Broadcast Defense: Tailgating – der Angriff beginnt an der Tür

Typischer Ablauf eines Cyber-Angriffs – So gehen Angreifer wirklich vor

Nicht jeder Cyberangriff läuft nach demselben Muster ab. Je nach Motivation, Ziel und Angreifertyp können Vorgehensweise und Methoden variieren. Um jedoch ein konkretes Bild davon zu vermitteln, wie ein Angriff in der Praxis aussehen kann, schauen wir uns heute einen typischen Ablauf an, und zwar den eines Ransomware-Angriffs.

Warum Ransomware? Weil dieser Angriffstyp, laut dem aktuellen OOPS-Report von Riedel Networks zu den häufigsten und folgenreichsten Angriffen zählt. Gerade auch im Medienbereich, wo Sendebetrieb, Produktionssysteme und Archivdaten rund um die Uhr verfügbar sein müssen. Ein Ausfall von wenigen Stunden kann hier nicht nur wirtschaftliche, sondern auch massive reputative Schäden bedeuten.

Phishing-E-Mails sind oft der Beginn eines Angriffs.

Phase 1: Kompromittierung – Der erste, unbemerkte Schritt

Alles beginnt damit, dass sich der Angreifer Zugang verschafft, möglichst still und unentdeckt. Häufig geschieht das über Phishing-E-Mails mit manipulierten Links, den Kauf gestohlener Zugangsdaten im Darknet oder die Installation scheinbar harmloser Programme, die im Hintergrund sogenannte Info-Stealer-Malware nachladen. Diese späht vertrauliche Informationen aus und leitet sie weiter, ohne dass der Nutzer etwas bemerkt.

Phase 2: Übernahme der Administration – Tief ins System

Nach dem ersten Zugang geht es darum, sich dauerhaft im System zu verankern. Der Angreifer richtet einen sogenannten Command-and-Control-Server ein und installiert weitere Schadsoftware, um die Kontrolle über das kompromittierte System zu behalten. Anschließend arbeitet er sich gezielt zu privilegierten Benutzerkonten vor, idealerweise zu einem Administrator-Account. Der Grund dafür: Von einem zentralen, hoch privilegierten Zugriffspunkt aus kann er weitere Schadsoftware im gesamten Netzwerk verteilen, Systeme manipulieren und Angriffe effizient steuern. Mit diesen weitreichenden Rechten kann sich der Angreifer nahezu ungehindert im Netzwerk bewegen, ohne dabei aufzufallen. In der IT-Security spricht man hierbei vom sogenannten Lateral Movement.

Phase 3: Übernahme – Die stille Erkundung

Nun beginnt die eigentliche Datenexfiltration: Der Angreifer durchsucht das Netzwerk systematisch nach wertvollen Daten: Kundendatenbanken, interne Dokumente, Passwörter, Archivmaterial. Gleichzeitig versucht er, Sicherheitskopien zu identifizieren und gezielt zu löschen, um eine spätere Wiederherstellung zu erschweren. Für Medienunternehmen bedeutet das konkret: Sendematerial, Produktionsdaten, Verträge und Zugangsdaten zu Distributionsplattformen geraten ins Visier.

Wenn Daten übernommen und verschlüsselt werden, steckt man in großen Problemen.

Phase 4: Verschlüsselung – Der sichtbare Angriff

Erst jetzt, oft außerhalb der regulären Bürozeiten, etwa nachts oder am Wochenende, schlägt der Angreifer sichtbar zu. Über den Kommandoserver gibt er den Befehl zur Verschlüsselung: Vordefinierte Dateien werden unlesbar gemacht. Je nach Datenmenge und Systemleistung dauert dieser Prozess wenige Minuten bis mehrere Stunden. Wenn die Mitarbeitenden am nächsten Morgen an ihren Rechnern sitzen, ist der Schaden bereits angerichtet.

Phase 5: Erpressung – Die Forderung

Nach der Verschlüsselung folgt die Kontaktaufnahme. Das Opfer erhält eine Lösegeldforderung, kombiniert mit der Drohung, die zuvor exfiltrierten Daten zu veröffentlichen, wenn nicht gezahlt wird. Sicherheitsexperten raten generell davon ab, auf solche Forderungen einzugehen: Die Verlässlichkeit der Täter ist gering, und eine Zahlung garantiert keine vollständige Datenfreigabe.

Was das für den Mediensektor bedeutet

Broadcast-Umgebungen sind besonders verwundbar: Systeme laufen rund um die Uhr, Ausfallzeiten sind schlicht nicht tolerierbar, und die Vernetzung von Produktions-, Sende- und Archivinfrastruktur schafft eine große Angriffsfläche. Ein erfolgreicher Ransomware-Angriff bedeutet hier im schlimmsten Fall: Sendestillstand, Verlust sensibler Produktionsdaten und öffentlicher Vertrauensverlust.

Dieser Ablauf gibt einen ersten Eindruck davon, wie strukturiert und professionell moderne Cyberangriffe vorgehen. Wer tiefer einsteigen möchte, von der technischen Prävention bis hin zu konkreten Handlungsempfehlungen für Führungskräfte, findet im Spotlight: IT-Security Whitepaper von Riedel Networks alle relevanten Themen kompakt und verständlich aufbereitet.

Seite 1: Basiswissen Angreifer
Seite 2: Angriffstyp des Monats: Tailgating
Seite 3: Sicherheitsvorfall des Monats: Uefa Euro 2024
Seite 4: Stimmen aus der Branche