Verizon-Report: Datendiebstahl wird meist von Außenstehenden entdeckt
Mobilgeräte als Einfallstore für Datendiebstahl überschätzt
Der Data Breach Investigation Report 2013 des US-Carriers und Service-Providers Verizon bestätigt - wenig überraschend - zahlreiche Erkenntnisse anderer Security-Reports über die Art, Angriffswege und Motivation von Datendieben. Interessant sind einige Schlussfolgerungen zu Einfallstoren wie mobilen Endgeräten und Zero-Day-Angriffen oder auch zur Relevanz von Insider-Angriffen.
DsiN-Studie: E-Mail-Schutz in kleinen und mittelständischen Unternehmen ist mangelhaft
Deutsche Mittelständler vernachlässigen die mobile Datensicherheit
Backdoor-Trojaner greift Regierungsorganisationen an
Laut Mark Spitler, Senior Risk Analyst in Verizons rund 100 Mitarbeiter umfassendem Risk-Team aus Analysten und Ermittlern, ist in dieser inzwischen bereits sechsten Ausgabe des Verizon-Reports besonders der Anstieg der Spionagefälle auffällig: 19 Prozent der Angriffe erfolgten heute durch „staatsnahe Akteure“, so Spitler. Ziele dieser Spionage seien dabei Regierungseinrichtungen sowie Unternehmen, und dies auch jenseits der Militärindustrie. Spitler warnte, dass solche Spione auch häufig den Umweg über Zulieferer nehmen, um an geheime Informationen zu gelangen (wie auch der Einbruch bei RSA offenbar allein dem Zugang zum militärisch-industriellen Komplex der USA diente, d.Red.).
Die Angreifer lassen sich laut Verizon – im Einklang mit Reports etwa von F-Secure oder Symantec – in drei Gruppen unterteilen: Aktivisten, Kriminelle und Spione. Die Internet-Aktivisten, so Spitler, bedienten sich dabei vergleichsweise einfacher Methoden wie Distributed Denial of Service (DDoS) oder SQL Injections.
Kriminelle Angreifer hingegen nutzten komplexere Angriffe, ihr Ziel sei es in der Regel, die gewonnenen internen Informationen zu Geld zu machen, also entweder Erpressung oder Industriespionage. Das obere Ende des Angreiferspektrums bis hin zu APTs (Advanced Persistent Threats) bildeten heute Spione. Diese seien oft von Regierungen finanziert, verfügten über sehr ausgereifte Werkzeuge, etwa Wissen über Zero-Day-Lücken, und verfolgten in der Regel sehr konkrete Ziele: Zugang zu geistigem Eigentum (Bauplänen etc.) oder aber Insiderinformationen.
Laut Verizon verfolgen heute 75 Prozent der Angriffe konkrete finanzielle Ziele. Das mit 95 Prozent bei Weitem häufigste Mittel der Spionage sei Phishing, also die Irreführung der Endanwender zum Beispiel durch mit Malware infizierte Dateien oder aber Links, die zu infizierten Websites führen.
Ein interessantes Detail: „Mobile Devices sind nicht relevant für Datendiebstähle“, betonte Spitler auf Rückfrage. Der Grund: „Die Haupteinfallstore sind – wenn man die Geldautomaten der Finanzindustrie einmal beiseite lässt – Desktops, File-Server und Notebooks. Diese alten Einfallstore funkionieren immer noch sehr gut. Ein Angreifer muss heute also gar nicht den Umweg über Mobilgeräte nehmen, um an die gewünschten Informationen zu gelangen.“
Ähnliches gelte für die oft diskutierten Zero-Day-Angriffe: Diese, so Spitler, seien zwar durchaus ein Bestandteil der APTs von Spionen, im Allgemeinen müsse ein Angreifer aber nicht auf solche Mittel zurückgreifen: „Das größte Problem sind mangelhafte Prozesse, Konfigurationen und Abläufe in den Unternehmen“, so Spitler. Warum also sollte ein Angreifer einen teuren Zero-Day-Code besorgen, wenn er auch einfach über Fehlkonfigurationen oder nicht gepatchte Systeme zum Ziel kommt?
Auch der immer wieder vorgebrachten plakativen These, der eigene Mitarbeiter sei das größte Risiko, widersprach Spitler zumindest teilweise: Lediglich 14 Prozent der Angriffe laufen laut Verizons Erkenntnissen über Insider, diese stammen vor allem aus dem Bereich Customer Service – also etwa Bankangestellte oder Kellner, die Kreditkartendaten kopieren. Und bei lediglich einem Prozent der Angriffe seien ehemalige Mitarbeiter die Akteure, meist durch Ausnutzen weiterhin bestehender Credentials oder das Abziehen von Informationen beim Verlassen eines Unternehmens. Spitler warnte: „Hier kann aber ein sehr großer Schaden entstehen, weil der ehemalige Mitarbeiter sich im Unternehmen gut auskennt.“
Entdeckt wird ein Datendiebstahl laut Verizons Statistik meistens durch Außenstehende (69 Prozent), mitunter auch durch die Kunden (9 Prozent), wie etwa im Fall betrügerischer Abbuchungen durch gestohlene Kreditkartendaten. Der Angriff selbst beziehungsweise die Kompromittierung eines Systems dauere in 84 Prozent der Fälle weniger als eine Stunde.
Deutlich zeitaufwändiger sei hingegen die Aufklärung von Datendiebstählen. 66 Prozent der Fälle werden laut Verizon über Monate oder gar Jahre hinweg nicht entdeckt.
Einen großen Unsicherheitsfaktor in all diese sehr konkret scheinenden Prozentzahlen bringt die Dunkelziffer gar nicht erst aufgedeckter Datendiebstähle. Zu dieser Dunkelziffer wollte sich Verizon-Spezialist Spitler im Gespräch mit LANline aber nicht äußern.
Die Empfehlungen des US-Service-Providers: Sicherheit müsse eine unternehmensweite Anstrengung sein, zudem gelte es, nie die Hartnäckigkeit der Angreifer zu unterschätzen. Spitler empfahl, die Bedrohungen im Rahmen einer Riskikoanalyse zu evaluieren und eine Datensicherheitsstrategie mit Prioritäten aufsetzen. Zudem sei es wichtig, bessere und schnellere Aufdeckungsmechanismen schaffen.
Des Weiteren riet Spitler als kostengünstige Maßnahme dazu, die unternehmensinternen Prozesse und Abläufe zu überdenken. So nannte er als Best-Practice-Beispiel ein Unternehmen, das den Mitarbeitern gegenüber kommunizierte, man werde niemals den Mitarbeitern einen Link per E-Mail schicken. Allein dadurch lasse sich die Gefahr von Phishing bereits reduzieren.
Weitere Informationen finden sich unter www.verizonenterprise.com/DBIR/2013/.
Lesen Sie mehr zum Thema
