Verizon Data Breach Investigation Report 2015

Datensicherheit muss auf die Tagesordnung!

| Autor / Redakteur: Lorenz Kuhlee* / Peter Schmitz

Fast 25 Prozent der erfolgreichen Datendiebstähle hätten durch Multi-Faktor-Authentifizierung und Patching von über das Internet zugänglichen Web-Services verhindert werden können.
Fast 25 Prozent der erfolgreichen Datendiebstähle hätten durch Multi-Faktor-Authentifizierung und Patching von über das Internet zugänglichen Web-Services verhindert werden können. (Bild: Verizon)

Es ist so einfach: Ein Unternehmen, das sich vor Datenverletzungen schützt, spart womöglich zig Millionen und hat keine Einbußen bei Kundenloyalität und Anlegervertrauen. Datensicherheit sollte man deshalb nicht allein der IT-Abteilung überlassen. Sie ist so wichtig, dass sich Führungskräfte und Mitarbeiter aller Abteilungen damit befassen sollten.

Der Verizon Data Breach Investigation Report (DBIR) (pdf) wird seit acht Jahren veröffentlicht und hat jedes Mal die Messlatte höher gelegt. In seiner aktuellen Ausgabe werden über 2.100 bestätigte Datenverletzungen und annähernd 80.000 gemeldete Sicherheitsvorfälle allein aus dem vergangenen Jahr untersucht.

Weiter analysiert er über 8.000 Datendiebstähle und nahezu 195.000 Sicherheitsvorfälle aus den vergangenen zehn Jahren. Zur besseren Darstellung der gesamten Cybersicherheits-Landschaft hat Verizon auch Vorfälle mit erfasst, die nicht zu Datenverletzungen geführt haben. Verizon zählt dieses Jahr mit zu den 70 Organisationen aus aller Welt, die Daten und Analysen zum Bericht beigetragen haben. Welche Einblicke vermittelt der Report?

Abwechslung als Würze in der Cyberkriminalität

Zwar sind die Motive für Angriffe nach wie vor unterschiedlich, aber gleich bedeutsam. Ziele sind Zahlungskartendaten oder sensible geschäftliche Informationen, oder es geht einfach darum, Abläufe zu unterbrechen. Weiter kommt der Bericht zu dem Ergebnis, dass die Angriffsmethoden immer raffinierter werden. Jahrzehnte alte Techniken wie Phishing und Hacking kommen immer noch zum Einsatz, allerdings werden sie heute geschickt miteinander kombiniert. Die große Mehrheit der analysierten Cyberattacken (70 Prozent) nutzte eine Kombination verschiedener Techniken, und es war meist ein zweites Opfer involviert, was die Komplexität solcher Datenverletzungen weiter erhöht.

Phishing erfreut sich nach wie vor großer Beliebtheit, jedoch wird heute bei solchen Angriffen gleichzeitig Malware installiert. Aus unseren Daten geht hervor, dass solche Techniken effektiver werden, 23 Prozent der Empfänger öffnen heutzutage die Messages, 11 Prozent die Anhänge. Im Schnitt dauert es gerade mal 82 Sekunden, bis eine Phishing-Kampagne zum ersten Mal angeklickt wird.

Im vergangenen Jahr konnte Verizon neun Muster ausmachen, unter denen sich die meisten wahrscheinlichen Sicherheitsvorfälle in einem Unternehmen zusammenfassen lassen. So verhält es sich auch diesmal: 96 Prozent der Datenverletzungen im diesjährigen Datensatz entsprechen den Mustern, wobei die Mehrheit dieser Bedrohungen aus lediglich drei Kategorien stammt, die nach Branche variieren.

Wie schon im 2014 DBIR festgestellt, handelt es sich bei den neun Bedrohungsmustern um diverse Fehler wie das Versenden von E-Mails an den falschen Empfänger, Crimeware (verschiedenartige Malware zur Übernahme der Kontrolle über das System), Missbrauch von Insiderwissen/Privilegien, physischer Diebstahl/Verlust, Angriffe über Web-Apps, DoS-Attacken (Denial of Service), Cyberspionage, Eindringen am Point-of-Sale (PoS) sowie Skimming (Abgreifen von Zahlungskartendaten).

Das Entdeckungsdefizit

Im diesjährigen Bericht wurde ein weiterer besorgniserregender Aspekt herausgestellt: Zahlreiche erkannte Schwachstellen bleiben weiterhin bestehen. Denn auch wenn es längst Sicherheits-Patches gibt, werden diese meist nicht implementiert. Etliche solcher Einfallslücken lassen sich bis 2007 zurückdatieren – ein Zeitraum von fast acht Jahren.

