- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Insiderbedrohungen und e-Spionage


Ransomware-Angriffe sind in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen
Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers

- Anzeigen -





Von David Lin, Varonis

"100 Milliarden Schaden durch Wirtschaftsspionage". Das hatte 2014 bereits der Verein Deutscher Ingenieure (VDI) ermittelt. Zahlen, die sich mit den Ergebnissen einer vom Center for Strategic and International Studies (CSIS) im Juni 2014 veröffentlichten Studie weitgehend decken. Kurz darauf forderte die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) mehr staatliches Engagement und legte dazu auch gleich einen 5-Punkte-Plan vor. Im Frühjahr dieses Jahres empfahl die Börsenzeitung Unternehmen dringlich sich mit den veränderten Risiken einer digitalisierten Kapitalmarktumgebung auseinanderzusetzen, wenn sie nicht das Nachsehen haben wollten.

Mittelstand unterschätzt das Risiko
Deutsches Know-how ist nach wie vor begehrt. Dieses Wissenskapital liegt nicht selten bei den Hidden Champions des Mittelstands. Ausgerechnet der ist aber bei der realistischen Einschätzung digitaler Risiken wider besseres Wissen erschreckend blauäugig. Teils werden weiterhin unsichere Betriebssysteme genutzt, teils sind die Datensicherungen bei weitem nicht ausreichend oder auf dem aktuellen Stand. Beim Datenschutz werden Insiderbedrohungen gleichermaßen gefürchtet wie regelmäßig unterschätzt. Und zwar unabhängig davon, ob es sich um einen Insider im Unternehmen handelt, der vielleicht die Firma wechseln will und die Kundendatenbank mitnimmt (was - wie wir alle wissen – im Vertrieb ein nicht ganz unübliches Vorgehen ist) oder um einen externen Angreifer, der sich die entsprechenden Zugangsdaten hat beschaffen können. Und sich, ausgestattet mit den entsprechenden Rechten, durch das System bewegt.

Eine Studie des Wirtschaftsprüfungsunternehmens KPMG aus dem Jahr 2014 ("Wirtschaftskriminalität in Deutschland 2014") hat im Wesentlichen fünf große Ergebnisblöcke ermittelt:

87 Prozent der Befragten stufen das Risiko für Wirtschaftskriminalität als hoch, wenn nicht sehr hoch ein. Gleichzeitig haben die betreffenden Firmen kaum einen Überblick über die von ihnen verwendeten Daten und schon gar keine ausreichende Kontrolle darüber. Das lässt vermuten, dass viele der tatsächlichen Fälle den Unternehmen gar nicht bewusst sind (oder es viel zu spät erst werden).

Alexander Geschonneck, Partner Forensic KPMG, der auch als freier Autor für einschlägige Sicherheitsfachzeitschriften tätig war: "In der Praxis beobachten wir häufig, dass im Zuge von kartellrechtlichen Ermittlungen in den Unternehmen keine Klarheit über die verfügbaren Informationsquellen herrscht. Dies fängt bei der angemessenen Reaktion auf eine kartellrechtliche Untersuchung an und hört bei der Identifikation entsprechender Frühwarnindikatoren in den Daten auf." Das deckt sich mit den Ergebnissen einer der jüngsten Studien, die das Ponemon-Institute in Zusammenarbeit mit Varonis verfasst hat: 35 Prozent der befragten Organisationen verfügen nicht über durchsuchbare Aufzeichnungen zu den Dateiaktivitäten im System. Die Folge: Unternehmen sind nicht in der Lage zu ermitteln, welche Dateien von einer Datenschutzverletzung betroffen sind. Nur 25 Prozent der Unternehmen überwachen die E-Mail- und Dateiaktivitäten in Bezug auf sämtliche Mitarbeiter und Dritte, während 38 Prozent Datei- und E-Mail-Aktivitäten überhaupt nicht überwachen.

Widersprüchlich: 85 Prozent der Befragten sehen ihren eigenen Schutz vor Wirtschaftskriminalität dieser Art als gut und ausreichend an. Und das, obwohl gleichzeitig jedes dritte Unternehmen innerhalb der letzten beiden Jahre Opfer von Wirtschaftskriminalität geworden ist. Und: zwischen den Firmen, die ihre eigenen Schutzmaßnahmen als gut bis sehr gut bezeichnen (34 Prozent) und denen, die sich selbst als eher schlecht vorbereitet einstufen (38 Prozent) sind kaum Unterschiede festzumachen.

86 Prozent der befragten Unternehmen sehen sich im Falle einer kartellrechtlichen Untersuchung gut gewappnet und imstande den entsprechenden Überblick zu Dateien und Daten zu geben. Trotzdem sind die Folge- und Ermittlungskosten enorm hoch. KMPG stellt sich die Frage, ob Unternehmen angesichts dieser Diskrepanz tatsächlich in die richtigen Präventionsmaßnahmen investieren.

Schlussfolgerung: Firmen neigen offensichtlich dazu zu vergessen, dass Prävention kein Selbstzweck ist, sondern eine Bedingung ökonomischen Handelns.

