Thought Leadership
Einige der Ergebnisse des Data Breach Investigations Report von Verizon verdienen einen genaueren Blick: Pretexting, Microsoft Office-basierte Malware und niedrige Patch-Raten, gestohlene Anmeldeinformationen und ein Mal mehr, Ransomware.
Vor wenigen Wochen hat Verizon seinen Data Breach Investigations Report (DBIR) veröffentlicht. Es ist ein Beleg für die Vielfältigkeit der erhobenen Daten, dass Verizon seinen diesjährigen Report erstmals nach Industriezweigen separiert hat. Mehr und mehr Branchen sehen sich inzwischen mit Angriffen konfrontiert. Es macht also durchaus Sinn diese Daten aufgrund der ausreichenden Grundgesamtheit getrennt zu betrachten. Einige der Ergebnisse verdienen einen genaueren Blick:
Pretexting
Pretexting ist ein Trend, der sich bei Angriffen zunehmender Beliebtheit erfreut. Grundsätzlich versteht man darunter, dass sich jemand unter Vorspiegelung einer falschen Identität Informationen eines Dritten besorgt. Etwa indem ein Angreifer vorgibt der Geschäftsführer, Leiter der Finanzabteilung oder eine andere Führungskraft zu sein. Ziel der Manipulation ist es beispielsweise Angestellten sensible Daten zu entlocken. So wird ein Mitarbeiter etwa per E-Mail scheinbar von seinem Chef dazu aufgefordert diesem bei einer finanziellen Transaktion behilflich zu sein oder darüber Auskunft zu geben wie dieser Vorgang in der Firma üblicherweise gehandhabt wird. Pretexting ist eine nicht zu unterschätzende Bedrohung, weil sie sich die scheinbare Dringlichkeit des Anliegens genauso zunutze macht wie die gängige Unternehmenskultur. Nämlich die Tendenz von Mitarbeitern, übliche Prozesse und Richtlinien außer Acht zu lassen, wenn es sich um ein direkt vom Chef an sie gerichtetes Anliegen handelt.
Schulungen, die helfen, Phishing-Angriffe als solche zu erkennen, konzentrieren sich meistens auf den Inhalt, also die Malware und den betreffenden Link, nicht aber auf den Absender der E-Mail. Und genau der ist beim Pretexting entscheidend. Zweifelsohne fühlen Menschen sich unter Druck und setzen vermutlich alles daran, ihren Chef zufriedenzustellen. Dazu kommt, dass einige dieser Mails täuschend echt wirken, weil sie sich an genau die richtige Person im jeweiligen Unternehmen wenden. Die für Sicherheitstrainings und Schulungen Verantwortlichen sollten diese Art des Phishings explizit auf die Prioritätenliste nehmen.
Microsoft Office-basierte Malware und niedrige Patch-Raten
Wie verheerend es sich auswirkt, wenn populäre Systeme gleichzeitig die verwundbarsten sind, ließ sich in den letzten beiden Wochen studieren.
Exkurs: Kommentar von Paul Calatayud, CTO bei FireMon zur WannaCry-Ransomware-Attacke
„Obwohl wir inzwischen schon einiges über die WannaCry Ransomware-Attacke wissen, die am vorletzten Freitag Abend mit Meldungen über Infektionen des NHS in Großbritannien begonnen hat, ist von Außen schwer einzuschätzen wie lange es dauern wird, bis alle Systeme wiederhergestellt sind. Man kann aber durchaus eine allgemeine Einschätzung treffen. Systeme nach einem erfolgreichen Angriff wiederherzustellen ist ein heikles Unterfangen. Was die unternehmerischen Erfordernisse anbelangt, sollten die Systeme so schnell wie möglich aus dem Backup wiederhergestellt werden. Das kollidiert allerdings möglichweise mit gesetzlichen Anforderungen nach einer forensischen Analyse und verzögert so unter Umständen den gesamten Prozess. Und nicht selten kommt es vor, dass bereits kompromittierte Systeme weiterhin infiziert bleiben. Wenn die Systeme vor der Wiederherstellung nicht vollständig bereinigt worden sind, kann sich eine Ransomware weiter verbreiten. Es ist schwer zu sagen welche Faktoren speziell beim NHS eine Rolle spielen. Aber es handelt sich um kritische Systeme, die sicherlich so schnell wie möglich wiederhergestellt werden. Derweil wird man auf alt bekannte Fallback-Strategien zurückgreifen während die Systeme wiederhergestellt werden.
Grundsätzlich gilt:
- Backup-Pläne für sämtliche Geschäftsprozesse sind unabdingbar
- Es sollten Offline-Systeme zur Verfügung stehen, die beschädigte oder infizierte Computer ersetzen. Das ist nicht ganz billig, Firmen und Organisationen sollten sich dabei auf besonders kritische Systeme beispielsweise mit Kundendaten konzentrieren.
