Denn Sie wissen nicht, dass Sie gehackt wurden

Sind Sie sicher, dass Ihre IT sicher ist?

Im Data Breach Investigations Report (DBIR) 2013 analysiert Verizon Angriffe auf die IT und greift dabei auf sechs Jahre Erfahrung und umfangreiche Daten zurück. Es wurden mehr als 47.000 Vorfälle untersucht und 621 bestätigte Datenlecks aus 27 Ländern unter die Lupe genommen. Die Daten stammen von 19 internationalen Organisationen wie Exekutivorganen, nationalen Entitäten, Forschungseinrichtungen und privaten Sicherheitsfirmen.

Die Ergebnisse sind kurz gesagt alarmierend. Schon die pure Zahl der gemeldeten Vorfälle ist besorgniserregend hoch, da keine Meldepflicht von Cyber-Attacken besteht, ist die Dunkelziffer wahrscheinlich sehr viel höher. Dabei waren Organisationen aller Größen das Ziel von Cyber-Attacken. Die meisten Angriffe zielen auf klassische Geräte wie Geldautomaten, Desktops, File-Server und Laptops ab.

Sie denken vielleicht, dass alle Alarmsysteme anspringen, wenn Ihre IT kompromittiert werden würde. Leider ist dem nicht so, im Gegenteil fließen Daten lange Zeit unbemerkt ab. In 84 Prozent der Fälle dauerte es nur Stunden, bis die Angreifer einen Zugang hatten, in 66 Prozent aller Fälle dauerte es jedoch Monate oder sogar Jahre, bis das Leck entdeckt wurde. Leck entdeckt, Leck gefixt, Daten wieder sicher? So einfach ist es leider auch nicht, in 22 Prozent der Fälle dauerte es Monate, bis das entdeckte Leck geschlossen werden konnte. Dazu passt auch, dass 69 Prozent der Datenlecks nicht von der eigenen IT sondern von externen Personen oder Organisationen entdeckt wurden - neun Prozent davon sogar von Kunden. Wollen Sie von Ihren Kunden auf eine Sicherheitslücke angesprochen werden?

Was die wenigsten beachten: Nicht nur direkte Angriffe sind ein Problem. Wenn beispielweise Teile Ihrer Supply Chain gehackt werden, kann der Dominoeffekt für Ihre Organisation genauso schlimm sein wie, als wenn Sie selbst gehackt worden wären. Schlimmer noch: Sie könnten die Marschroute für eine Attacke auf einen Ihrer Kunden sein.

Der DBIR teilt die Angreifer in drei Gruppen ein: Aktivisten oder Hacktivisten nutzen einfache Methoden, sind opportunistisch, treten in hoher Zahl auf und wollen ihren Opfern größtmögliche Schäden und Peinlichkeiten bereiten. Kriminelle wollen Geld ergaunern, agieren mit fortgeschritteneren Techniken als die Hacktivisten und wählen ihre Ziele sorgfältig aus. Nachdem sie Zugriff erlangt haben, schnappen sie sich alle Daten, die finanziell verwertbar erscheinen. Die Gruppe der Spione wird oft von Nationalstaaten finanziert und nutzt die ausgefeiltesten Hacker-Methoden. Spione gehen extrem präzise und unermüdlich vor und wissen genau, welche Daten sie wollen. Man sollte ja meinen, dass Spione nur Regierungen, Militäreinrichtungen und sehr prominente Organisationen angreifen, aber die Ergebnisse des DBIR zeigen, dass auch andere Organisationen Opfer von Spionen werden. Die meisten Angriffe von Kriminellen kommen aus den USA und Osteuropa. Von Spionen ausgeführte Attacken betrafen Organisationen auf der ganzen Welt – insofern ist davon auszugehen, dass Spione aus der ganzen Welt involviert waren.

In vielen Branchen ist es weiterhin am wahrscheinlichsten, von Cyber-Angriffen von Kriminellen oder von Personen mit Rachemotiv attackiert zu werden – die Wahrscheinlichkeit von Spionageangriffen ist dagegen gering. Insgesamt wurden 19 Prozent aller analysierten Attacken von Spionen verübt.

Es gibt auch gute Nachrichten: Zwar steigt die Zahl der ausgefeilteren Angriffe, allerdings könnten die meisten Datenlecks recht einfach verhindert werden. Weniger als ein Prozent der im diesjährigen DBIR analysierten Attacken entspricht dem höchsten Grad an Hacker-Können – 78 Prozent der Angriffe fallen in die Kategorie niedrig und sehr niedrig. Mehr als Dreiviertel der Attacken (76 Prozent) basierten auf schwachen oder gestohlenen Anmeldedaten. Durch strikte Policies lässt sich diese Sicherheitslücke effektiv verschließen.

Generell ist auch ein Wandel der IT-Bedrohungen festzustellen. Laut Gartner werden zwar 90 Prozent der Budgets immer noch auf Netzwerk-Ebene im Bereich Sicherheit getätigt, allerdings finden 75 Prozent aller Angriffe auf der Applikationsebene statt. Neuen Bedrohungen begegnet der IT-Verantwortliche von heute daher logischerweise mit neuen Maßnahmen. F5 empfiehlt:

• zentralisierte, flexible Access Policy Control, der umfassenden Schutz bietet und die Produktivität der Anwender aufrecht erhalten
• eine DNSSEC-Lösung, welche Sicherheit, verbesserte Performance und globale Verfügbarkeit bietet
• eine sichere Web Application Firewall und eine umfassende, Policy-basierte Herangehensweise bezüglich der Sicherheit von Web-Applikationen, wodurch Sicherheitsbedrohungen auf Application-Level adressierbar werden

Gegen DDoS-Attacken empfiehlt F5 einen kombinierten Schutz für Network Layer DDoS-Attacken (L2-L4) mit DDoS-Attacken auf Application-Layer-Ebene (L5-L7).

Die IT-Sicherheit beinhaltet immer eine menschliche Komponente, wie auch im DBIR betont wird. Viele Datenlecks kommen beispielweise aus Versehen zu Stande. Die Mitnahme von Informationen nach Hause, Kopieren von Daten auf einen USB-Stick, das Vergessen eines Laptops im Taxi: Daraus können Datenlecks entstehen. Bei 29 Prozent der Angriffe kamen zudem Social Tactics zum Einsatz – hier werden E-Mail, Telefonanrufe und soziale Netzwerke genutzt, um Informationen über Individuen zu sammeln. Wenn Sie Ihre IT-Sicherheit nun auf den Prüfstand stellen, sollten Sie neben Hard- und Software-Lösungen von F5 oder anderen auch den Wissensstand Ihrer Mitarbeiter berücksichtigen.