffs (Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2, Actions) – dient der Analyse und Abwehrplanung [csoonline.com](https://www.csoonline.com/article/539916/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html). - **Living off the Land (LotL):** Nutzung bereits vorhandener Systemprogramme und -Funktionen für einen Angriff, anstatt eigene Dateien/Tools einzusetzen [digicomp.ch](https://digicomp.ch/blog/2021/12/20/was-sind-living-off-the-land-angriffe). - **MFA (Multi-Faktor-Authentifizierung):** Anmeldung mittels Kombination aus mindestens zwei Faktoren: Wissen (Passwort), Besitz (Token/Handy) oder biometrischem Merkmal. - **MITM (Man-in-the-Middle):** Angriff, bei dem sich der Angreifer zwischen zwei Kommunikationsteilnehmer schaltet, um Daten abzufangen oder zu manipulieren [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **Patch:** Software-Update, das Fehler, insbesondere Sicherheitslücken, behebt. Patches einspielen = updaten. - **Penetrationstest:** Simulierter Angriff durch Sicherheitsexperten, um Schwachstellen in einer Organisation aufzudecken. - **Phishing:** Täuschungsversuch via E-Mail/SMS/Telefon, um Nutzer zur Herausgabe sensibler Daten (Passwörter, Kreditkarten) oder zur Ausführung schädlicher Aktionen zu bewegen [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **Ransomware:** Erpressungstrojaner, der Daten verschlüsselt und Lösegeld verlangt [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **Rootkit:** Schadsoftware, die tief ins System (Kernel, Boot) eingebettet ist, um Kontrolle zu behalten und sich vor Entdeckung zu verstecken. - **SCADA/ICS (Supervisory Control and Data Acquisition / Industrial Control System):** Leitsysteme zur Überwachung und Steuerung industrieller Prozesse – gemeint sind OT-Systeme z.B. in Stromnetzen oder Fabriken. - **Session Hijacking:** Übernahme einer gültigen Sitzung (Session) eines Nutzers, z.B. durch Diebstahl des Session-Cookies [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **SIEM (Security Information and Event Management):** Zentrales System zur Sammlung und Auswertung von Log- und Sicherheitsereignisdaten, mit Alarmierungsfunktion. - **Smishing / Vishing:** Phishing per SMS (smishing) oder Voice Anruf (vishing). - **SOC (Security Operations Center):** Zentrale Sicherheitsleitstelle eines Unternehmens, wo Alerts überwacht und Incident Response koordiniert wird. - **SOCMINT:** Social Media Intelligence – Recherche und Ausnutzen von sozialen Netzwerken für Info-Gewinn (Angreifer nutzen z.B. öffentlich gepostete Infos für Spear-Phishing). - **Spear-Phishing:** Gezieltes Phishing mit personalisierten Inhalten, um bestimmte Personen hereinzulegen (z.B. CEO-Fraud Mails). - **SQL Injection:** Einschleusen von SQL-Befehlen in Eingabefelder einer Webapp, um unautorisierte DB-Befehle auszuführen [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **Threat Intelligence:** Aufklärung und Informationen über aktuelle Bedrohungen, Angreifergruppen, Schwachstellen – kann Feeds mit IOC (Indicators of Compromise) umfassen. - **Trojaner:** Schadprogramm, das sich als nützliche Anwendung ausgibt, aber verdeckt eine Schadfunktion ausführt (Backdoor, Diebstahl etc.). - **Vulnerabilität:** Schwachstelle in Software/Hardware, die potenziell durch einen Exploit ausnutzbar ist. - **WAF (Web Application Firewall):** Filtert und überwacht Web-Traffic zu Anwendungen, um Angriffe wie SQLi, XSS zu blockieren (Regelbasiert oder ML). - **Whaling:** Spear-Phishing, das auf besonders hochrangige Ziele abzielt („die grossen Fische“ wie Vorstände). - **XSS (Cross-Site Scripting):** Einschleusen von Skriptcode in Webseiten-Ausgabe, der im Browser anderer Nutzer läuft [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). - **Zero Day:** Bis dato unbekannte Schwachstelle (0 Tage bekannt), für die noch kein Patch verfügbar ist [proofpoint.com](https://www.proofpoint.com/de/threat-reference/hacking). (Anmerkung: Weitere Begriffe und Abkürzungen sind in den Fliesstexten erklärt; dieses Glossar konzentriert sich auf häufige Kernbegriffe.) --- ## Praxisleitfäden und Anlaufstellen - **BSI – Bundesamt für Sicherheit in der Informationstechnik:** Nationale Behörde in Deutschland. Website bietet grundschutz.informationssicherheit.de mit Katalogen, SiSyPHuS-Analysen (z.B. zu Windows 10 Telemetrie), und Warnungen zu aktuellen Sicherheitslücken. Die Allianz für Cyber-Sicherheit (ACS) bietet Webinare, und es gibt eine BSI-Bürger-Website mit einfachen Tipps. - **CERT-Bund:** Der Computer Emergency Response Team des Bundes (Deutschland), meldet Sicherheitsvorfälle und betreibt Warnservices (z.B. Bürger-CERT Newsletter mit aktuellen Warnungen vor Phishing, Viren). Webseiten: cert-bund.de, buerger-cert.de. - **Bundesamt für Cybersicherheit (BACS / NCSC.ch):** Ähnlich dem deutschen BSI fungiert das Nationale Cyber Security Centre (NCSC.ch) unter dem Dach des Bundesamts für Cybersicherheit BACS. Es ist die zentrale Anlaufstelle für den Bund, Unternehmen, Behörden und Privatpersonen, informiert über aktuelle Cyberbedrohungen, Meldepflichten, empfohlene Schutzmassnahmen, und bietet Materialien für ITFachleute, Verwaltungen und die Öffentlichkeit [a-sit.at+1bundeskanzleramt.gv.at+1](https://www.a-sit.at/en/secure-information-technology-center-austria/) [ncsc.admin.ch](https://www.ncsc.admin.ch/). - **GovCERT.ch (Nationales CERT der Schweiz):** Als betriebenes Element des NCSC.ch ist GovCERT.ch das offizielle Computer Emergency Response Team der Schweiz, zuständig für technische Incident Response, Analyse von Schwachstellen, Warnungen, Whitepapers sowie Koordination mit internationalen CERT-Strukturen. Es unterstützt Betreiber kritischer Infrastrukturen, Behörden und die Privatwirtschaft in allen Fragen zu Cybervorfällen, und veröffentlicht regelmässig technische Blogbeiträge, IOCs, Empfehlungen und Musterlisten [ncsc.admin.ch](https://www.ncsc.admin.ch/ncsc/en/home/infos-fuer/infos-it-spezialisten/informationen-govcert.html). - **Bundeskanzleramt – Cybersecurity, NISOffice & GovCERT Austria:** Die Cybersecurity-Abteilung des Bundeskanzleramts (Posten I/8) übernimmt die strategische Koordination von Cybersicherheit in der öffentlichen Verwaltung, einschliesslich der Umsetzung der EU-NIS-Richtlinie und gesetzlicher Pflichten. Sie betreibt das Government Computer Emergency Response Team (GovCERT Austria) gemeinsam mit CERT.at. GovCERT ist verantwortlich für technische Analysen, Incident Response und Warnveröffentlichungen bei sicherheitskritischen ICT-Vorfällen – vergleichbar mit CERT-Bund, jedoch mit zusätzlicher Zuständigkeit für NIS-Themen und Behörden-Netzwerke [bundeskanzleramt.gv.at+1CERT.at+1](https://www.bundeskanzleramt.gv.at/en/topics/cybersecurity/contact-points.html). - **CERT.at (Nationaler CERT) / Austrian Energy CERT (AEC)CERT.at:** Ist seit 2008 als nationaler CERT etabliert (inzwischen offiziell nach dem österreichischen NIS-Gesetz). Die Betreiberorganisation nic.at fungiert als nationale zentrale Anlaufstelle für IT-Sicherheitsvorfälle, Alerts, Warnungen, Workshops und Downloads, insbesondere für KMUs und Infrastrukturbetreiber. CERT.at koordiniert ausserdem sektorbezogene Teams – z. B. den Austrian Energy CERT (AEC) – und beteiligt sich aktiv an nationalem Cyber Crisis Management und Warn sowie Awareness-Kampagnen für die Wirtschaft [CERT.at+1bundeskanzleramt.gv.at+1](https://www.cert.at/en/about-us/overview/). - **ASIT – Zentrum für sichere Informationstechnologie:** Als ökonomisch-öffentliche Instanz bietet ASIT in Österreich IT-Sicherheitszertifizierungen (z. B. nach eIDAS), Fundierte Gutachten, und entwickelt Sicherheitsstandards und Bewertungslabels (z. B. „Cyber Trust Austria“), die als barrierearme Alternative zu ISO-27001 verwendet werden können. ASIT arbeitet