Auch wenn die "Spionage-Welle" etwas abgeebbt scheint: Cyberattacken aus finanziellen Motiven nehmen weiter kräftig zu - die Hacker haben wieder ein sehr "erfolgreiches" Jahr hinter sich. Unternehmen haben in Punkto IT-Sicherheit nämlich rein gar nichts dazugelernt.
Zu diesem Ergebnis kommt der neue "Data Breach Investigations Report" (DBIR) von TK-Dienstleister Verizon, für den die Security-Analysedaten von fast 70 Unternehmen aus der ITK- und IT-Security-Branche und ihren Kunden ausgewertet wurden. Es geht um Informationen über Angriffe auf mehr als 6700 Unternehmen und Einrichtungen aus allen Branchen weltweit. Ergebnis: Die attackierten Unternehmen und Organisationen wurden im vergangenen Jahr zu mehr als 80 Prozent aus finanziellen Motiven heraus angegriffen. Nur ungefähr jedes zehnte wurde Opfer einer Spionageaktion, sei es von außen durch staatliche Geheimdienste oder durch Innentäter.
In den beiden Vorjahren lag das Verhältnis "Angriff aus finanziellen Motiven" zu "Spionage" noch bei rund 75 zu 20 Prozent. Damit steigt der Trend "mit Hacken Geld verdienen" wieder an - im Gegenzug nimmt die Zahl der festgestellten (Industrie-)Spionage-Aktivitäten zumindest vorerst ein wenig ab.
Die Zahl der Spionageangriffe auf Unternehmen und Organisationen ist etwas gesunken. Finanziell motivierte Attacken bestimmten den "Markt" zuletzt wieder stärker als sowieso schon. Foto: Fresnel - www.shutterstock.com
Clients stärker im Visier als Server
Neben den Motiven für Angriffe auf Netze und Systeme fördert der Verizon-Report die Art der Attacken zu Tage. Demnach sind gezielte Angriffe auf Unternehmen und Einzelpersonen - gerade durch Social Engineering - bei Kriminellen beliebt wie nie. Besonders im Visier stehen dabei persönliche Endgeräte wie Desktop-Computer, Notebooks, Smartphones und Tablets. Mehr als ein Drittel der von Verizon untersuchten Angriffe zielten auf die Clients; die Popularität von Servern als Angriffsziel ließ 2015 indes weiter spürbar nach: Nur noch rund 40 Prozent aller Attacken gehen auf die Server - ein Trend, der bereits seit Jahren zu beobachten ist.
So erkennen Sie Hacker auf Servern
Hacker I Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Hacker II Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Hacker III Auch zum Entfernen von Rootkits gibt es eigene Programme.
Hacker IV Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Hacker V SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Hacker VI
Hacker VII Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Hacker VIII Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Hacker IX Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Hacker X Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.
Im kommenden Report könnte die Zahl der Client-Attacken die der Server-Angriffe erstmals seit DBIR-Datenerhebung überflügeln. "Natürlich liegt diese Entwicklung rein statistisch gesehen auch in der steigenden Zahl von Endgeräten begründet. Einen neuen Server schaffen Sie nicht jedes Jahr einmal eben so an", kommentiert Lorenz Kuhlee, Security Consultant im europäischen Risk Team bei Verizon, diese Entwicklung im Gespräch mit der COMPUTERWOCHE.
Lorenz Kuhlee kritisiert, dass viele Unternehmen wider besseres Wissen zu wenig für ihre IT-Sicherheit tun. Foto: Verizon
Doch es sind nicht nur die ausgefeilten, gezielten Hackerangriffe - auch klassische Malware sorgt bei IT-Sicherheitsverantwortlichen immer noch für schlaflose Nächte: Fast 1500 von über 9000 untersuchten Security-Vorfällen ließen sich auf breit gestreute, generische Schädlinge und Angriffsformen wie DDoS, Backdoors, Keylogger und Spyware zurückführen. Der Klau von Benutzerdaten mittels solcher Malware hat einen Höchststand erreicht.
Kuhlee wirkt schon fast ein wenig verzweifelt, wenn er anmerkt: "Es ist im Vergleich zu den vergangenen Jahren nichts besser geworden. Die Strategien, Methoden, Tools der Angreifer sind gleich geblieben. Phishing, Malware, Angriff auf Passwörter. Die Hacker müssen überhaupt keine anderen Angriffsvektoren aufbauen, um erfolgreich zu sein."
Spektakuläre DDoS-Attacken 2012-2016
2016: HSBC Die britische Bank HSBC fällt einem DDoS-Angriff zum Opfer - Kunden können ihren Online-Account geschlagene 48 Stunden nicht erreichen. Und das zwei Tage vor Abgabefrist der Steuererklärung.
2015: Microsoft Xbox Live Das kostenpflichtige Gaming-Network Xbox Live von Microsoft soll in der Weihnachtswoche mittels DDoS angegriffen werden - diese Drohung wird im Dezember 2015 bekannt. Die Angreifer wollen damit angeblich auf weiterhin bestehende Sicherheitslücken in Microsoft-Diensten hinweisen. Auch Sonys Konkurrenzangebot, das Playstation Network, solle attackiert werden.
2015: Carphone Warehouse Der britische Telekommunikationsanbieter Carphone Warehouse fällt einer DDoS-Attacke zum Opfer. Und als wäre das nicht schon genug, werden zusätzlich auch noch Millionen Kundendaten von den Angreifern kopiert.
2014: 300 Gbps 300 Gigabit pro Sekunde: In diesem Ausmaß hat es noch nie einen DDoS-Angriff gegeben. Mithilfe von 100.000 ungepatchten Servern greift ein Botnet ein nicht näher bekanntes Rechenzentrum an.