- Backup in Echtzeit fahren. Das schützt auch vor Ransomware und erlaubt es Systeme auszutauschen und die Daten wiederherzustellen.“
Es liegt noch gar nicht so lange zurück wie man vielleicht glauben mag, dass Sicherheitsexperten über die Sicherheit von Mac versus Windows diskutiert haben. Aber zeitgleich mit der Etablierung von Mac in Unternehmensnetzwerken traten die ersten Schwachstellen auf und mit ihnen die Angriffe, die solche Lücken ausnutzen. Microsoft Office-Produkte bieten wie Java-basierte dank ihrer enormen Verbreitung die weitaus größte Angriffsfläche. Laut DBIR sind im öffentlichen Sektor lediglich 30 % der bekannten Schwachstellen gepatched. Davon wiederum nur 33 % rechtzeitig. Im Finanzwesen sieht es noch bedenklicher aus. Hier werden überhaupt nur 25 % aller vorhandenen Schwachstellen aufgedeckt und von diesen wiederum nur 33 % rechtzeitig gepatched. Diese Werte sind definitiv viel zu niedrig. Rechtzeitig ausgebrachte Patches sind immer noch eine der wichtigsten Grundlagen jeder Cybersecurity-Richtlinie. Ein Grund für diese erschreckend niedrigen Zahlen ist, dass die Verantwortlichkeiten innerhalb der Unternehmen voneinander getrennt arbeiten. Ein Sicherheitsteam identifiziert die Schwachstellen, das Patchen übernimmt die für Server und Desktop-Rechner zuständige Abteilung. Nicht selten wird dabei außer Acht gelassen, welchen Anteil korrekt konfigurierte Firewalls und andere derartige Gegenmaßnahmen haben. IT-Abteilungen haben was Patches anbelangt oftmals einen enormen Rückstand aufzuarbeiten und kämpfen zusätzlich mit der mangelnden Priorisierung.
Gestohlene Anmeldeinformationen – Tendenz: steigend
Hacker haben großes Interesse an Anmeldedaten, denn sie erlauben es ihnen sich in einem Netzwerk zu bewegen und an unterschiedlichste Datenbestände zu gelangen. Produktionssysteme beispielsweise direkt anzugehen ist aufwendig und teuer. Und führt nicht selten dazu, dass die Ausfälle erkannt werden und man den Angriff abwehren kann. Es ist ein bisschen so als wolle man sich den Zugang zu einem Banktresor mit einer Stange Dynamit verschaffen. Die Kombination zu kennen macht die Sache ungleich einfacher. Solange Mitarbeiter ihre Daten versehentlich preisgeben oder sie auf anderen Wegen in die Hände von Hackern gelangen, solange bleibt ein direkter Angriff für die weitaus meisten Hacker nur Plan „C“. Plan „A“ ist es, sich in den Besitz von Anmeldedaten zu bringen. Multifaktor-Authentifizierung ist neben interner Segmentierung die grundlegende Sicherheitsstrategie. Genauso wie Firmen es vermeiden sollten, Passwörter mehrfach zu verwenden. Alle drei umzusetzen kostet Zeit, und man muss einiges an Anstrengungen investieren, wenn sich die Sicherheitskultur eines Unternehmens dauerhaft verändern soll. Unabdingbar ist das allemal.
Veränderte Ransomware
Der DBIR von Verizon stellt als wichtigsten Trend in Sachen Ransomware heraus: „ (…)die wichtigste Veränderung bei Ransomware im Jahr 2016 war, dass sie sich weniger gegen einzelne individuelle Systeme gerichtet hat als gegen verwundbare Organisationen.“ Das ist ein Weg, den schon unterschiedliche Malware-Familien gegangen sind. Die Schadsoftware im Consumer-Umfeld testen um sie dann erfolgreich gegen Unternehmen und Organisationen einzusetzen. Oder ein einziger individueller Rechner sorgt dank flexibler Arbeits- und Jobmodelle dafür, dass über ihn ein ganzes Unternehmensnetzwerk infiziert wird. Unternehmen sind aus üblichen Systemen zusammengesetzte Einheiten mit in der Regel ebenso üblichen Sicherheitskontrollen. Wenn es gelingt auch nur ein einziges System zu infizieren, stehen die Chancen ziemlich gut, dass potenziell jedes System infiziert werden kann. Alle sind auf ein und demselben Image, leiden gleichermaßen unter nicht eingespielten Patches – und sie sind Teil ein und derselben Unternehmenskultur.
Das sind nur einige der Methoden, die Hacker einsetzen, um in Unternehmensnetzwerke einzudringen. Sich das große Ganze anzusehen und Schwachstellen innerhalb der Sicherheitsinfrastruktur zu identifizieren ist eine der besten Vorgehensweisen um zu verhindern, dass Hacker ihr Ziel erreichen. Intelligentes Sicherheitsmanagement trägt dazu bei, dieses große Ganze vor Augen zu haben. Und zukünftig zu verhindern, dass die Ergebnisse wie die des DBIR von Verizon sich weiterhin im Sinne der Angreifer entwickeln…
