top of page

Initial Access Broker: Die unsichtbaren Türöffner für Cyberangriffe

Sie glauben, dass Cyberkriminelle nur mittels Ransomware-Erpressungen Geld verdienen? Dann kennen Sie das IAB Businessmodell noch nicht!
Sie glauben, dass Cyberkriminelle nur mittels Ransomware-Erpressungen Geld verdienen? Dann kennen Sie das IAB Businessmodell noch nicht!

In der Welt der Cyberkriminalität spielen Initial Access Broker (IABs) eine entscheidende Rolle. Sie agieren als Vermittler, die unbefugten Zugang zu Unternehmensnetzwerken beschaffen und diesen an andere Kriminelle verkaufen. Dieser Beitrag beleuchtet die Funktionsweise von IABs, aktuelle Markttrends sowie Massnahmen, die Unternehmen zum Schutz ergreifen können.


Die Rolle der Initial Access Broker im Cybercrime-Ökosystem


Initial Access Broker (IABs) sind spezialisierte Cyberkriminelle, die sich darauf konzentrieren Schwachstellen in Unternehmensnetzwerken zu identifizieren und auszunutzen. Sie verwenden dabei verschiedene Techniken wie Phishing, Ausnutzung von Softwareschwachstellen oder den Einsatz von Malware, um Zugangsdaten zu erlangen. Einmal im Besitz dieser Daten, verkaufen sie den Zugang an andere Cyberkriminelle, die beispielsweise Ransomware-Angriffe durchführen. Dieser arbeitsteilige Ansatz ermöglicht es spezialisierten Akteuren, effizient zusammenzuarbeiten und ihre kriminellen Aktivitäten zu maximieren. Sie agieren wie hochentwickelte Schlüsseldienste für Cyberangriffe: Statt selbst Ransomware einzusetzen oder Daten zu stehlen, bieten sie die erbeuteten Zugangsdaten auf kriminellen Marktplätzen an. Dadurch wird Cyberkriminalität effizienter und skalierbarer, da Angreifer nicht selbst in Netzwerke eindringen müssen, sondern sofort mit der Monetarisierung beginnen können.



Wie arbeiten Initial Access Broker?

IABs nutzen unterschiedliche Methoden, um Zugang zu Netzwerken zu erhalten:

  • Phishing-Kampagnen: Angriffe auf Mitarbeiter per E-Mail, um Anmeldedaten zu stehlen.

  • Exploits von Schwachstellen: Nutzung ungepatchter Sicherheitslücken in Software und Betriebssystemen.

  • Malware & Keylogger: Installation von Schadsoftware, die Anmeldeinformationen ausliest.

  • Credential Stuffing & Brute-Force-Angriffe: Testen von gestohlenen oder schwachen Passwörtern auf verschiedenen Plattformen.


Ein prominentes Beispiel ist ein Angriff auf Amazon Web Services (AWS), bei dem Angreifer systematisch nach Sicherheitslücken suchten, zwei Terabyte sensibler Daten stahlen und diese über private Telegram-Kanäle weiterverkauften.



Marktanalyse: Preise und Zielgruppen


Die Preise für den Zugang zu Unternehmensnetzwerken variieren je nach Grösse und Umsatz des Unternehmens. Laut einer Analyse von Kaspersky kosten Zugänge zu Grossunternehmen durchschnittlich zwischen 2’000 und 4’000 US-Dollar. Fast die Hälfte aller Angebote liegt jedoch unter 1’000 US-Dollar, während Preise Über 5’000 US-Dollar selten sind. Handelt es sich um Administrator-Zugänge bei kritischen Systemen, kann der Preis aber auch auf über 100‘000 US-Dollar steigen. Konkret:


  • Einfache VPN-Zugänge oder Remote-Desktop-Protokolle (RDP): 200 - 1.500 USD

  • IT-Admin-Konten mit erweiterter Berechtigung: 5.000 - 100.000 USD

  • E-Mail-Administrationskonten oder Cloud-Service-Token: Bis zu 140.000 USD


Ein Bericht von Cyberint aus dem Jahr 2024 zeigt, dass fast die Hälfte aller gehandelten Zugänge Unternehmen mit einem Umsatz unter 100 Millionen USD betrifft. Besonders betroffen sind Branchen wie Finanzdienstleistungen, Technologie, Fertigung und Einzelhandel.


Die Untersuchung von Cyberint im Jahr 2024 ergab zudem, dass 27 % der angebotenen Zugänge Unternehmen mit einem Umsatz von über 1 Milliarde US-Dollar betreffen. Dennoch sind auch kleinere Unternehmen gefährdet: 18,5 % der Angebote zielten auf Organisationen mit einem Umsatz unter 10 Millionen US-Dollar ab, und 29,5 % auf solche mit einem Umsatz zwischen 10 und 100 Millionen US-Dollar. Insgesamt richten sich 48 % der Angebote an Unternehmen mit einem Umsatz unter 100 Millionen US-Dollar.


Geografisch gesehen sind US-amerikanische Unternehmen am häufigsten betroffen, sie machen 48 % der analysierten Angebote aus. Weitere betroffene Länder sind Frankreich, Brasilien, Indien und Italien. Besonders betroffen sind Branchen wie Unternehmensdienstleistungen, Finanzen, Einzelhandel, Technologie und Fertigung. Im Fertigungssektor stieg der Anteil der Angebote von 14 % im Jahr 2023 auf 23 % im Jahr 2024.


Gestohlene Anmeldeinformationen sind die wertvollste Ware im Portfolio eines IABs. Laut dem IBM Cost of a Data Breach Report 2024 waren kompromittierte Zugangsdaten für 19 % aller Datenschutzverletzungen verantwortlich, wobei die durchschnittliche Erkennungszeit 292 Tage betrug. Der Verizon Data Breach Investigations Report 2024 ergab, dass gestohlene Anmeldeinformationen in 24 % aller Sicherheitsvorfälle die erste Angriffsmethode waren.

Einige aufsehenerregende Angriffe aus dem Jahr 2024 verdeutlichen die Bedrohung:


  • Geico: Angreifer nutzten Credential Stuffing, um auf Kundendaten zuzugreifen. Die Folge war eine Strafe von 9,75 Millionen USD.

  • ADT: Zwei separate Credential-basierte Angriffe innerhalb von zwei Monaten führten zur Kompromittierung von 30.000 Kundendaten.


Selbst Unternehmen mit großen Cybersecurity-Budgets sind nicht immun gegen Angriffe, die mit kompromittierten Anmeldeinformationen beginnen.


Schutzmassnahmen gegen Initial Access Broker


Um sich vor den Aktivitäten von IABs zu schützen, sollten Unternehmen folgende Massnahmen ergreifen:


  • Multi-Faktor-Authentifizierung (MFA): Erhöht die Sicherheit von Benutzerkonten und erschwert unbefugten Zugriff.

  • Zugriffskontrollen mit minimalen Rechten: Mitarbeiter erhalten nur die für ihre Aufgaben notwendigen Zugriffsrechte, um das Risiko zu minimieren.

  • Regelmässige Software-Updates und Patch-Management: Schliessen von Sicherheitslücken durch zeitnahe Updates.

  • Schulungen zum Sicherheitsbewusstsein: Sensibilisierung der Mitarbeiter für Phishing und Social Engineering.

  • Eingeschränkte Nutzung von Remote-Desktop-Protokollen (RDP): Reduzierung von Angriffspunkten durch Beschränkung des Fernzugriffs.

  • Implementierung von Intrusion Detection Systemen (IDS): Früherkennung von verdächtigen Aktivitäten im Netzwerk.

  • Netzwerksegmentierung: Erschwert die seitliche Bewegung von Angreifern innerhalb des Netzwerks.

  • Zero Trust-Strategie: Kein Benutzer oder Gerät wird automatisch als vertrauenswürdig angesehen.

  • Überwachung des Dark Webs: Frühzeitige Identifizierung von kompromittierten Zugangsdaten, die zum Verkauf angeboten werden (CyberNinja Intelligence)

  • Implementierung eines managed Security Operation Center Service (CyberNinja MasterMind)

  • Durchführung von kontinuierlichen Penetrationstest (NinjaRED)


Die Implementierung von Standards wie ISO 27001 kann dabei helfen, diese Massnahmen systematisch umzusetzen und die Informationssicherheit zu stärken.


Fazit


Initial Access Broker stellen eine ernsthafte Bedrohung für Unternehmen jeder Grösse dar. Durch den Verkauf von Zugängen zu Unternehmensnetzwerken ermöglichen sie nachfolgende Angriffe wie Ransomware-Infektionen. Ein proaktiver Ansatz, der technische Sicherheitsmassnahmen mit regelmässigen Schulungen kombiniert, ist essenziell, um das Risiko zu minimieren und die Resilienz gegenüber solchen Bedrohungen zu erhöhen.


Wir beraten Sie gerne, kontaktieren Sie uns!

bottom of page