Sicherheits-Report: Unternehmen setzen selbst simple Schutzmechanismen nicht um
Forensische Analysen von mehr als 3000 nachweislichen Datenlecks zeigen, dass sich Angreifer wenig Neues einfallen lassen - weil Unternehmensnetze immer noch nicht gegen die ewig gleichen Angriffsmuster geschützt sind.
(Bild: Verizon Business)
- Uli Ries
Der zum neunten Mal erschienene Verizon Data Breach Investigations Report (DBIR) ist die wohl umfassendste Untersuchung von weltweiten Datenlecks. Das Fazit der Autoren des aktuellen Reports: Es hat sich wenig getan in den letzten Jahren.
Weiterhin stehen sämtliche Industriesektoren im Visier von Angreifern – wenngleich der Löwenanteil der Attacken Organisationen im Finanzsektor aufs Korn nimmt – und auch Behörden werden im gleichen Maß attackiert. Gut 90 Prozent aller untersuchten Datenpannen hatten eine finanzielle Motivation. Zudem räumt der DBIR mit dem Mythos auf, dass ein respektabler Teil der Attacken von Innentätern ausgeht: Den Daten zufolge sind es in über 80 Prozent der Fälle externe Angreifer.
Beliebte Angriffsmethoden
Auch hinsichtlich der Wahl der Waffen zeigt sich ein unverändertes Bild: Social Engineering – beispielsweise mittels Phishing – ist ein sehr beliebter Einstieg für gezielte Angriffe, dem dann das Einschleusen von Malware zum Absaugen der gewünschten Daten folgt.
(Bild: Verizon Business)
Gut 30 Prozent aller Phishing E-Mails würden laut Report geöffnet, in zwölf Prozent der Fälle klickt das Opfer auf den vergifteten Anhang oder den in der Nachricht platzierten Link – legale E-Mail-Marketingkampagnen müssen sich mit winzigen Bruchteilen dieser Werte begnügen.
Aber auch klassisches Hacking, wie der Missbrauch von Bugs in Webservern oder SQL Injections, gehört noch immer zum Repertoire von Datendieben. Massenhaftes Verteilen von Malware gibt es nach wie vor im Finanzsektor, um beispielsweise Online-Bankingnutzer zu berauben.
"Hausaufgaben nicht gemacht"
Dieses ewig gleiche Bild macht Lorenz Kuhlee, IR/Forensic Consultant bei Verizon Business, beinahe ärgerlich: "Es wird Zeit, dass Unternehmen endlich aufwachen", sagt Kuhlee. Vor einigen Jahren waren die Angriffswerkzeuge und die Vorgehensweisen der Kriminellen oftmals unbekannt, Schutz daher schwieriger. "Jetzt wissen wir, welche Spielzüge die Angreifer wählen und es gibt seit längerem auch entsprechende Gegenmaßnahmen", so Kuhlee weiter.
Der Fachmann zeigt unter anderem wenig Verständnis für die nach wie vor große Zahl an Angriffen, deren Grundlage zuvor abgefischte Log-in-Daten seien. Denn mit der Zwei-Faktor-Authentifizierung gebe es seit langem eine bewährte Methode, dieser Angriffsart das Wasser abzugraben. "Die Unternehmen machen ihre Hausaufgaben nicht", resümiert Kuhlee.
In trügerischer Sicherheit
Auf die hiesigen Opfer angesprochen sieht der Verizon-Vertreter das gleiche Muster wie im Rest der Welt: Jedes Unternehmen ist im Visier von Angreifern, vom Kleinstunternehmen bis zum Dax-Konzern, vom kleinen Webshop bis zur Online-Präsenz eines Großunternehmens.
Im Fall von attackierten Webservern gehe es den Kriminellen zumeist nicht nur um den Diebstahl der darauf gespeicherten Daten. Es gehe ihnen auch darum, ihre Infrastruktur zu erweitern, um so Hosts für DDoS-Attacken oder Malware-Ablageplätze zu schaffen. In diesem Zusammenhang ist es für Kuhlee unverständlich, warum so wenige dieser Server mit Werkzeugen wie Tripwire überwacht würden, um so sofort auf manipulierte Dateien aufmerksam zu werden.
(Bild: Verizon Business)
Als wahrscheinlichen Grund für die laxen Sicherheitsmethoden nennt der Fachmann den weit verbreiteten Irrglauben, dass das eigene Unternehmen ohnehin nicht ins Fadenkreuz von Online-Kriminellen geraten würde. Dies mache es den Angreifern leicht, mit vorgefertigten Angriffsbaukästen wie Metasploit oder Powersploit ans Ziel zu kommen.
Angriffe auf Industriesteuerungen nehmen zu
Der Report erfasst auch Angriffe auf Industrieanlagen in Mitteleuropa beziehungsweise Deutschland, weist hier aber keine einzelnen Zahlen aus. Verizon erkenne jedoch eine Zunahme der Angriffe auf kritische Infrastrukturen weltweit. So gebe es einen stetigen Anstieg von Zwischenfällen und Verstößen in der Energieversorgung, der Produktion, im öffentlichen Sektor und in hohem Maße im Transportsektor in den vergangenen drei Jahren.
Ein US-Vertreter von Verizon sagte im Gespräch mit heise security, dass die meisten der Angriffe auf Produktionssteuerungen sich noch im Erkundungsstadium befänden. Nur sehr selten gebe es gezielte Manipulationen, um beispielsweise einen Erpressungsversuch durch Tatsachen zu untermauern. (des)
