Patch-Verhalten von Unternehmen ist katastrophal
Verizon hat diese Woche auf der RSA-Konferenz in München seinen Data Breach Investigations Report 2015 (PDF) vorgestellt. Darin verzeichnet das Unternehmen für das vergangene Jahr rund 80.000 IT-Sicherheitsvorfälle in Firmen. Bei mehr als 2100 davon wurden vertrauliche Firmendaten an unautorisierte Dritte weitergeleitet. Der Bericht geht zudem unter anderem auf Angriffsvektoren wie Phishing und die Wandlungsfähigkeit von Malware ein. Als Schutzmaßnahmen raten die Autoren den Unternehmen, mehr Sicherheitsvorfälle publik zu machen und ihre Systeme regelmäßig zu aktualisieren.
Laut Mesut Eryilmaz, Forensik-Forscher im Verizon RISK Team, gilt zudem als genereller Ratschlag: “Als Unternehmen darf man sich nicht sagen: Wir sind nur eine kleine Firma und nicht wichtig genug, dass man uns angreifen würde.” Das sei ein Trugschluss, da diese Unternehmen ebenso durch DoS-Angriffe, Karten-Skimming, Datendiebstahl, Cyberspionage, POS-Angriffe oder Web-App-Attacken getroffen werden könnten. Die erwähnten Angriffsmuster machten im vergangenen Jahr dem Bericht zufolge übrigens die große Mehrheit der gemeldeten Sicherheitsvorfälle aus.
Meist kommen solche Cyberattacken allerdings nicht allein, wie der Verizon-Report ebenfalls zeigt: 70 Prozent aller Angriffe, die gefahren werden, ziehen demnach einen zweiten Angriff nach sich. Das bedeutet, sobald ein System von einem Angreifer übernommen respektive infiltriert wurde, wird es beispielsweise für DDoS-Attacken oder als Command-and-Control-System missbraucht.
RSA kommt im Übrigen zu einem ähnlichen Ergebnis: Allerdings hat der Sicherheitsanbieter für das vergangene Jahr vielmehr festgestellt, dass Kriminelle DDoS-Angriffe als Ablenkungsmanöver respektive Tarnung für eine weitere Cyberattacke nutzen.
Insgesamt konstatiert der Verizon-Bericht sieben Millionen verschiedene Schwachstellen, die 2014 ausgenutzt wurden. Das interessante an diesen Exploits ist, dass 99 Prozent davon bereits über ein Jahr zuvor bekannt wurden. Gleichermaßen sind 97 Prozent aller registrierten Fälle auf zehn dieser hinlänglich bekannten Sicherheitslücken zurückzuführen.
Der Grund für diese auffallend hohen Zahlen liegt für Eryilmaz auf der Hand: “Wir updaten nicht schnell genug. Unser Patch-Verhalten, unser gesamtes Patch-Management ist sehr schlecht. Wir müssen hier deutlich zulegen und uns darauf konzentrieren, unsere Systeme auf dem aktuellsten Stand zu halten. Hätte ich nur diese zehn Lücken gepatcht, wäre ich schon deutlich sicherer in meinem Netzwerk beziehungsweise System unterwegs gewesen.“
Trotz solcher Einfallstore sei es für Angreifer aber immer noch effektiver, Phishing-E-Mails an die Mitarbeiter zu versenden. Auch in dem Fall sprechen die Zahlen aus dem Verizon-Bericht für sich: Demnach öffnen 23 Prozent aller Angestellten eingehende Nachrichten dieser Art. Weitere 11 Prozent klicken zudem auf verdächtige E-Mail-Anhänge.
Laut Eryilmaz hat der leichtsinnige Umgang der Mitarbeiter mit unbekannten E-Mails und Anhängen jedoch nichts mit deren Intelligenz zu tun, sondern damit, dass diese Phishing-Emails zum Teil sehr geschickt aufgesetzt sind. Hier könnten Mitarbeiterschulungen Abhilfe schaffen.
Wie RSA kommt auch Verizon in seinem Bericht zum Schluss, dass Malware immer ausgeklügelter wird. Demzufolge seien zwischen 80 und 90 Prozent der in einem Unternehmen in einem Zeitraum von sechs Monaten erfassten Schadsoftware einzigartig gewesen. Das habe allerdings nicht daran gelegen, dass immer wieder neue Malware-Formen auftauchten, sondern dass es es sich bei den entdeckten Schädlingen um Varianten mit modifiziertem Code oder Hash-Wert handelte. Damit sei klassische Antivirensoftware nicht mehr in der Lage, ein Schadprogramm zu erkennen. Auch in diesem Punkt geht Verizon konform mit RSA. Der Sicherheitsanbieter konnte im vergangenen Jahr ebenfalls kaum noch neue einzelne Malware-Formen ausfindig machen.
Die Wandlungsfähigkeit und die damit einhergehende zunehmende Raffinesse des Schadcodes wird Eryilmaz zufolge auch dadurch untermauert, dass 95 Prozent der von Unternehmen gemeldeten Malware-Formen dort lediglich für einen Zeitraum von weniger als einem Monat existierten: “Bis die modifizierte Malware-Variante entdeckt wird, ein Reverse Engineering stattgefunden hat und sie in einer Antivirenbibliothek verfügbar ist, gibt es sie vielleicht schon gar nicht mehr.”
Verizon geht in seinem Bericht auch auf das Gefahrenpotenzial von Malware ein, die auf Mobilgeräte abzielet. Es es die davon ausgehende Bedrohung jedoch als viel geringer ein. So habe das Unternehmen zwar etwa zwischen 80.000 und 130.000 Schadsoftware-Installationen auf Mobilgeräten festgestellt, allerdings zählte dazu auch Adware.
Die Zahl der Schadprogramme, die auf Smartphones und Tablets tatsächlich zum Abgreifen von Daten genutzt wurde, habe sich hingegen auf gerade einmal rund 100 Installationen im Schnitt und Monat belaufen. Demnach sind weniger als 0,03 Prozent der mehreren zehn Millionen im Verizon-Mobilfunknetz registrierten Mobilgeräte mit gefährlicher Malware infiziert.
Viel bedrohlicher ist aus Sicht von Verizon indes das Internet der Dinge. Angesichts eines 28-prozentigen jährlichen Wachstums an vernetzten Geräten sei es viel wahrscheinlicher, dass ein Firmennetzwerk etwa durch einen ungepatchten, ans Internet angeschlossenen Getränkeautomaten kompromittiert werde, der dem dahinterstehenden Unternehmen melden will, dass er aufgefüllt werden muss.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de