Der Kopf eines Krokodils ragt aus dem Wasser
Security

Watering Hole: So schützen Sie sich wirksam vor perfide getarnten Web-Ködern

Kaum eine Form des Hackings ist so schwer zu entdecken wie der Watering-Hole-Angriff. Viele andere Cyberattacken greifen wahllos alle erreichbaren Computer und Netzwerke an und werden dadurch schnell entdeckt. Watering Hole nutzt hingegen eine ausgefeilte Tarnung. Die Malware lauert lange im Verborgenen und wartet auf ihre Opfer. Das macht diese Angriffe so gefährlich.

Eine in einwandfreiem Deutsch formulierte und persönlich adressierte Mail an die Einkaufsleiterin eines großen deutschen Maschinenbauers oder die Webseite eines seit vielen Jahren etablierten Branchendienstes im verarbeitenden Gewerbe: Wohl die wenigsten Empfänger:innen würden hier gefährliche Einfallstore für Schadsoftware vermuten.

Aber gerade der korrekte und persönliche Bezug zu Branche und Zielperson macht solche Watering-Hole-Attacken erfolgreich. Schließlich verraten sich die allermeisten gefährlichen E-Mails schon durch ihre plumpe Aufmachung und ihre oft fehlerhafte Rechtschreibung. Bei Watering-Hole-Angriffen ist das nicht der Fall. Aber das ausgefeilte Design ist nur eines der Erfolgsgeheimnisse  dieser Art von teils sehr aufwändig vorbereiteten Angriffen.

Inhaltsverzeichnis

Was ist eine Watering-Hole-Attacke?

Eine Watering-Hole-Attacke (übersetzt: Angriff am Wasserloch) ist benannt nach dem Jagdverhalten vieler Lauerjäger im Tierreich. Denn so wie ein gut getarntes Krokodil am Wasserloch auf durstige  (Beute-)Tiere wartet, lauern auch Cyberkriminelle bei ihrer Wasserloch-Attacke an erfolgversprechenden Orten im Internet auf ahnungslose Opfer. Und so wie das Krokodil nicht wahllos jedes andere Tier angreifen würde, haben auch die Hacker:innen ein dediziertes Beuteschema.
Die Watering-Hole-Attacke gehört zu den strategischen Cyberattacken. Die meisten Angriffe im Internet sind ungerichtet und versenden beispielsweise mit Malware infizierte E-Mails massenhaft an Millionen Empfänger. Typisch für diese Massenmails ist das sogenannte Phishing, bei dem Kriminelle sich etwa als kontoführende Bank oder als Zollbehörde ausgeben, um Banking-Passwörter abzufragen oder gefälschte Rechnungen zu stellen. Viele Mailprogramme erkennen derartige Mails und filtern sie per künstlicher Intelligenz aus, sodass sie gar nicht erst im Postfach landen.
Bei Watering-Hole-Attacken suchen sich die Hacker:innen ihre Opfer hingegen genau aus. Sofern sie überhaupt Phishing-Mails verwenden, betreiben sie sogenanntes Spear-Phishing (übersetzt: Speerfischen). Im Unterschied zum üblichen Phishing schreiben Angreifer:innen beim Spear-Phishing nur zielgerichtete E-Mails direkt an ihre Opfer.
Durch die persönliche Anrede und die Bezugnahme auf das berufliche Umfeld wirken diese E-Mails im Unterschied zu Massenmails sehr echt. Adressat:in, Position im Unternehmen und andere Details werden vorher recherchiert. Auch die Absendenamen stammen bei solchen Spear-Phishing-Angriffen scheinbar von realen Personen. Die Hacker:innen verwenden beispielsweise die Identitäten von echten Menschen – aus dem eigenen Unternehmen, von einem Kunden oder auch aus einer Behörde.
Die gefälschte E-Mail selbst enthält in der Regel keine Malware, da sie sonst im Virenfilter des Unternehmens hängen bleiben würde. Das Spear-Phishing soll vielmehr die Leserin oder den Leser der E-Mail zum virtuellen Wasserloch locken, wo dann der eigentliche Hacking-Angriff erfolgt.
Ein solches Wasserloch kann beispielsweise eine Webseite sein, die Schadcode enthält – sogenannte Exploits. Diese Exploits öffnen in den Browsern der Webseitenbesucher:innen wiederum eine Hintertür. Darüber gelangt die Schadsoftware auf den Zielrechner. Ebenso kann die infizierte Webseite auch eine Software zum Download anbieten, die als Trojaner gefährliche Malware in sich trägt.
Manche Watering-Hole-Attacken verzichten auf das Spear-Phishing. In solchen Fällen verlassen sich die Hacker:innen darauf, dass ihre Opfer von ganz allein die infiltrierten Webseiten besuchen. Diese Seiten infizieren die Hacker:innen dann mit ihrem Schadcode.
Hat das Opfer die Malware erst einmal heruntergeladen und auf dem eigenen Computer installiert, ist damit die Firewall des Unternehmens erfolgreich umgangen. Vom ersten befallenen Computer aus können dann weitere Systeme im Unternehmen mit dem Schadcode attackiert werden.
Wegen ihres sehr indirekten und planvollen Vorgehens wird die Watering-Hole-Attacke manchmal auch zu den Pivot-Attacken gerechnet. Pivot-Attacken sind solche Hackingangriffe, bei denen die Täter:innen ihre Angriffsrichtung im Verlauf der Attacke ändern (aus dem Englischen: to pivot für „schwenken“). So können sie Schwachstellen besser ausnutzen und ihre Spuren einfacher verwischen.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Wie funktioniert eine Watering-Hole-Attacke?

