Thought Leadership
Anomali, Anbieter von Threat Intelligence Plattformen, hat in seinem aktuellen Anomali Labs Report „The Dax 100: Targeted Brand Attacks and Mass Credential Exposures“ die Gefahrenpotenziale bei DAX-100 Unternehmen über die letzten drei Monate untersucht. Die Ergebnisse der Studie liegen jetzt vor.
Die größte Gefahr stellen verdächtige Domain-Registrierungen und kopierte bzw. ähnlich-klingende Markendomains dar – diese ermöglichen es Cyber-Kriminellen, nachgeahmte Webseiten zu erstellen, um an die Daten von ahnungslosen Verbrauchern zu gelangen. Bei 71 der 100 größten börsennotierten Unternehmen Deutschlands wurde mindestens eine potentielle verdächtige Domain-Registrierung entdeckt. Im Durchschnitt wurden pro Unternehmen 18 verdächtige Registrierungen nachgewiesen. Insgesamt fand Anomali 1.241 verdächtige Domains.
Laut dem Bericht wurden zudem mehr als 76.000 E-Mail-Adressen und Klartext-Passwörter von Benutzerkonten der DAX-100 Unternehmen im Darkweb entdeckt, wo sie veröffentlicht oder potentiellen Käufern angeboten werden. Das stellt nicht nur ein enormes Sicherheitsrisiko für die Unternehmen dar, sondern auch für ihre Verbraucher.
“Cyber-Kriminalität wächst in so beträchtlichem Maße, dass es inzwischen ein Thema auf Geschäftsführungsebene ist”, erläutert Jamie Stone, Vice President EMEA von Anomali, die Ergebnisse der Studie. „Sicherheitskonzepte sind heute ein wichtiger Bestandteil des Reputationsschutzes und gewährleisten so die Wettbewerbsfähigkeit des Unternehmens. Unsere Analyse zeigt aber auch, dass bei vielen DAX-100 Unternehmen grundlegende Sicherheitsmaßnahmen noch nicht umgesetzt wurden. Die Ergebnisse unserer Studie sollen als Weckruf verstanden werden. Wir wollen deutlich machen, wie verwundbar Unternehmen sind, und zwar in einer Art und Weise, wie sie niemand für möglich gehalten hätte”, so Jamie Stone.
Automobilindustrie besonders stark von betrügerischen Domains betroffen
Fünf Industriebereiche sind besonders von Angriffen über betrügerische Domain-Registrierungen betroffen, allen voran die Automobilindustrie. 25,1 Prozent verdächtiger Domain-Registrierungen wurden im Automobil-Bereich entdeckt, gefolgt von der Chemischen Industrie mit 13,3 Prozent. Danach folgen der Einzelhandel mit 12 Prozent, der produzierende Sektor mit 8,1 Prozent und der Telekommunikationsbereich mit 7,7 Prozent. Gefälschte und kopierte Domains öffnen Tür und Tor für Angriffe auf das Unternehmensnetzwerk. Die Überwachung von Domain-Registrierungen ist daher ein elementarer Baustein proaktiver Schutzmaßnahmen.
Ein internationaler Ländervergleich zeigt, dass 38,4 Prozent der verdächtigen Domains unter einer US-amerikanischen Adresse registriert sind, 24 Prozent waren unter einer chinesischen Adresse eingetragen, gefolgt von einer deutschen mit 10,8 Prozent. Die am häufigsten verwendete E-Mail-Domain unter den verdächtigen Eintragungen der gefälschten Websites ist mit 15,3 Prozent Googles Gmail, gefolgt von Chinas qq.com Adresse mit 12,6 Prozent. Bei 24,2 Prozent der potenziell gefälschten Webseiten von DAX-100 Unternehmen wurde die Herkunft der Registrierungsstelle bewusst verschleiert.
Mitarbeiter als Sicherheitsrisiko für Unternehmen: Cyberangriffe auf das Unternehmensnetzwerk mit Hilfe gültiger Zugangsdaten, E-Mail-Adressen, Benutzernamen und Passwörter
Der unreflektierte Umgang der Mitarbeiter mit sensiblen Unternehmensdaten stellt immer wieder aufs Neue ein großes Sicherheitsrisiko für Unternehmen dar. Das betrifft auch die Nutzung des geschäftlichen E-Mail-Accounts für private Zwecke, meist bei häufiger Verwendung gleicher Anmeldedaten bzw. Passwörter. Über diesen Weg sind Unternehmensnetzwerke offen für Angriffe.
Mehr als 76.000 E-Mail-Adressen und Nutzer-Passwort-Kombinationen für entsprechende Benutzerkonten von DAX-100-Unternehmen konnten über die Threat Intelligence Plattform von Anomali identifiziert werden. Etwa die Hälfte dieser Nutzerinformationen wurden im Darkweb gefunden, weitere fünf Prozent auf Pastebins. Alle übrigen Daten wurden auf Hackerforen angeboten oder unfreiwillig von den Nutzern selbst offengelegt. Bei 75 Prozent der DAX-100 Unternehmen konnte mindestens eine ungeschützte E-Mail sowie ein Passwort im Klartext nachgewiesen werden. Bei 48 Prozent der Unternehmen konnten mindestens zehn ungeschützte Zugangsdaten ermittelt werden, bei 16 Prozent der Unternehmen waren es soga mehr als 100. Offengelegte, ungeschützte Zugangsdaten, kompromittierte E-Mail-Adressen, Benutzernamen und Passwörter stellen für Deutschlands größte börsennotierte Unternehmen ein hohes Sicherheitsrisiko dar.
Fünf Industriezweige – so das Ergebnis der Studie – sind besonders stark von diesem Angriffsszenario über ungeschützte Zugangsdaten betroffen: An vorderster Stelle steht die Telekommunikationsbranche, gefolgt von anderen Technologiebereichen, der Chemischen Industrie, dem Finanzsektor und der Automobilindustrie. Die Ursache hierfür liegt in der überproportional hohen Anzahl von Beschäftigen in diesen Bereichen. Dass in der Telekommunikationsbranche die meisten Übergriffe auf Zugangsdaten zu verzeichnen sind, liegt am Geschäftsmodell: E-Mail-Accounts gehören bei Telekommunikationsanbietern zum Dienstleistungsangebot. Die Studie belegt, dass im Durchschnitt die individuellen Zugangsdaten von 76 Mitarbeitern jedes DAX-100-Unternehmens öffentlich zugänglich waren, sofern diese auch auf Internetdiensten kompromittierter Dritter eingesetzt wurden.
Offengelegte Anmeldedaten von E-Mail-Konten und verdächtige Domain-Registrierungen können für einen Cyber-Angriff verwendet werden. Es ist daher wichtig, dass Unternehmen in der Lage sind, zu jedem Zeitpunkt eine Bedrohungsanalyse zu erstellen und das Gefahrenpotenzial zu kennen. Nur so können Unternehmensnetzwerke und sensible Daten dauerhaft geschützt werden. „Voraussetzung hierfür ist, dass die Unternehmensführung immer über Reputationsschädigende Domains informiert ist”, fasst Jamie Stone zusammen, „zum anderen müssen die Mitarbeiter sensibilisiert werden, ihre geschäftlichen E-Mail-Accounts, Zugangsdaten und Passwörter nicht für private Anwendungen zu nutzen. Um diese Sicherheitslücken zu schließen, müssen Unternehmen künftig besser festlegen, wie geschäftliche E-Mail-Accounts privat genutzt werden.”
it-sa 2016: Stand 12.0-570
