Wie Unternehmen den Status ihrer Cybersicherheit bewerten Korrekte Selbstwahrnehmungen der eigenen IT-Abwehr

Anbieter zum Thema

SonicWall Germany

Arvato Systems

Keeper Security EMEA Ltd.

ForeNova Security

Das Cyberkriminelle kontinuierlich an ihrem Arsenal neuer Angriffs­me­tho­den arbeiten, ist bekannt. KMUs, Großunternehmen, Behörden sowie ganz aktuell Bildungseinrichtungen – sie alle müssen sich gegen neue Attacken wappnen und wissen das. Können und tun sie es auch?

Wie schnell und mit welchen Technologien Unternehmen auf Angriffe reagieren, zeigt eine Studie von Cybersecurity Insiders im Auftrag von ForeNova unter 236 IT-Experten in den USA und Kanada aus dem Herbst 2022. Das Fazit der hier zusätzlich vorgestellten Ergebnisse der Befragung: Unternehmen kennen die Gefahren, benötigen aber oft zu viel Zeit für das Erkennen und die Abwehr. Wenn für viele der Befragten etwa Backups der effizienteste Bestandteil der IT-Sicherheit sind, stellt sich zudem die Frage: Führen die Cyberverantwortlichen schon Rückzugsgefechte oder wiegen sie sich in der trügerischen Sicherheit, Angriffe könnten ihnen eh nichts anhaben?

Bildergalerie

Vor allem in einem Punkt herrscht Einigkeit: Über die Vielseitigkeit und die Stärke der Cyberkriminellen machen sich die potenziellen und tatsächlichen Opfer keine Illusionen. Die Frequenz der Angriffe wird zunehmen: So erwarten es 78 Prozent der in der Studie befragten Unternehmen. Die in den Medien prominente Ransomware ist dabei nur ein Angstfaktor – wenn auch sicher ein relevanter. Immerhin 32 Prozent der befragten Unternehmen waren tatsächlich Opfer von Erpressungsversuchen.

Zudem sehen die Studienteilnehmer sich von verschiedenen Seiten bedroht: Die wirtschaftlich motivierte und organisierte Cyberkriminalität als Geschäft halten 77 Prozent der IT-Experten für die größte Gefahr. Naheliegend, denn diese baut auf die Möglichkeiten und die Kompetenz eines organisierten Netzwerk aus Profis mit den Ziel, Gewinn zu machen. Gleich danach folgen die opportunistischen Hacker (64 Prozent), die mit einfachen Methoden die schnelle Lücke suchen. Staatlich finanzierte Angriffe (48 Prozent) scheinen den meisten Beteiligten doch etwas weiter weg. Doch nicht nur diese Hauptverdächtigen scheinen gefürchtet zu sein. Fast jeder dritte Befragte denkt am ehesten an den frustrierten oder ehemaligen Inhaber, jeder fünfte an Hacktivisten und 15 Prozent gar an die Konkurrenz. Zwölf Prozent sehen sogar unzufriedene Kunden als die größte Gefahr, 22 Prozent die unvorsichtigen Mitarbeiter.

Gefahr durch verzögerte Abwehr

Gelangen professionelle Hacker ins System, sind die Folgen oft schwerwiegend und für viele Sicherheitsverantwortliche nicht auf Anhieb abzusehen. Die meisten Angriffe erkennt eine IT. Aber oft erst spät, zum Beispiel wenn die Kriminellen bereits Zugriff auf bis zu zehn Prozent der Daten haben. Das ist bei 81 Prozent der Befragten nach deren eigenen Aussagen der Fall. Auf dem ersten Blick mag sich das nach wenig anhören, kann aber, wenn es sensible Informationen sind, ausreichen, um ein Unternehmen vor existenzbedrohende Probleme zu stellen. Noch erschreckender: Jeder zehnte Befragte gab an, Eindringlinge erst zu bemerken, wenn sie bereits auf 76 bis 100 Prozent der Daten Zugriff haben.

Optimale Reaktionsfähigkeit?

Will man verhindern, dass es zu größeren Verlusten oder zur Nichtverfügbarkeit von Daten und Systemen durch gezielte Angriffe kommt, muss aber eine wirksame Prävention und reaktionsfähige Abwehr bereitstehen. Doch selbst beim Reagieren auf die Exekution einer Attacke sind viele IT-Teams nicht schnell genug. Auf die Frage, wie schnell die interne IT Malware erkennt, gab – einerseits immerhin, aber andererseits nur - rund ein Fünftel der Befragten an, dass dies fast in Echtzeit geschehe. Bei 22 Prozent geht dies innerhalb von wenigen Minuten vonstatten. Bei einer unmittelbar exekutierten Ransomware-Verschlüsselung oder Datenexfiltration kann schon das zu spät sein. Mehrere Stunden oder bis zu mehr als einen ganzen Arbeitstag dauert es aber bei 34 Prozent, bei fünf Prozent sogar mehrere Tage, bis die IT einen erfolgreichen Angriff bemerkt. Alarmierend ist, dass jedes zehnte Unternehmen nicht weiß, wann oder ob sie überhaupt Attacken erkennen würden.

