Verizon: Einblicke in branchenspezifische Cyber-Kriminalität
Unternehmen mit Kundenkontakt im Fokus der Cyber-Angreifer
Verizon hat seine Einblicke in die Cyber-Kriminalität verschiedener Branchen veröffentlicht. Die Erkenntnisse basieren auf den Datensicherheitsreports des Unternehmens, den so genannten "Verizon Data Breach Investigations Reports", aus den Jahren 2011 und 2012. Die Momentaufnahmen sollen Unternehmen ein besseres Verständnis der Anatomie von Datenverletzungen vermitteln und verdeutlichen, wie sie sich am besten davor schützen können. Unter die Lupe kamen der Einzelhandel, das Gastgewerbe sowie Financial Services und Healthcare. Hier die Ergebnisse im Einzelnen:
Ganzheitliche Lösung für höhere Netzwerksicherheit
IBM positioniert sich als umfassender Security-Anbieter
Sprunghafter Anstieg des Spam-Aufkommens im Juni und Juli 2012
Norman: Malware wächst Unternehmen über den Kopf
Mehr Sicherheits-Features sollen Anwender vor Spam schützen
Ergänzend dazu hat Verizon sich näher mit dem Diebstahl von geistigem Eigentum befasst, das in zahlreichen Branchen zunehmend schwieriger zu schützen ist.
„Für den proaktiven Schutz von Informationen, ist es besonders wichtig, zu verstehen, was bei einer Datenverletzung tatsächlich passiert“, sagt Wade Baker, Verizon Managing Principal, RISK Team. „Unternehmen rund um den Globus wollen nicht nur ihre Daten, sondern auch ihren guten Ruf schützen. Durch eine stärker zielgerichtete Analyse hoffen wir, Antworten liefern zu können.“
Finanzdienstleister stehen beim Schutz von Informationen vor einigen Herausforderungen. Der Status der Branche ist „high-value target“. Dies bedeutet, sie zieht wesentlich mehr zielgerichtete und hartnäckige kriminelle Aufmerksamkeit auf sich. Insgesamt ging es bei den Attacken gegen diese Branche vor allem um Geld, entweder direkt (durch Zugriff auf interne Konten und Anwendungen) oder indirekt (durch Downstream Fraud). Zahlreiche Angriffe waren gegen Geldautomaten, Web-Anwendungen oder Angestellte gerichtet. Zu den Bereichen, in denen die Sicherheit Optimierungspotenzial aufweist, zählen Geldautomaten, Überwachung von Zugangsdaten, Entwicklung sicherer Anwendungen sowie Schulung und Sensibilisierung von Mitarbeitern.
Die meisten Datenverletzungen im Gesundheitssektor betrafen kleine bis mittelständische Unternehmen (ein bis 100 Mitarbeiter), weiter Einrichtungen zur ambulanten Behandlung wie medizinische und zahnärztliche Praxen; sie machten die Mehrheit der betroffenen Einrichtungen aus. Die Angriffe waren fast immer das Werk finanziell motivierter Kriminellengruppierungen. Diese nehmen sich gewöhnlich kleinere, mit geringem Risiko verbundene Ziele vor, um für ihre diversen Betrugstechniken an persönliche und an Zahlungskartendaten zu kommen. In den meisten Fällen waren Hacking und Malware die bevorzugte Methode; der Schwerpunkt lag auf POS-Systemen (Point of Sale). Allerdings muss die Gesundheitsbranche auch medizinische Geräte und elektronische Krankenakten schützen. Die Mehrzahl der Verletzungen lässt sich ohne großen Aufwand mit relativ simplen Maßnahmen verhindern, darunter die Änderung der Verwaltungskennwörter an allen POS-Systemen und die Errichtung einer Firewall. Außerdem sollten POS-Systeme nicht für Ausflüge ins Web genutzt werden, und man sollte sich vergewissern, dass die POS-Systeme den PCI DSS (Payment Card Industry Data Security Standard) erfüllen.
Der Einzelhandel wird nach wie vor von mannigfaltigen Datenverletzungen geplagt, begangen meist von finanziell motivierten Kriminellengruppierungen. Sie verschaffen sich Zugang über POS-Systeme, die für das Tagesgeschäft genutzt werden. Über Remote-Access-Services Dritter nutzen sie schwache, leicht zu erratende oder Standard-Zugangsdaten aus. Am anfälligsten sind Franchise- sowie sonstige kleine und mittelständische Betriebe, denen oft die Ressourcen und die Expertise fehlen, die eigene Sicherheit zu organisieren. Folglich verlässt man sich auf Drittanbieter, die häufig nicht in der Lage sind, für adäquaten Schutz zu sorgen. Oder man bedient sich so genannter Out-of-the-Box-Lösungen, ohne sich hinreichend zu vergewissern, dass die Lösung das jeweilige Sicherheits-Anforderungsprofil abdeckt. In vielen Fällen sind Mitarbeiter – wissentlich oder unwissentlich – an den Datenverletzungen beteiligt. Es ist durchaus nicht ungewöhnlich, dass ein Mitarbeiter von einem Unternehmens-Desktop aus einen gefährlichen E-Mail-Anhang öffnet oder fragwürdige Websites besucht, auf diesem Weg das System mit Malware infiziert und Angreifern ermöglicht, Zugriff auf weitere Geräte innerhalb des Netzwerks zu erlangen.
Die Hotel- und Gaststättengewerbsbranche ist besonders anfällig für Datenverletzungen; in den vergangenen zwei Jahren kam es dort zu mehr Vorfällen als in irgendeiner anderen Branche. Die POS-Systeme, die zur Abwicklung von Zahlungsvorgängen benötigt werden, haben sich für das organisierte Verbrechen als leichte Beute erwiesen. Mehr als in jeder anderen Branche muss dort mehr Wert auf vorbeugende Maßnahmen gelegt werden.
Ganz allgemein ist es eine überaus schwierige und spezielle Aufgabe, Diebstahl von geistigem Eigentum (GE) aufzudecken und zu identifizieren. Viele solcher Verletzungen bleiben unentdeckt, noch lange nachdem der Schaden entstanden ist, und häufig dauert es eine ganze Weile, den Schaden einzudämmen. Zu GE-Angriffen gehört häufig die vorherige geheime Absprache zwischen Insidern und Outsidern. Ganz normale Mitarbeiter machten den größten Prozentsatz (zwei Drittel) der Insider aus. Outsider handelten häufig direkt und in böswilliger Absicht, oft bedrängten sie Insider oder halfen ihnen. Die meisten Diebstähle wurden von entschlossenen Widersachern durchgeführt. Sie nutzen GE als Abkürzung, um auf irgendeine Weise strategische, finanzielle, technische oder ähnliche Vorteile zu erlangen. Die Angreifer experimentieren im Normalfall mit ihren Methoden, bis sie eine erfolgreiche Kombination gefunden haben. Viele solcher Kombinationen sind mehrphasig und facettenreich. Zur Verhinderung von GE-Attacken gibt es keine laut Verizon singuläre Lösung. Eine auf gesundem Menschenverstand und Anhaltspunkten basierende Herangehensweise ist die beste Verteidigung.
Lesen Sie mehr zum Thema
