Studie deckt Missstände in Cyber-Abwehrzentren auf

Hewlett Packard Enterprise (HPE) hat den vierten jährlichen „State of Security Operations Report 2017“ veröffentlicht. Der Report bietet eine tiefe Analyse der Effektivität von Cyber-Abwehrzentren (Security Operations Center, SOCs) und liefert Best Practices für die Risikominimierung in einer sich ständig ändernden Cybersecurity-Landschaft. Unter dem erhöhten Druck, Sicherheitsinitiativen ständig zu verbessern und abzustimmen, bietet ein SOC die Grundlagen für den Schutz vor Cyber-Bedrohungen. Im diesjährigen Report stellt HPE jedoch fest, dass die Mehrheit der Zentren nicht den erforderlichen Reifegrad hat und ihre Unternehmen im Falle eines Angriffs verwundbar sind.

Der Report untersucht rund 140 dieser Zentren aus aller Welt. Jedes Zentrum wird nach einer Skala bewertet, die Mitarbeiter, Prozesse, Technologien und Geschäftsfähigkeit berücksichtigt. Ein gut ausgestattetes, neutral evaluiertes und flexibles SOC ist für moderne Unternehmen ideal, um bestehende und neu aufkommende Bedrohungen effektiv zu überwachen – allerdings erfüllen 82 Prozent der überprüften SOCs diese Kriterien nicht und hinken den Bedrohungen hinterher. Obwohl sich die Lage damit gegenüber dem Vorjahr um drei Prozentpunkte verbessert hat, kämpfen die meisten Unternehmen nach wie vor mit Fachkräftemangel sowie der Dokumentierung und Implementierung der effizientesten Prozesse.

„Der diesjährige Report zeigt, dass Unternehmen zwar viel in Sicherheit investieren und dabei neue Prozesse und Technologie einführen. Sie verlieren dabei aber das große Ganze aus dem Blick und bleiben daher verwundbar gegenüber den schnellen und fortschrittlichen Methoden heutiger Angreifer“, sage Matthew Shriner, Vice President für Security Professional Services bei Hewlett Packard Enterprise. „Studie deckt Missstände in Cyber-Abwehrzentren auf“ weiterlesen

Europa im Abseits: Cyber-Angriffe werden später entdeckt, Behörden hilflos

Die Region schneidet schlecht ab: 469 Tage brauchten Firmen in EMEA im Durchschnitt, um das Eindringen von Hackern zu bemerken – der weltweite Durchschnitt liegt bei 146 Tagen. Dies ist eines der Ergebnisse des aktuellen M-Trends Report für EMEA von Mandiant, einem Unternehmen von FireEye. 88 Prozent der Firmen verlassen sich nur auf ihre internen Abwehrressourcen. Von offizieller Stelle ist noch wenig Hilfe zu erwarten – anders als im weltweiten Vergleich: hier werden 53 Prozent der Angriffe von externer bzw. staatlicher Stelle entdeckt.

Das Fazit der Mandiant-Fachleute: die Unternehmen in der Region haben in Bezug auf Sicherheit nicht die Reife erreicht, um sicherheitsrelevante Events übergreifend zu überwachen. EMEA verlässt sich auf Antiviren-Tools – und die Angreifer nutzen oft ungebremst Persistenzmechanismen wie Backdoors, Web Shells oder VPN Zugang.

Doch der Druck auf die Unternehmen wächst: Anders als noch vor wenigen Jahren ist es heute schwierig geworden, sicherheitsrelevante Vorfälle geheim zu hatten. Der Grund dafür: Meldepflichten und mehr (mediale) Öffentlichkeit für Datenklau, Hackerangriffe und Sicherheitslecks.

Hacker hinterlassen wenige Spuren und tarnen sich gut

Über 40.000 Systeme pro Netzwerk untersuchten die Mandiant-Experten durchschnittlich pro Unternehmen – und davon waren nur 40 Systeme infiziert. Die Angreifer versuchen zwar, sich im Netzwerk zu verbreiten, hinterlassen aber kaum Spuren bzw. verschleiern diese. Die Malware wurde oft erst kurz vorher für genau diesen Angriff geschrieben und entsprechend von Antivirus-Tools und den Schwarzen Listen der Proxy Server nicht erkannt. Schlimmer noch: viele Unternehmen nutzen signaturbasierte Antivirus-Technologien nur zum Schutz der Hosts und überwachen die internen Kommunikationsströme in sensitiven Bereichen wie Datenbanken oder der Dokumentation geistigen Eigentums nicht.




Während eines Angriffs wechseln die Hacker gerne von Malware zu den Remote Access-Lösungen im Unternehmen wie etwa VPNs, um länger unentdeckt zu bleiben: Sie nutzen legitime Tools, tarnen sich als „Insider“ mit gültigen Berechtigungen. Sie beseitigen manchmal sogar ihre Malware, sobald sie eingedrungen sind.

Durchschnittlich wurden nachweisbare 2,6 GB an Daten gestohlen – doch je höher die Verweildauer der Angreifer, desto höher ist das vermutete Datenvolumen. 469 Tage sind eine Ewigkeit für die Angreifer – Zeit, in der sie in aller Ruhe ihre Ziele erreichen und gegebenenfalls auch den Zugang in das Unternehmen an andere Interessenten weiterverkaufen können.

