Schuld an der schlechten Reaktionszeit sind aus Sicht der Beratungstochter der IT-Sicherheitsfirma FireEye gleich mehrere Faktoren: Zum einen verlassen sich 88 Prozent der Firmen im Emea-Raum nur auf ihre internen Abwehrressourcen. Zum anderen können die Unternehmen von offizieller Stelle noch (zu) wenig Hilfe erwarten - anders als im weltweiten Vergleich, wo 53 Prozent der Angriffe von externer bzw. staatlicher Stelle entdeckt werden. Außerdem haben Unternehmen in der Region aus Sicht der Mandiant-Fachleute in Bezug auf Sicherheit nicht die Reife erreicht, um sicherheitsrelevante Events übergreifend zu überwachen. Emea verlässt sich auf Anti-Viren-Tools - und die Angreifer nutzen oft ungebremst Persistenzmechanismen wie Backdoors, Web Shells oder VPN Zugang, so das Fazit von Mandiant.
Wie die FireEye-Beratungstochter einräumt, sind für die deutliche Differenz natürlich auch die guten Ergebnisse aus den USA verantwortlich. Dort sei der Reifegrad in Sachen Sicherheit deutlich höher und Security Operation Center (SOC) würden auch proaktiv nach Bedrohungen Ausschau halten. Dennoch sei dies nur ein schwacher Trost für die Unternehmen aus dem Emea-Raum: 15 Monate und mehr böten Angreifern mehr als genug Zeit, um in aller Ruhe ihre Ziele erreichen und gegebenenfalls auch den Zugang in das Unternehmen an andere Interessenten weiterzuverkaufen. Zum Vergleich: Hat es sich erst einmal Zugang zu einem Firmennetz verschafft, braucht das Red Team von Mandiant im Schnitt drei Tage, um auf das Active Directory zugreifen zu können.
Hacker hinterlassen wenige Spuren und tarnen sich gut
Überraschend ist, dass die Mandiant-Experten zwar durchschnittlich pro Unternehmen 40.000 Systeme pro Netzwerk untersuchten - davon aber nur 40 Systeme infiziert waren. Der Grund: Die Angreifer versuchen zwar, sich im Netzwerk zu verbreiten, hinterlassen aber kaum Spuren bzw. verschleiern diese. So wurde die Malware oft erst kurz vorher für genau diesen Angriff geschrieben und entsprechend von Antivirus-Tools und den Schwarzen Listen der Proxy Server nicht erkannt. Schlimmer noch: viele Unternehmen nutzen signaturbasierte Antivirus-Technologien nur zum Schutz der Hosts und überwachen die internen Kommunikationsströme in sensitiven Bereichen wie Datenbanken oder der Dokumentation geistigen Eigentums nicht.
Hinzu kommt, dass die Hacker den forensischen Ermittlungen zufolge während eines Angriffs gerne von Malware zu den Remote Access Lösungen im Unternehmen (etwa VPNs) wechseln, um länger unentdeckt zu bleiben. Sie nutzen legitime Tools, tarnen sich als "Insider" mit gültigen Berechtigungen. Mandiant zufolge beseitigen sie manchmal sogar ihre Malware, sobald sie eingedrungen sind. Durchschnittlich wurden der Studie zufolge nachweisbare 2,6 GB an Daten gestohlen - doch je höher die Verweildauer der Angreifer, desto höher ist das vermutete Datenvolumen.
Veraltete Methoden und wenig externe Hilfe
Obwohl die Angreifer äußerst professionell vorgehen und ihre Tools und Taktiken häufig wechseln, handeln Unternehmen oft zu spät und unzureichend. Wie Jan Korth, Director of Mandiant Security Consulting Services (DACH), ausführt, kamen die meisten Aufträge an FireEye erst nach forensischen Ermittlungen - nachdem die Firmen die Eindringlinge aus ihrer Umgebung nicht selbst entfernen konnten. Der Grund dafür: In Europa nutzen noch viele Unternehmen traditionelle Methoden, die nicht ausreichen, um den Angreifer zu entfernen und untersuchen nur eine Handvoll von Maschinen. Damit verbleiben die Angreifer in der IT-Umgebung und können sie leicht von ihren verbleibenden Stützpunkten aus neu infizieren.
Im Gegensatz dazu empfiehlt FireEye eine umfassende Untersuchung mit Hilfe einer zuverlässigen Intelligence sowie eine skalierbare Methode, die jede Maschine im Netzwerk abdeckt. Nur so könne man das Ausmaß von sicherheitsrelevanten Vorfällen einschätzen und die Eindringlinge erfolgreich bannen.
Die Sicherheitsexperten weisen außerdem darauf hin, dass der Druck auf die Unternehmen wächst: Anders als noch vor wenigen Jahren sei es heute schwierig geworden, sicherheitsrelevante Vorfälle geheim zu hatten. Der Grund dafür: Meldepflichten und mehr (mediale) Öffentlichkeit für Datenklau, Hackerangriffe und Sicherheitslecks. "Da die Motive hinter den Angriffen von Industriespionage über Medienpräsenz bis hin zu Markenschädigung reichen, sind solche Bedrohungen nicht mehr nur ein Fall für die IT-Abteilung, sondern auch für die Vorstandsebene," so Korth. Unternehmen müssten sich von der traditionellen Vorgehensweise verabschieden, auf Vorfälle nur zu reagieren. Andernfalls werde sich die Verweildauer der Angreifer nicht schnell genug verkürzen.