Fehlende Schulungen und Vorbildfunktion der Geschäftsführung werden als weniger relevant bewertet, obwohl die meisten Befragten den "menschlichen Faktor" als einen der wichtigsten betrachten. Auch das eher widersprüchlich, denn beide Maßnahmen verzeichnen nachweislich Erfolge.

Bei den Deliktarten Datendiebstahl oder Datenmissbrauch, Verletzung von Urheberrechten und Verrat von Geschäfts- und Betriebsgeheimnissen schätzen zwei Drittel der Befragten das Risiko, Opfer solcher Delikte zu werden, als hoch bis sehr hoch ein (Verrat von Geschäfts- und Betriebsgeheimnissen 69 Prozent, Verletzung von Schutz- und Urheberrechten 78 Prozent, Datendiebstahl/Datenmissbrauch 87 Prozent). Beim Thema Datendiebstahl geht sogar ein Drittel der Befragten von einem sehr hohen Risiko aus.

Insiderbedrohungen, die eigentliche Malware
Dazu kommen die Bedrohungen durch Insider wie beispielsweise derzeitige oder ehemalige Mitarbeiter. Aber auch Phishing kombiniert mit Social Engineering-Methoden hat einen erheblichen Anteil an erfolgreich lancierten Angriffen. Will man sie in einem frühen Stadium überhaupt als solche identifizieren, liefern Anomalien beispielsweise im Benutzerverhalten einen ersten Anhaltspunkt.

Das gilt unter anderem für Ransomware-Angriffe, die in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen. Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers. Damit haben wir uns an anderer Stelle bereits beschäftigt.

Zudem vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, welche Dienstleister wie in ihre Systeme gelangen, geschweige denn welche Zugriffsberechtigungen vergeben worden sind. Das hat eine Umfrage (der "Vendor Vulnerability Survey 2016") ergeben, bei der mehr als 600 IT-Experten aus Deutschland, Großbritannien, Frankreich und den USA befragt wurden. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 Prozent der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.

Licht und Schatten: Gefahrenbewusstsein wächst, Nachholbedarf bei Methoden zur frühzeitigen Aufdeckung
Die Studie von KPMG hat ergeben, dass Unternehmen präventive Maßnahmen zu Kontrollzwecken implementiert haben. 73 Prozent der Befragten erfassen und bewerten dabei systematisch besonders schützenswerte Daten. Anschließend werden die damit verbundenen Risiken ermittelt und für das Unternehmen bewertet. Risikomanagement spielt also eine durchaus wichtige Rolle wie auch eine Reihe weiterer Maßnahmen im Bereich der Prozess- und Unternehmensorganisation und deren Struktur. Die befragten Unternehmen sind sich also der Gefahren durchaus bewusst, wenn die Vorkehrungen auch eher in Konzernen und Großunternehmen getroffen werden als in mittelständischen Firmen.

Bis Datenklau & Co. allerdings erkannt, aufgedeckt und Gegenmaßnahmen ergriffen werden, vergehen bei dreiviertel der Befragten zwischen Entdeckung und Aufklärung durchschnittlich weniger als zwei Jahre. Wenig überraschend ist, dass es bei Großunternehmen und Konzernen wesentlich länger dauert, bis die Vorkommnisse entdeckt und erkannt werden, als bei überschaubaren Unternehmensgrößen. Aber: Es gibt einen direkten Zusammenhang zwischen entsprechenden

Präventionsmaßnahmen/-technologien und der Möglichkeit, den Schaden über den Zeitverlauf hinweg zu begrenzen. Es lohnt sich also in eine frühzeitige Aufdeckung zu investieren.

Barbara Scheben, Partner Forensic: "Es ist bemerkenswert: Bei Delikten in Zusammenhang mit Daten, wie Datendiebstahl und Datenmissbrauch, oder auch beim Verrat von Geschäfts- und Betriebsgeheimnissen schätzen die befragten Unternehmen das Risiko künftig selbst als Opfer betroffen zu sein, als hoch oder sehr hoch ein. Zugleich geben die Unternehmen, die bereits Opfer eines solchen Delikts geworden sind, an, dass sie Schwierigkeiten hatten, den Täter zu ermitteln beziehungsweise ihn nicht ermitteln konnten. Hieraus lässt sich der Schluss ableiten, dass nicht nur die Maßnahmen und Prozesse zur Prävention der Verbesserung bedürfen, sondern auch jene zur Aufdeckung und Aufklärung (...)."

Fazit
Bei den technischen Sicherheitsmaßnahmen verfügen Unternehmen in Deutschland laut Branchenverband Bitkom zwar über einen guten Basisschutz, bei Investitionen in umfassende Sicherheitsmaßnahmen seien sie aber immer noch zu zurückhaltend: "Nur 29 Prozent der befragten Unternehmen verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) und nicht einmal ein Viertel (23 Prozent) über spezielle Systeme zur Einbruchserkennung (Intrusion Detection)" oder darüber hinausgehende und ergänzende Systeme. An dieser Stelle sind die Unternehmen durchaus selbstkritisch. Zwar sehen sich 39 Prozent der Befragten ausreichend gerüstet, dennoch bekennt eine deutliche Mehrheit von 60 Prozent vermutlich nicht umfassend genug gewappnet zu sein.

