- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Insiderbedrohungen und e-Spionage


Ransomware-Angriffe sind in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen
Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers

- Anzeigen -





Von David Lin, Varonis

"100 Milliarden Schaden durch Wirtschaftsspionage". Das hatte 2014 bereits der Verein Deutscher Ingenieure (VDI) ermittelt. Zahlen, die sich mit den Ergebnissen einer vom Center for Strategic and International Studies (CSIS) im Juni 2014 veröffentlichten Studie weitgehend decken. Kurz darauf forderte die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) mehr staatliches Engagement und legte dazu auch gleich einen 5-Punkte-Plan vor. Im Frühjahr dieses Jahres empfahl die Börsenzeitung Unternehmen dringlich sich mit den veränderten Risiken einer digitalisierten Kapitalmarktumgebung auseinanderzusetzen, wenn sie nicht das Nachsehen haben wollten.

Mittelstand unterschätzt das Risiko
Deutsches Know-how ist nach wie vor begehrt. Dieses Wissenskapital liegt nicht selten bei den Hidden Champions des Mittelstands. Ausgerechnet der ist aber bei der realistischen Einschätzung digitaler Risiken wider besseres Wissen erschreckend blauäugig. Teils werden weiterhin unsichere Betriebssysteme genutzt, teils sind die Datensicherungen bei weitem nicht ausreichend oder auf dem aktuellen Stand. Beim Datenschutz werden Insiderbedrohungen gleichermaßen gefürchtet wie regelmäßig unterschätzt. Und zwar unabhängig davon, ob es sich um einen Insider im Unternehmen handelt, der vielleicht die Firma wechseln will und die Kundendatenbank mitnimmt (was - wie wir alle wissen – im Vertrieb ein nicht ganz unübliches Vorgehen ist) oder um einen externen Angreifer, der sich die entsprechenden Zugangsdaten hat beschaffen können. Und sich, ausgestattet mit den entsprechenden Rechten, durch das System bewegt.

Eine Studie des Wirtschaftsprüfungsunternehmens KPMG aus dem Jahr 2014 ("Wirtschaftskriminalität in Deutschland 2014") hat im Wesentlichen fünf große Ergebnisblöcke ermittelt:

87 Prozent der Befragten stufen das Risiko für Wirtschaftskriminalität als hoch, wenn nicht sehr hoch ein. Gleichzeitig haben die betreffenden Firmen kaum einen Überblick über die von ihnen verwendeten Daten und schon gar keine ausreichende Kontrolle darüber. Das lässt vermuten, dass viele der tatsächlichen Fälle den Unternehmen gar nicht bewusst sind (oder es viel zu spät erst werden).

Alexander Geschonneck, Partner Forensic KPMG, der auch als freier Autor für einschlägige Sicherheitsfachzeitschriften tätig war: "In der Praxis beobachten wir häufig, dass im Zuge von kartellrechtlichen Ermittlungen in den Unternehmen keine Klarheit über die verfügbaren Informationsquellen herrscht. Dies fängt bei der angemessenen Reaktion auf eine kartellrechtliche Untersuchung an und hört bei der Identifikation entsprechender Frühwarnindikatoren in den Daten auf." Das deckt sich mit den Ergebnissen einer der jüngsten Studien, die das Ponemon-Institute in Zusammenarbeit mit Varonis verfasst hat: 35 Prozent der befragten Organisationen verfügen nicht über durchsuchbare Aufzeichnungen zu den Dateiaktivitäten im System. Die Folge: Unternehmen sind nicht in der Lage zu ermitteln, welche Dateien von einer Datenschutzverletzung betroffen sind. Nur 25 Prozent der Unternehmen überwachen die E-Mail- und Dateiaktivitäten in Bezug auf sämtliche Mitarbeiter und Dritte, während 38 Prozent Datei- und E-Mail-Aktivitäten überhaupt nicht überwachen.

