Cyberangriffe: Netzwerkgeräusche als Frühwarnsystem für Edge-Device-Schwachstellen

Vorbereitende Angriffe hinterlassen digitale Spuren

Cyberkriminelle nutzen Edge-Devices wie Router, VPNs oder Firewalls selten zufällig aus. Bevor sie Daten stehlen oder Systeme stören, testen sie gezielt, wie weit sie mit einer Schwachstelle kommen. Diese Voraktivitäten hinterlassen im Netzwerkverkehr ein charakteristisches „Hintergrundrauschen“ – ein Muster, das als Frühwarnsystem dienen kann.

Studie belegt Zusammenhang zwischen Traffic-Spitzen und Sicherheitslücken

Laut einer 103-tägigen Untersuchung des Sicherheitsunternehmens GreyNoise gingen etwa die Hälfte aller erfassten Traffic-Spitzen mit einer anschließenden Sicherheitslücke desselben Herstellers einher. Im Median lag die Vorwarnzeit bei neun Tagen vor der offiziellen Veröffentlichung der Schwachstelle.

„Jedes Mal, wenn wir großflächige Spitzen bei Erkundungs- und Inventarisierungsaktivitäten für ein bestimmtes Gerät beobachten, ist das ein klares Indiz dafür, dass jemand von einer Schwachstelle weiß.“
Andrew Morris, Gründer und Chefarchitekt von GreyNoise

Morris betont, dass jeder Tag Vorlauf entscheidend ist: „Innerhalb weniger Tage oder Wochen – meist im Rahmen der verantwortungsvollen Offenlegung – wird eine neue, kritische Schwachstelle veröffentlicht.“

Sicherheitsgeräte besonders im Fokus

Die Studie identifizierte 104 eindeutige Aktivitätsspitzen bei 18 verschiedenen Herstellern, darunter Cisco, Palo Alto Networks, Fortinet, Ivanti und VMware. Besonders beliebt bei Angreifern: Sicherheitsgeräte selbst.

„Es ist schon ironisch, dass ausgerechnet Sicherheitsgeräte wie Firewalls oder VPNs so häufig angegriffen werden. Aber die Branche nimmt das Problem noch immer nicht ernst genug.“
Andrew Morris

Viele Unternehmen würden die Geräte nicht austauschen, selbst wenn sie wüssten, dass sie kompromittiert sind. „Es hat noch nicht genug Schaden angerichtet, um radikale Maßnahmen zu rechtfertigen“, so Morris.

Wie sich Warnsignale erkennen lassen

GreyNoise analysiert Traffic-Spitzen nach zwei Kriterien:

• Intensität: Anzahl der Sessions – zeigt, wie aggressiv Angreifer ein Ziel scannen.
• Breite: Anzahl neuer Quell-IPs – deutet auf eine koordinierte Kampagne hin.

„Wenn sowohl die Intensität als auch die Breite gleichzeitig zunehmen, ist das ein klares Signal für eine bevorstehende koordinierte Attacke“, erklärt das Forscherteam. Ein reiner Anstieg der IP-Adressen allein sei dagegen kein sicherer Indikator.

Forschung bestätigt Muster

Die Ergebnisse von GreyNoise bestätigen ähnliche Erkenntnisse anderer Sicherheitsforscher, darunter Verizon, Google Threat Intelligence Group und Mandiant. GreyNoise spricht in diesem Zusammenhang von einer „wissenschaftlich messbaren“ Entwicklung – fast wie in der Meteorologie.

„Das ist mittlerweile so präzise wie ein Uhrwerk“, so Morris. Unternehmen sollten diese Muster als Teil ihrer Bedrohungserkennung nutzen, um frühzeitig Gegenmaßnahmen einzuleiten.