Unternehmensperspektive

Unterschätzen Sie nicht das Risiko durch Malware beim Diebstahl von Anmeldedaten

Ende 2018 habe ich über die verschiedenen Bedrohungen nachgedacht, die wir im Laufe des Jahres gesehen hatten, insbesondere in Europa. Dort kämpften Unternehmen gegen gezielte Angriffe von organisierten Hacker- und Cyberspionagegruppen. Doch noch eine andere Bedrohung fiel auf, die zahlreiche Unternehmen in nahezu jede Branche betraf. Viele tippen jetzt vermutlich auf Ransomware. Ransomware wird zwar weiterhin eingesetzt, aber wir konnten einen Rückgang verzeichnen. Dieser Trend begann Ende 2017 und ist seither relativ konstant.

Nein, ich meine Malware für den Diebstahl von Anmeldedaten. 2018 setzten Cyberkriminelle und andere Hacker diese Malware verstärkt ein, und zwar alle Varianten – von Anhängen in Phishing-E-Mails bis hin zu Exploit-Kits.

Vergleich zu anderen Malware-Kategorien

Die Analyse unserer DTI-Bedrohungsdaten (Dynamic Threat Intelligence) aus dem Zeitraum vom 1. Januar 2018 bis zum 31. Dezember 2018 ergab, dass beinahe 50 Prozent aller erkannten Bedrohungen in Europa auf Malware für den Diebstahl von Anmeldedaten fielen (Abbildung 1). Zu den Daten zählen auch Bedrohungen, die von den E-Mail- und Netzwerk-Appliances von FireEye gemeldet wurden.


Abbildung 1: Malware-Kategorien, die zwischen dem 1. Januar 2018 und dem 31. Dezember 2018 erfasst wurden

Eine neue Herausforderung in Europa

Malware für den Diebstahl von Anmeldedaten ist ein globales Problem und bedroht Unternehmen auf der ganzen Welt. Doch für Europa und insbesondere in den Mitgliedsstaaten der Europäischen Union (EU) stellt sie eine besondere Herausforderung dar, die wir auch 2019 im Auge behalten müssen. Ein Grund dafür ist, dass die EU sich einer langfristigen Digitalisierungsstrategie verschrieben hat. Diese umfasst verschiedene Projekte: Sie reichen von Hochgeschwindigkeitsverbindungen über Interaktionsmöglichkeiten der EU-Bürger mit den jeweiligen staatlichen Stellen bis hin zu Online-Geschäften für Unternehmen und Bürger in der EU.


Grafik: DESI 2018 Ranking

Durch eine bessere Internetanbindung wird allerdings auch die Angriffsfläche für Cyberkriminelle vergrößert. Insbesondere die zunehmende Digitalisierung öffentlicher Behörden könnte das Interesse der Hacker wecken, da sie dort Anmeldedaten und potenziell vertrauliche Informationen stehlen könnten, die über Webportale übermittelt werden.

Potenzielle Gefahren

Bisher wurde Malware für den Diebstahl von Anmeldedaten vor allem bei Kunden von Finanzdienstleistern eingesetzt, doch die größere Verbreitung 2018 deutet darauf hin, dass zukünftig auch Anmeldedaten für EU-Systeme – wie beispielsweise bei staatlichen Stellen, im Gesundheitswesen, bei Gehaltszahlungssystemen und anderen Systemen mit vertraulichen Daten – in Malware-Konfigurationsdateien zum Einsatz kommen werden. Weitere wichtige Punkte:

  • 2018 haben verschiedene Hackergruppen nicht nur größere Mengen gestohlener Anmeldedaten zum Verkauf angeboten, sondern auch direkten Zugriff auf Unternehmensinfrastrukturen.
  • Die Malware-Varianten für den Diebstahl von Anmeldedaten wurden im Laufe der Jahre ergänzt, um auch große Online-Händler, Glücksspiel-Websites und andere Websites außerhalb der Finanzbranche angreifen zu können.
  • In Bezug auf Cyberspionage ist es für einen Hacker unter Umständen lohnenswerter, den Zugriff auf gestohlene Daten oder auf die Infrastruktur eines Unternehmens zu kaufen. Auf diese Weise spart er sich die ersten Schritte eines Angriffs.

In unserem  M-Trends Report 2018 haben wir auch auf die fehlenden grundlegenden Sicherheitsmaßnahmen hingewiesen. Das Identitäts- und Zugriffsmanagement stellen für viele Unternehmen immer noch eine Herausforderung dar. Da die Multi-Faktor-Authentifizierung noch nicht sehr weit verbreitet ist, haben Hacker mit ihrer Malware leichtes Spiel: Sie greifen zahlreiche Anmeldedaten ab und erhalten so Zugriff auf Systeme mit vertraulichen Daten.

Wir haben bereits zahlreiche Berichte und Blogbeiträge veröffentlicht, in denen wir erklärt haben, wie Hacker – von organisierten Cyberkriminellen bis zu Cyberspionagegruppen – legitime Anmeldedaten bei ihren Angriffen einsetzen. Einige Beispiele:

  • 2014 veröffentlichten wir Informationen zur finanziell motivierten Hackergruppe FIN4, die mithilfe von Spear-Phishing-E-Mails legitime Anmeldedaten stahl und sich auf diesem Weg Zugriff auf Informationen zu Fusionen und Übernahmen verschaffte.
  • Im Oktober 2015 veröffentlichten wir unsere Erkenntnisse zu einer Hackergruppe, die wir FIN5 nannten. Diese Cyberkriminellen griffen Zahlungssysteme an und verschafften sich Zugriff auf Kreditkartendaten. Dazu nutzten sie legitime Anmeldedaten, die sie zuvor gestohlen hatten.
  • Im April 2016 veröffentlichten wir einen Bericht zu FIN6. Ähnlich wie FIN5 nutzte die Gruppe legitime Anmeldedaten für Angriffe auf Kassensysteme (PoS-Systeme), um aus deren Speichern Kreditkartendaten zu stehlen.

Fazit

Andere Malware-Varianten wie Ransomware machen zwar häufiger Schlagzeilen, aber meiner Ansicht nach sollten Unternehmen und staatliche Stellen verstärkt auf die Gefahr durch Malware für den Diebstahl von Anmeldedaten achten. Aufgrund der schnell voranschreitenden Digitalisierung wird sie insbesondere in Europa für Probleme sorgen. EU-Unternehmen müssen sich des Wertes bewusst sein, den Anmeldedaten im Cyberspace haben, und das Risiko einkalkulieren, dass gestohlene Anmeldedaten sowohl in vertraulicher als auch nicht vertraulicher Kommunikation ausgenutzt werden können.