Beginnend mit diesem Beitrag werden wir auch die Themen IT-Forensik und Incident Response stärker integrieren. Dabei werden wir insbesondere die Wechselwirkungen zwischen den Themen Datenschutz, IT-Sicherheit, Digitale Forensik und Incident Response beleuchten. Zum Einstieg beginnen wir zunächst mit ein paar Zahlen, Daten und Fakten. Hierzu existieren ein paar spannende Studien.
Der Inhalt im Überblick
- Sicherheitsvorfälle werden zum Großteil durch externe Stellen entdeckt
- Die Aufdeckung eines Angriffs dauert über ein ½ Jahr
- Phishing E-Mails haben regelmäßig IT-Bezug
- Sonntags wird ausgeschlafen
- Entdeckung von Incidents durch interne Stellen nimmt zu
- Malware nur auf rund der Hälfte der kompromittierten Systeme
- Auch in Deutschland werden Incidents überwiegend durch Hinweise Unternehmensexterner entdeckt
- Angreifer suchen vornehmlich nach Kunden- und Bankdaten
- Durchschnittliche Ermittlungs- und Folgekosten für IT-Forensik und Incident Response betragen rund 68.000,- EUR je Vorfall
- Präventionsmaßnahmen müssen auch Innentäter umfassen
Sicherheitsvorfälle werden zum Großteil durch externe Stellen entdeckt
Die Firma Mandiant stellte in der Studie M-Trends 2015: A VIEW FROM THE FRONT LINES fest, dass 69 % der Unternehmen, welche von einem Einbruch in ihre IT-Systeme (Incident) betroffen waren, hierüber von externen Stellen informiert wurden.
Die Aufdeckung eines Angriffs dauert über ein ½ Jahr
Dabei befanden sich die Angreifer durchschnittlich bereits rund 205 Tage im Netzwerk des Opfers bevor sie entdeckt wurden.
Die längste unbemerkte Präsenz der Angreifer betrug dabei
2.982 Tage.
Bevor Sie jetzt anfangen zu rechnen, dies sind rund acht (!!!) Jahre. Diese Zeitspanne dürfte einem Cyber-Kriminellen genügen um sich ausführlich im Netzwerk des Unternehmens umzuschauen, nebenbei gemütlich den einen oder anderen Kaffee zu trinken, ggf. dazu 1-2 Zigaretten zu rauchen und beliebig jegliche wertvollen Informationen aus dem Netzwerk zu laden.
Phishing E-Mails haben regelmäßig IT-Bezug
Soweit hierfür Phishing E-Mails eingesetzt wurden, so waren diese Phishing E-Mails in 78 % der Fälle IT- oder IT-Sicherheitsbezogen und es wurde versucht die interne IT-Abteilung oder einen Anti-Virus-Hersteller zu imitieren. Das zeigt wie wichtig Schulungsmaßnahmen zur Erhöhung der Awareness bei Mitarbeitern sind.
Aber auch Cyberkriminelle scheinen nur Menschen zu sein. Die Studie zeigt nämlich auch, dass diese äußerst ungern an Sonn- und Montagen arbeiten. 78 % der Phishing E-Mails wurden an Wochentagen versandt, an Sonn- und Montagen waren dagegen kaum Aktivitäten zu verzeichnen.
Wirft man nun einen Blick auf die Folgestudie M-Trends 2016, so ist festzustellen, dass sich die Zahlen zumindest etwas verändert haben.
Nunmehr wurden zumindest 47 % der Systemeinbrüche intern erkannt und die durchschnittliche Erkennungszeit betrug 146 Tage. Bei externen Benachrichtigungen war diese Zeitspanne allerdings erheblich höher (320 Tage). Die Verteilung der Spear-Fishing Attacken war jedoch ähnlich wie zuvor.
Entdeckung von Incidents durch interne Stellen nimmt zu
Hier scheint sich eine Entwicklung abzuzeichnen, wenn man bedenkt dass in der Studie „M-Trends 2012: An evolving threat“ nur 6 % der Systemeinbrüche intern entdeckt wurden und die Entdeckung noch rund 416 Tage dauerte.
Malware nur auf rund der Hälfte der kompromittierten Systeme
Diese Studie zeigt auch, dass fortgeschrittene Angreifer Malware nur auf 54 % der kompromittierten Systeme installierten. Sich bei der Abwehr also nur auf Tools zur Erkennung von Malware zu verlassen bedeutet, dass dabei rund die Hälfte der betroffenen Opfersysteme außen vor bleibt.
Auch in Deutschland werden Incidents überwiegend durch Hinweise Unternehmensexterner entdeckt
Spannend ist insoweit auch die Studie „e-Crime – Computerkriminalität in der deutschen Wirtschaft 2015“ von KPMG.
Die Studie bestätigt die Tatsache, wonach Einbrüche in die IT-Systeme vornehmlich (58 %) durch Hinweise externer Stellen aufgedeckt werden.
Angreifer suchen vornehmlich nach Kunden- und Bankdaten
Ziele der Angreifer sind hiernach insbesondere
- Kundendaten
- Bank-/Finanzdaten des Unternehmens
- Patente/Produktinformationen/Konstruktionszeichnungen
- Preis-/Konditionsinformationen
Durchschnittliche Ermittlungs- und Folgekosten für IT-Forensik und Incident Response betragen rund 68.000,- EUR je Vorfall
Der durch eine e-Crime Handlungen entstandene durchschnittliche Gesamtschaden betrug rund 377.777,- EUR je Vorfall, wobei bereits die darin enthaltenen Ermittlungs- und Folgekosten für IT-Forensik und Maßnahmen zum Incident Response rund 18 % (68.000,- EUR) betrugen.
Präventionsmaßnahmen müssen auch Innentäter umfassen
Schaut man sich nun die Herkunft der Täter an so ist festzustellen, dass Mitarbeiter hier eine entscheidende Rolle spielen. Nach diese Studie handelt es sich bei den Tätern einer Verletzung von Betriebs- und Geschäftsgeheimnissen beispielsweise zu rund 60 % um eigene Mitarbeiter des Unternehmens. Bei dem Thema Datendiebstahl stammen immerhin noch rund 33 % der Täter aus dem eigenen Unternehmen. Eine Abwehrstrategie welche lediglich auf Außenangreifer fokussiert ist, verfehlt damit klar das Ziel.