Wann immer Unternehmen in den vergangenen Jahren den erfolgreichen Angriff auf ihre IT-Infrastruktur melden (müssen), fallen meist Wörter wie „ausgeklügelt“ oder „fortschrittlich“ (im Englischen: sophisticated oder advanced). Das soll deutlich machen, dass man nicht Opfer einer technisch beliebig unterentwickelten Attacke wurde, sondern sich echten Profis gegenüber sah – ob dem so ist oder nicht, können Außenstehende ohnehin kaum festmachen.
Jedenfalls fehlt es an einer allgemein verbindlichen Definition, was eigentlich eine „ausgeklügelte Attacke“ ist – und was nicht. Jeremiah Grossman, Gründer von WhiteHat Security, hat in einem Blogbeitrag nun fünf Hinweise formuliert, wie ein solcher Angriff zu erkennen ist.
Zum einen zähle dazu detailliertes Wissen der Angreifer, auf welche Anwendungen sie im Netzwerk des potentiellen Opfers treffen. Das lässt darauf schließen, dass die Angreifer zuvor Informationen zusammen getragen haben und nicht blindlings per Scan auf das Netzwerk aufmerksam wurden.
Auch die auf dem Weg ins Netzwerk zu überwindenden Schutzmechanismen sind Indikatoren. Wer nur Firewall und Virenschutz betreibt, wird sicherlich auch Opfer von weniger ausgeklügelten Attacken. Selbst der Einsatz eines Zero-Day-Exploits spreche laut Grossmann noch nicht für eine „Sophisticated Attack“. Hierzu müsse schon eine besonders clevere Kombination von Einbruchswerkzeugen sein.
Zu guter Letzt schreibt Grossmann, dass Malware – so sie denn überhaupt zum Einsatz kam – keinesfalls von irgendeiner Antimalware-Lösung entdeckt werden dürfte. Der Konjunktiv in seiner Aussage ist bemerkenswert, da üblicherweise immer von Schadsoftware die Rede ist in Verbindung mit Netzwerkeinbrüchen. Es sind inzwischen aber bereits Fälle dokumentiert, bei denen Angreifer sich der vorinstallierten Tools auf (Windows)Servern bedienten.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Was ist eigentlich eine „ausgeklügelte Attacke“?