Anmerkung am Rande. Noch immer kommen die Verhandlungen zwischen Deutschland und China zum geplanten Cyber-Abkommen nicht recht voran. Laut dpa reagiere die chinesische Seite schon seit Monaten nicht auf den Vorschlag. Um Unternehmen besser vor Hackern zu schützen, sieht das Abkommen nämlich einen gegenseitigen Schutz vor Industriespionage vor. Und genau das scheint der Hase im Pfeffer zu liegen. (Varonis: ra)

eingetragen: 20.12.16
Home & Newsletterlauf: 13.01.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Hintergrund

  • E-Mail - Die Mutter allen Übels?

    Am 6. Januar 2016 - also noch vor dem unmittelbaren Ende der Präsidentschaft Barrack Obamas - veröffentlichte das Intelligence Community Assessment (ICA) unter dem Titel "Assessing Russian Activitites and Intentions in Recent US Elections" ein entsprechendes Hintergrundpapier. Eines der wichtigsten Ergebnisse der Nachforschungen: Russland wird für eine mehrschichtige Kampagne verantwortlich gemacht, die sich ausdrücklich gegen einen regulären Ablauf der jüngsten US-Wahlen richtete. Zum einen sollte das Vertrauen in den demokratischen Prozess als solchen unterminiert werden, vor allem aber die Glaubwürdigkeit der Präsidentschaftskandidatin Hillary Clinton. Zwar beschäftigt sich das Papier mit der mutmaßlichen Einflussnahme Russlands auf die US-Wahlen, die Autoren weisen aber ausdrücklich darauf hin, dass wir bei anstehenden Wahlen weltweit mit ähnlichen Szenarien rechnen dürfen. 2017 ist das Jahr der Präsidentschaftswahl in Frankreich und das der Bundestagswahl in Deutschland.

  • Allgegenwärtige Android-Malware

    SophosLabs hat die Malware-Aktivitäten der letzten Monate analysiert und auf dieser Grundlage einen ausführlichen Report über die Entwicklung der Gefahren durch Malware erstellt. Demnach ändert sich die Bedrohungslage zwar beinahe täglich, Hauptziele der Hacker werden jedoch wie im Vorjahr Windows-Geräte sein. Auch andere Plattformen gelangen zunehmend ins Visier der Cyberkriminellen. SophosLabs identifiziert vier Trends, die 2016 Fahrt aufgenommen haben und voraussichtlich in den nächsten Monaten massiver auftreten.

  • Das sind die Cyber Security-Trends 2017

    Was sind die Top-Themen der Cyber Security in den nächsten Monaten? Klar ist: Wir gehen einem Zeitalter signifikanter Datenverletzungen entgegen. Konsequenz: Dem Top-Management kommt nach Auffassung von TÜV Rheinland mehr denn je eine Schlüsselrolle zu. "Cyber Security muss Teil des Business Cases sein und darf nicht als reiner Kostentreiber gesehen werden. Cyber Security ist idealerweise sowohl Risiko-Beratung als auch Business Enabler", so Frank Luzsicza, Leiter des Geschäftsbereichs ICT & Business Solutions bei TÜV Rheinland. "Die daraus resultierende Fülle und Verfügbarkeit an sensiblen Informationen über Menschen und Systeme werden zwangsläufig zu einem erhöhten Anpassungsdruck für gegenwärtige Cyber Security-Strategien führen", ist Björn Haan, Geschäftsfeldleiter Cyber Security Deutschland ICT & Business Solutions bei TÜV Rheinland, überzeugt. Was das genau bedeutet, beleuchten die Cyber Security Trends 2017 von TÜV Rheinland. Sie spiegeln die Einschätzung der aktuellen Entwicklung seiner führenden Experten für Cyber Security in Deutschland, den USA, Europa und IMEA wider.

  • Grundsätze zur Datenverschlüsselung

    Im Bemühen um die Unterstützung der EU-Minister bei ihren Beratungen über die Ausgewogenheit zwischen Verbraucherdatenschutz und Netzwerksicherheit veröffentlichte die BSA | The Software Alliance neue Verschlüsselungsgrundsätze zur Analyse der entsprechenden Rechtsvorschriften und politischen Gesetzgebungsvorschlägen. Durch Berücksichtigung der Bedürfnisse und Anforderungen aller Seiten zielen diese Verschlüsselungsgrundsätze darauf, für Gesetzgeber und alle anderen Interessengruppen eine gemeinsame Grundlage in der Diskussion über Verschlüsselung zu schaffen.

  • In Deutschland sind 66 Prozent Dark Data

    Der Begriff Dark Data klingt unheimlich, wenn nicht gar gefährlich. Und in der Tat, dieser verborgene Teil der gesammelten Datenberge, birgt Risiken für Unternehmen. Dabei besteht die größte Gefahr nicht darin, dass diese dunklen Daten etwa illegal sind, sondern vielmehr unkontrollierbar. Was genau steckt dahinter Unternehmensdaten lassen sich in drei Kategorien unterteilen.