Der Privileged Access Threat Report 2019 zeigt auf, wie die unzureichende Verwaltung von privilegierten Konten durch Unternehmen die dringende Notwendigkeit einer unternehmensweiten Privileged Identity- und Access Management-Strategie zum Schutz Ihres Unternehmens von innen und außen unterstreicht.
Die wichtigsten Lehren aus dem Verizon Data Breach Investigations Report 2019
by Elmar Albinger —
Im neuesten Sicherheitsbericht Verizon Data Breach Investigations Report (DBIR) hat das US-Telekommunikationsunternehmen aussagekräftige Informationen über Sicherheitsverletzungen des Vorjahres zusammengetragen. Der Report zeigt auf, dass Angreifer schnellen Zugriff auf kritische IT-Systeme erlangen und wertvolle Daten mit ebenfalls hohem Tempo stehlen können. Auf der gegenüberliegenden Seite sehen Schutzsysteme, die schon bei der Erkennung von Einbrüchen viel zu langsam arbeiten.
Die neueste Ausgabe der jährlichen Cybersicherheitsstudie wertet 41.686 Sicherheitsvorfälle aus, von denen 2.013 bestätigte Dateneinbrüche sind. Als Grundlage für diesen Report dienen 73 unterschiedliche Informationsquellen, wie zum Beispiel öffentlich bekanntgewordene Sicherheitsereignisse oder vom Verizon Threat Research Advisory Center (VTRAC) ermittelte Fälle sowie Infos, die von externen Kooperationspartnern bereitgestellt werden — unter anderem von BeyondTrust.
Schnelle Angreifer, langsame Verteidiger
56 Prozent der Datenverletzungen 2018 dauerten „Monate oder länger“ an, bevor sie entdeckt wurden. Selbstverständlich variiert diese Zeitspanne, je nachdem um welche Angriffsform es sich handelt. Der Diebstahl von Hardware-Ausrüstung wird in der Regel schnell erkannt. Beim Datendiebstahl hingegen kann es im Unternehmen lange dauern; mitunter wird der Verlust erst bemerkt, wenn vertrauliche Daten an anderer Stelle angeboten oder veröffentlicht werden. Es ist eine unbefriedigende Situation mit schnellen Angreifern und langsamen Verteidigern, die nicht zum Regelfall werden sollte.
Zentralschlüssel im Visier
Cyberattacken können also schnell zum Erfolg kommen — aber was sind die Gründe dafür? Fast ein Drittel der erfolgreichen Sicherheitsangriffe (29 Prozent) im vergangenen Jahr erfolgten über gestohlene Zugangsdaten. Cyberangreifer suchen gezielt nach Zugangsprivilegien, um einen schnellen Erfolg zu verbuchen. Privilegierte Anmeldedaten verschaffen Hackern den erwünschten Zentralschlüssel für ein Netzwerk – so lassen sich Malwareprogramme oder Keylogger installieren, Daten löschen oder rauben und IT-Systeme ausschalten. Die Sicherheitslage bleibt in vielen Organisationen angespannt, weil Zugangsdaten häufig von mehreren Personen geteilt und Systempasswörter identisch sind. Ein erfolgreicher Passwortraub führt allzu oft dazu, dass Angreifer sich unbemerkt im Netzwerk bewegen und nach den erhofften Informationen in aller Ruhe suchen können.
Hinzu kommt, dass Kennwörter in vielen Unternehmen nicht regelmäßig ausgetauscht werden. Kompromittierte, statische Passwörter erlauben es Eindringlingen daher, tagelang oder wochenlang oder sogar monatelang in einer IT-Umgebung aktiv zu bleiben – genügend Zeit, um anonym das Netzwerk auszuhorchen und kriminelle Pläne in die Tat umzusetzen. Aus diesem Grund stuft der Report gestohlene Zugangsdaten als zweitgrößte Bedrohung ein. Als Hauptbedrohung werden Phishing-Angriffe identifiziert, die naturgemäß in einem engen Zusammenhang mit Passwortdiebstählen stehen. Phishing-Versuche zielen häufig auf ganz bestimmte Personen ab, mit deren Anmeldedaten ein Angreifer sich einen Zugang zum Unternehmensnetz verschaffen will. Der aktuelle Verizon-Report sieht hier Führungskräfte in besonderer Gefahr und ermittelt bei diesem Personenkreis eine gegenüber den Vorjahren zwölf Mal höhere Wahrscheinlichkeit, von Social-Engineering-Angriffen ausgetrickst zu werden.
