Verizon DBIR 2016

Spione auf dem Rückzug?

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Auch wenn die "Spionage-Welle" etwas abgeebbt scheint: Cyberattacken aus finanziellen Motiven nehmen weiter kräftig zu - die Hacker haben wieder ein sehr "erfolgreiches" Jahr hinter sich. Unternehmen haben in Punkto IT-Sicherheit nämlich rein gar nichts dazugelernt.

Zu diesem Ergebnis kommt der neue "Data Breach Investigations Report" (DBIR) von TK-Dienstleister Verizon, für den die Security-Analysedaten von fast 70 Unternehmen aus der ITK- und IT-Security-Branche und ihren Kunden ausgewertet wurden. Es geht um Informationen über Angriffe auf mehr als 6700 Unternehmen und Einrichtungen aus allen Branchen weltweit. Ergebnis: Die attackierten Unternehmen und Organisationen wurden im vergangenen Jahr zu mehr als 80 Prozent aus finanziellen Motiven heraus angegriffen. Nur ungefähr jedes zehnte wurde Opfer einer Spionageaktion, sei es von außen durch staatliche Geheimdienste oder durch Innentäter.

In den beiden Vorjahren lag das Verhältnis "Angriff aus finanziellen Motiven" zu "Spionage" noch bei rund 75 zu 20 Prozent. Damit steigt der Trend "mit Hacken Geld verdienen" wieder an - im Gegenzug nimmt die Zahl der festgestellten (Industrie-)Spionage-Aktivitäten zumindest vorerst ein wenig ab.

Die Zahl der Spionageangriffe auf Unternehmen und Organisationen ist etwas gesunken. Finanziell motivierte Attacken bestimmten den "Markt" zuletzt wieder stärker als sowieso schon.
Die Zahl der Spionageangriffe auf Unternehmen und Organisationen ist etwas gesunken. Finanziell motivierte Attacken bestimmten den "Markt" zuletzt wieder stärker als sowieso schon.
Foto: Fresnel - www.shutterstock.com

Clients stärker im Visier als Server

Neben den Motiven für Angriffe auf Netze und Systeme fördert der Verizon-Report die Art der Attacken zu Tage. Demnach sind gezielte Angriffe auf Unternehmen und Einzelpersonen - gerade durch Social Engineering - bei Kriminellen beliebt wie nie. Besonders im Visier stehen dabei persönliche Endgeräte wie Desktop-Computer, Notebooks, Smartphones und Tablets. Mehr als ein Drittel der von Verizon untersuchten Angriffe zielten auf die Clients; die Popularität von Servern als Angriffsziel ließ 2015 indes weiter spürbar nach: Nur noch rund 40 Prozent aller Attacken gehen auf die Server - ein Trend, der bereits seit Jahren zu beobachten ist.

Im kommenden Report könnte die Zahl der Client-Attacken die der Server-Angriffe erstmals seit DBIR-Datenerhebung überflügeln. "Natürlich liegt diese Entwicklung rein statistisch gesehen auch in der steigenden Zahl von Endgeräten begründet. Einen neuen Server schaffen Sie nicht jedes Jahr einmal eben so an", kommentiert Lorenz Kuhlee, Security Consultant im europäischen Risk Team bei Verizon, diese Entwicklung im Gespräch mit der COMPUTERWOCHE.

Lorenz Kuhlee kritisiert, dass viele Unternehmen wider besseres Wissen zu wenig für ihre IT-Sicherheit tun.
Lorenz Kuhlee kritisiert, dass viele Unternehmen wider besseres Wissen zu wenig für ihre IT-Sicherheit tun.
Foto: Verizon

Doch es sind nicht nur die ausgefeilten, gezielten Hackerangriffe - auch klassische Malware sorgt bei IT-Sicherheitsverantwortlichen immer noch für schlaflose Nächte: Fast 1500 von über 9000 untersuchten Security-Vorfällen ließen sich auf breit gestreute, generische Schädlinge und Angriffsformen wie DDoS, Backdoors, Keylogger und Spyware zurückführen. Der Klau von Benutzerdaten mittels solcher Malware hat einen Höchststand erreicht.