Widersprüchlich: 85 Prozent der Befragten sehen ihren eigenen Schutz vor Wirtschaftskriminalität dieser Art als gut und ausreichend an. Und das, obwohl gleichzeitig jedes dritte Unternehmen innerhalb der letzten beiden Jahre Opfer von Wirtschaftskriminalität geworden ist. Und: zwischen den Firmen, die ihre eigenen Schutzmaßnahmen als gut bis sehr gut bezeichnen (34 Prozent) und denen, die sich selbst als eher schlecht vorbereitet einstufen (38 Prozent) sind kaum Unterschiede festzumachen.

86 Prozent der befragten Unternehmen sehen sich im Falle einer kartellrechtlichen Untersuchung gut gewappnet und imstande den entsprechenden Überblick zu Dateien und Daten zu geben. Trotzdem sind die Folge- und Ermittlungskosten enorm hoch. KMPG stellt sich die Frage, ob Unternehmen angesichts dieser Diskrepanz tatsächlich in die richtigen Präventionsmaßnahmen investieren.

Schlussfolgerung: Firmen neigen offensichtlich dazu zu vergessen, dass Prävention kein Selbstzweck ist, sondern eine Bedingung ökonomischen Handelns.

Fehlende Schulungen und Vorbildfunktion der Geschäftsführung werden als weniger relevant bewertet, obwohl die meisten Befragten den "menschlichen Faktor" als einen der wichtigsten betrachten. Auch das eher widersprüchlich, denn beide Maßnahmen verzeichnen nachweislich Erfolge.

Bei den Deliktarten Datendiebstahl oder Datenmissbrauch, Verletzung von Urheberrechten und Verrat von Geschäfts- und Betriebsgeheimnissen schätzen zwei Drittel der Befragten das Risiko, Opfer solcher Delikte zu werden, als hoch bis sehr hoch ein (Verrat von Geschäfts- und Betriebsgeheimnissen 69 Prozent, Verletzung von Schutz- und Urheberrechten 78 Prozent, Datendiebstahl/Datenmissbrauch 87 Prozent). Beim Thema Datendiebstahl geht sogar ein Drittel der Befragten von einem sehr hohen Risiko aus.

Insiderbedrohungen, die eigentliche Malware
Dazu kommen die Bedrohungen durch Insider wie beispielsweise derzeitige oder ehemalige Mitarbeiter. Aber auch Phishing kombiniert mit Social Engineering-Methoden hat einen erheblichen Anteil an erfolgreich lancierten Angriffen. Will man sie in einem frühen Stadium überhaupt als solche identifizieren, liefern Anomalien beispielsweise im Benutzerverhalten einen ersten Anhaltspunkt.

Das gilt unter anderem für Ransomware-Angriffe, die in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen. Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers. Damit haben wir uns an anderer Stelle bereits beschäftigt.

Zudem vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, welche Dienstleister wie in ihre Systeme gelangen, geschweige denn welche Zugriffsberechtigungen vergeben worden sind. Das hat eine Umfrage (der "Vendor Vulnerability Survey 2016") ergeben, bei der mehr als 600 IT-Experten aus Deutschland, Großbritannien, Frankreich und den USA befragt wurden. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 Prozent der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.

Licht und Schatten: Gefahrenbewusstsein wächst, Nachholbedarf bei Methoden zur frühzeitigen Aufdeckung
Die Studie von KPMG hat ergeben, dass Unternehmen präventive Maßnahmen zu Kontrollzwecken implementiert haben. 73 Prozent der Befragten erfassen und bewerten dabei systematisch besonders schützenswerte Daten. Anschließend werden die damit verbundenen Risiken ermittelt und für das Unternehmen bewertet. Risikomanagement spielt also eine durchaus wichtige Rolle wie auch eine Reihe weiterer Maßnahmen im Bereich der Prozess- und Unternehmensorganisation und deren Struktur. Die befragten Unternehmen sind sich also der Gefahren durchaus bewusst, wenn die Vorkehrungen auch eher in Konzernen und Großunternehmen getroffen werden als in mittelständischen Firmen.