eng mit dem Bundeskanzleramt, altersgemässen Institutionen und Behörden zusammen und bietet technische Unterstützung im Rahmen der nationalen Cyberstrategie [CERT.at+2a-sit.at+2bundeskanzleramt.gv.at+2](https://www.a-sit.at/en/secure-information-technology-center-austria/). - **ENISA – European Union Agency for Cybersecurity:** Veröffentlich Reports (Threat Landscape), Good Practice Guides (z.B. Cloud Security for SMEs), und organisiert Cyber-Übungen. Website enisa.europa.eu. - **FIRST und internationale CERTs:** FIRST.org ist der Zusammenschluss globaler CERTs – z.B. CERT-EU (für EU-Organe), US-CERT/CISA (USA), GovCERT.ch (Schweiz) etc. Deren Websites oft mit Alerts und Tech-Infos. - **NIST (National Institute of Standards and Technology, USA):** Freie Publikationen, z.B. SP 800-63 (Digital Identity Guidelines), SP 800-53 Rev.5 (Security Controls Catalogue), Cybersecurity Framework. csrc.nist.gov ist das Cybersecurity Center. - **ISO:** Wichtigste Norm ISO/IEC 27001 (ISMS). Ressourcen via iso27001security.com oder deutsch über IT-Grundschutz-Übersetzungen. Offizielle Normtexte kosten Geld. - **CIS (Center for Internet Security):** cisecurity.org – bietet CIS Benchmarks (Hardening-Anleitungen für Windows, Linux, Cisco usw.) und die CIS Controls. Benchmarks sind detaillierte Checklisten pro System. - **OWASP:** owasp.org – neben Top 10 auch viele Projektseiten: z.B. ASVS (Application Security Verification Standard – Checkliste für sichere Webentwicklung), Cheat Sheet Series (konkrete Entwicklungsrichtlinien), ZAP (Testing-Tool). Lokale OWASP-Chapters bieten oft Austausch. - **SANS Institute:** sans.org – viel Info für Profis: Top 25 Software Errors (gemeinsam mit MITRE), Lesenswert ist „SANS Reading Room“ mit frei zugänglichen Whitepapers von Fachleuten zu diversen Security-Themen. - **Hersteller-Dokumentationen:** Microsoft hat umfangreiche Guides (z.B. Microsoft Security Baselines, Azure Security Center best practices). Auch z.B. Google Cloud Security Best Practices online. Diese lohnen, wenn man in jeweilige Plattform tiefer einsteigt. - **Buch-Empfehlungen:** „Hacking – die Kunst des Exploits“ von Jon Erickson (für technische Exploit-Entstehung), „IT-Sicherheit: Risiko- und Management“ (Pohlmann) für ganzheitlichen deutschen Überblick, „The Hacker Playbook“ (von P. Kim) für praktische Pentest-Tipps. - **Schulungsplattformen:** Für praktisches Lernen – z.B. HackTheBox, TryHackMe (Hands-On-Hacking in virtuellen Laboren); OWASP Juice Shop (verwundbare Webapp zum Üben); VulnHub (VM-Images mit Schwachstellen). - **Community & News:** Aktuelle Entwicklungen verfolgen via Blogs (Krebs on Security, Heise Security für deutsch Nachrichten, Schneier), Podcasts (Log4Shell Podcast, Darknet Diaries), Twitter/LinkedIn folgen (bekannte Researcher, z.B. @malwaretech). Auch Branchen-CERTs (Telekom CERT bloggt viel, CERT.at etc.). - **Notfallkontakte:** Wenn doch etwas passiert: BKA hat Zentrale Ansprechstellen Cybercrime (ZAC) für Wirtschaft; Allianz für Cyber-Sicherheit bietet eine Notfall-Liste mit Incident Response Dienstleistern; bei Verschlüsselung können Dienste wie NoMoreRansom.org helfen (Entschlüsselungstools für bekannte Ransomware). (Diese Liste ist nicht abschliessend, aber bietet einen Ausgangspunkt, um tiefer in die Materie einzusteigen oder im Bedarfsfall Unterstützung und Informationen zu erhalten.) --- ## Arbeitsteilung: Ich (Markus) habe, passend zur Fragestellung der Cyber Sicherheit von Markus Wagner AI, Wissen, Pläne und Gedanken gesammelt, habe diese durch meinen personalisierten KI-Assistenten Markus2 ausformulieren und ergänzen lassen, habe die Ausformulierung detailliert durchgearbeitet und in Zusammenarbeit mit Markus2 Sicherheitsmassnahmen für Markus Wagner AI implementiert. Nach dem letzten Feinschliff des Textes durch mich übernahm Markus2 die Übersetzung auf der Grundlage des deutschen Textes.