Grundlagen der IT-Sicherheit

Cybercrime und Security Incidents verstehen lernen

| Autor / Redakteur: Lorenz Kuhlee* / Stephan Augsten

Im Data Breach Investigations Report beleuchtet Verizon regelmäßig die wichtigsten Handlungsfelder der IT-Sicherheit.
Im Data Breach Investigations Report beleuchtet Verizon regelmäßig die wichtigsten Handlungsfelder der IT-Sicherheit. (Bild: Verizon)

Datendiebstähle und andere IT-Sicherheitsvorfälle schaffen es regelmäßig in die Schlagzeilen. Es scheint, die Cyber-Kriminellen hätten die Oberhand und die Unternehmen liefen der Entwicklung hinterher. Aber ist das wirklich so? Sollen wir uns zurücklehnen und darauf warten, dass die Angriffe passieren? Die Antwort lautet: „Nein!“.

Jede Firma, jede Behörde ist heute von der digitalen Welt abhängig – ob in der Kommunikation, bei Transaktionen oder im Wettbewerb. In Sachen Wettbewerbsvorteil geht es darum, digital etwas besser zu können. Optimierte Collaboration-Tools, schnellere und robustere Netzwerke, mehr Speicherkapazität, mehr Partner, global aufgestellte Unternehmen – immer kommt es darauf an, noch mehr Daten zu übermitteln und zu speichern.

Unter dem Strich sind solche geschäftskritischen Daten der Wettbewerbsvorteil eines Unternehmens. Sie sind das geistige Eigentum und noch wichtiger: Sie machen die Reputation eines Unternehmens aus. Wenn der Schutz von Daten als Lebensader eines Unternehmens so immens wichtig ist, warum ist das Thema Sicherheit für viele Organisationen häufig nur eine Überlegung am Rande?

Cybercrime – die unverhüllte Wahrheit

Unser 2016 Data Breach Investigation Report (DBIR) zeigt erneut, dass es so etwas wie einbruchsichere Systeme nicht gibt. Häufig würden jedoch halbwegs vernünftige Abwehrmaßnahmen ausreichen, weil die Cyberkriminellen sich dann lieber ein leichteres Opfer suchen.

Wir haben herausgefunden, dass bei vielen Unternehmen immer noch grundlegende Sicherheitsvorkehrungen fehlen oder fehlerhaft implementiert sind – ein unglaublicher Zustand, zumal wir uns der Cyberkriminalität im täglichen Leben und Arbeiten durchaus bewusst sind. Zum Beispiel waren bei 63 Prozent der bestätigten Datenverletzungen schwache, standardmäßig vergebene oder gestohlene Passwörter im Spiel.

Bei den meisten Attacken wurden zudem bekannte Schwachstellen ausgenutzt, die nie gepatcht wurden, obwohl seit Monaten oder Jahren entsprechende Updates auf dem Markt waren. Als Gründe sind möglicherweise Vertrauen in eine alte Sicherheitspolitik, mangelndes Bewusstsein für die Marktsituation, Fehleinschätzung der Sicherheitslage und fehlende Priorisierung oder einfach nur mangelnde Mitarbeiterschulung anzuführen.

Tatsache ist: Cyberkriminelle brauchen nur Minuten, um in ein System einzubrechen und Daten zu stehlen. In 93 Prozent der Fälle, bei denen Daten entwendet wurden, mussten wir feststellen, dass die Daten innerhalb von nur Minuten oder noch schneller kompromittiert wurden. Bei 28 Prozent der Fälle passierte der Datenraub innerhalb von Minuten. Doch selbst wenn das Entwenden von Daten Tage dauerte, mussten sich die Täter in 83 Prozent der Fälle keine Sorgen machen, entdeckt zu werden. Die Datenverletzung wurde erst Wochen später erkannt.