Bis Datenklau & Co. allerdings erkannt, aufgedeckt und Gegenmaßnahmen ergriffen werden, vergehen bei dreiviertel der Befragten zwischen Entdeckung und Aufklärung durchschnittlich weniger als zwei Jahre. Wenig überraschend ist, dass es bei Großunternehmen und Konzernen wesentlich länger dauert, bis die Vorkommnisse entdeckt und erkannt werden, als bei überschaubaren Unternehmensgrößen. Aber: Es gibt einen direkten Zusammenhang zwischen entsprechenden

Präventionsmaßnahmen/-technologien und der Möglichkeit, den Schaden über den Zeitverlauf hinweg zu begrenzen. Es lohnt sich also in eine frühzeitige Aufdeckung zu investieren.

Barbara Scheben, Partner Forensic: "Es ist bemerkenswert: Bei Delikten in Zusammenhang mit Daten, wie Datendiebstahl und Datenmissbrauch, oder auch beim Verrat von Geschäfts- und Betriebsgeheimnissen schätzen die befragten Unternehmen das Risiko künftig selbst als Opfer betroffen zu sein, als hoch oder sehr hoch ein. Zugleich geben die Unternehmen, die bereits Opfer eines solchen Delikts geworden sind, an, dass sie Schwierigkeiten hatten, den Täter zu ermitteln beziehungsweise ihn nicht ermitteln konnten. Hieraus lässt sich der Schluss ableiten, dass nicht nur die Maßnahmen und Prozesse zur Prävention der Verbesserung bedürfen, sondern auch jene zur Aufdeckung und Aufklärung (...)."

Fazit
Bei den technischen Sicherheitsmaßnahmen verfügen Unternehmen in Deutschland laut Branchenverband Bitkom zwar über einen guten Basisschutz, bei Investitionen in umfassende Sicherheitsmaßnahmen seien sie aber immer noch zu zurückhaltend: "Nur 29 Prozent der befragten Unternehmen verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) und nicht einmal ein Viertel (23 Prozent) über spezielle Systeme zur Einbruchserkennung (Intrusion Detection)" oder darüber hinausgehende und ergänzende Systeme. An dieser Stelle sind die Unternehmen durchaus selbstkritisch. Zwar sehen sich 39 Prozent der Befragten ausreichend gerüstet, dennoch bekennt eine deutliche Mehrheit von 60 Prozent vermutlich nicht umfassend genug gewappnet zu sein.

Anmerkung am Rande. Noch immer kommen die Verhandlungen zwischen Deutschland und China zum geplanten Cyber-Abkommen nicht recht voran. Laut dpa reagiere die chinesische Seite schon seit Monaten nicht auf den Vorschlag. Um Unternehmen besser vor Hackern zu schützen, sieht das Abkommen nämlich einen gegenseitigen Schutz vor Industriespionage vor. Und genau das scheint der Hase im Pfeffer zu liegen. (Varonis: ra)

eingetragen: 20.12.16
Home & Newsletterlauf: 13.01.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Hintergrund

  • Bekannte Angriffsmethoden

    "Ich höre immer wieder, dass die bestehenden Sicherheitssysteme ausreichend seien und dass man machtlos gegen solche Angriffe wäre - dem ist nicht so", sagt Oliver Keizers, Regional Director DACH des IT-Sicherheitsunternehmens Fidelis Cybersecurity. "Wir haben in der Vergangenheit immer wieder vernommen, dass Unternehmen sich machtlos gegenüber modernen Cyberattacken fühlen. Hier wird leider zu oft mit traditionellen Verteidigungswerkzeugen auf moderne Angriffe reagiert. Wir haben es hier nicht mit simplen, traditionellen Angriffen zu tun, die bekannte Präventionssysteme wie Antiviren-Software oder Firewalls verteidigen können, welche dann keine Gefahr mehr darstellen. Moderne Angriffe verstecken sich vor diesen Verteidigungslinien jedoch erfolgreich und lassen uns vermeintlich machtlos sein, hier bedarf es jedoch vor allem modernen Erkennungssystemen, welche eine weitere Verteidigung in der zweiten Linie ermöglichen. Auch uns und unseren Sicherheitsforschern war der hier vorliegende Schadcode initial unbekannt, das heißt aber nicht, dass wir nichts über die einzelnen Methoden gewusst hätten und diesen somit sehr wohl erkennen und erfolgreich verhindern konnten."