Wenig Hilfe von Behörden oder staatlichen Organisationen

Die Angreifer wechseln ihre Tools und Taktiken häufig – in einer Geschwindigkeit, die es den Unternehmen schwer macht, Schritt zu halten. Sie brauchen ausgefeilte Security-Programme, um sich einigermaßen zu schützen – und den Rat von Spezialisten. Doch in 88 Prozent der Fälle haben Unternehmen die Sicherheitslecks selbst gefunden. Anders als im weltweiten Durchschnitt kommt dabei noch wenig Unterstützung von offizieller Seite – was sich laut Mandiant in manchen Ländern langsam ändert: dort wo der Schutz kritischer Infrastrukturen zunehmend als staatliche Aufgabe wahrgenommen wird.

Gehandelt wird oft zu spät und unzureichend. Die meisten Aufträge an FireEye kamen erst nach forensischen Ermittlungen – nachdem die Firmen die Eindringlinge aus ihrer Umgebung nicht selbst entfernen konnten. Der Grund dafür: In Europa nutzen noch viele Unternehmen traditionelle Methoden, die nicht ausreichen, um den Angreifer zu entfernen und untersuchen nur eine Handvoll von Maschinen. Damit verbleiben die Angreifer in der IT-Umgebung und können sie leicht von ihren verbleibenden Stützpunkten aus neu infizieren. FireEye empfiehlt eine umfassende Untersuchung mit Hilfe einer zuverlässigen Intelligence sowie eine skalierbare Methode, die jede Maschine im Netzwerk abdeckt. Nur so kann man das Ausmaß von sicherheitsrelevanten Vorfällen einschätzen und die Eindringlinge erfolgreich bannen.

„Da die Motive hinter den Angriffen von Industriespionage über Medienpräsenz bis hin zu Markenschädigung reichen, sind solche Bedrohungen nicht mehr nur ein Fall für die IT-Abteilung, sondern auch für die Vorstandsebene,” so Jan Korth, Director of Mandiant Security Consulting Services (DACH), FireEye. „Viele Unternehmen müssen sich von der traditionellen Vorgehensweise verabschieden, auf Vorfälle nur zu reagieren. Andernfalls wird sich die Verweildauer der Angreifer nicht schnell genug verkürzen. Das, und die Tatsache, dass die CERT-Fähigkeiten und -Mandate einiger Regierungen in EMEA unterschiedlich ausgereift sind, führen dazu, dass Unternehmen unter dem gewaltigen Druck stehen, Gefahren selbst erkennen zu müssen. Und unseren Statistiken zufolge sind sie dabei einfach nicht schnell genug. Zwischen EMEA und dem Rest der Welt bestehen großen Unterschiede – das zeigen unsere Beobachtungen deutlich. Und die Vorstände in der Region müssen sich jetzt darum kümmern.“

Den vollständigen Report finden Sie unter: https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html „Europa im Abseits: Cyber-Angriffe werden später entdeckt, Behörden hilflos“ weiterlesen

Cyber-Angriffe verursachen über 65 Milliarden Euro Schaden

Deutschen Unternehmen sind in den letzten fünf Jahren Schäden von insgesamt 65,2 Milliarden Euro durch Internet-Attacken entstanden. Das ergibt eine jährliche Schadenssumme für die deutsche Wirtschaft von rund 13 Milliarden Euro – so viel wie die Bundesregierung im Jahr 2016 in die komplette Infrastruktur des Landes investieren will. Besonders stark betroffen ist die herstellende Industrie. Zu diesem Ergebnis kommt eine aktuelle Studie des Center for Economics and Business Research (Cebr) im Auftrag des Spezialisten für Anwendungssicherheit Veracode. Vor allem Web- und Cloud-Anwendungen als Einfallstor bereiten Unternehmen demnach Sorge. Zudem untersucht die Studie, wer im Unternehmen im Falle eines Cyber-Sicherheitsvorfalls die Verantwortung tragen sollte.

Für die Studie wurden deutsche Unternehmen mit über 1.000 Beschäftigten befragt. Im Schnitt wurde jedes befragte Unternehmen in den letzten fünf Jahren zweimal Opfer eines Cyber-Angriffs. Überdurchschnittlich oft traf es Firmen im Baugeschäft mit 2,7 und die Logistikunternehmen mit 2,5 Attacken aus dem Netz. Die Schäden durch diese Angriffe in den letzten fünf Jahren verteilen sich höchst unterschiedlich auf verschiedene Branchen:

Die herstellende Industrie hat mit 27 Milliarden Euro Schaden die höchsten Schäden erlitten.
Die Versorgungs-, Industrie- und Bergbaubranche hat Schäden von 9,2 Milliarden Euro zu beklagen.
Die Baubranche verzeichnete mit 6,5 Milliarden Euro die dritthöchste Schadenssumme.
„Cyber-Angriffe verursachen über 65 Milliarden Euro Schaden“ weiterlesen