Phishing-Angriffe zielen vermehrt auf die Geschäftsführungsebene der Unternehmen, so der aktuelle Data Breach Investigations Report (DBIR) des US-Carriers Verizon für 2019. Laut dem Bericht ist Ransomware nach wie vor eine virulente Bedrohung. Den Rummel um Cryptojacking (missbräuchliches Cryptomining) hält Verizon hingegen für übertrieben.

Fast täglich prasseln die viertel-, halb- oder ganzjährlichen Lageberichte der Security-Anbieter auf Fachpresse und Unternehmenswelt ein. Kein Wunder: Derlei Reports dienen vorrangig dazu, IT-Organisationen Mittel an die Hand zu geben, um bei der Geschäftsleitung Gelder für Verteidigungszwecke einzufordern: Seht her, ihr Hüter des Budgets, die Lage ist weiterhin dramatisch, die Abwehr dürstet nach Finanzspritzen! In der vorherrschenden Fülle und Frequenz sind diese Reports beinahe schon eine Plage: Allgegenwärtiger Alarmismus führt – so ist der Mensch nun mal gestrickt – bald zu Ermüdung. Es ist also ein riskantes Spiel, denn die IT-Sicherheitslage ist in der Tat alles andere als entspannt.

Verizons DBIR zählt neben Ciscos Cybersecurity Reports und den Pendants von Check Point und Kaspersky Lab zu den wichtigeren und nützlicheren Vertretern des Genres. Auch der 2019er-Report enthält zwar viel Altbekanntes, mitunter Alarmistisches und US-Spezifisches, aber eben auch hilfreiche Erkenntnisse.

„Phishing zielt zunehmend auf das C-Level“, so Verizon-Forensiker Mesut Eryilmaz. Bild: Verizon

„Phishing zielt zunehmend auf das C-Level“, so Verizon-Forensiker Mesut Eryilmaz. Bild: Verizon

„Phishing zielt zunehmend auf das C-Level (die Vorstandsebene, d.Red.), hier haben wir im aktuellen Report eine Steigerung der Incidents auf das Zwölffache zu verzeichnen, bei den Breaches auf das Neunfache“, sagte Mesut Eryilmaz, Senior Investigative Response/Forensics Investigator bei Verizon Deutschland, gegenüber LANline. In absoluten Zahlen ausgedrückt stellt sich die Lage aber gleich weniger dramatisch dar: Die Zahl der C-Level-Phishing-Fälle stieg von fünf auf 60. Bedenklich ist die Zunahme laut Eryilmaz deshalb, weil diese Nutzergruppe Zugriff auf sensible Unternehmensdaten hat.

Das aktuelle Nutzungsverhalten erleichtere Übeltätern ihr Vorgehen: „Viele Endanwender – und das gilt insbesondere für das C-Level – greifen heute vom Smartphone aus auf ihre E-Mails zu“, so Eryilmaz. Das Problem sei dabei nicht das Mobilgerät selbst, sondern vielmehr der Stress bei der hastigen Nutzung unterwegs. „Hier kann es vorkommen, dass man eine E-Mail nur mal schnell überfliegt – und dann die dort geforderten Daten bei einer Fake-Website eingibt.“

Unternehmen sollten deshalb Awareness-Trainings speziell für das Führungspersonal aufsetzen. Derlei Maßnahmen bringen laut dem Verizon-Mann messbare Verbesserungen: „Im Durchschnitt klicken trotz Awareness-Trainings noch drei Prozent der Endanwender auf Links in Phishing-Mails, bei der öffentlichen Hand sind es 4,5 Prozent, im Bildungssektor fünf Prozent. Dennoch: Awareness-Trainings haben geholfen! Noch vor wenigen Jahren lag der Anteil der Nutzer, die auf Phishing hereingefallen sind, bei 24 Prozent.“

Der Klassiker: Fehlkonfigurationen

Ein Klassiker unter den Einfallstoren ist der gute alte Konfigurationsfehler. „Auch die Cloud dient häufig als Angriffsvektor – nicht, weil Cloud-Services an sich unsicher wären, sondern aufgrund von Fehlkonfigurationen“, sagt Eryilmaz. „So wurden im aktuellen Berichtszeitraum 60 Millionen Datensätze kompromittiert, weil die Systeme nicht korrekt konfiguriert waren. Die Cloud-Provider geben inzwischen verstärkt sichere Standardkonfiguration vor. Das ist ein Lernprozess, der eben seine Zeit dauert.“