2014: 400 Gbps Nur ein halbes Jahr später geht es noch heftiger: Mit einem NTP-basierten (Network Time Protocol) DDoS-Angriff wird eine Internetanbieter attackiert.
2013: chinesisches Internet Teile des Chinesischen Internets sind von einer der größten DDoS-Attacken bisher lahmgelegt. Und das, obwohl die Regierung des Reichs der Mitte eines der weltbesten Security-Systeme samt entsprechend ausgebildetem Personal aufweisen kann.
2013: Spamhaus Sie kämpft gegen unerwünschte E-Mails, doch jetzt ist die Organisation Spamhaus selbst Ziel eines Angriffs mit massenhaften Abfragen geworden. Die Attacke beeinträchtigte sogar den regulären Datenverkehr im Netz.
2013: Dispatch International Die Website der Wochenzeitung "Dispatch International" wird massiv angegriffen. Aufgrund des Angriffs erscheint die Zeitung verspätet.
2012: 50Hertz Die Internet-Infrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus einem Botnetz heraus werden Websites und Mail-Infrastruktur des Hochspannungsstromnetz-Betreibers per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
2012: Pizza.de / Lieferando UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und lieferando.de. Nach der Uplink-Ausfilterung beginnt eine zweite Angriffswelle. Es folgt eine Razzia beim Konkurrenten lieferheld.de - ohne Ergenis. Die Betroffenen loben 100.000 für die Ergreifung der Verantwortlichen aus.
2012: UPC Die Internet-Präsenz des österreichischen TK-Unternehmens UPC ist vermutlich aufgrund von DDoS-Attacken und SQL-Injection vorübergehend nicht erreichbar. Als Angreifer wurden Anonymous-Hacker aus Österreich vermutet, die auf diese Weise ihre Kritik an der geplanten Vorratsdatenspeicherung äußern wollen.
Die Lösung kennen, aber das Problem ignorieren
Dabei seien die Gegenmittel gegen den Datenklau landauf, landab bekannt - dennoch ändere sich in den Unternehmen nichts. "Nehmen Sie das Beispiel Zwei-Faktor-Authentifizierung: Wenn diese überall implementiert wäre, würde die Zahl der gestohlenen Identitäten deutlich abnehmen. Das tut sie aber nicht. Im Gegenteil - sie wächst sogar an, weil kaum jemand auf Zwei-Faktor-Authentifizierung setzt", resümiert Kuhlee. Er fordert die Unternehmen eindringlich auf, den "Return on Investment" (ROI) für Angriffe zu verteuern - Hacker sollten es nicht mehr so leicht haben, erfolgreich zu sein. "Wir müssen Attacken schneller erkennen und darauf eine Antwort finden, damit wir endlich auf Augenhöhe kämpfen können."
Seine Top-Empfehlungen an Unternehmensvorstände lauten deshalb:
Stellen Sie ausreichendes Budget für IT-Security bereit. Je länger Sie damit warten, desto aufwändiger wird, die IT-Security aufzubessern.
Seien Sie sich der Verantwortung bewusst, die Sie gegenüber Ihren Mitarbeitern, aber auch der Gesellschaft haben - schützen Sie die Daten und Werte Ihres Unternehmens.
Verschließen Sie sich dem Thema IT-Sicherheit nicht. Wenn Ihr Unternehmen erst einmal gehackt wurde, sind Sie den Angreifern ausgeliefert. Sie können nicht wissen, was mit Ihrem Unternehmen geschieht. Das ist ein unkalkulierbares Risiko.
Meldepflicht hilft der Awareness
Stellt sich noch die Frage: Welche Branchen waren in den vergangenen zwölf Monaten besonders von Angriffen und Datenverlusten betroffen? Hier kommt der Data Breach Investigations Report zu einem eindeutigen Ergebnis: Die mit Abstand meisten Angriffe - über 47.000 - galten Behörden und öffentlichen Einrichtungen in den USA. Doch Vorsicht, diese hohe Zahl kommt nicht überraschend: In den USA sind öffentliche Einrichtungen seit Jahren gesetzlich verpflichtet, Security-Vorfälle zu melden. Für privatwirtschaftliche Branchen gilt das nicht oder nur in Teilen. Deshalb sind die vergleichsweise niedrigen Zahlen aus Branchen wie Produktion, Healthcare oder Retail wohl ein wenig verzerrt.
Zumal viele Unternehmen nach wie vor gar nicht die Möglichkeiten besitzen, einen Incident als solchen zu erkennen: "Eine Firma braucht Monate, einen Breach zu entdecken. Zumeist entdeckt dann nicht einmal das Unternehmen den Vorfall selbst, sondern erst ein Kunde oder Partner", erzählt Kuhlee aus seiner täglichen Erfahrung.
Der Verizon DBIR soll diesen Zustand beenden. Kuhlee, der den Vorstoß eines IT-Sicherheitsgesetzes samt Meldepflichten hierzulande ausdrücklich begrüßt, unterstreicht: "Das Ziel unseres Reports ist es, die Informationen über Sicherheitsvorfälle weltweit zu teilen." Damit endlich Waffengleichheit zwischen Angreifern und Angegriffenen hergestellt werden könne und es nicht im kommenden Jahr wieder heißen müsse: Jeder kennt das Problem, aber geändert hat sich trotzdem nichts.
Das setzt IT-Security-Verantwortliche unter Druck
Fehlende Fachkenntnisse Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen.
Ungeduldiger Vorstand Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten).
Erkennen vs. vorbeugen Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt.
Zu frühe Releases Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen.
Internet der Dinge Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt.
Big Data Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung.
Angebot und Nachfrage Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget.
Sicherheit des Arbeitsplatzes Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.