Jeder kann zum Opfer werden
Es ist keineswegs so, dass Cyberattacken nur die „großen Tiere“ im Markt betreffen. Erstaunliche 43 Prozent der Sicherheitsverletzungen im Vorjahr entfallen laut Studie auf kleine und mittlere Firmen. Kein Unternehmen ist so klein, dass es unter dem Radar fliegen könnte. Aus Hackersicht sind Finanzdaten oder vertrauliche Informationen der Kunden und Geschäftspartner jederzeit lukrative Angriffsziele. Und kleinere Unternehmen können ein interessantes Ziel sein, weil sich niedrigere Budgets auch negativ auf die Wirksamkeit von Sicherheitsmaßnahmen auswirken können. Selbst wenn ein angegriffenes Kleinstunternehmen nicht das eigentliche Ziel ist, können Datendiebstähle den Geschäftserfolg gefährden, wenn sie zum Ausgangspunkt für größere Datenhacks werden. Der Datenraub bei Target beispielsweise, der zu den größten Datenhacks zählt, nahm seinen Ausgang bei angeschlossenen Drittanbieterfirmen mit schwachen, statischen Passwörtern.
Der Spur des Geldes folgen
Keine Überraschung ist, dass finanzieller Gewinn das Hauptmotiv für die meisten Sicherheitsverletzungen (71 Prozent) ist — wie in den Vorjahren auch steht Wirtschaftsspionage auf dem zweiten Platz. Bis auf den öffentlichen Sektor ist die Aussicht auf Geldgewinne der Hauptgrund in allen Branchen, wenn Angriffe ausgeführt werden. Die Verizon-Studie zeigt auf, dass die Hintermänner dabei zumeist aus dem organisierten Verbrechen kommen. Finanziell motivierte Cyberattacken zielen auf Organisationen aller Größen, die mit sensiblen Finanzdaten hantieren.
Cybercrime-Bedrohungen in unterschiedlichen Branchen
IT-Angriffe betreffen alle Branchen, aber 2018 waren vor allem der öffentliche Sektor (16 Prozent aller Sicherheitsverstöße), das Gesundheitswesen (15 Prozent aller Sicherheitsverstöße) und die Finanzindustrie (10 Prozent aller Sicherheitsverstöße) betroffen. Der Report verdeutlicht, dass die Sicherheitsgefahr also je nach Wirtschaftsbranche unterschiedlich hoch ist. So verzeichnete der Bildungssektor beispielsweise eine dreifach höhere Bedrohung durch Phishing-Attacken als der Einzelhandel. Gleichwohl gibt es auch einige Gemeinsamkeiten: Anmeldedaten zählen branchenübergreifend zu den drei häufigsten Angriffszielen.
Empfehlungen für einen wirksamen Datenschutz
Negative Schlagzeilen über Datenabflüsse dokumentieren, unter welchem Druck moderne Organisationen beim Thema Cyberbedrohungen stehen. Was ist zu tun? Wirksame Schutzmaßnahmen fangen bei grundlegender IT-Vorsorge an und sollten die folgenden Sicherheitsempfehlungen berücksichtigen:
Zwei-Faktor-Authentifikation (2FA) als zusätzlicher Schutz für identitätsbasierte Sicherheit
Regelmäßige Backups zur Verwahrung wertvoller Unternehmensdaten
Implementierung der neuesten Patches und Updates zur Abwehr bekannter Sicherheitsgefahren
Einsatz individueller und einmaliger Zugangsdaten für jedes IT-System bei regelmäßiger Aktualisierung von Zugangsprivilegien
Aufhebung von Login-Berechtigungen ehemaliger Mitarbeiter, Partner und Dienstleister
Netzwerksegmentierung zur Vermeidung von Lateral-Movement-Gefahren
Aufhebung lokaler Adminrechte für die meisten Nutzer
Der nächste Schritt? Werfen Sie einen Blick auf unsere Lösungen für Privileged Access Management und erfahren Sie, wie sich Passwörter verwalten und Sitzungen mit privilegierten Zugriffsrechten gegen Cyberattacken oder Insider-Bedrohungen absichern lassen.
