Hacktivisten haben 2011 mehr Daten geklaut als Kriminelle

Dem 2012 Data Breach Investigations Report zufolge gingen im vergangenen Jahr mehr Datenlecks auf das Konto von Hacktivisten als auf profitorientierte kriminelle Aktivitäten – nämlich 58 Prozent. Der Bericht katalogisiert insgesamt 885 Zwischenfälle in 34 Ländern, bei denen 174 Millionen Datensätze gestohlen wurden. 2010 waren es noch 4 Millionen Datensätze.

Die Sicherheitsabteilung des US-amerikanischen Kommunikationskonzerns Verizon veröffentlicht den Data Breach Investigations Report seit acht Jahren. Mittlerweile fließen neben eigenen Nachforschungen auch die Ergebnisse von Ermittlungsbehörden in Australien, Großbritannien, Irland, den Niederlanden und den USA ein. Verizon katalogisiert alle Zwischenfälle nach einem einheitlichen, offenen Format namens VERIS. Erfasst werden nur digitale Einbrüche bei Unternehmen, nicht bei Privatrechnern. Die Autoren der Studie sind sich darüber im Klaren, dass ihre Arbeit dennoch nur Anhaltspunkte für die tatsächliche Sicherheitslage liefert. Das mag auch daran liegen, dass Unternehmen nicht jeden Angriff melden – insbesondere nicht, wenn die Angreifer von innen kommen.

Die durch Hacktivisten geschlagenen Datenlecks werden in der Studie mit besonderer Sorge gesehen: Kommerziell motivierte Angreifer seien eher vorhersehbar als Hacker, die nicht auf bestimmte Server zielen, sondern breitflächig nach Gelegenheiten suchen und dann zuschlagen. 79 Prozent der Angriffe seien Gelegenheitshacks gewesen. "Enemies are even scarier when you can't predict their behavior."

Dem Bericht zufolge kommen 98 Prozent der Angriffe von außen. 81 Prozent der Datendiebstähle waren die Folge von Hacking, bei 69 Prozent war Malware beteiligt. Direkte Angriffe, etwa durch Skimming von Bankkarten, seien deutlich zurückgegangen. Der launig formulierte Bericht (PDF-Datei) spekuliert, diese Entwicklung sei womöglich darauf zurückzuführen, dass es lokalen Ermittlungsbehörden gelungen sei, "das Freiheitsbit der Beteiligten zu kippen" ("[...] global law enforcement agencies successfully flipping the freedom bit on those involved with skimming incidents").

Insgesamt zielten über die Hälfte der Angriffe auf Hotels und Restaurants, 20 Prozent auf den Handel und 10 Prozent auf die Finanzindustrie. Die überwiegende Mehrzahl der Angriffe war finanziell motiviert, 3 Prozent wurden als Protestaktionen gewertet, 2 Prozent der Angriffe fanden aus Neugierde statt oder um anzugeben.

Ganz anders sieht hingegen die Verteilung nach der Anzahl der gestohlenen Datensätze aus: 52 Prozent der Daten wurden bei Informationsunternehmen entwendet, 45 Prozent bei der verarbeitenden Industrie ("Manufacturing"). Für diese Diskrepanz dürfte unter anderem der groß angelegte Angriff auf das Sony Playstation Network verantwortlich sein, bei dem Millionen Kundendaten kompromittiert wurden.

Insgesamt seien fast alle Angriffe vermeidbar gewesen – die Installationen von 96 Prozent der Opfer haben nicht dem Sicherheitsstandard DSS der PCI genügt. Mit großem Abstand waren Server die Hauptziele der Angriffe, 85 Prozent wurden erst mit einem Abstand von mehreren Wochen erkannt.

Die Empfehlungen für Unternehmen sind vorhersehbar: Kleinere Unternehmen sollten Firewalls betreiben, Zugriffe von außen durch Access Control Lists reglementieren und darauf achten, dass Geräte mit Internet-Verbindung keine Standard-Anmeldedaten nutzen. 44 Prozent der Angriffe gelangen aufgrund erratener Zugangsdaten, 32 Prozent geschahen mit gestohlenen Login-Daten.

Größeren Unternehmen ab 1000 Mitarbeitern empfehlen die Autoren des Berichts, die Sammlung von Daten nach Möglichkeit zu reduzieren und den Zugriff auf die Reste zu protokollieren. Man solle Bedrohungsszenarien analysieren und regelmäßig alle relevanten Ereignisprotokolle auswerten.

Zahlenmäßig kamen die meisten Angreifer aus Osteuropa (67 Prozent); gefolgt von 20 Prozent aus Nordamerika. Angriffe auf größere Unternehmen erfolgten hingegen meistens aus Nordamerika und Westeuropa. (ghi)