- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Insiderbedrohungen und e-Spionage


Ransomware-Angriffe sind in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen
Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers

- Anzeigen -





Von David Lin, Varonis

"100 Milliarden Schaden durch Wirtschaftsspionage". Das hatte 2014 bereits der Verein Deutscher Ingenieure (VDI) ermittelt. Zahlen, die sich mit den Ergebnissen einer vom Center for Strategic and International Studies (CSIS) im Juni 2014 veröffentlichten Studie weitgehend decken. Kurz darauf forderte die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) mehr staatliches Engagement und legte dazu auch gleich einen 5-Punkte-Plan vor. Im Frühjahr dieses Jahres empfahl die Börsenzeitung Unternehmen dringlich sich mit den veränderten Risiken einer digitalisierten Kapitalmarktumgebung auseinanderzusetzen, wenn sie nicht das Nachsehen haben wollten.

Mittelstand unterschätzt das Risiko
Deutsches Know-how ist nach wie vor begehrt. Dieses Wissenskapital liegt nicht selten bei den Hidden Champions des Mittelstands. Ausgerechnet der ist aber bei der realistischen Einschätzung digitaler Risiken wider besseres Wissen erschreckend blauäugig. Teils werden weiterhin unsichere Betriebssysteme genutzt, teils sind die Datensicherungen bei weitem nicht ausreichend oder auf dem aktuellen Stand. Beim Datenschutz werden Insiderbedrohungen gleichermaßen gefürchtet wie regelmäßig unterschätzt. Und zwar unabhängig davon, ob es sich um einen Insider im Unternehmen handelt, der vielleicht die Firma wechseln will und die Kundendatenbank mitnimmt (was - wie wir alle wissen – im Vertrieb ein nicht ganz unübliches Vorgehen ist) oder um einen externen Angreifer, der sich die entsprechenden Zugangsdaten hat beschaffen können. Und sich, ausgestattet mit den entsprechenden Rechten, durch das System bewegt.

Eine Studie des Wirtschaftsprüfungsunternehmens KPMG aus dem Jahr 2014 ("Wirtschaftskriminalität in Deutschland 2014") hat im Wesentlichen fünf große Ergebnisblöcke ermittelt:

87 Prozent der Befragten stufen das Risiko für Wirtschaftskriminalität als hoch, wenn nicht sehr hoch ein. Gleichzeitig haben die betreffenden Firmen kaum einen Überblick über die von ihnen verwendeten Daten und schon gar keine ausreichende Kontrolle darüber. Das lässt vermuten, dass viele der tatsächlichen Fälle den Unternehmen gar nicht bewusst sind (oder es viel zu spät erst werden).

Alexander Geschonneck, Partner Forensic KPMG, der auch als freier Autor für einschlägige Sicherheitsfachzeitschriften tätig war: "In der Praxis beobachten wir häufig, dass im Zuge von kartellrechtlichen Ermittlungen in den Unternehmen keine Klarheit über die verfügbaren Informationsquellen herrscht. Dies fängt bei der angemessenen Reaktion auf eine kartellrechtliche Untersuchung an und hört bei der Identifikation entsprechender Frühwarnindikatoren in den Daten auf." Das deckt sich mit den Ergebnissen einer der jüngsten Studien, die das Ponemon-Institute in Zusammenarbeit mit Varonis verfasst hat: 35 Prozent der befragten Organisationen verfügen nicht über durchsuchbare Aufzeichnungen zu den Dateiaktivitäten im System. Die Folge: Unternehmen sind nicht in der Lage zu ermitteln, welche Dateien von einer Datenschutzverletzung betroffen sind. Nur 25 Prozent der Unternehmen überwachen die E-Mail- und Dateiaktivitäten in Bezug auf sämtliche Mitarbeiter und Dritte, während 38 Prozent Datei- und E-Mail-Aktivitäten überhaupt nicht überwachen.

Widersprüchlich: 85 Prozent der Befragten sehen ihren eigenen Schutz vor Wirtschaftskriminalität dieser Art als gut und ausreichend an. Und das, obwohl gleichzeitig jedes dritte Unternehmen innerhalb der letzten beiden Jahre Opfer von Wirtschaftskriminalität geworden ist. Und: zwischen den Firmen, die ihre eigenen Schutzmaßnahmen als gut bis sehr gut bezeichnen (34 Prozent) und denen, die sich selbst als eher schlecht vorbereitet einstufen (38 Prozent) sind kaum Unterschiede festzumachen.

86 Prozent der befragten Unternehmen sehen sich im Falle einer kartellrechtlichen Untersuchung gut gewappnet und imstande den entsprechenden Überblick zu Dateien und Daten zu geben. Trotzdem sind die Folge- und Ermittlungskosten enorm hoch. KMPG stellt sich die Frage, ob Unternehmen angesichts dieser Diskrepanz tatsächlich in die richtigen Präventionsmaßnahmen investieren.

Schlussfolgerung: Firmen neigen offensichtlich dazu zu vergessen, dass Prävention kein Selbstzweck ist, sondern eine Bedingung ökonomischen Handelns.

