IT-Security-Studie

Europäische Firmen hinken bei der Erkennung von Cyber-Angriffen hinterher

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Der M-Trends Report 2016 von Mandiant stellt europäischen Firmen ein schlechtes Zeugnis aus: 469 Tage brauchen sie im Durchschnitt, um das Eindringen von Hackern zu bemerken – dreimal so lange wie der weltweite Durchschnitt (146 Tage).
Hinter Hacker-Attacken stecken immer öfter keine Scriptkiddies, sondern höchst professionelle Organisationen mit wirtschaftlichen Interessen, warnt FireEye.
Hinter Hacker-Attacken stecken immer öfter keine Scriptkiddies, sondern höchst professionelle Organisationen mit wirtschaftlichen Interessen, warnt FireEye.
Foto: welcomia - shutterstock.com

Schuld an der schlechten Reaktionszeit sind aus Sicht der Beratungstochter der IT-Sicherheitsfirma FireEye gleich mehrere Faktoren: Zum einen verlassen sich 88 Prozent der Firmen im Emea-Raum nur auf ihre internen Abwehrressourcen. Zum anderen können die Unternehmen von offizieller Stelle noch (zu) wenig Hilfe erwarten - anders als im weltweiten Vergleich, wo 53 Prozent der Angriffe von externer bzw. staatlicher Stelle entdeckt werden. Außerdem haben Unternehmen in der Region aus Sicht der Mandiant-Fachleute in Bezug auf Sicherheit nicht die Reife erreicht, um sicherheitsrelevante Events übergreifend zu überwachen. Emea verlässt sich auf Anti-Viren-Tools - und die Angreifer nutzen oft ungebremst Persistenzmechanismen wie Backdoors, Web Shells oder VPN Zugang, so das Fazit von Mandiant.

Die Kernpunkte der Studie
Die Kernpunkte der Studie
Foto: FireEye

Wie die FireEye-Beratungstochter einräumt, sind für die deutliche Differenz natürlich auch die guten Ergebnisse aus den USA verantwortlich. Dort sei der Reifegrad in Sachen Sicherheit deutlich höher und Security Operation Center (SOC) würden auch proaktiv nach Bedrohungen Ausschau halten. Dennoch sei dies nur ein schwacher Trost für die Unternehmen aus dem Emea-Raum: 15 Monate und mehr böten Angreifern mehr als genug Zeit, um in aller Ruhe ihre Ziele erreichen und gegebenenfalls auch den Zugang in das Unternehmen an andere Interessenten weiterzuverkaufen. Zum Vergleich: Hat es sich erst einmal Zugang zu einem Firmennetz verschafft, braucht das Red Team von Mandiant im Schnitt drei Tage, um auf das Active Directory zugreifen zu können.

Die Verteilung der festgestellten Angriffsvektoren
Die Verteilung der festgestellten Angriffsvektoren
Foto: FireEye

Hacker hinterlassen wenige Spuren und tarnen sich gut

Überraschend ist, dass die Mandiant-Experten zwar durchschnittlich pro Unternehmen 40.000 Systeme pro Netzwerk untersuchten - davon aber nur 40 Systeme infiziert waren. Der Grund: Die Angreifer versuchen zwar, sich im Netzwerk zu verbreiten, hinterlassen aber kaum Spuren bzw. verschleiern diese. So wurde die Malware oft erst kurz vorher für genau diesen Angriff geschrieben und entsprechend von Antivirus-Tools und den Schwarzen Listen der Proxy Server nicht erkannt. Schlimmer noch: viele Unternehmen nutzen signaturbasierte Antivirus-Technologien nur zum Schutz der Hosts und überwachen die internen Kommunikationsströme in sensitiven Bereichen wie Datenbanken oder der Dokumentation geistigen Eigentums nicht.

Der Lebenszyklus einer Hackerattacke.
Der Lebenszyklus einer Hackerattacke.
Foto: FireEye

Hinzu kommt, dass die Hacker den forensischen Ermittlungen zufolge während eines Angriffs gerne von Malware zu den Remote Access Lösungen im Unternehmen (etwa VPNs) wechseln, um länger unentdeckt zu bleiben. Sie nutzen legitime Tools, tarnen sich als "Insider" mit gültigen Berechtigungen. Mandiant zufolge beseitigen sie manchmal sogar ihre Malware, sobald sie eingedrungen sind. Durchschnittlich wurden der Studie zufolge nachweisbare 2,6 GB an Daten gestohlen - doch je höher die Verweildauer der Angreifer, desto höher ist das vermutete Datenvolumen.

Foto: FireEye

Veraltete Methoden und wenig externe Hilfe

Obwohl die Angreifer äußerst professionell vorgehen und ihre Tools und Taktiken häufig wechseln, handeln Unternehmen oft zu spät und unzureichend. Wie Jan Korth, Director of Mandiant Security Consulting Services (DACH), ausführt, kamen die meisten Aufträge an FireEye erst nach forensischen Ermittlungen - nachdem die Firmen die Eindringlinge aus ihrer Umgebung nicht selbst entfernen konnten. Der Grund dafür: In Europa nutzen noch viele Unternehmen traditionelle Methoden, die nicht ausreichen, um den Angreifer zu entfernen und untersuchen nur eine Handvoll von Maschinen. Damit verbleiben die Angreifer in der IT-Umgebung und können sie leicht von ihren verbleibenden Stützpunkten aus neu infizieren.

Im Gegensatz dazu empfiehlt FireEye eine umfassende Untersuchung mit Hilfe einer zuverlässigen Intelligence sowie eine skalierbare Methode, die jede Maschine im Netzwerk abdeckt. Nur so könne man das Ausmaß von sicherheitsrelevanten Vorfällen einschätzen und die Eindringlinge erfolgreich bannen.

Die Sicherheitsexperten weisen außerdem darauf hin, dass der Druck auf die Unternehmen wächst: Anders als noch vor wenigen Jahren sei es heute schwierig geworden, sicherheitsrelevante Vorfälle geheim zu hatten. Der Grund dafür: Meldepflichten und mehr (mediale) Öffentlichkeit für Datenklau, Hackerangriffe und Sicherheitslecks. "Da die Motive hinter den Angriffen von Industriespionage über Medienpräsenz bis hin zu Markenschädigung reichen, sind solche Bedrohungen nicht mehr nur ein Fall für die IT-Abteilung, sondern auch für die Vorstandsebene," so Korth. Unternehmen müssten sich von der traditionellen Vorgehensweise verabschieden, auf Vorfälle nur zu reagieren. Andernfalls werde sich die Verweildauer der Angreifer nicht schnell genug verkürzen.