Die Watering-Hole-Attacke ist stets ein sorgsam geplanter Angriff. Haben Hacker:innen eine bestimmte Branche im Visier, suchen sie gezielt nach Webseiten, die Angehörige dieser Branche regelmäßig besuchen. Das kann ein Informationsportal sein, ein Newsforum oder auch ein Download-Portal, das Software und Demo-Versionen speziell für diese Branche anbietet.
Mit einiger Wahrscheinlichkeit befinden sich unter diesen Seiten auch Angebote, die auf veralteten Webservern laufen. Ein solcher bietet den Hacker:innen die Möglichkeit, dort Schadcode abzulegen. Die Malware kann aber ebenso gut in einem Branchen-Newsletter stecken, der per E-Mail versendet oder zum Download bereitgestellt wird.
Je mehr Personen diesen Schadcode herunterladen und in ihren Firmennetzen ausführen, desto verbreiteter ist er und öffnet Einfallstüren.  Wenn Hacker:innen dann ein beliebiges Unternehmen dieser Branche attackieren, ist es gut möglich, dass ihre Malware sich bereits im dortigen Firmennetz befindet. Je kleiner eine Branche oder Zielgruppe ist, desto schneller sind alle infrage kommenden Systeme mit dem Schadcode infiziert.
Inzwischen sind zahlreiche Watering-Hole-Attacken gegen einzelne Branchen oder Personengruppen bekannt. Etwa der Fall eines Herstellers von Simulationssoftware für die Automobil- und die Luftfahrtindustrie, dessen Webseite unbemerkt mit Schadcode infiziert wurde. Die Malware analysierte die Computer aller Besucher:innen dieser Seite und protokollierte Betriebssystem, Browser-Version, IP-Adresse und installierte Antivirenprogramme. Ein sogenannter Keylogger als Teil der Malware erfasste zusätzlich Tastatureingaben beim Besuch der Website, inklusiver aller dabei genutzten Passwörter.
2019 kam es zu einem spektakulären sogenannten Holy-Water-Fall: Hierbei hatten Hacker:innen bestimmte Webseiten von Prominenten und Wohltätigkeitsorganisationen aus Asien infiziert. Ihre Schadsoftware funktionierte als sogenannter Drive-by-Download und installierte sich bereits beim ersten Besuch der Seiten unbemerkt auf den Computern ihrer Opfer. Die Software schlug anschließend das Herunterladen eines vermeintlichen Software-Updates vor. War auch dieses installiert, besaßen die Hacker:innen vollen Remote-Zugriff auf die befallenen Computer.
Bereits ein Jahr zuvor war es anderen Cyberkriminellen in Hongkong gelungen, über täuschend echte Kopien realer Nachrichtenseiten ein Exploit auf die Smartphones von Seitenbesucher:innen zu laden. Auch diese LightSpy genannte Malware öffnet im schlimmsten Fall eine Hintertür auf den von ihr befallenen Apple-Geräten.
In allen Fällen hatten sich die Angreifer:innen ihre Zielgruppen ganz genau ausgesucht und dabei ausgenutzt, dass ihre Opfer Inhalten aus ihrem eigenen Umfeld mehr vertrauten als beispielsweise thematisch fremden Inhalten oder Downloads.
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