Fehlende Schulungen und Vorbildfunktion der Geschäftsführung werden als weniger relevant bewertet, obwohl die meisten Befragten den "menschlichen Faktor" als einen der wichtigsten betrachten. Auch das eher widersprüchlich, denn beide Maßnahmen verzeichnen nachweislich Erfolge.

Bei den Deliktarten Datendiebstahl oder Datenmissbrauch, Verletzung von Urheberrechten und Verrat von Geschäfts- und Betriebsgeheimnissen schätzen zwei Drittel der Befragten das Risiko, Opfer solcher Delikte zu werden, als hoch bis sehr hoch ein (Verrat von Geschäfts- und Betriebsgeheimnissen 69 Prozent, Verletzung von Schutz- und Urheberrechten 78 Prozent, Datendiebstahl/Datenmissbrauch 87 Prozent). Beim Thema Datendiebstahl geht sogar ein Drittel der Befragten von einem sehr hohen Risiko aus.

Insiderbedrohungen, die eigentliche Malware
Dazu kommen die Bedrohungen durch Insider wie beispielsweise derzeitige oder ehemalige Mitarbeiter. Aber auch Phishing kombiniert mit Social Engineering-Methoden hat einen erheblichen Anteil an erfolgreich lancierten Angriffen. Will man sie in einem frühen Stadium überhaupt als solche identifizieren, liefern Anomalien beispielsweise im Benutzerverhalten einen ersten Anhaltspunkt.

Das gilt unter anderem für Ransomware-Angriffe, die in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen. Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers. Damit haben wir uns an anderer Stelle bereits beschäftigt.

Zudem vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, welche Dienstleister wie in ihre Systeme gelangen, geschweige denn welche Zugriffsberechtigungen vergeben worden sind. Das hat eine Umfrage (der "Vendor Vulnerability Survey 2016") ergeben, bei der mehr als 600 IT-Experten aus Deutschland, Großbritannien, Frankreich und den USA befragt wurden. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 Prozent der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.

Licht und Schatten: Gefahrenbewusstsein wächst, Nachholbedarf bei Methoden zur frühzeitigen Aufdeckung
Die Studie von KPMG hat ergeben, dass Unternehmen präventive Maßnahmen zu Kontrollzwecken implementiert haben. 73 Prozent der Befragten erfassen und bewerten dabei systematisch besonders schützenswerte Daten. Anschließend werden die damit verbundenen Risiken ermittelt und für das Unternehmen bewertet. Risikomanagement spielt also eine durchaus wichtige Rolle wie auch eine Reihe weiterer Maßnahmen im Bereich der Prozess- und Unternehmensorganisation und deren Struktur. Die befragten Unternehmen sind sich also der Gefahren durchaus bewusst, wenn die Vorkehrungen auch eher in Konzernen und Großunternehmen getroffen werden als in mittelständischen Firmen.

Bis Datenklau & Co. allerdings erkannt, aufgedeckt und Gegenmaßnahmen ergriffen werden, vergehen bei dreiviertel der Befragten zwischen Entdeckung und Aufklärung durchschnittlich weniger als zwei Jahre. Wenig überraschend ist, dass es bei Großunternehmen und Konzernen wesentlich länger dauert, bis die Vorkommnisse entdeckt und erkannt werden, als bei überschaubaren Unternehmensgrößen. Aber: Es gibt einen direkten Zusammenhang zwischen entsprechenden

Präventionsmaßnahmen/-technologien und der Möglichkeit, den Schaden über den Zeitverlauf hinweg zu begrenzen. Es lohnt sich also in eine frühzeitige Aufdeckung zu investieren.

Barbara Scheben, Partner Forensic: "Es ist bemerkenswert: Bei Delikten in Zusammenhang mit Daten, wie Datendiebstahl und Datenmissbrauch, oder auch beim Verrat von Geschäfts- und Betriebsgeheimnissen schätzen die befragten Unternehmen das Risiko künftig selbst als Opfer betroffen zu sein, als hoch oder sehr hoch ein. Zugleich geben die Unternehmen, die bereits Opfer eines solchen Delikts geworden sind, an, dass sie Schwierigkeiten hatten, den Täter zu ermitteln beziehungsweise ihn nicht ermitteln konnten. Hieraus lässt sich der Schluss ableiten, dass nicht nur die Maßnahmen und Prozesse zur Prävention der Verbesserung bedürfen, sondern auch jene zur Aufdeckung und Aufklärung (...)."

Fazit
Bei den technischen Sicherheitsmaßnahmen verfügen Unternehmen in Deutschland laut Branchenverband Bitkom zwar über einen guten Basisschutz, bei Investitionen in umfassende Sicherheitsmaßnahmen seien sie aber immer noch zu zurückhaltend: "Nur 29 Prozent der befragten Unternehmen verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) und nicht einmal ein Viertel (23 Prozent) über spezielle Systeme zur Einbruchserkennung (Intrusion Detection)" oder darüber hinausgehende und ergänzende Systeme. An dieser Stelle sind die Unternehmen durchaus selbstkritisch. Zwar sehen sich 39 Prozent der Befragten ausreichend gerüstet, dennoch bekennt eine deutliche Mehrheit von 60 Prozent vermutlich nicht umfassend genug gewappnet zu sein.