Wie schon in früheren Ausgaben weist der diesjährige Report auf ein „Entdeckungsdefizit“ hin, wie die Wissenschaftler von Verizon es nennen – das ist die Zeit zwischen den Auftreten der Datenverletzung und ihrer Entdeckung. Leider sind in 60 Prozent der Fälle die Angreifer in der Lage, eine Organisation innerhalb von Minuten zu kompromittieren. Die Forschungsergebnisse zeigen jedoch, dass viele Angriffe durch mehr Wachsamkeit beim Thema Cybersicherheit verhindert werden könnten.

Es gibt nach wie vor in den Verteidigungskonzepten von Unternehmen große Lücken. Zwar gibt es kein Allerheilmittel gegen Datendiebstahl, doch können Organisationen ihr Risiko im Großen und Ganzen kontrollieren, indem sie beim Absichern wachsamer sind. Ausgehend von den Daten aus über zehn Jahren Data Breach Investigations Report bleibt dies eines der Kernthemen.

Was kostet eine Datenverletzung wirklich?

Zur Messung der finanziellen Auswirkungen einer Sicherheitsverletzung bedienten sich die Sicherheitsanalysten von Verizon eines neuen Bewertungsmodells, das auf der Analyse von knapp 200 Leistungsansprüchen aus Cyberkriminalitäts-Versicherungen basiert. Das Modell geht von einem direkten Zusammenhang der Kosten für jeden gestohlenen Datensatz mit Datenart und Anzahl der kompromittierten Datensätze aus. Ausgewiesen werden ein oberer und ein unterer Wert für die Kosten gestohlener Datensätze (d. h. Kreditkartennummer vs. medizinischer Datensatz).

Verizon entdeckte, dass die Kosten einer Datenverletzung keinem linearen Modell folgen und demzufolge auch nicht als solche im Bericht aufgeführt sein sollten. Tatsächlich fallen die Kosten pro Datensatz mit der steigenden Zahl gestohlener Datensätze. Anstatt also einen einfachen Mittelwert zu nehmen, wurde ein Modell geschaffen, bei dem die tatsächlichen Kosten mit der Zahl der Datensätze variieren. Damit erhält man einen wesentlich zuverlässigeren Indikator. Zudem kann das Kostenmodell auf alle Arten von Organisationen angewendet werden.

Es sollte jedoch nicht vergessen werden, dass es nur selten, falls überhaupt, billiger ist, eine Datenverletzung in Kauf zu nehmen, als einen ordentlichen Schutzmechanismus zu installieren.

Interessanterweise zeigt die neue Analyse, dass die Größe eines Unternehmens keinen Einfluss auf die Kosten einer Datenverletzung hat. Schlagzeilenverdächtige Verluste, wie sie von größeren Organisationen gemeldet werden, lassen sich mit der simplen Tatsache erklären, dass mehr Datensätze verloren gegangen sind. Bei Verletzungen mit einer vergleichbaren Anzahl Datensätze entstehen unabhängig von der Größe der Organisation vergleichbare Kosten.

Entstehen durch neue Technologien höhere Risiken?

Mobile Plattformen können durchaus anfällig sein, doch die Daten zu Vorfällen, Verletzungen und Wireless-Netzen belegen, dass sie bislang nicht bevorzugtes Ziel von Angreifern sind. Verizon hat sein Wireless-Netz auf sicherheitsgefährdende Aktivitäten untersucht, die von mobilen Endgeräten ausgehen, und nur sehr wenig mobile Malware gefunden, meist mit geringer schädigender Wirkung: Adware und andere ressourcenverschwendende Infektionen ohne zerstörende Wirkung. Malware mit zerstörender Wirkung ist aufs Jahr gerechnet bei 0,03 % der Geräte festzustellen.

Verizon erwartet für 2020 fünf Milliarden IoT-Devices in Unternehmen und viele Milliarden mehr auf Verbraucherseite. Wenngleich 2014 wenig über Sicherheitsvorfälle und offengelegte Daten im Zusammenhang mit M2M-Geräten (wie etwa Connected Cars und Smart Cities) berichtet wurde, ist dies kein Grund, sich zurückzulehnen. Der Anteil des IoT an der IT-Landschaft wächst und sollte in einer Sicherheitsstrategie weiter eine Rolle spielen.

Schutz von Organisationen: Da geht mehr

Ein näherer Blick auf die grundlegenden Ursachen von Datenverletzungen hat Verizon gezeigt, dass nahezu 25 Prozent durch Multi-Faktor-Authentifizierung und Patching von über das Internet zugänglichen Web-Services hätten verhindert werden können. Hier muss mehr passieren.

Verizons Botschaft an die Unternehmen ist: Jetzt handeln! Keine Organisation ist immun gegen Cybercrime und je länger ein Unternehmen benötigt, eine Datenverletzung aufzudecken, umso mehr Zeit haben die Angreifer, die Verteidigungsmechanismen zu überwinden und Schaden anzurichten. Umfassende Sicherheit ist kein unternehmerischer Luxus, sondern eine tägliche Notwendigkeit.

* Lorenz Kuhlee ist IR/Forensic Consultant im Verizon RISK Team.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43534374 / Sicherheitslücken)