Je länger eine Firma oder Behörde benötigt, um solche Vorfälle aufzudecken, desto mehr Zeit bleibt den Kriminellen, wertvolle Daten zu finden oder Geschäftsabläufe zu stören. Einfaches Schützen reicht deshalb nicht aus. Wirkungsvolle Systeme zur Erkennung und Abhilfe müssen bereitstehen, damit Angriffe abgewehrt und mögliche Schäden minimiert werden können.

Alles viel zu kompliziert? Die Bösen haben ohnehin schon gewonnen?

Als wir die 2013er Ausgabe des DBIR zusammenstellten, kamen wir zu dem Schluss, den Großteil der Angriffe durch Fokussierung auf eine Handvoll Angriffsmuster in den Griff zu bekommen. Unser Ziel war es, Cybercrime-Reporting drastisch zu vereinfachen.

Die scheinbar endlosen Auflistungen möglicher Bedrohungen, die permanent von Sicherheitsorganisationen gemeldet wurden, waren schlicht zu komplex, um sie zu verstehen. Es musste einen besseren Weg geben, ein Muster, dem die Cyberkriminalität folgt. Wir versprachen damals, das Muster zu finden und mit der Branche zu teilen.

Durch Analysieren der Daten der letzten zehn Jahre und Anwendung von Big Data-Analytics auf das Sicherheitsrisiko-Management fanden wir heraus, dass ein großer Prozentsatz sämtlicher Sicherheitsvorfälle sich auf neun Angriffsmuster zurückführen lässt. Diese variieren von Branche zu Branche und jede Branche lässt sich mit jeweils drei ganz speziellen Mustern in Verbindung bringen. Diese Angriffsmuster finden ihre fortgesetzte Verwendung.

Dieses Jahr zeigen die Ergebnisse, dass 95 Prozent der Datenverletzungen und 86 Prozent der Sicherheitsvorfälle sich auf nur neun Bedrohungsmuster verteilen: diverse Fehler wie das Versenden von E-Mails an den falschen Empfänger, Crimeware (verschiedenartige Malware zur Übernahme der Kontrolle über das System), Missbrauch von Insiderwissen und Zugangsdaten, physischer Diebstahl und Verlust, Angriffe über Web-Apps, DoS-Attacken (Denial of Service), Cyberspionage, Eindringen am Point-of-Sale (PoS) sowie Zahlungskarten-Skimming.

Erneut sind pro Branche drei spezifische Angriffsmuster zu beobachten. Bei Financial Services beispielsweise machen diese drei Muster 88 Prozent der Angriffe aus (Denial of Service, Angriffe über Web-Apps und Crimeware). Im Bereich Retail sind bei 90 Prozent der Angriffe drei Muster zu beobachten (Eindringen am Point-of-Sale (PoS), Denial of Service, Angriffe über Web-Apps). In der verarbeitenden Industrie sind drei Angriffsmuster für 82 Prozent der Angriffe verantwortlich (Denial of Service, Missbrauch von Insiderwissen und Zugangsdaten, Cyber-Spionage).

Ziel der Veröffentlichung dieser Informationen ist, dass Firmen und Behörden maßgeschneiderte Sicherheitslösungen an den Start bringen, die auf der branchenspezifischen Situation und den verwendeten Angriffsmustern aufbauen. Dadurch erhalten Sicherheitsstrategien in der Bekämpfung von Cyberkriminalität eine wirkungsvollere Rolle.

Der Faktor Mensch – Mitarbeiter nicht vergessen!

Beim Ausformulieren von Sicherheitsstrategien werden Mitarbeiter häufig nicht oder nicht als Teil des Kern-Sicherheitsteams gesehen. Ein großer Fehler, wenn man bedenkt, dass sie häufig für opportunistische Hacker auf der Suche nach einer Einfallsmöglichkeit in eine Firma oder Behörde eine einfache Lösung darstellen.