Anmerkung am Rande. Noch immer kommen die Verhandlungen zwischen Deutschland und China zum geplanten Cyber-Abkommen nicht recht voran. Laut dpa reagiere die chinesische Seite schon seit Monaten nicht auf den Vorschlag. Um Unternehmen besser vor Hackern zu schützen, sieht das Abkommen nämlich einen gegenseitigen Schutz vor Industriespionage vor. Und genau das scheint der Hase im Pfeffer zu liegen. (Varonis: ra)

eingetragen: 20.12.16
Home & Newsletterlauf: 13.01.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Hintergrund

  • Datenschutz-Compliance im Blickpunkt

    Vier Trends in Sachen Datensicherheit für das Jahr 2018 sieht Arcserve. Angesichts des wachsenden Risikos Ransomware suchen Unternehmen intensiv nach Antworten auf die unvorhersehbare Nichtverfügbarkeit ihrer Daten. Durch das verbindliche Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 benötigen Unternehmen schnell Lösungen, die die Compliance mit der DSGVO sicherstellen. Zudem wollen die Verantwortlichen ihre Storage-Infrastruktur vereinfachen. Vier Trends werden daher den Datensicherheits-Markt in 2018 massiv prägen.

  • Cybersicherheit: Welche Trends 2018 ab?

    Mit dem stetig wachsenden Zustrom von Internet Embedded-Technologien (IET) und dem Einzug des Internet der Dinge in Unternehmen - in Form von Druckern, Konferenzlösungen, Gebäudesicherheitstechnik, vernetzter Heizung, Lüftung und Klimatisierung, automatisierter Beleuchtung und anderen Geräten - würde es nicht überraschen, wenn diese Technologien im Jahr 2018 bei einem großen Datenklau im Mittelpunkt stehen. Noch hat es keine großen Zwischenfälle im direkten Zusammenhang mit diesen Technologien gegeben. Es gibt jedoch zwei Möglichkeiten, wie sie bei einem Datenverlust eine Rolle spielen könnten. Erstens auf indirektem Weg, wenn ein Unternehmen bereits kompromittiert ist und der Angreifer die IET-Systeme dann in der sekundären Phase nutzt, um seine Anwesenheit im Netzwerk zu verbergen. Weil diese Technologien leider nicht überwacht und beim Überprüfen der Sicherheitsumgebung oft übersehen werden, lassen sie sich von Angreifern auf diese Weise als Advanced Persistent Threat (APT) verwenden.

  • Das allwissende, gierige Auge Saurons

    Das nächste Mal, wenn man eine Webseite öffnet, stelle man sich vor, dass gleichzeitig eine Filmcrew eintrifft. Ein Kameramann platziert seine Kameralinse direkt über der eigenen Schulter und zwar so blitzartig schnell, dass die Webseite, die man gerade aufruft, noch nicht einmal vollständig geladen ist. Da hat die mitschauende Kameralinse bereits alles auf dem Bildschirm gierig erfasst. Jeder Mausklick, Scroll und Tastenschlag wird registriert. Unrealistisch? Mit Nichten, denn man vergisst allzu gerne, dass die virtuelle Linse existiert, alles sieht und speichert. So bewegt man sich beispielsweise durch den Checkout-Prozess und wird nach Namen, Adresse und Bezahlmodalitäten gefragt.

  • Krypto-Mining-Malware eingebettet

    Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg seit Herbst 2017 bis Anfang des Jahres 2018 Opfer einer Hackerattacke geworden. Bei dem Angriff zielten die Kriminellen nicht auf Daten ab, sondern auf die Rechenleistung der Server. Die bislang unbekannten Angreifer sind mehrmals erfolgreich in das Computersystem eingestiegen, um so Krypto-Währungen wie Monero zu schürfen. Das heimliche Schürfen von Krypto-Währungen auf Computern von Unbeteiligten ist aufgrund explodierender Kurse von Bitcoin & Co. derzeit ein wichtiger Trend in der Malware-Szene.

  • Kommerzialisierung von Cyber Security-Angriffen

    Für das kommende Jahr erwartet TÜV Trust IT eine weitere Zunahme der Vielfalt und Intensität von Sicherheitsbedrohungen. Geschäftsführer Detlev Henze hat einige Trendaussagen für 2018 zusammengestellt, welche über die üblichen Buzzword-Threats zu Digitalisierung, Industrie 4.0 oder Social Engineering etc. deutlich hinausgehen. Skriptbasierte Schadsoftware verschärft die Bedrohungslage: Schadsoftware setzt zunehmend auf skriptbasierte Sprachen wie Visual Basic Script (VBS), JavaScript oder PowerShell. Der Grund dafür ist, dass die Zielsysteme die Interpreter für diese Sprachen häufig direkt zur Verfügung stellen, sodass die Schadsoftware ohne Umwege ausgeführt werden kann.