M-Trends von FireEye und Mandiant

Cyberangreifer bleiben sehr lange unentdeckt

| Autor / Redakteur: Mike Hart / Peter Schmitz

Angesichts der Tatsache, dass Cyberangreifer nur Stunden oder wenige Tage benötigen um in ein Netzwerk einzudringen, erschreckt es, dass sie dort dann im Schnitt 6 Monate unentdeckt bleiben.
Angesichts der Tatsache, dass Cyberangreifer nur Stunden oder wenige Tage benötigen um in ein Netzwerk einzudringen, erschreckt es, dass sie dort dann im Schnitt 6 Monate unentdeckt bleiben. (Bild: Pixabay / CC0)

Cyberangreifer brauchen oft nur wenige Tage um nur wenige Tage, um Vollzugriff auf ein Unternehmens­netzwerk zu erlangen. Sie können dann aber im EMEA-Raum im Schnitt 175 Tage unentdeckt im Netzwerk ihrer Opfer verbleiben. Persönliche Informationen, geistiges Eigentum, Passwörter, finanzielle Transaktionen stehen in dieser Zeit den Angreifern fast ungeschützt offen.

Die Welt der Cybersicherheit ist in ständigem Umbruch. Besonders in den letzten Jahren nimmt die Zahl der schwerwiegenden Cyber-Angriffe auf Unternehmen, aber auch auf Regierungen und Behörden, immer stärker zu. WannaCry, NotPetya, der Hack der Demokratischen Partei in den USA, der Angriff auf den Deutschen Bundestag oder der sogenannte Bundeshack sind nur einige der medienwirksamsten Beispiele aus den letzten Jahren.

Wenn uns 2017 etwas gelehrt hat, dann, dass Cyberkriminelle mit voller Wucht angreifen. Dieser Trend wird auch in diesem Jahr weiter anhalten. Der kürzlich veröffentlichte, jährliche M-Trends-Bericht, für den die Sicherheitsanalysten von Mandiant Trends und Taktiken bei Cyberangriffen ausgewertet haben, stützt diese Aussage.

6 Monate bleiben Angreifer unentdeckt

Am alarmierendsten ist die Erkenntnis, dass Angreifer in den Netzwerken von EMEA-Organisationen im Schnitt 175 Tage unerkannt agieren konnten, bevor sie entdeckt wurden. Das sind fast 70 Prozent mehr als im Vorjahr mit 106 Tagen. Diese Zahl liegt auch 2,5 Monate über dem weltweiten Durchschnitt von 101 Tagen. Diese Ergebnisse unterstreichen die Bedeutung, die EMEA-Organisationen gerade jetzt der Cybersicherheit beimessen müssen. Die DSGVO bestraft nicht, wenn oder wie lange Angreifer unentdeckt in Unternehmensnetzwerken verbleiben. Sie sanktioniert nur, wenn Unternehmen nach der Feststellung von Sicherheitsmängeln und Angriffen nicht entsprechend tätig werden. Die Frage ist also: Was nützt sie, wenn die Angreifer vorher mehrere Monate unerkannt im Firmennetz Daten abgreifen konnten?

Vor dem Hintergrund, dass Mandiant-Experten nur wenige Tage benötigen, um im Zuge von Red Team-Einsätzen Vollzugriff auf ein Netzwerk zu erlangen, ist diese lange Verweildauer umso erschreckender. In dieser Zeit können Angreifer immense Datenmengen abgreifen und dem betroffenen Unternehmen einen nicht wieder gut zu machenden wirtschaftlichen Schaden zufügen.

Einmal Opfer, immer Opfer

Weitere alarmierende Daten aus dem Bericht zeigen, dass wiederholte Angriffe nicht auszuschließen sind. Bei mindestens 49 Prozent der Incident Response-Kunden, die mindestens einen schwerwiegenden Sicherheitsvorfall verzeichneten und gegen diesen vorgingen, kommt es innerhalb eines Jahres erneut zu einem erfolgreichen Angriff. 40 Prozent der EMEA-Kunden, die von einem schweren Sicherheitsvorfall betroffen waren, verzeichneten im Laufe des Jahres sogar mehrere gravierende Angriffe von unterschiedlichen Gruppen.

Finanzsektor als Opfer Nummer Eins

Am stärksten von Cyberangriffen betroffen war der Finanzsektor: Im vergangenen Jahr fanden hier 24 Prozent und damit ein Großteil der Mandiant-Untersuchungen bei EMEA Organisationen statt. Damit lag die Finanzbranche noch vor Regierungseinrichtungen, die in 18 Prozent der untersuchten Fälle betroffen waren. An dritter Stelle lag der Bereich Unternehmen und Unternehmensdienstleistungen, der mit 12 Prozent der Untersuchungen beteiligt war.

Der Iran auf dem Vormarsch

Einer der wichtigsten Punkte des Berichts ist, dass die Zahl der Angriffe, die von iranisch gesponserten Bedrohungsakteuren ausgehen, gestiegen ist. Während sie im vergangenen Jahr vor allem für ihre zerstörerischen Angriffe Berühmtheit erlangt haben, ist ein Großteil ihrer Spionagetätigkeit unbemerkt geblieben. Ihre Opferliste erstreckt sich derzeit über nahezu alle Branchen und reicht weit über die regionalen Konflikte im Nahen Osten hinaus.

Quo Vadis in Punkto Cybersicherheit, EMEA?

Wie können sich Organisationen besser schützen? An erster Stelle müssen Investitionen in die Cybersicherheit stehen. Hierzu gehören einerseits die entsprechenden Technologien und andererseits Intelligence-Daten zur Bedrohungslandschaft, um sich viel besser vor Angriffen zu schützen. Ein nicht zu unterschätzender Faktor ist hier die Expertise, die nur von geschultem und erfahrenem Fachpersonal stammen kann. Und gerade dieser letzte Punkt dürfte wohl auch der am schwierigsten zu behebende sein: denn der akute Fachkräftemangel im Bereich Cybersicherheit wird sich laut Erkenntnissen der National Initiative for Cybersecurity Education (NICE) und FireEye in den kommenden Jahren nur verstärken.

Über den Autor: Mike Hart ist Vice President Central Europe bei FireEye.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45321522 / Hacker und Insider)