  • Das Risiko gehackter Wahlen

    Seit es Wahlen gibt wird versucht, diese zu manipulieren. Wurde im alten Rom noch bestochen und gewaltsam eingeschüchtert, um Wahlen zu beeinflussen, eröffnet die Digitalisierung vollkommen neue Wege für Politikmanipulatoren - die sie auch eifrig nutzen, wie die Cyber-Angriffe vor den Präsidentschaftswahlen in den USA und Frankreich zeigen. Sind auch unsere Wahlen in Deutschland im September 2017 gefährdet? Julian Totzek-Hallhuber, Solution Architect bei der Anwendungssicherheits-Spezialistin Veracode, zeigt im Folgenden einige kuriose Fälle von Politik-Hacking auf und geht näher auf die Gefahren für unsere anstehende Wahl ein.

  • Phishing-Attacken gegen Mitarbeiter

    Erfolgreiche Angriffe erfolgen nicht über Zero-Day-Exploits, weit mehr Angriffe nutzen bekannte Schwachstellen. F-Secure Radar zeigt Unternehmen mit einem einzigartigen Web Topologie Mapping was andere Tools zur Schwachstellenerkennung nicht können: die komplette Angriffsfläche, sowohl für interne wie externe Systeme. Unternehmen suchen stets nach neuen Ansätzen, um sich gegen digitale Angriffe zu schützen. Dabei wird den beiden häufigsten Angriffsmethoden allerdings oft zu wenig Bedeutung beigemessen. Experten von fanden F-Secure heraus, dass der Großteil digitaler Einbrüche in Firmen auf zwei Angriffsarten zurückzuführen ist.

  • Industrie 4.0 ein Sicherheitsrisiko?

    Der digitale Wandel und die damit einhergehende Vernetzung halten Einzug in die Unternehmen und Fabriken. Zahlreiche Hard- und Softwarelösungen zur Umsetzung der Industrie 4.0-Anforderungen kommen derzeit auf den Markt. Viele Anbieter entwickeln eigene Systeme und Lösungen, die keinem Standard entsprechen. Die Folge sind zunehmende heterogene und proprietäre IT-Landschaften, die kaum zu kontrollieren sind. Die Blue Frost Security GmbH, Spezialist für IT-Sicherheitsanalysen, zeigt Risiken und Lösungsansätze auf. Generell gilt: Die häufigsten Gründe, weshalb Firmennetzwerke gehackt werden, sind unsichere Konfigurationen, unsichere Passwörter, unsichere Netzwerkarchitekturen, fehlende Updates bzw. mangelhaftes Updatemanagement sowie unsichere Produkte/Software. Gegen letzteres können Unternehmen sich kaum schützen - lediglich durch Sicherheitsanalysen vor dem produktiven Einsatz.

  • Phishing auf dem Vormarsch

    Übermäßiges Vertrauen in die Technologie macht Unternehmen anfällig für Phishing und andere Angriffe, die auf Menschen abzielen. Untersuchungen vom F-Secure Red Team zufolge, haben 52 Prozent der Mitarbeiter bereits auf einen Link in einer gefälschten E-Mail geklickt. Cyberangreifer nehmen konsequent Unternehmen ins Visier, die sich Sicherheitsexperten zufolge oftmals in Sicherheit wiegen und sich zu sehr auf Technologie zu verlassen, um ihre Netzwerke zu verteidigen. Die Warnung kommt von einem Sprecher vom Red Team von F-Secure. Diese Expertengruppe für Cybersicherheit übt nachgeahmte Angriffe auf Unternehmen aus, um die Stärken und Schwächen ihrer Sicherheit zu verdeutlichen.