Nach wie vor halten laut silicon.de-Blogger Detlef Eppig von Verizon Unternehmen das Thema Cyberkriminalität für ein Problem, von dem vor allem staatliche Organisationen betroffen sind. Doch wie eine aktuelle Auswertung von gemeldeten Fällen zeigt, trifft diese Annahme immer weniger zu. Es sind vor allem Unternehmen und die sind weltweit betroffen, auch wenn die Attacken meist von ganz bestimmten Regionen aus durchgeführt werden.
Letztes Jahr sind groß angelegte Datenverletzungen unterschiedlicher Natur sowie weitere Formen von Netzwerkattacken in den Vordergrund gerückt. Betroffen waren Privatleute ebenso wie Unternehmen aller Größen, ob in Privatbesitz oder börsennotiert, und auch namhafte Organisationen. Unternehmen und Behörden können jedoch sehr wohl auf sich entwickelnde Bedrohungen durch Cyberkriminelle vorbereitet sein.
Der Verizon Data Breach Report wurde bereits zum sechsten Mal veröffentlicht. Die Ausgabe 2013 umfasst 621 bestätigte Datenverletzungen sowie mehr als 47.000 gemeldete Sicherheitsvorfälle. In den neun Jahren, seit es den DBIR gibt, hat die Zahl der Datenverletzungen die Marke von 2.500 überschritten; insgesamt 1,2 Milliarden Datensätze wurden kompromittiert. Verizon wurde beim diesjährigen Bericht von 18 Organisationen aus der ganzen Welt unterstützt. Ziel ist die Stärkung des Bewusstseins für globale Cyberkriminalität sowie die Unterstützung von Regierungsbehörden und privatwirtschaftlicher Unternehmen, eigene maßgeschneiderte Strategien zu entwickeln.
Der Report im Überblick
Groß angelegte, auf die Finanzwirtschaft gerichtete Cyberkriminalität und Spionage gegen staatsnahe Unternehmen beherrschten 2012 die Sicherheitslandschaft. Den Spitzenplatz unter sämtlichen im Bericht 2013 erfassten Datenverletzungen belegte das finanziell motivierte Cyberverbrechen (75 Prozent); es folgen auf Platz zwei gegen staatsnahe Unternehmen gerichtete Spionagekampagnen (20 Prozent). Hierzu zählen Angriffe auf geistiges Eigentum, also auf vertrauliche Informationen, Betriebsgeheimnisse und technische Ressourcen gerichtete Bedrohungen zur Begünstigung nationaler und wirtschaftlicher Interessen.
Weiter kamen wir zu dem Ergebnis, dass der Anteil an Vorfällen, an denen Hacktivisten – ideologisch motiviert oder einfach auf der Suche nach Spaß – beteiligt sind, gegenüber dem vorangegangenen Jahr konstant geblieben ist. Jedoch hat die entwendete Datenmenge abgenommen, da sich zahlreiche Hacktivisten anderen Methoden zugewendet haben, etwa den DDoS-Attacken (Distributed Denial of Service). Diese Angriffe, die zum Ziel haben, Systeme lahmzulegen oder ihren Service zu unterbrechen, sind aufgrund geschäftlicher Einbußen mit erheblichen Kosten verbunden.
Spionageangriffe können jeden treffen
Unsere Erkenntnisse 2013 lassen erkennen, dass Firmen und Behörden sehr häufig mit dem Risiko von Spionageangriffen einigermaßen selbstgefällig umgehen. So wird angenommen, dass solche Angriffe ausschließlich gegen Regierungen, das Militär oder namhafte Organisationen gerichtet sind, doch dies trifft immer weniger zu.
Für gewöhnlich gehen Cyberattacken von drei Gruppierungen aus – Aktivisten, Kriminelle und Spione. Jede hat ihre eigenen Motive und Taktiken, doch heraus kommen stets unterbrochene Services, finanzielle Einbußen und Imageschaden. Hier die charakteristischen Merkmale zu kennen, bedeutet bessere Vorbereitung und geringeres Risiko.
