Verizon Business Data Breach Investigations Report 2020
DBIR: Web und Cloud verstärkt Angriffsziele
Der diesjährige Data Breach Investigations Report (DBIR), herausgegeben von Verizon Business, belegt erneut, dass Geldgier der Motor der Angriffe auf IT-Systeme ist: Fast neun von zehn (86 Prozent) der untersuchten Kompromittierungen waren finanziell motiviert.
70 Prozent der Kompromittierungen gingen auf das Konto externer Akteure, somit also nur 30 Prozent auf die Kappe von Innentätern. Mehr als die Hälfte – 55 Prozent – rechnen Verizons Security-Fachleute dem organisierten Verbrechen zu. Der Bericht analysiert rund 32.000 Sicherheitsvorfälle, darunter 3.950 bestätigte Kompromittierungen, von 81 mitwirkenden Organisationen aus ebenso vielen Ländern.
Bei rund zwei Dritteln der Vorfälle (67 Prozent) spielten gestohlene Anmeldeinformationen und/oder der „menschliche Faktor“ eine Rolle, etwa in Form von Social-Engineering-Angriffen wie Phishing oder betrügerischen E-Mails (Business E-Mail Compromise, BEC). So waren laut dem Report 37 Prozent der kompromittierten Zugangsdaten die Folge gestohlener oder schwacher Anmeldeinformationen (an dieser Stelle viele Grüße an alle, die nach wie vor ein schwaches Passwort für mehrere Konten gleichzeitig nutzen!). Bei 25 Prozent der Fälle war Phishing beteiligt, menschliches Versagen machte 22 Prozent aus.
Bei Ransomware verzeichnet der Report – auch wenn die Medienwirksamkeit dieser Angriffsform anderes vermuten lässt – nur einen leichten Anstieg: Erpressersoftware hat Verizon bei 27 Prozent der Malware-Vorfälle festgestellt, gegenüber 24 Prozent im DBIR 2019. Knapp ein Fünftel der Organisationen (18 Prozent) gab an, im vergangenen Jahr mindestens einen Ransomware-Angriff blockiert zu haben.
Deutlich stärker unter Beschuss geraten sind laut DBIR 2020 hingegen Web- und Cloud-Applikationen: Kompromittierungen von Web-Anwendungen haben sich gegenüber dem Vorjahr auf 43 Prozent fast verdoppelt. In über 80 Prozent dieser Fälle zogen die Angreifer dabei gestohlene Zugangsdaten heran. „Es ist wichtig, erneut zu bekräftigen, dass dieser Trend, Web-Anwendungen als Angriffsvektor zu nutzen, nicht verschwinden wird“, heißt es dazu im Report. „Dies geht einher mit der Verlagerung wertvoller Daten in die Cloud, einschließlich E-Mail-Konten und geschäftsbezogener Prozesse.“
Die zunehmende Nutzung von Web- und Cloud-Anwendungen rückt auch kleine und mittlere Unternehmen (KMU) vermehrt ins Visier der Kriminellen. Über 20 Prozent der Angriffe richteten sich im KMU-Segment gegen Web-Anwendungen. Phishing ist hier allerdings mit einem Anteil von 30 Prozent die größte Bedrohung. Gut ein Viertel (27 Prozent) der Angriffe nutzten gestohlene Zugangsdaten, 16 Prozent sogenannte „Password Dumpers“, also Tools, die Passwörter im Klartext aufzeigen. Wenig überraschend: Die Angreifer zielten laut dem Bericht auch im KMU-Markt auf Zugangsdaten, personenbezogene Daten und andere interne geschäftsbezogene Daten wie etwa medizinische Aufzeichnungen, Betriebsgeheimnisse oder Zahlungsinformationen.
Der DBIR 2020 – wie immer sehr aufwendig gestaltet und mit zahlreichen informativen Grafiken versehen – umfasst auch detaillierte Angaben zu 16 Branchen. Hier stellt der Bericht deutliche Unterschiede fest: In der Industrie zum Beispiel waren nur 23 Prozent der Malware-Vorfälle mit Lösegeldforderungen verbunden, gegenüber 61 Prozent bei der Öffentlichen Hand und sogar 80 Prozent im Bildungswesen. Zugleich haben produzierende Betriebe offenbar die Anwenderschulung besser im Griff: Nutzerfehler etwa durch Fehlbedienung machten 33 Prozent der Verstöße im öffentlichen Sektor aus, hingegen nur zwölf Prozent in der Fertigung.
Des Weiteren schlüsselt der Report die Vorfälle und erfolgten Kompromittierungen der 81 mitwirkenden Organisationen auch geografisch auf, genauer: nach den paar Regionen, in die ein US-Unternehmen typischerweise die Welt unterteilt, also Nordamerika, Lateinamerika, APAC (asiatisch-pazifischer Raum) und EMEA (Europa, dem Nahen Osten und Afrika – sprich: alles, was weit weg von Amerika, aber trotzdem nicht Asien ist). Wenn bei US-Firmen von „EMEA“ die Rede ist, sind in der Regel Europa und ein paar Länder im Nahen Osten gemeint, konkrete Angaben liefert der DBIR 2020 hierzu jedoch nicht.
In EMEA jedenfalls machten laut dem Report DoS-Angriffe (Denial of Service) über 80 Prozent der Malware-Vorfälle aus. 40 Prozent der Verstöße in der weitläufigen Region zielten auf Web-Anwendungen, wobei verbreitet Hacking-Methoden zum Einsatz kamen, die gestohlene Zugangsdaten oder bekannte Schwachstellen ausnutzten. Ein Siebtel (14 Prozent) der Kompromittierungen in diesen Ländern rechnen die Autoren des Report der Cyberspionage zu.
„In Security-Schlagzeiten werden oft Spionage oder Angriffe aus Missgunst als wesentliche Ursache für Cyberkriminalität erwähnt. Unsere Daten zeigen, dass dies nicht der Fall ist“, sagt Alex Pinto, Hauptautor des Reports, dazu. „Finanzielle Vorteile treiben die organisierte Kriminalität weiterhin dazu an, Lücken in IT-Systemen oder menschliches Versagen auszunutzen.“ Ein Unternehmen könne aber „eine Menge tun“, um sich zu schützen. Dazu zählt er nicht zuletzt, mittels Threat Intelligence häufig verwendete Angriffsmuster nachverfolgen zu können.
Da durch die globale Pandemie die Zahl von Remote-Arbeitsplätzen stark angestiegen ist, gewinnt laut Verizon-Business-Chef Tami Erwin zeitgleich „eine durchgängige Sicherheit von der Cloud bis zu den Laptops der Mitarbeiter“ an Bedeutung: „Zusätzlich zum Schutz ihrer Systeme vor Angriffen empfehlen wir Unternehmen dringend, ihre Mitarbeiter weiterzubilden, da Phishing-Attacken immer raffinierter und bösartiger werden.“
Der vollständige DBIR 2020 ist dankenswerterweise kostenlos und ohne Registrierung verfügbar unter https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf.
Lesen Sie mehr zum Thema