In den vergangenen Jahren haben die Sicherheitsrisiken zugenommen, denn Mitarbeiter nutzen eine wachsende Zahl von Diensten und Zugangspunkten für das Einloggen ins Unternehmensnetzwerk. Häufig setzen sie damit ihren Arbeitgeber zunehmend raffinierten Attacken aus.

Dieses Jahr zeigte sich, dass „human-orientierte“ Methoden die Liste der Taktiken von Cyberkriminellen anführen. So führten „verschiedene Fehler“ d. h. unbeabsichtigte Handlungen und Irrtümer zu mehr Sicherheitsvorfällen als jede andere Taktik. Bei 26 Prozent davon waren sensible Informationen einfach an die falsche Person verschickt worden.

Weiter fanden wir heraus: Phishing – also das Versenden von E-Mails mit betrügerischen Absichten – hat gegenüber dem Vorjahr dramatisch zugenommen. 30 Prozent solcher Phishing-Nachrichten wurden geöffnet – 2015 waren es noch 23 Prozent. Bei 13 Prozent davon wurde auf die böswilligen Anhänge oder Links geklickt, um sie zu öffnen.

Wären sich Mitarbeiter der Risiken ihres digitalen Handelns bewusst, könnten viele dieser häufig vorkommenden Sicherheitsvorfälle verhindert werden. Regelmäßige Schulung und Sensibilisierung, begleitet von angemessenen Datenschutzrichtlinien/-lösungen sowie Zugriff nach dem Prinzip der geringsten Rechte sind hier der Schlüssel.

Mitarbeiter sind der wertvollste und zugleich intelligenteste Teil eines jeden Unternehmens, und jedes Unternehmen sollte sie mit Blick auf das Thema Sicherheit sensibilisieren und schulen. Sicherheit allein stellt keine vollständige Verteidigungslinie gegen Sicherheitsattacken dar und letztendlich ist jeder für Sicherheit mitverantwortlich.

Vorhandene Informationen: nutzen oder entsorgen

Viele Unternehmen, die Opfer von Cyberattacken werden, befolgen nicht die grundsätzlichen Sicherheitspraktiken wie etwa Ausweisung kritischer Assets und Daten oder Implementierung strengerer Kontrollen zur Bewältigung von Risiken. Grundlegende Schritte zu ignorieren, kann leicht zum Desaster führen.

Hier einige Maßnahmen, die man in Betracht ziehen sollte:

  • Aneignung von Kenntnissen über die Branche und die hier gebräuchlichsten Angriffsmuster
  • Zwei-Faktor-Authentifizierung für eigene Systeme
  • Empfehlung an User, sich bei sozialen Netzwerken nach Möglichkeit mit Zwei-Faktor-Identifizierung anzumelden
  • unverzügliches Patchen
  • Erteilung einer Zugangsberechtigung nur für Personen, die diese unbedingt benötigen
  • Überwachung sämtlicher Eingaben und Verschlüsselung von Daten
  • interne Schulung von Mitarbeitern zur Entwicklung eines Sicherheitsbewusstseins
  • und vor allem: Machen Sie sich mit Ihren Daten vertraut und schützen Sie sie entsprechend.

Lorenz Kuhlee
Lorenz Kuhlee (Bild: Verizon)

Denken Sie daran: Ein entsprechendes Bewusstsein ist die erste und beste Verteidigungslinie. Das Fehlen eines grundsätzlichen Bewusstseins ist Garant für den wiederholten Erfolg der Mehrheit von Cyberattacken. Wir sind überzeugt, dass der Austausch solcher wichtigen Informationen zu Cyberkriminalität und verwendeten Taktiken dazu beitragen kann, sämtliche Branchen in der Bekämpfung von Cyberkriminalität zu unterstützen.

* Lorenz Kuhlee ist Senior Information Researcher & Forensic sowie Security Consultant im Verizon EMEA RISK Team.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44095945 / Sicherheitsvorfälle)