Um ein System zu schützen, muss man zuerst verstehen wogegen man es schützt. Bedrohungen kommen von außen durch Angreifer, von innen durch Mitarbeiter (absichtlich oder versehentlich) und durch technische Fehler. Als FISI musst du die wichtigsten Angriffsarten kennen und verstehen wie sie funktionieren.
Social Engineering ist die Kunst der Manipulation von Menschen um an Informationen oder Zugang zu gelangen. Der Angreifer nutzt menschliche Schwächen aus – Hilfsbereitschaft, Vertrauen, Neugier, Angst – statt technische Lücken.
Phishing: Gefälschte E-Mails oder Webseiten die versuchen Zugangsdaten zu stehlen. Spear-Phishing ist gezielt auf eine bestimmte Person zugeschnitten. Vishing (Voice Phishing) läuft über Telefon, Smishing über SMS.
Pretexting: Der Angreifer erfindet ein Szenario um sein Opfer zu manipulieren. Beispiel: „Ich bin von der IT-Abteilung und brauche Ihr Passwort zur Systemwartung."
Baiting: Ein präparierter USB-Stick wird auf dem Parkplatz platziert. Neugierige Mitarbeiter stecken ihn ein – und installieren damit Schadsoftware.
Quid pro quo: Der Angreifer bietet etwas an (z.B. IT-Hilfe) und verlangt dafür Zugangsdaten oder Informationen.
Malware-Typ | Beschreibung |
|---|---|
Virus | Hängt sich an andere Programme und verbreitet sich durch Ausführen dieser |
Wurm | Verbreitet sich selbstständig im Netzwerk ohne Nutzerinteraktion |
Tarnt sich als nützliches Programm – führt im Hintergrund Schadcode aus | |
Verschlüsselt Daten und fordert Lösegeld für die Entschlüsselung | |
Spyware | Spioniert Nutzeraktivitäten aus (Tastatureingaben, Screenshots) |
Versteckt sich tief im Betriebssystem und verschleiert andere Malware | |
Zeichnet alle Tastatureingaben auf – stiehlt Passwörter und Daten | |
Adware | Zeigt unerwünschte Werbung an – oft gebündelt mit anderer Software |
Man-in-the-Middle (MitM): Der Angreifer schaltet sich unbemerkt zwischen zwei kommunizierende Parteien. Er kann Daten mitlesen und manipulieren. Typisches Beispiel: ARP-Spoofing im lokalen Netzwerk oder gefälschte WLAN-Hotspots.
DoS / DDoS (Denial of Service / Distributed DoS): Das Ziel wird mit so vielen Anfragen überflutet dass es zusammenbricht. Bei DDoS kommen die Anfragen von vielen kompromittierten Systemen gleichzeitig (Botnet). Schutzziel: Verfügbarkeit.
SQL-Injection: Schadcode wird in Eingabefelder eingegeben die ohne Prüfung an eine Datenbank weitergegeben werden. Der Angreifer kann so Daten auslesen, ändern oder löschen. Schutz: Input-Validierung, Prepared Statements.
Cross-Site-Scripting (XSS): Schadcode (JavaScript) wird in eine Webseite eingeschleust und im Browser anderer Nutzer ausgeführt. Kann Cookies stehlen oder Aktionen im Namen des Opfers ausführen.
Brute Force: Systematisches Durchprobieren aller möglichen Passwörter. Schutz: Starke Passwörter, Account-Sperrung nach Fehlversuchen, MFA.
Zero-Day-Exploit: Ausnutzung einer Sicherheitslücke die dem Hersteller noch unbekannt ist und für die noch kein Patch existiert. Besonders gefährlich weil keine sofortige Gegenwehr möglich ist.
Böswillige Insider: Unzufriedene Mitarbeiter die absichtlich Daten stehlen oder Systeme sabotieren
Fahrlässige Insider: Mitarbeiter die durch Unachtsamkeit Sicherheitsvorfälle verursachen
Kompromittierte Insider: Mitarbeiter deren Zugangsdaten durch Angreifer gestohlen wurden
APTs sind hochentwickelte, langfristige Angriffe meist staatlicher oder hochprofessioneller Akteure. Ziel ist nicht der schnelle Einbruch sondern das langfristige Verweilen im Netzwerk um kontinuierlich Daten auszuspähen. APTs nutzen Zero-Days, Social Engineering und mehrere Angriffsvektoren kombiniert.
Social Engineering manipuliert Menschen statt Technik – Phishing, Pretexting, Baiting
Malware-Typen: Virus, Wurm, Trojaner, Ransomware, Spyware, Rootkit, Keylogger
MitM-Angriffe schalten sich zwischen kommunizierende Parteien
DoS/DDoS greifen die Verfügbarkeit an
SQL-Injection und XSS sind häufige Webanwendungs-Angriffe
Zero-Day-Exploits nutzen unbekannte Lücken ohne verfügbaren Patch
Insider-Bedrohungen kommen von innen – böswillig, fahrlässig oder kompromittiert
APTs sind langfristige, hochentwickelte Angriffe professioneller Akteure