Zum Inhalt springen Zur Navigation springen
Incident Response und IT-Forensik: Daten und Fakten

Incident Response und IT-Forensik: Daten und Fakten

Im Mai 2016 starteten wir mit der Integration der Themen IT-Forensik und Incident Response. Es ist an der Zeit einmal Revue passieren zu lassen, was sich seitdem getan hat. Insbesondere bei der Verweildauer von Angreifern auf Zielsystemen wurden große Zeitspannen festgestellt.

Die Aufdeckung von Sicherheitsvorfällen ist langwierig

Vergangenes Jahr dauerte es durchschnittlich 78 Tage bis ein Angriff auf ein Unternehmensnetzwerk auffiel. Dies geht aus der Studie M-Trend 2019 der Firma Mandiant hervor. Im Jahre 2015 lag die Zahl noch bei 146 Tagen. Dies begründet sich u. a. darin, dass immer häufiger Ransomware und Crypto-Miner eingesetzt wurden. Diese Arten von Angriffen können schneller erkannt werden als andere. Des Weiteren setzen immer mehr Unternehmen adäquate Tools ein, um eine schnellere Entdeckung zu gewährleisten.

Sehr hohe Verweildauer von Angreifern im Netzwerk

Trotz allem konnten auch in 2018 bei 12% der Ermittlungen eine Verweildauer eines Angreifers von über 700 Tagen festgestellt werden. 2016 betrug die längste festgestellte Zeit des Unentdeckt-Bleibens noch 2.982 Tagen (rund acht Jahre).

700 Tage entsprechen 1,91781 Kalenderjahren: eine Menge Zeit für einen Angreifer sich mehr als nur einen Überblick über Ihren gesamten Datenbestand und damit einhergehenden Informationen zu verschaffen!

Sicherheitsvorfälle werden vermehrt durch interne Stellen entdeckt

Unternehmen haben die interne Entdeckungsrate gesteigert. Sie liegt nunmehr über der der Externen. 2018 wurden fast 60% der Angriffe durch interne Stellen erkannt. Im Jahr 2015 wurden hingegen 53% aller Angriffe auf Unternehmensnetzwerke durch externe Stellen aufgedeckt. Im Jahr 2014 lag dieser Wert gar noch bei 69%.

Die häufigsten Angriffsarten

Laut der PwC-Studie Wirtschaftskriminalität 2018 sind die häufigsten Angriffsarten folgende:

  • Computerbetrug
  • Manipulation von Konto- und Finanzdaten
  • Ausspähen und Abfangen von Daten

Zudem ist die Anzahl erneuter Angriffe, nachdem ein Unternehmen zu einem erfolgreichen Angriffsziel geworden ist, deutlich gestiegen. 64% der angegriffenen Unternehmen unterlagen in den vorangegangenen 19 Monaten bereits mindestens einem Angriff.

CEO-Fraud: Das Massendelikt

Besonders hervorgehoben wird in der PwC-Studie, dass sich Betrugsfälle durch „CEO-Fraud“ zu einem Massendelikt entwickelt haben. Bei dieser Betrugsmasche werden Mitarbeiter animiert erhebliche Geldbeträge auf ausländische Konten zu überweisen. 40% der Unternehmen gaben an in den letzten 24 Monaten Ziel eines CEO-Fraud-Angriffs geworden zu sein, 5% der Fälle haben zu einem Erfolg geführt.

Angreifer verwenden falsche Identitäten, geben sich meist als Geschäftsführer aus („CEO“ steht für Chief Executive Officer und bedeutet übersetzt sinngemäß Geschäftsführer) und bringen Mitarbeiter aus dem Finanzwesen dazu, Geld zu überweisen. Die Fälschungen sind häufig nicht als solche zu erkennen, da die Angreifer oftmals aufgrund von soliden firmeninternen Recherchen und Social Engineering genaue Informationen über firmeninterne Abläufe erlangt haben.

Die Angreifer setzen somit auf zwei Schwachstellen bei Unternehmen: technische Schwachstellen und die Schwachstelle Mensch.

Etwa 3 von 4 deutschen Unternehmen sind von Cyber-Angriffen betroffen

Die Cyber-Sicherheits-Umfrage 2017 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergab, dass knapp 70% der befragten Unternehmen in den Jahren 2016 und 2017 Ziel von Cyber-Angriffen geworden sind. Knapp die Hälfte der Angriffe verliefen erfolgreich.

Das BSI rief im Februar erneut zur Teilnahme an einer Cyber-Sicherheitsumfrage auf. Die Ergebnisse und erste Schlussfolgerungen werden voraussichtlich noch im März 2019 veröffentlicht.

Schäden in Milliardenhöhe

In der Bitkom-Studie Wirtschaftsschutzstudie 2018 wurde der Gesamtschaden der deutschen Wirtschaft beziffert, der durch die im Titel genannten Delikte in Deutschland in den vorangegangenen zwei Jahren entstanden ist. Es wurde ein Gesamtschaden in Höhe von 43,4 Mrd. Euro in den letzten Jahren ermittelt.

Am höchsten verbuchte bei den entstandenen Schäden der Posten Imageschäden bei Kunden oder Lieferanten bzw. negative Medienberichterstattungen mit rund 8,8 Mrd. Euro. Patentrechtsverletzungen stehen mit 8,5 Mrd. Euro an zweiter Stelle. Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen und Kosten für Ermittlungen und Ersatzmaßnahmen stehen mit 6,7 und 5,7 Mrd. Euro an dritter und an vierter Stelle.

Aufklärung und Untersuchung der Vorfälle

57% der Unternehmen verlassen sich auf interne Untersuchungen, um Angriffe aufzuklären, 38% auf staatliche Institutionen und 31% auf externe Spezialisten. Ein deutlicher Rückgang ist bei den Fällen zu verzeichnen, in denen niemand mit der Untersuchung beauftragt wurde.

Incident Response und IT-Forensik: Daten und Fakten sprechen für sich!

Die Daten und Fakten sprechen dafür, dass Unternehmen inzwischen besser, aber immer noch nicht gut genug auf IT-Sicherheitsvorfälle und deren Aufklärung vorbereitet sind. Technische und menschliche Schwachstellen wird es immer geben, eine hundertprozentige Sicherheit gibt es eben nicht. Die Entwicklung der Informationstechnologie steht nicht still, so dass es der ständigen Anpassung der eigenen IT-Infrastruktur Bedarf. Ob intern oder extern: Expertise ist gefragt!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Leider ein nicht sehr interessant geschriebener Artikel. Es wirkt wie eine bloße Aneinanderreihung von Studien und Zahlen, die sich letztlich keiner merken kann. Auch wenn es ein Vergleich mit dem Artikel aus 2016 ist (der leider auch schon wenig interessant geschrieben war), könnte man gerade solche IT-Themen spannender und interessanter gestalten. Dies ist ein Blog – keine wissenschaftliche Seite. Dr. Datenschutz möchte doch grundsätzlich das Interesse an solchen Themen wecken und nicht zum einschlafen verleiten. Gerade da Themen wie IT-Sicherheit und IT-Forensik hier eher selten abgehandelt werden, wäre es schön, wenn die Artikel mehr an die Qualität anderer Beiträge anknüpfen könnten.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.