So unterscheiden sich Watering-Hole-Angriffe vom Phishing

Die klassische Phishing-Attacke ist erst durch Quantität effektiv: Je mehr Personen per E-Mail kontaktiert werden, desto wahrscheinlicher ist es, dass zumindest ein paar Empfänger:innen diese E-Mails auch tatsächlich anklicken. Trotz aller sprachlichen und inhaltlichen Schwächen sind Phishing-Attacken erstaunlich erfolgreich und sollen für bis zu 90 Prozent aller Datendiebstähle verantwortlich sein.
Das Spear-Fishing beim Watering-Hole-Angriff setzt auf qualitative Ansätze und genaue Kenntnis über die Zielgruppe. Daraus ergeben sich folgende Unterschiede zwischen beiden Angriffsarten:
  • Beim klassischen Phishing werden Empfänger:innen oft unpersönlich oder nur mit ihrer E-Mail-Adresse oder einem im Internet abgefangenen Benutzernamen angesprochen. Beim Watering-Hole-Angriff stimmen hingegen oft Name, Vorname und Berufsbezeichnung.
  • Informationen über die meisten Phishing-Attacken finden Sie im Internet, weil diese Angriffe so häufig sind. Die meisten verdächtigen E-Mails können Sie mit einer einfachen Suchanfrage per Google prüfen. Viele Antivirenprogramme kennen bereits die einschlägigen Webseiten, auf die viele Phishing-Angriffe Sie weiterleiten wollen. Watering-Hole-Attacken sind hingegen sehr selten und dafür umso zielgerichteter. Daher lesen Sie im Internet kaum Erfahrungsberichte von Opfern.
  • Beim Phishing geben sich Cyberkriminelle Ihnen gegenüber typischerweise als Mitarbeitende des Bundeskriminalamtes, bekannter Paketdienste, des Zolls oder großer Bankinstitute aus. Die Täter:innen wählen Identitäten, mit denen fast jedes Opfer beruflich oder privat zu tun haben könnte. Beim Watering-Hole-Angriff werden Legenden erfunden, die genau zur Zielgruppe passen.
  • Viele Phishing-Mails enthalten direkte Geldforderungen, sind mit Malware infiziert oder verlinken auf Webseiten mit kryptischen Namen. Watering-Hole-Attacken sind hingegen deutlich komplexer: Eine unverfängliche und garantiert virenfreie E-Mail lädt Sie zum Beispiel zum Besuch einer etablierten Webseite ein, die Sie vielleicht schon lange kennen. Dort wiederum lädt sich von Ihnen unbemerkt ein Schadprogramm herunter, das speziell für Ihre Branche oder Zielgruppe angepasst wurde. Deshalb ist es für Sicherheitssoftware nur schwer als Schadprogramm erkennbar. Die Malware nimmt möglicherweise erst mit Verzögerung ihre Arbeit auf, sobald hinreichend viele Computer in der gesamten Branche infiziert sind. Die Strategie der Cyberkriminellen ist also deutlich schwerer zu durchschauen.

Ziele von Watering-Hole-Attacken

Watering-Hole-Attacken sind mit einem sehr hohen technischen und organisatorischen Aufwand verbunden. Dieser Aufwand übersteigt das technische Wissen der meisten Cyberkriminellen, die mit ihren Phishing-Angriffen eher Kleinbeträge ergaunern.
Auftraggeber von Watering-Hole-Angriffen können beispielsweise Wettbewerber sein, die ihre Konkurrenz ausspionieren möchten; oder staatliche Nachrichtendienste, die technisches Know-how und Patente aus anderen Ländern stehlen wollen. Auch politische Motive gibt es, etwa wenn sich Attacken gegen Behörden oder Träger der Grundversorgung richten.

Hohe Gefährdung durch verbreitete Branchenlösungen

Grundversorger und Industrieunternehmen sind besonders anfällig für Watering-Hole-Angriffe. Denn über ihre jeweilige Branchenzugehörigkeit lässt sich meist auch vorhersagen, welche Produktionssysteme und Anlagensteuerungen dort zum Einsatz kommen. Das erlaubt sehr zielgerichtete Angriffe mit darauf zugeschnittener Schadsoftware.
Auch Hacker:innen wissen, dass beispielsweise Windkraftanlagen sehr oft mit Steuerungen des österreichischen Herstellers Bachmann Electronic ausgestattet sind; oder Tablettenpressen in der Pharmaindustrie häufig vom Berliner Hersteller Korsch stammen.
Derzeit sind weltweit mindestens fünf Malware-Familien bekannt, die für die Sabotage von Industriesteuerungen entwickelt wurden. Das bekannteste Beispiel ist der 2010 entdeckte Computerwurm Stuxnet, der in Siemens-Steuerungen vom Typ Simatic S7 eingriff und schwere Schäden im iranischen Atomprogramm verursachte.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

So schützen Sie sich vor Web-Köder-Angriffen

Mit folgenden Maßnahmen reduzieren Sie in Ihrem Unternehmen das Risiko von Watering-Hole-Attacken:

