Studie läutet das Ende der Legende vom internen Angreifer ein
In lediglich 20 Prozent der Fällen steckten Mitarbeiter hinter Datendiebstahl während bei über 70 Prozent externe Angreifer die tragende Rolle spielten, bilanziert der Dienstleister Verizon Business.
Gemäß einer gern zitierten Weisheit, geht die Mehrzahl der Angriffe auf Firmendaten von den eigenen Mitarbeitern aus. Dem widerspricht nun eine Studie von Verizon Business. Für die Untersuchung wurden Ursachen und Auswirkungen von Einbrüchen analysiert, bei denen allein 2008 insgesamt 285 Millionen Datensätze abhanden kamen.
"Die Ergebnisse von 600 Vorfällen über fünf Jahre hinweg sprechen sehr stark gegen den lang gehegten Glauben, dass hinter den meisten Einbrüchen Insider stehen" heißt es im 2009 Data Breach Investigations Report. So führten die Spezialisten bei den 90 untersuchten Vorfällen aus dem Jahr 2008 74 Prozent auf externe Quellen zurück. Nur bei rund 20 Prozent verursachten Mitarbeiter den Einbruch und bei 32 Prozent waren Partnerfirmen im Spiel. Dabei wurden selbst Einbrüche über Systeme von Mitarbeitern, die sich beim Surfen im Web unbeabsichtigt infiziert hatten, als interne Ursache gezählt. Dass die Summe mehr als 100 Prozent ergibt, rührt daher, dass mehrere Ursachen möglich waren.
Das typische Einbruchsszenario beschreiben die Analysten von Verizon folgendermaßen: Zunächst dringt der Angreifer über eine Schwachstelle in externe Systeme ein. Dabei spielen in vielen Fällen Standard-Passwörter für Remote-Access- und Management-Zugänge und SQL-Injektion-Angriffe eine wichtige Rolle. Dann installiert er auf den kompromittierten Systemen Schadsoftware, mit denen er Daten abgreift. Typischerweise passiert das über einen Zeitraum von mehreren Monaten, bis der Einbruch bemerkt wird – meist ebenfalls von Externen. 2008 hat sich dabei der Anteil der Fälle, in denen beim Datendiebstahl modifizierte oder sogar speziell angefertigte Tools zum Einsatz kamen, von 24 auf 59 Prozent erhöht und somit mehr als verdoppelt.
Selbstverständlich lassen sich die Ergebnisse der Studie nicht beliebig verallgemeinern. Sie beruhen auf Fällen, in denen die Experten von Verizon Business zur Beurteilung und Eindämmung von Schadensfällen hinzugezogen wurden. Schon das schränkt die Auswahl stark ein und ist sicher nicht repräsentativ für alle Fälle von Datendiebstahl. So wird kaum eine Firma bei einem gestohlenen Laptop ein Incident Response Team engagieren. Außerdem muss man bei den Zahlen der Studie beachten, dass sich einige Prozentangaben auf die Zahl der geklauten Datensätze beziehen. Diese werden dann durch einige wenige Vorfälle dominiert, bei denen extrem viele Daten abhanden kamen. Trotzdem legt es die vorgelegte Analyse nahe, dass die Bedeutung des "bösen Mitarbeiters" bei Angriffen auf die IT-Infrastruktur überschätzt wird. (ju)
