Erschreckendes Studienergebnis: 469 Tage benötigen Firmen in Europa im Durchschnitt, um das Eindringen von Hackern zu bemerken – der weltweite Durchschnitt liegt bei 146 Tagen. Dies ist eines der Ergebnisse des aktuellen „M-Trends Report“ von Mandiant, einem Tochterunternehmen des US-Sicherheitsspezialisten FireEye.
88 Prozent der Firmen verlassen sich nur auf ihre internen Abwehrressourcen. Von offizieller Stelle ist noch wenig Hilfe zu erwarten – anders als im weltweiten Vergleich: hier werden 53 Prozent der Angriffe von externer oder staatlicher Stelle entdeckt. Das Fazit der Mandiant-Fachleute: die Unternehmen in der Europa-Region sind nicht gut gerüstet, um sicherheitsrelevante Ereignisse übergreifend zu überwachen. Die gesamte EMEA-Region verlasse sich auf Antiviren-Tools – während die Angreifer oft ungestört Persistenzmechanismen wie Backdoors, Web Shells oder VPN-Zugänge nutzen.
Doch der Druck auf professionelle Anwender wächst: Anders als noch vor wenigen Jahren ist es heute schwierig geworden, sicherheitsrelevante Vorfälle geheim zu hatten. Der Grund dafür: Meldepflichten und mehr (mediale) Öffentlichkeit für Datenklau, Hackerangriffe und Sicherheitslecks.
Hacker tarnen sich gut
Über 40.000 Systeme pro Netzwerk untersuchten die Mandiant-Experten durchschnittlich pro Unternehmen – und davon waren nur 40 Systeme infiziert. Die Angreifer versuchen zwar, sich im Netzwerk zu verbreiten, hinterlassen aber kaum Spuren oder verschleiern diese. Die Malware wurde oft erst kurz vorher für genau diesen Angriff geschrieben und entsprechend von Antivirus-Tools und den Schwarzen Listen der Proxy Server nicht erkannt. Schlimmer noch: viele Unternehmen nutzen signaturbasierte Antivirus-Technologien nur zum Schutz der Hosts und überwachen die internen Kommunikationsströme in sensitiven Bereichen wie Datenbanken oder der Dokumentation geistigen Eigentums nicht.
Während eines Angriffs wechseln die Hacker gerne von Malware zu den Remote Access-Lösungen im Unternehmen wie etwa VPNs, um länger unentdeckt zu bleiben: Sie nutzen legitime Tools, tarnen sich als „Insider“ mit gültigen Berechtigungen. Sie beseitigen manchmal sogar ihre Malware, sobald sie eingedrungen sind.
Durchschnittlich wurden nachweisbare 2,6 Gigabyte an Daten gestohlen – doch je höher die Verweildauer der Angreifer, desto höher ist das vermutete Datenvolumen. 469 Tage sind eine Ewigkeit für die Angreifer: So bleibt mehr als genug Zeit, den illegalen Zugang in das Unternehmen an andere Interessenten weiterzuverkaufen.
Behörden oft nicht zuständig
Die Angreifer wechseln ihre Tools und Taktiken häufig – in einer Geschwindigkeit, die es den meisten Unternehmen schwer fällt, Schritt zu halten. Sie brauchen ausgefeilte Security-Programme, um sich einigermaßen zu schützen – und den Rat von Spezialisten. Doch in 88 Prozent der Fälle haben Unternehmen die Sicherheitslecks selbst gefunden. Anders als im weltweiten Durchschnitt kommt dabei noch wenig Unterstützung von offizieller Seite – was sich laut Mandiant in manchen Ländern langsam ändert: dort wo der Schutz kritischer Infrastrukturen zunehmend als staatliche Aufgabe wahrgenommen wird.
Zu träge Reaktion
Gehandelt wird oft zu spät und unzureichend. Die meisten Aufträge an FireEye kamen erst nach forensischen Ermittlungen – nachdem die Firmen die Eindringlinge aus ihrer Umgebung nicht selbst entfernen konnten. Der Grund dafür: In Europa nutzen noch viele Unternehmen traditionelle Methoden, die nach Einschätzung von FireEye nicht ausreichen, um den Angreifer zu entfernen. Damit verbleiben die Cyberkriminellen in der IT-Umgebung und können sie leicht von ihren verbleibenden Stützpunkten aus neu verbreiten. FireEye empfiehlt eine umfassende Untersuchung mit Hilfe einer zuverlässigen Intelligence sowie eine skalierbare Methode, die jede Maschine im Netzwerk abdeckt. Nur so kann man das Ausmaß von sicherheitsrelevanten Vorfällen einschätzen und die Eindringlinge erfolgreich bannen.
„Da die Motive hinter den Angriffen von Industriespionage über Medienpräsenz bis hin zu Markenschädigung reichen, sind solche Bedrohungen nicht mehr nur ein Fall für die IT-Abteilung, sondern auch für die Vorstandsebene,” erklärt Jan Korth, Director of Mandiant Security Consulting Services (DACH) bei FireEye.
„Viele Unternehmen müssen sich von der traditionellen Vorgehensweise verabschieden, auf Vorfälle nur zu reagieren. Andernfalls wird sich die Verweildauer der Angreifer nicht schnell genug verkürzen. Das, und die Tatsache, dass die CERT-Fähigkeiten und -Mandate einiger Regierungen in EMEA unterschiedlich ausgereift sind, führen dazu, dass Unternehmen unter dem gewaltigen Druck stehen, Gefahren selbst erkennen zu müssen. Und unseren Statistiken zufolge sind sie dabei einfach nicht schnell genug. Zwischen EMEA und dem Rest der Welt bestehen großen Unterschiede – das zeigen unsere Beobachtungen deutlich.“
Jan Korth, Director of Mandiant Security Consulting Services (DACH) bei FireEye