Der M-Trends Report 2016 von Mandiant stellt der Region EMEA ein schlechtes Zeugnis aus: 469 Tage brauchten Firmen im Durchschnitt, um das Eindringen von Hackern zu bemerken – der weltweite Durchschnitt liegt bei 146 Tagen. [...]
Dies ist eines der Ergebnisse des aktuellen M-Trends Report für EMEA von Mandiant, einem Unternehmen von FireEye. Das Fazit der Fachleute: die Unternehmen in der Region haben in Bezug auf Sicherheit nicht die Reife erreicht, um sicherheitsrelevante Events übergreifend zu überwachen. EMEA verlässt sich demnach auf Antiviren-Tools – und die Angreifer nutzen oft ungebremst Persistenzmechanismen wie Backdoors, Web Shells oder VPN-Zugang.
Doch der Druck auf die Unternehmen wächst: Anders als noch vor wenigen Jahren ist es heute schwierig geworden, sicherheitsrelevante Vorfälle geheim zu hatten. Der Grund dafür: Meldepflichten und mehr (mediale) Öffentlichkeit für Datenklau, Hackerangriffe und Sicherheitslecks.
HACKER TARNEN UND VERSCHLEIERN
Über 40.000 Systeme pro Netzwerk untersuchten die Mandiant-Experten durchschnittlich pro Unternehmen – und davon waren nur 40 Systeme infiziert. Die Angreifer versuchen zwar, sich im Netzwerk zu verbreiten, hinterlassen aber kaum Spuren bzw. verschleiern diese. Die Malware wurde oft erst kurz vorher für genau diesen Angriff geschrieben und entsprechend von Antivirus-Tools und den Schwarzen Listen der Proxy Server nicht erkannt. Schlimmer noch: viele Unternehmen nutzen signaturbasierende Antivirus-Technologien nur zum Schutz der Hosts und überwachen die internen Kommunikationsströme in sensitiven Bereichen wie Datenbanken oder der Dokumentation geistigen Eigentums nicht.
Während eines Angriffs wechseln die Hacker gerne von Malware zu den Remote Access-Lösungen im Unternehmen wie etwa VPNs, um länger unentdeckt zu bleiben: Sie nutzen legitime Tools, tarnen sich als „Insider“ mit gültigen Berechtigungen. Sie beseitigen manchmal sogar ihre Malware, sobald sie eingedrungen sind.
Durchschnittlich wurden nachweisbare 2,6 GB an Daten gestohlen – doch je höher die Verweildauer der Angreifer, desto höher ist das vermutete Datenvolumen. 469 Tage sind eine Ewigkeit für die Angreifer – Zeit, in der sie in aller Ruhe ihre Ziele erreichen und gegebenenfalls auch den Zugang in das Unternehmen an andere Interessenten weiterverkaufen können.
WENIG HILFE VON STAAT UND BEHÖRDEN
Die Angreifer wechseln ihre Tools und Taktiken häufig – in einer Geschwindigkeit, die es den Unternehmen schwer macht, Schritt zu halten. Sie brauchen ausgefeilte Security-Programme, um sich einigermaßen zu schützen – und den Rat von Spezialisten. Doch in 88 Prozent der Fälle haben Unternehmen die Sicherheitslecks selbst gefunden. Anders als im weltweiten Durchschnitt, der bei 53 Prozent liegt, kommt dabei noch wenig Unterstützung von offizieller Seite – was sich laut Mandiant in manchen Ländern langsam ändert: dort wo der Schutz kritischer Infrastrukturen zunehmend als staatliche Aufgabe wahrgenommen wird.
Gehandelt wird oft zu spät und unzureichend. Die meisten Aufträge an FireEye kamen erst nach forensischen Ermittlungen – nachdem die Firmen die Eindringlinge aus ihrer Umgebung nicht selbst entfernen konnten. Der Grund dafür laut den Experten: In Europa nutzen noch viele Unternehmen traditionelle Methoden, die nicht ausreichen, um den Angreifer zu entfernen und untersuchen nur eine Handvoll von Maschinen. Damit verbleiben die Angreifer in der IT-Umgebung und können sie leicht von ihren verbleibenden Stützpunkten aus neu infizieren. FireEye empfiehlt eine umfassende Untersuchung mit Hilfe einer zuverlässigen Intelligence sowie eine skalierbare Methode, die jede Maschine im Netzwerk abdeckt. Nur so kann man das Ausmaß von sicherheitsrelevanten Vorfällen einschätzen und die Eindringlinge erfolgreich bannen.
„Da die Motive hinter den Angriffen von Industriespionage über Medienpräsenz bis hin zu Markenschädigung reichen, sind solche Bedrohungen nicht mehr nur ein Fall für die IT-Abteilung, sondern auch für die Vorstandsebene,“ so Jan Korth, Director of Mandiant Security Consulting Services (DACH), FireEye. „Viele Unternehmen müssen sich von der traditionellen Vorgehensweise verabschieden, auf Vorfälle nur zu reagieren. Andernfalls wird sich die Verweildauer der Angreifer nicht schnell genug verkürzen. Das, und die Tatsache, dass die CERT-Fähigkeiten und -Mandate einiger Regierungen in EMEA unterschiedlich ausgereift sind, führen dazu, dass Unternehmen unter dem gewaltigen Druck stehen, Gefahren selbst erkennen zu müssen. Und unseren Statistiken zufolge sind sie dabei einfach nicht schnell genug. Zwischen EMEA und dem Rest der Welt bestehen großen Unterschiede – das zeigen unsere Beobachtungen deutlich. Und die Vorstände in der Region müssen sich jetzt darum kümmern.“ (pi/rnf)
Be the first to comment