Kuhlee wirkt schon fast ein wenig verzweifelt, wenn er anmerkt: "Es ist im Vergleich zu den vergangenen Jahren nichts besser geworden. Die Strategien, Methoden, Tools der Angreifer sind gleich geblieben. Phishing, Malware, Angriff auf Passwörter. Die Hacker müssen überhaupt keine anderen Angriffsvektoren aufbauen, um erfolgreich zu sein."

Die Lösung kennen, aber das Problem ignorieren

Dabei seien die Gegenmittel gegen den Datenklau landauf, landab bekannt - dennoch ändere sich in den Unternehmen nichts. "Nehmen Sie das Beispiel Zwei-Faktor-Authentifizierung: Wenn diese überall implementiert wäre, würde die Zahl der gestohlenen Identitäten deutlich abnehmen. Das tut sie aber nicht. Im Gegenteil - sie wächst sogar an, weil kaum jemand auf Zwei-Faktor-Authentifizierung setzt", resümiert Kuhlee. Er fordert die Unternehmen eindringlich auf, den "Return on Investment" (ROI) für Angriffe zu verteuern - Hacker sollten es nicht mehr so leicht haben, erfolgreich zu sein. "Wir müssen Attacken schneller erkennen und darauf eine Antwort finden, damit wir endlich auf Augenhöhe kämpfen können."

Seine Top-Empfehlungen an Unternehmensvorstände lauten deshalb:

  • Stellen Sie ausreichendes Budget für IT-Security bereit. Je länger Sie damit warten, desto aufwändiger wird, die IT-Security aufzubessern.

  • Seien Sie sich der Verantwortung bewusst, die Sie gegenüber Ihren Mitarbeitern, aber auch der Gesellschaft haben - schützen Sie die Daten und Werte Ihres Unternehmens.

  • Verschließen Sie sich dem Thema IT-Sicherheit nicht. Wenn Ihr Unternehmen erst einmal gehackt wurde, sind Sie den Angreifern ausgeliefert. Sie können nicht wissen, was mit Ihrem Unternehmen geschieht. Das ist ein unkalkulierbares Risiko.

Meldepflicht hilft der Awareness

Stellt sich noch die Frage: Welche Branchen waren in den vergangenen zwölf Monaten besonders von Angriffen und Datenverlusten betroffen? Hier kommt der Data Breach Investigations Report zu einem eindeutigen Ergebnis: Die mit Abstand meisten Angriffe - über 47.000 - galten Behörden und öffentlichen Einrichtungen in den USA. Doch Vorsicht, diese hohe Zahl kommt nicht überraschend: In den USA sind öffentliche Einrichtungen seit Jahren gesetzlich verpflichtet, Security-Vorfälle zu melden. Für privatwirtschaftliche Branchen gilt das nicht oder nur in Teilen. Deshalb sind die vergleichsweise niedrigen Zahlen aus Branchen wie Produktion, Healthcare oder Retail wohl ein wenig verzerrt.

Zumal viele Unternehmen nach wie vor gar nicht die Möglichkeiten besitzen, einen Incident als solchen zu erkennen: "Eine Firma braucht Monate, einen Breach zu entdecken. Zumeist entdeckt dann nicht einmal das Unternehmen den Vorfall selbst, sondern erst ein Kunde oder Partner", erzählt Kuhlee aus seiner täglichen Erfahrung.

Der Verizon DBIR soll diesen Zustand beenden. Kuhlee, der den Vorstoß eines IT-Sicherheitsgesetzes samt Meldepflichten hierzulande ausdrücklich begrüßt, unterstreicht: "Das Ziel unseres Reports ist es, die Informationen über Sicherheitsvorfälle weltweit zu teilen." Damit endlich Waffengleichheit zwischen Angreifern und Angegriffenen hergestellt werden könne und es nicht im kommenden Jahr wieder heißen müsse: Jeder kennt das Problem, aber geändert hat sich trotzdem nichts.