Hacker finden Schwachstellen
Wie Hacker automatisiert nach Schwachstellen suchen
Viele Cyberangriffe beginnen heute nicht mit einem gezielten Angriff auf ein bestimmtes Unternehmen. Stattdessen durchsuchen automatisierte Tools das Internet kontinuierlich nach verwundbaren Systemen. Sobald eine Schwachstelle entdeckt wird, kann ein Angriff innerhalb kürzester Zeit erfolgen. Für Unternehmen bedeutet das: Bereits öffentlich erreichbare Systeme oder ungepatchte Software können ausreichen, um automatisiert entdeckt und angegriffen zu werden.
Suchmaschinen für verwundbare Systeme
Ein gutes Beispiel dafür sind spezielle Suchmaschinen für internetverbundene Geräte. Diese Plattformen durchsuchen kontinuierlich das Internet nach offenen Ports, erreichbaren Diensten und bestimmten Softwareversionen. Bekannte Beispiele sind:
- Shodan (https://www.shodan.io)
- Censys (https://search.censys.io)
- ZoomEye (https://www.zoomeye.org)
- FOFA (https://en.fofa.info)
Über solche Dienste lassen sich unter anderem finden:
öffentlich erreichbare Webserver
- VPN-Gateways
- Datenbanken
- IoT-Geräte
- industrielle Steuerungssysteme (ICS)
Eine einfache Suche nach bestimmten Ports oder Softwareversionen kann bereits tausende Systeme sichtbar machen. Sicherheitsforscher nutzen diese Plattformen häufig, um Sicherheitslücken zu analysieren – Angreifer können jedoch die gleichen Informationen nutzen.
Automatisierte Internet-Scans
Neben solchen Suchmaschinen betreiben viele Angreifer eigene Scan-Infrastrukturen. Automatisierte Programme durchsuchen dabei große IP-Adressbereiche nach erreichbaren Systemen. Besonders häufig gescannte Dienste sind beispielsweise:
- Remote Desktop (RDP – Port 3389)
- SSH-Zugänge (Port 22)
- Webserver (Port 80 / 443)
- VPN-Zugänge
- Datenbanken oder Management-Interfaces
Sobald ein erreichbares System entdeckt wird, prüfen automatisierte Tools, ob bekannte Sicherheitslücken vorhanden sind.
Botnetze als Scan-Infrastruktur
Viele dieser Scans werden nicht von einzelnen Computern durchgeführt, sondern von sogenannten Botnetzen. Dabei handelt es sich um Netzwerke aus kompromittierten Geräten, die zentral gesteuert werden. Typische Aufgaben solcher Botnetze sind:
- großflächige Internet-Scans
- automatisierte Login-Versuche
- Verbreitung von Schadsoftware
- DDoS-Angriffe
Durch tausende gleichzeitig aktive Systeme können Angreifer sehr schnell neue potenzielle Ziele identifizieren.
Exploit-Kits automatisieren den Angriff
Wird eine Schwachstelle entdeckt, können automatisierte Exploit-Tools eingesetzt werden. Diese Programme enthalten fertige Angriffsmethoden für bekannte Sicherheitslücken. Der Ablauf erfolgt häufig automatisiert:
-
- Scanner erkennt eine bestimmte Software oder Version
- Scanner erkennt eine bestimmte Software oder Version
- passender Exploit wird ausgewählt
- Angriff wird ausgeführt
- Schadsoftware oder Backdoor wird installiert
Dadurch können selbst weniger technisch versierte Angreifer komplexe Angriffe durchführen.
Warum Unternehmen häufig zufällig zum Ziel werden
Durch automatisierte Scans geraten viele Unternehmen nicht aufgrund einer gezielten Auswahl ins Visier von Angreifern. Häufig reicht bereits eine öffentlich erreichbare Schwachstelle aus. Typische Ursachen sind:
- ungepatchte Software
- öffentlich erreichbare Administrationszugänge
- schwache Passwörter
- falsch konfigurierte Cloud-Dienste
Automatisierte Scans entdecken solche Systeme oft innerhalb weniger Stunden.
Was Unternehmen dagegen tun können
Auch wenn Angriffe automatisiert erfolgen, können grundlegende Sicherheitsmaßnahmen das Risiko deutlich reduzieren. Wichtige Maßnahmen sind:
- regelmäßige Updates und Patch-Management
- Multi-Faktor-Authentifizierung (MFA)
- Minimierung öffentlich erreichbarer Dienste
- regelmäßige Sicherheitsüberprüfungen
- Monitoring sicherheitsrelevanter Ereignisse z.B. durch Endpoint Detection & Response (EDR)
Cyberangriffe beginnen heute häufig automatisiert. Umso wichtiger ist es für Unternehmen, ihre IT-Systeme kontinuierlich zu überprüfen und potenzielle Schwachstellen frühzeitig zu schließen.