Studie: Kriminelle wollen nur Geld, Unternehmen stellen Daten selbst ins Feuer
Eine Analyse von knapp 4000 Cyber-Angriffen belegt, dass Passwortdiebstahl nach wie vor hoch im Kurs steht und Admins vor allem Cloud-Dienste nicht beherrschen.
(Bild: dpa, Silas Stein)
- Uli Ries
40 Prozent aller erfolgreichen Attacken auf Unternehmensnetzwerke und Cloud-Anwendungen ließen sich verhindern, wenn Unternehmen Zwei-Faktor-Authentifizierung (2FA) nutzen würden. Das geht aus dem aktuellen Data Breach Investigation Report (DBIR) von Verizon hervor.
Der DBIR analysiert 3950 von 81 Organisationen aus ebenso vielen Ländern gemeldete – und aus Sicht der Kriminellen erfolgreiche – Angriffe auf Unternehmen sowie Datenverluste. Zu den Meldern gehören das CERT der EU, das FBI, Shodan, der Secret Service, Kaspersky, Trend Micro, Swisscom und das Hasso-Plattner-Institut. Auf Deutschland heruntergebrochene Zahlen konnte Verizon auf Nachfrage nicht liefern.
Phishing statt Lücken
Mit jeweils über 20 Prozent sind Phishing sowie der Einsatz kopierter Anmeldeinformationen die am häufigsten verwendeten Einbruchsmethoden. Der Missbrauch von (ungepatchten) Softwareschwachstellen macht hingegen weniger als fünf Prozent aus.
Entwarnung gibt es an der Patch-Front jedoch nicht: So sind beispielsweise Systeme, die sich mit Attacken aus dem Eternal-Blue-Fundus oder einer in 2019 entdeckten Lücke im Mail Transfer Agent Exim übernehmen lassen, laut DBIR ebenso anfällig für so ziemlich jede andere, innerhalb der letzten zehn Jahre entdeckten Schwachstelle.
Solche ungepatchten Systeme gehen Angreifern durch automatische Scans des gesamten IPv4-Internets ins Netz. Offensichtlich haben Administratoren diese Systeme schlicht übersehen, sodass sie als Einstiegspunkte für Kriminelle fungieren.
Dank an unabhängige Sicherheitsforscher ist fällig
Nach Hacking rangiert menschliches Versagen gleichauf mit Social Engineering als Grund für eine erfolgreiche Attacke. Insbesondere falsch konfigurierte Systeme, wie beispielsweise für jedermann frei zugängliche Cloud-Speicher, laden Datendiebe ein.
Unbekannt ist, ob Administratoren tatsächlich mehr fatale Fehler begehen oder ob beispielsweise Sicherheitsforscher mehr falsch konfigurierte Systeme entdecken und melden. Laut DBIR spürten unabhängige Forscher rund 60 Prozent aller ausgewerteten Fehlkonfigurationen auf. Eine andere mögliche Erklärung sind die in vielen Ländern verschärften Meldevorschriften.
Dem Report zufolge zielen mit über 40 Prozent doppelt so viele Attacken wie im Vorjahr direkt auf Web-Anwendungen, gut 30 Prozent auf Endgeräte von Anwendern und lediglich gut zehn Prozent entfallen auf Datenbankserver.
Trotz Cloud-Trend entfallen lediglich 24 Prozent aller erfolgreichen Attacken auf Cloud-Systeme. Der Löwenanteil spielt sich immer noch in lokal betriebenen Rechenzentren ab. Auffällig ist hierbei, dass 75 Prozent aller erfolgreichen Attacken auf Cloud-Anwendungen mittels kopierter Anmeldedaten abliefen.
Was treibt die Angreifer an?
Die Frage nach der Motivation ist laut Report einfach: Geld. Über 85 Prozent aller Angriffe dienten der finanziellen Bereicherung. Lediglich vier Prozent fallen in die überstrapazierte Klasse der "fortgeschrittenen" Attacken (Advanced Persistent Threat). Weltweit sind nur drei Prozent der untersuchten Vorfälle auf Spionageaktivitäten zurück zu führen. Warum es in Europa gut 14 Prozent sind, können die Autoren des Reports nicht erklären.
Malware ist insgesamt eher auf einem absteigenden Ast: In nur 22 Prozent aller Datenlecks kam Schadsoftware als initialer Angriffsvektor zum Einsatz. Ransomware, die etwas mehr als 20 Prozent aller entdecken Schädlinge ausmacht, kommt laut DBIR quasi ausnahmslos nach dem Kopieren von Logindaten zum Einsatz. Aktuelle Fälle, in denen Kriminellen die Daten vor der Verschlüsselung erst ausschleusen, um die Opfer dann mit deren Veröffentlichung erpressen, sind im Report aufgrund des Redaktionsschlusses nicht erfasst.
(des)
