Ransomware wurde im Jahr 2017 zur Landplage: Erpressersoftware rückte letztes Jahr laut Verizons aktuellem DBIR (Data Breach Investigations Report) vom vierten auf den ersten Platz der Bedrohungen vor. Im Jahr 2014 noch relativ unbedeutend (Rang 22 unter den Bedrohungen), machte sie 2017 rund 39 Prozent aller Malware-bezogenen Datenvorfälle aus. Diese große Ransomware-Welle ist inzwischen wieder abgeklungen, doch Besorgnis erregt laut Verizons Bericht, dass Ransomware nicht mehr nur Desktops, sondern zunehmend auch geschäftskritische Systeme erfasst.

Schlagzeilen machten schon letztes Jahr von Ransomware befallene Krankenhäuser in UK. Die Angriffe auf Unternehmenssysteme sind mit entsprechend höheren Lösegeldforderungen verbunden, sodass dieses Vorgehen für die Kriminellen deutlich lukrativer ist als die Erpressung von Privatleuten. So zahlte ein US-amerikanisches Krankenhaus kürzlich 55.000 Dollar an die Betreiber der SamSam-Ransomware. Diese Erpressersoftware, die Schwächen in Java-Servern ausnutzt, legte im März auch Systeme der US-Stadt Atlanta lahm.

Der „Human Factor“ (Risikofaktor Mensch) ist laut Verizons Bericht unverändert relevant: Die Endanwenderseite ist und bleibt das Einfallstor für Angreifer und Malware. Bei 93 Prozent aller im DBIR untersuchten Datenvorfälle waren laut Verizon Betrug und Phishing involviert, und in fast allen Fällen (96 Prozent) war E-Mail für die Kriminellen der Angriffsvektor der Wahl.

Laut Mesut Eryilmaz, Senior Investigative Response/Forensics Investigator bei Verizon Deutschland, ist es vor diesem Hintergrund dringend angeraten, Endanwender im Unternehmen laufend im Hinblick auf IT-Gefahren zu schulen und zu trainieren. Dabei, so Erylmaz im LANline-Interview, sei es auch erforderlich, die Mitarbeiter zu umgehender Meldung bei verdächtigen Vorfällen anzuhalten, um eine schnelle Reaktion auf Vorfälle einleiten zu können. Denn oft verhindere die Angst vor Sanktionen oder gar um den Erhalt des Arbeitsplatzes die sofortige Meldung eines leichtfertigen Klicks auf eine Malware-Datei, sodass diese sich im Unternehmen unbehelligt ausbreiten könne.

Zugleich bleibt Phishing weiterhin ein Problem: Laut dem Report gingen letztes Jahr bei einem Phishing-Test 78 Prozent der Mitarbeiter nicht in die Falle, vier Prozent der Mitarbeiter hingegen tappten in jede. Und dabei reicht einem Kriminellen, wie Verizon betont, ein einziger erfolgreicher Phishing-Versuch, um ins Unternehmensnetz einzudringen.

Kriminelle zielen zum Zweck des Finanzbetrugs nun bevorzugt auf die Personalabteilungen, so Verizon. 2017 habe man 170 solcher Vorfälle analysiert, 88 davon seien direkt auf HR-Mitarbeiter gerichtet gewesen. Anders als beim sogenannten „CEO Fraud“ (Chefbetrug: Eine E-Mail, die scheinbar vom Chef stammt, fordert dringlich zu einer Überweisung eines hohen Geldbetrags auf) geht es bei der HR-orientierten Masche um das Ermitteln personenbezogener Daten. Mit diesen leiten die Kriminellen dann Steuerrückzahlungen auf fremde Konten um – laut Erylmaz ein Problem vorrangig in den USA.

Die Angreifer kamen bei den ausgewerteten Data Breaches vor allem von außen: 72 Prozent der Fälle schreibt man externen Akteuren zu, 27 Prozent internen. Bei zwei Prozent seien Partner involviert gewesen, bei weiteren zwei Prozent gleich mehrere Partner. Rund die Hälfte der Angriffe rechnet Verizon dem organisierten Verbrechen zu. Laut Forensik-Spezialist Mesut Eryilmaz ist die Attribution von Angriffen stets schwierig, Angriffswellen auf Banken zum Beispiel habe man aber organisierten kriminellen Strukturen in Russland zuordnen können.

Die Finanzindustrie hat laut Verizons Report nach wie vor mit Skimming (Abgreifen von Bankkartendaten am Geldautomaten) zu kämpfen. Hinzu komme verstärkt das sogenannte „ATM Jackpotting“. Hierbei wird – per Kompromittierung des Netzwerks einer Bank – die Software eines Geldautomaten so verändert, dass er den Tätern auf Wunsch große Summen ausgibt.

Der Gesundheitssektor ist laut dem Report die einzige Branche, in der Innentäter die größte Bedrohung darstellen. Dies sind laut Erylmaz zum Beispiel verärgerte Krankenhausmitarbeiter, die um den Wert von Patientendaten wissen und diese dann, teils mit fremder Hilfe, auf Schwarzmärkten im Internet verkaufen.

Ein weiterer bedenklicher Umstand: Laut Verizon dauerte es in 68 Prozent aller Datenvorfälle Monate oder gar länger, bis sie entdeckt wurden – obwohl das Kompromittieren der Daten in 87 Prozent der Fälle in Minutenschnelle erfolgt war.

In 68 Prozent aller Datenvorfälle dauerte es Monate oder gar länger, bis sie entdeckt wurden. Bild: Verizon DBIR 2018

In 68 Prozent aller Datenvorfälle dauerte es Monate oder gar länger, bis sie entdeckt wurden. Bild: Verizon DBIR 2018

Verizon rät angesichts dieser Lage zu folgenden Maßnahmen:

  1. aufmerksam bleiben und Daten wie Log-Files und Change-Management-Systeme überwachen,
  2. das Personal trainieren, damit es Warnzeichen erkennt,
  3. Datenzugriffe auf das Minimum („Need-to-know“) begrenzen,
  4. schnell patchen, ein nützliches Hilfmittel gegen viele Angriffsarten,
  5. sensible Daten verschlüsseln, sodass sie bei Entwendung für den Angreifer nutzlos sind,
  6. Zwei-Faktor-Authentifizierung (2FA) nutzen, um den Schaden durch verlorene Credentials zu begrenzen, und
  7. dabei die physische Sicherheit nicht vernachlässigen: „Nicht jeder Datendiebstahl erfolgt online“, so der Report.

Laut Verizon-Forensiker Erylmaz ist ein Umdenken nötig: „Man muss das Monitoring verbessern und die Mitarbeiter stärker involvieren und schulen“, so Erylmaz. Das eigene Netzwerk sei einem Unternehmen oft nicht vollständig bekannt, da es schneller wachse, als man die Assets nachverfolgen könne. Wichtig sind laut dem Experten deshalb Tools, um die Netzwerkkommunikation und Angriffe besser zu verstehen. Zudem sei für viele Unternehmen und Branchen Threat-Intelligence-Sharing sinnvoll, also das Austauschen von Erkenntnissen zu Bedrohungen. Oberstes Ziel müsse es stets sein, die Zeit bis zur Entdeckung eines Datenvorfalls möglichst zu verringern.

Für den DBIR analysierte Verizon Berichte von 67 Organisationen über 53.000 Incidents und mehr als 2.200 Data Breaches aus 65 Ländern. Weitere Informationen finden sich unter www.verizon.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.