Bemerkenswert sind die Antworten auf die Frage, wie Malware typischerweise entdeckt wird. Den größten Anteil beim Erkennen einer eindringenden Gefahr schreiben die Befragten einer Endpoint-Abwehr (83 Prozent) wie Anti-Malware oder Anti-Virus zu, gefolgt von E-Mail- und Web-Gateways (55 Prozent) und einem Intrusion-Detection-System (49 Prozent) Danach folgt das Beobachten des Netzwerkverkehrs mit 42 Prozent. (Abbildung 2). Dieser letzte Faktor scheint im Vergleich zu den Anderen unterschätzt. Der Schluss, dass die an erster Stelle genannten Sicherheitskonzepte zu einer erfolgreichen Defensive am meisten beitragen, ist mit Vorsicht zu genießen. Ein Endpunktschutz ist sicher unerlässlich, greift bei einfachen Attacken oder wehrt den opportunistischen Start durch Antivirusfunktionen ab. Und der verdienten Aufmerksamkeit um Advanced Persistent Threats (APTs) zum Trotz: Opportunistische Angriffe sind doch die Mehrzahl im Cyberwarspace. Sie stehen häufig am Anfang komplexer Attacken. Cyberkriminelle, die die Informationsernte automatisierter Scans nutzen, um dann das Netz auszuspionieren und lohnenswerte Daten sowie Systeme als Ziel zu eruieren, lassen sich von einer solchen Lösung aber nicht daran hindern. Ein Endpunktschutz kommt dann schnell zu spät.

Bildergalerie

Mangelhafte Rettungsanker: Backups und Endpunkt-Schutz alleine reichen nicht mehr aus

Während viele Befragten dem sicher notwendigen Endpunkt-Schutz vielleicht eine zu hohe Schutzrolle einräumen, scheinen sich andere Unternehmen zu stark auf Backups zu verlassen. 87 Prozent sehen im Sichern und Wiederherstellen von Daten die effektivste Abhilfe gegen Angriffe. Sie trauen der EDR also mehr zu als einer Threat Intelligence (72 Prozent) oder einer Verhaltensanalyse (53 Prozent).

Zum einem spricht aus einem solchen Statement vielleicht ein unangebrachtes Sich-Verlassen auf Sicherungen: Daten und Systeme wiederherzustellen scheint einfach. Dem ist aber nicht so. Denn zerstörte Systeme wieder hochzufahren oder Daten neu einzupflegen, kann bei komplexen Attacken aus verschiedenen Gründen sehr lange dauern. Während dieser Ausfallzeiten laufen schnell hohe Umsatzeinbußen auf. Doch die Gefahr geht noch weiter: Professionelle Angreifer mit erpresserischen Absichten lokalisieren mittlerweile vor Ausgehen des Erpresserschreibens die Backups, verschlüsseln oder zerstören sie. Wer kein separates Backup ohne Anschluss an das Unternehmensnetz hat, ist dieser Gefahr ausgesetzt und wiegt sich in falscher Sicherheit. Ebenso die Anwender, die ihre Backups nicht auf ihre Funktion überprüfen: Der Anzahl von Unternehmen, deren Backups nicht eingespielt werden können, so dass sie wertlos sind, ist nicht zu unterschätzen. Lösegelderpresser der zweiten Generationen drohen zudem mit dem Offenlegen von Daten, wogegen kein Backup hilft: Das Unternehmen hat ja keine Daten verloren. Nur jemand anders hat sie nun ebenfalls.

Wer Backups und Endpunkt-Schutz als Hauptschauplatz der Abwehr oder letztes Auffangnetz gegen komplexe Angriffe sieht, gibt den professionellen Angreifern zu viel Raum. Komplexe neue Angriffe im Vorfeld und damit rechtzeitig abzuwehren, erfordert aber weiter reichende Cyberabwehr-Konzepte: Das Beobachten des Netzverkehrs und die Analyse des Verhaltens von Nutzern und Endpunkten oder die forensische Analyse des Datenverkehrs, um Einfallpunkte zu definieren und für den zu erwartenden neuen Versuch der Hacker zu schließen. Nur wer schon im Vorlauf die ersten Indizien von Attacken erkennt, wird rechtzeitig Endpunkte schützen und blocken können. Gegen die wirklich gefährlichen Angreifer: Die unbekannten oder die, welche altbekannte Attacken doch hinreichend neu maskieren. Dazu benötigt er neben einer Endpoint Detection and Response und einer Network Detection and Response die Hilfe erfahrener externer IT-Experten.

Über den Autor: Thomas Krause ist Regional Director DACH bei ForeNova.

(ID:49225278)