Dietmar Schnabel ist Regional Director Central Europe beim IT-Sicherheitsunternehmen Check Point Software Technologies.
Check Point
Das Bewusstsein für den Schutz von Mobilgeräten wächst und viele Unternehmen haben entsprechende Lösungen für mobile Endpunkte in ihre Sicherheitsarchitektur integriert. Der Schutz von BYOD (Bring Your Own Device) gilt wegen der Vielzahl und der Heterogenität der Geräte als besondere Herausforderung. Zusätzlich sollten IT-Verantwortliche mit den Angriffstaktiken der Cyberkriminellen vertraut sein. Denn hier hat sich die Gefahrenlage ebenfalls deutlich gewandelt.
Die Angreifer haben aufgerüstet und ihre Strategien an Sicherheitsvorkehrungen angepasst, daher sind mobile Geräte weiterhin attraktive Ziele. IT-Sicherheitsexperten sprechen von "Kettenangriffen" – Schritt für Schritt wird das Gerät unterwandert und dient als Grundlage für schwerwiegende Angriffe auf Unternehmensnetzwerke und weitere Systeme.
Die Glieder der Kette
Häufig läuft ein Angriff wie folgt ab:
- Ein Dropper umgeht die Sicherheitsmechanismen und wird auf dem Endgerät installiert. Dabei handelt es sich häufig um legitime Applikationen wie Brain Test, die als zweckdienliche Programme im Google Play Store auf Opfer lauern. Allerdings stehen sie unter der Kontrolle der Angreifer und laden nach der Installation weiteren Code auf das Smartphone.
- Hier kommen zum Beispiel Exploit Packs zum Einsatz. Sie versuchen die Befugnisse für die Angreifer zu erweitern. In der Regel geht es dabei um den Zugang zum Systemkern. Durch Root-Freigabe lassen sich sensible Daten und sogar Hardware kontrollieren.
- Dann wird der eigentliche Schadcode eingespielt. Aktuelle Beispiele sind Verschlüsselungstrojaner, aber auch Malware zum Informationsdiebstahl wird eingesetzt. Im Falle von Brain Test wurden mithilfe heimlicher Klicks Werbeeinnahmen generiert.
- Mittlerweile ist Schadsoftware so intelligent, dass sie aktive Verteidigungsmechanismen zur Abwehr nutzen. Sogenannte Watchdogs prüfen, ob der Schädling teilweise oder komplett entfernt wurde. Sollte dies der Fall sein, veranlassen die „Aufpasser“ eine Neuinstallation.
- Immer wieder legen die Kriminellen Wert auf eine Erweiterung bestehender Attacken und bauen Backdoors ein. Mit deren Hilfe können sie zu einem späteren Zeitpunkt die Kontrolle über das Endgerät in Echtzeit übernehmen.
Fazit: Warum eigentlich so viel Aufwand?
Kettenangriffe bergen unglaubliche Gefahren und befinden sich auf dem Vormarsch. Dafür gibt es mehrere Gründe. Da eine Attacke aus vielen Bruchstücken besteht, gestaltet sich eine umfassende Erkennung schwierig – oft werden nur einzelne Teile enttarnt. Dies erhöht die Erfolgsaussichten für Kriminelle. Außerdem können die Angreifer die Kettenglieder leichter anpassen und austauschen. Der Schadcode ist in der Regel modular aufgebaut und lässt sich schneller an Zielgruppen, Regionen und Systeme anpassen. Hinzu kommt die einfache Individualisierung für zielgerichtete Angriffe.
All das erhöht den Druck auf IT-Sicherheitsanbieter: Malware wird nicht unnötig verteilt und eine Analyse fällt schwerer. Kriminelle verfügen über bessere Möglichkeiten, Signaturen anzupassen und ihre Spuren zu verwischen.