Regelmäßige Sicherheitsschulungen

Schulen Sie Ihr Personal regelmäßig zu aktuellen Gefahren aus dem Internet. Insbesondere Führungskräfte sind ein bevorzugtes Ziel von Spear-Phishing-Mails, da ihre Namen branchenbekannt oder über Ihre Webseite und Branchenportale oder Pressemeldungen recherchierbar sind.
Sicheres Firmennetz
Seien Sie zurückhaltend bei der Vergabe von Administrationsrechten im Unternehmen. Auch lokale Administrationsrechte auf Arbeitsplatzrechnern können ein Einfallstor für Malware sein.
Mittelständische und größere Unternehmen sollten regelmäßige Pentests für Ihre gesamte IT beauftragen und die Prinzipien der Cybersecurity in alle Geschäftsprozesse integrieren. Lassen Sie Ihren Dienstleister auch Watering-Hole-Attacken per Social Engineering austesten. So überprüfen Sie die Robustheit Ihrer Firma gegen solche Angriffe und schaffen zugleich im Unternehmen ein Bewusstsein für diese Form der Cyberkriminalität.
Verwenden Sie für mobiles Arbeiten und im Homeoffice grundsätzlich sichere VPN-Verbindungen.
Schaffen Sie eine auch nach innen wirksame Sicherheitsarchitektur mit lokalen Benutzerrechten. So hat die Ransomware aus einem Branchen-Newsletter keine Chance, Ihren Cloudspeicher mit wichtigen Geschäftsdaten oder Ihre Produktionssysteme zu befallen, sondern bleibt lokal auf wenige Systeme begrenzt.

Regelmäßige Updates und Software-Checks

Testen Sie immer wieder Ihre gesamte im Unternehmen eingesetzte Software. Auch langjährig genutzte Programme können aufgrund eines Updates Schadcode enthalten.
Ersetzen Sie Betriebssysteme und Anwendungen, für die es schon länger keinen Support und keine Updates mehr gibt, durch aktuelle Software. Keine Updates mehr gibt es beispielsweise für den Adobe Flash Player, den Microsoft Internet Explorer sowie ältere Windows-Versionen.
Denken Sie auch an selten genutzte Computer in Lagerräumen und an Ersatzarbeitsplätzen, die vielleicht schon länger nicht mehr genutzt wurden und deshalb auch keine Updates mehr erhalten haben. Bedenken Sie dabei aber auch, dass selbst aktuelle Betriebssystem-Versionen und andere Updates keinen perfekten Malware-Schutz bieten und im ungünstigen Fall sogar neue Sicherheitslücken öffnen könnten, beispielsweise wenn ein Update neue, noch ungeprüfte Funktionalitäten enthält oder seinerseits mit Malware infiziert ist.

Veränderungen aufmerksam und kritisch beobachten

Achten Sie auf ungewöhnliche Veränderungen in etablierten Prozessen. Wenn Sie sich bei Ihrem langjährigen Dienstleister plötzlich nicht mehr per verschlüsselter Verbindung auf dessen Webseite anmelden können, oder Ihr Antivirenprogramm bei einem von Ihnen abonnierten Branchen-Newsletter auf einmal anschlägt, dann könnte dahinter eine Watering-Hole-Attacke stecken.
Seien Sie auch bei E-Mails, Webseiten, Dateidownloads und freigegebenen Cloud-Speichern bekannter Firmen und langjähriger Geschäftspartner immer vorsichtig. Auch deren Systeme könnten bereits Opfer eines Watering-Hole-Angriffs geworden sein und mit Viren, Trojanern oder Ransomware befallen sein.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Watering-Hole-Angriffe in der Übersicht

  • Watering-Hole-Attacken richten sich gegen einzelne Branchen oder Personengruppen.
  • Hacker:innen nutzen vertrauenswürdige Medien wie Branchen-Dienste oder Newsletter, um Malware einzuschleusen.
  • Watering-Hole-Attacken gehören zu den strategischen Hackingformen und werden häufig auch mit Spear-Phishing-Mails kombiniert.
  • Durch die Kombination mehrerer Schadprogramme und Angriffswege können Angriffe dieser Art auch viele aktuelle Sicherheitsarchitekturen überwinden.
  • Hacker:innen können bei Watering-Hole-Attacken sehr gezielt angreifen, da sie sich mit Branchen sowie den dort verbreiteten Hard- und Software-Architekturen gut auskennen.
  • Watering-Hole-Attacken können beispielsweise von Wettbewerbern, aber auch von ausländischen Nachrichtendiensten ausgehen.
Das könnte Sie auch interessieren:
Security
Drei Menschen sitzen vor einem Notebook und zeigen sich etwas auf dem Bildschirm.

Web Application Firewalls (WAF) einfach erklärt

Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen. Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern. Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort