Kommentar zum Hacker-Angriff auf das Datennetzwerk des Bundes

Wie bekannt wurde, sind Hacker in das IT-Netz der Bundesregierung eingedrungen. Das Bundesinnenministerium bezog nach Bestätigung des IT-Sicherheitsvorfalls Stellung und erklärte, dass der Angriff „isoliert und unter Kontrolle gebracht“ worden sei. Ein Problem im Falle solcher Angriffe ist die Frage, ob dieser tatsächlich abgeschlossen ist. Wenn eine Infektion mit Malware auftritt, insbesondere wenn es sich um einen Advanced Persistent Threat (APT) handelt, kann diese sich systemübergreifend replizieren und vor der Aktivierung einige Zeit lang verborgen bleiben. Während also die primäre Quelle entdeckt und entschärft und damit behoben wurde, kann es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.

Es gibt zwei Möglichkeiten, das Ausmaß und den möglichen Schaden dieser Art von Hacks entscheidend zu lindern. Zum einen sollte sichergestellt sein, dass alle Systeme und Anwendungen auf die neuesten Versionen gepatcht wurden. Durch diese Maßnahme wird sichergestellt, dass bekannte Schwachstellen geschlossen werden und externe Hacker daran gehindert werden, sich Zugang zu verschaffen. Dies alleine reicht allerdings nicht aus, um die Gefahr zu bannen. Denn neben dem bewussten Ausnutzen von bekannten Schwachstellen gibt es eine weitaus geläufigere Angriffsmethode, nämlich die Verwendung eines Dokuments, das als „Waffe“ zum Angriff genutzt wird. Hierbei handelt es sich um Malware, die in ein harmloses Dokument eingebettet ist und beim Öffnen aktiviert wird. Diese Dokumente werden dann im Rahmen einer Phishing-Attacke verschickt. Die häufigsten Arten der Dokumente, die für diese Art von Attacken genutzt werden, sind Lebensläufe, welche an Personalabteilungen adressiert sind, sowie Rechnungen an die Finanzabteilung. Aber natürlich kann auch jeder einzelne Mitarbeiter mit einem "potenziellen Stellenangebot" angesprochen werden, welches daraufhin geöffnet wird und zur Aktivierung der Malware führt. Diese Art von Mails werden oftmals an persönliche E-Mail-Adressen geschickt mit dem Zweck, dass der Einzelne sie im Unternehmensnetzwerk öffnet - und somit eine Infektion auslöst.

Bei diesem speziellen Angriffstyp, bei dem Dokumente mit eingebetteter Malware als Mittel genutzt werden, kann eine Technik Abhilfe schaffen, die als Structural Sanitization bezeichnet wird. Diese hilft dabei, die Bedrohung entscheidend abzuschwächen, und ist Teil einer adaptiven Data Loss Prevention Strategie. Die Funktion entfernt gezielt alle aktiven Inhalte aus eingehenden E-Mails und Dokumenten, der Rest des Inhalts bleibt allerdings unberührt. Hierbei stellt einzig ein ganzheitlicher Ansatz sicher, dass keine Malware in das Unternehmen gelangen kann. Nur so ist der Schutz auch gewährleistet, wenn Mitarbeiter beispielsweise auf ihre privaten Emails zugreifen.

Zusammenfassend kann ein effektives Patch-Management einen Teil dazu beitragen, Malware Angriffe per Email zu verhindern. Doch effektiven Schutz bietet lediglich eine Lösung zur Emailsicherheit, die gezielt alle aktiven Inhalte entfernt und somit die eingebettete Malware unschädlich macht.

Foto: Michael Kretschmer