Zum neunten Mal hat der Kommunikationskonzern Verizon seinen jährlichen Bericht über Datenlecks und deren Untersuchung herausgegeben. Der knapp 80-seitige „2016 Data Breach Investigations Report“ (DBIR) analysiert Untersuchungsergebnisse zu über 100.000 Sicherheitsvorfällen, darunter 2.260 bestätigte Datenlecks.
Außentäter mit finanziellem Interesse
Ein zentrales Ergebnis kündigt der Bericht bereits auf seiner Titelseite an: 89% aller Angriffe (mit unautorisiertem Zugriff auf Daten) waren finanziell motiviert. Mit großem Abstand auf dem zweiten Platz ist Spionage der Beweggrund von Angreifern. Die Zahl der Angriffe, die aus ideologischen Gründen oder „zum Spaß“ durchgeführt wurden, ist dagegen fast vernachlässigbar klein. Zur Identität der Angreifer lässt sich sagen, dass es sich in über 80% der Fälle um Außentäter handelte.
Sicherheitslücken und Schadsoftware
Die Mittel der Wahl für den Zugriff auf sensible Daten sind laut dem Bericht nach wie vor Hacking-Angriffe durch die Ausnutzung von Sicherheitslücken oder der Einsatz von Schadsoftware. Auf dem dritten Platz landen Social Engineering Attacken, unter die z.B. auch Phishing fällt. Ziel dieser Attacken ist meist das Ausspähen von Kreditkartendaten oder Benutzerkonten zum Identitätsmissbrauch. Vorwiegend werden nach der Analyse von Verizon Server und Endgeräte der Benutzer (worunter auch Kassen- und Bezahlsysteme fallen) attackiert, sowie in Social Engineering Attacken die Benutzer selber.
Detektion und Reaktion zu langsam
Angriffe erfolgen meist schnell. Gemäß der vorgestellten Analyse benötigen Angreifer in über 80% der Fälle für das Kompromittieren eines Ziels lediglich mehrere Minuten. Eine erfolgreiche Exfiltration, also das unautorisierte Auslesen von Daten, findet zu ungefähr 20% innerhalb von Minuten, zu knapp 70% innerhalb von Tagen statt. Dem gegenüber steht die Zeit, die bis zur Entdeckung des Vorfalls vergeht. In nicht mal einem Viertel der Fälle fand die Detektion eines Angriffs innerhalb von einigen Tagen oder weniger statt. Die Ergebnisse der Analyse zeigen, dass Angriffe am häufigsten durch Dritte entdeckt werden. Die interne Aufdeckung eines Datenlecks macht dabei unter 20% aus.
Vieles vermeidbar
In Verizons Bericht wird darauf hingewiesen, dass gerade alte Sicherheitslücken (die teilweise bis zu zehn Jahre alt sind), für die es längst Sicherheitspatches gibt, immer noch aktiv und erfolgreich ausgenutzt werden. Das Unternehmen rät zur Etablierung eines wohldefinierten Patch-Management Prozesses, der sicherstellt, dass Systeme auf dem aktuellen Stand bleiben und ggf. Probleme durch alte oder nicht aktualisierbare Systeme adressiert. Der Prozess sollte durch regelmäßige Sicherheitsscans (intern oder durch Dienstleister) begleitet werden. Der Einsatz von Security Information and Event Management (SIEM) Anwendungen wird angeraten, um mögliche Angriffe frühzeitig erkennen und dementsprechend handeln zu können. Des Weiteren wird zu verschärften Maßnahmen gegen Phishing, z.B. Mailfilterung und Personal-Sensibilisierung, geraten.