Die Mehrzahl der von uns analysierten, finanziell motivierten Vorfälle hatten ihren Ursprung in den USA oder in Osteuropa – hier insbesondere Rumänien, Bulgarien und die Russische Föderation. Fälle von Spionage gehen vorrangig von ostasiatischem Boden aus. Von den Angriffen, mit denen wir uns befasst haben, waren jedoch Unternehmen rund um den Globus betroffen. Geografische Grenzen sind kein Schutz vor Cyberattacken.
Cyberkriminalität trifft alle Branchen und alle Länder
Insgesamt waren 2012 die groß angelegten und diversifizierten Datenverletzungen sowie weitere Netzwerkangriffe hervorstechend. Die Opfer kamen aus den unterschiedlichsten Branchen. Finanzinstitutionen waren zu 37 Prozent von den Datenverletzungen betroffen, Einzelhändler und Restaurants machten 24 Prozent aus. Zwanzig Prozent der Einbrüche in Netzwerke betrafen das produzierende Gewerbe, Transport- und Versorgungsunternehmen. Im gleichen Ausmaß waren Informationsanbieter und Dienstleistungsunternehmen Opfer. Von sämtlichen Cyberattacken waren 38 Prozent gegen größere Unternehmen in 27 Ländern gerichtet.
Für Datenverletzungen sind überwiegend Angriffe von außen verantwortlich: 92 Prozent gehen auf das Konto von außenstehenden Personen, 14 Prozent kommen von Insidern. Zu dieser Kategorie zählen das organisierte Verbrechen, Aktivistengruppierungen, Einzelgänger und sogar von ausländischen Regierungen gesponserte Organisationen. Wie schon im Vorjahresbericht sind Geschäftspartner zu etwa einem Prozent für Datenverletzungen verantwortlich.
Bei den Angriffsmethoden kommt es vorrangig durch Hacking zu Datenverletzungen. Hacking spielte bei 52 Prozent der Datenverletzungen eine Rolle. Schwache oder gestohlene Zugangsdaten kamen bei 76 Prozent der Netzwerkeinbrüche zum Einsatz, 40 Prozent nutzten Malware, 35 Prozent beinhalteten physische Attacken (z. B. Skimming an Geldautomaten) und 29 Prozent nutzten soziale Taktiken (etwa Phishing). Der Anteil von Verletzungen in Verbindung mit sozialen Taktiken wie Phishing hat gegenüber 2012 um das Vierfache zugenommen.
Was bedeutet dies für Unternehmen, was können sie tun?
Eigentlich bestärkt dies lediglich die Annahme, dass heutzutage keine Firma oder Behörde gegen Datenverletzungen immun ist. Zwar stehen den Unternehmen jede Menge Security-Tools zur Verfügung, doch muss man die richtigen wählen und sie richtig anwenden. Unternehmen müssen lernen, ihre Gegner zu verstehen, müssen ihre Motive und Methoden kennen und dementsprechend immer wieder konzernweit Abwehrmechanismen in Stellung bringen.
Nach wie vor ist der “Perimeter”-Ansatz ein probates Mittel im Bereich Security, also die klassischen technischen, administrativen und prozessbasierten Sicherheitskontrollen wie Firewalls, Passwörter sowie Trainings zur Bewusstmachung. Sie alle sind notwendig und bleiben die erste Verteidigungslinie. Die nächste Ebene des Datenschutzes ist allerdings mindestens ebenso wichtig.
Durch die zunehmende Verbreitung von portablen Medien, Smartphones, USB-Drives und Desktops steigen exponential die Chancen, dass solche Geräte gestohlen werden oder verloren gehen. Hier sind Schritte wie Verschlüsselung der Daten und Schulung der Nutzer enorm wichtig. Weiter muss sofort das Security-Management informiert werden, wenn Geräte gestohlen werden, verloren gehen oder eine Kompromittierung vermutet wird. Viele Mobility-Management-Plattformen sind in der Lage, die Daten auf gestohlenen oder verlorenen Geräten komplett aus der Ferne zu löschen.