Nicht vernachlässigen darf man die Rolle, die der physische Zugriff für die Angreiferseite spielt: „Bei jedem zehnten Incident erfolgte der erste Kompromittierungsschritt durch physischen Zugang zum Unternehmensnetz, zum Beispiel, indem sich ein Angreifer mittels Social Engineering in eine Niederlassung einschleicht und dort Zugriff auf ein Endgerät erhält“, so der Verizon-Forensiker. Auch die Datenexfiltration erfolge oft auf physischer Ebene: „Die Angreifer tragen die Daten aus dem Unternehmen, sei es auf Datenspeichern oder schlicht auf Papier.“

Laut dem DBIR verursachen Ransomware-Angriffe weiterhin großen Ärger: Sie machen fast ein Viertel (24 Prozent) der Vorfälle aus, bei denen Malware zum Einsatz kam. Ransomware sei inzwischen sogar so alltäglich, dass sie in den Fachmedien kaum mehr erwähnt werde, außer bei prominenten Zielen, so Verizon. Illegales Cryptomining (Cryptojacking) hingegen sei ein Medien-Hype: Diese Angriffsart erscheine nicht in den Top Ten der Malware-Varianten und mache nur etwa zwei Prozent der Vorfälle aus. Hier ist anzumerken, dass die Medien sich den Cryptojacking-Trend nicht ausgedacht haben: Diese Entwicklung beschrieben vielmehr diverse Reports von Security-Spezialisten, darunter Kaspersky, NTT Security oder jüngst Bitdefender (siehe lanl.in/2qLvVsb), in teils grellen Farben. Diese argumentierten mit der hohen prozentualen Zunahme – wie Verizon im DBIR in puncto C-Level als Angriffsziel. Malwarebytes wiederum prognostizierte kürzlich, der Cryptojacking-Trend werde bald wieder abflauen, da Cryptomining aufgrund gefallener Währungskurse an Reiz verloren habe (siehe lanl.in/2RroepI).

Bedenklich ist die nach wie vor teils sehr lange Verweildauer (Dwell Time) von Angreifern im Unternehmensnetz. Bild: Verizon DBIR 2019

Bedenklich ist die nach wie vor teils sehr lange Verweildauer (Dwell Time) von Angreifern im Unternehmensnetz. Bild: Verizon DBIR 2019

Dem Verizon-Bericht ist eine sehr bedenkliche Konstante zu entnehmen: Nach wie vor ist die Verweildauer (Dwell Time) von Angreifern bis zur Entdeckung sehr lang. Fast 40 Prozent der Angriffe werden erst nach Monaten entdeckt, weitere 20 Prozent erst nach Jahresfrist. Externe Bedrohungsakteure sind mit rund zwei Dritteln nach wie vor die treibende Kraft hinter den Angriffen, 34 Prozent entfallen auf Insider.

1,5 Milliarden Datenpunkte ausgewertet

Für den DBIR wertet Verizon Angaben mitwirkender Unternehmen aus, dieses Jahr stieg deren Zahl auf 73. Sie lieferten rund 1,5 Milliarden Datenpunkte. Der Report basiert auf einer Analyse von 41.686 Sicherheitsvorfällen, davon 2.013 bestätigte Breaches (Datenverluste). Die Report-Teilnehmer sind laut Eryilmaz international tätige Unternehmen, dennoch liegt der Fokus oft auf Verizons Heimatmarkt USA. Dass zum Beispiel der Betrug mittels US-Steuerformularen stark abnahm, ist zwar schön, aber für hiesige Unternehmen kaum von Interesse. Gleiches gilt für den Umstand, dass der US-Einzelhandel durch vermehrten Einsatz von Chip/PIN-Bezahltechnik sicherer geworden ist – diese nutzt man hierzulande schließlich schon seit geraumer Zeit.

Der DBIR 2019 ist gegen Angabe personenbezogener Daten erhältlich unter enterprise.verizon.com/resources/reports/dbir/.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.