Wichtig ist auch, betriebswichtige Daten auszuweisen, deren Verlust, Diebstahl oder Kompromittierung sich nachteilig auf die Zukunft des Geschäfts auswirken könnte. Weiter gilt es zu erfassen, wo sich die Daten – einschließlich Backups und Spiegelkopien – befinden, und den Grad ihrer Schutzbedürftigkeit festzulegen. Außerdem sollte man feststellen, wer Zugang zu kritischen Daten und die Autorisierung und Möglichkeit hat, in dieser Datenbank oder jenem Ordner Daten hinzufügen oder zu löschen.
Personen mit entsprechenden Berechtigungen müssen darin geschult werden, wie man verdächtige Phishing-Angriffe erkennt und nach Anzeichen physischer oder virtueller Manipulationsversuche Ausschau hält. Zum Umfang des Trainings gehören auch Verhaltensregeln im Fall von physischen und von Cyberattacken wie Pretexting, nach denen sofort entsprechende Mitarbeiter mit 24×7-Bereitschaft zu informieren sind.
Hier einige praktische und recht einfache Empfehlungen:
- Unnötige Daten löschen und über den Rest Buch führen
- Für die Einhaltung wesentlicher Kontrollen sorgen und den Status regelmäßig überprüfen
- Daten von Vorfällen sammeln, analysieren und teilen, um so eine reichhaltige Datenquelle zu schaffen, die dem Security-Programm weiterhilft
- Erkenntnisse über Bedrohungsaufklärung sammeln, analysieren und teilen, besonders Indicators of Compromise (IOCs), die bei Abwehr und Erkennung eine große Hilfe sein können
- Ohne die Prävention herunterzuspielen, sollte man durch eine entsprechende Mischung aus Menschen, Prozessen und Technologie den Fokus auf bessere und schnellere Erkennung richten
- Regelmäßig im Netzwerk Dinge wie „Anzahl kompromittierter Systeme“ und „mittlere Erkennungsdauer“ ermitteln und diese nutzen, um Sicherheitspraktiken voranzubringen
- Die Bedrohungslandschaft einschätzen, um für die Behandlung von Vorfällen Prioritäten zu bilden. Vergessen Sie den “Einer-für-alles”-Ansatz, wenn es um die Sicherheit geht
- Falls Sie das Ziel von Spionen sind, unterschätzen Sie nicht die Beharrlichkeit Ihrer Gegner. Unterschätzen Sie auch nicht die Aufklärungsmöglichkeiten und Tools, die Ihnen zur Verfügung stehen
Die Cyberkriminalität wird immer professioneller. Jeden könnte es treffen. Die Hacker werden immer raffinierter und lassen sich immer wieder etwas Neues einfallen. Unsere Unternehmen haben dies, glücklicherweise, sehr gut aufgenommen und tun auch sehr viel gegen mögliche Angriffe. Dies hat jetzt auch eine Studie zeigen können. Das Thema IT-Sicherheit wandert immer höher auf der Agenda. Für mehr als ein Drittel der Befragten sind Cyber-Risiken die Top-Priorität, ein Viertel sieht Data Leakage und Data Loss Prevention an erster Stelle. [Quelle: http://www.finance-magazin.de/risiko-it/it/cybercrime-hacker-sind-immer-noch-einen-schritt-voraus/ ]
Die Ausgaben, die hier getätigt werden, sind zwar hoch aber nützlich. Trotz dieser hohen Ausgaben gegen die Cyberkriminalität ist der Hacker oft einen Schritt voraus. Ich denke das wird auch so bleiben, denn der Hacker versucht es immer über neue Wege. Dies zeigt auch wie wichtig es ist immer auf dem neusten Stand zu sein.