|
|
Starker Anstieg bei gezielten Angriffen: Organisiertes Verbrechen auf dem Vormarsch 93 Prozent von 285 Millionen kompromittierten Datensätzen entfallen auf die Finanzbranche (
Anzeige
Basis dieser zweiten Jahresstudie bilden die analysierten Daten aktueller Bestandsfälle von Verizon Business, die 285 Millionen Datensätze aus über 90 bestätigten Datenrechtsverletzungen umfassen. Das Ergebnis: 2008 wurden Unternehmen Opfer der größten je dokumentierten Fälle von Internetkriminalität. Auf den Finanzsektor entfielen im vergangenen Jahr 93 Prozent der insgesamt kompromittierten Datensätze. An ganzen 90 Prozent der Fälle waren Gruppen beteiligt, die dem organisierten Verbrechen zuzuordnen sind. Das ergab die Strafverfolgung. Wie bereits in der ersten Studie von Verizon Business, die sich auf die Jahre 2004 bis 2007 und die Untersuchung von 230 Millionen Datensätzen bezog, stellten die Experten fest, dass nahezu neun von zehn Datenrechtsverletzungen grundsätzlich durch Sicherheitsvorkehrungen vermeidbar gewesen wären. Bei den meisten untersuchten Verstößen wäre keine komplexe oder teure Präventivmaßnahme notwendig gewesen. Der 2009 Report kommt zu dem Ergebnis, dass zum Zeitpunkt des Verstoßes Fehler und Kontrollversäumnisse die Sicherheit weit mehr beeinträchtigten als das Fehlen der notwendigen Vorkehrungen. Ähnlich wie die erste Studie zeigt auch die neueste Auflage, dass es sich bei nur 17 Prozent der Fälle um technisch ausgereifte Angriffe handelte. Dennoch entfallen auf diese vergleichsweise geringe Anzahl 95 Prozent der insgesamt miss-brauchten Datensätze - ein Beweis dafür, dass Hacker sehr gezielt vorgehen. "Die Gefährdung sensibler Informationen hat 2008 dramatisch zugenommen. Es ist höchste Zeit, konsequent das Augenmerk auf Unternehmenssicherheit zu richten", sagte Peter Tippett, Vice President Research and Intelligence bei Verizon Business Security Solutions. "Dieser Bericht sollte ein weiteres Alarmsignal dafür sein, dass umfassende und proaktive Sicherheitsmaßnahmen für ein Unternehmen heutzutage von allergrößter Bedeutung sind. Und zwar gerade jetzt, denn die Wirtschaftskrise wird wahrscheinlich eine weitere Zunahme krimineller Aktivitäten auslösen." Zentrale Erkenntnisse des 2009 Report Die zentralen Erkenntnisse aus diesem Jahr untermauern die Schlussfolgerungen des Vorjahres und liefern gleichzeitig neue Einsichten: · Die meisten untersuchten Datenverstöße gingen von externen Quellen aus. 74 Prozent der Verstöße kamen von außerhalb des Unternehmens. Davon konnten 32 Prozent Geschäftspartnern zugeordnet werden. Nur 20 Prozent wurden von Insidern begangen, ein Ergebnis, das möglicherweise weit verbreiteten Ansichten widerspricht. · Bei den meisten Verstößen ist eine Kombination von Ereignissen auszumachen, seltener handelt es sich um Einzelaktionen. 64 Prozent der Verstöße werden Hackern zugeschrieben, die verschiedene Angriffsmethoden miteinander kombinieren. Bei den meisten erfolgreichen Datenrechtsverletzungen machten sich die Angreifer Fehler der Opfer zunutze, drangen ins Netzwerk ein und installierten Schadsoftware im System, um Daten zu ergattern. · In 69 Prozent der Fälle wurde die Datenrechtsverletzung von Dritten entdeckt. Die wenigsten Unternehmen sind in der Lage, einen Verstoß in dem Moment zu entdecken, in dem er sich ereignet. Ob das Problem bei der Technologie oder in den Arbeitsabläufen liegt, ist dabei irrelevant. In den letzten fünf Jahren haben nur selten die Opfer selbst Datenrechtsverletzungen entdeckt. · Nahezu alle gefährdeten Daten im Jahr 2008 stammten aus Online-Assets. Ungeachtet der verbreiteten Sorge um Desktops, mobile Geräten und portable Medien wurden 99 Prozent aller kompromittierten Daten von Servern und Anwendungen entwendet. · Bei ungefähr 20 Prozent aller Fälle 2008 wurde mehr als ein Verstoß festgestellt. Viele verschiedene Organisationen oder Standorte wurden individuell im Rahmen eines Einzelangriffs bedroht. Bemerkenswerterweise bestand die Hälfte der Verstöße aus miteinander verbundenen Ereignissen, die oft von denselben Individuen ausgingen. · PCI-Konformität ist von entscheidender Bedeutung. 81 Prozent der betroffenen Organisationen, die dem Payment Card Industry Data Security Standard (PCI-DSS) unterliegen, wurden im Vorfeld des Verstoßes als nicht-konform eingestuft - eine erschreckende Bilanz. Zur Lage der Internetkriminalität 2009 So wie die Internetkriminalität entwickeln sich auch Ziele, Techniken und Angriffsarten der Angreifer weiter. Das große Geld wird heute mit dem Stehlen von Informationen wie persönliche Geheimnummern (PINs) in Verbindung mit dazugehörigen Kredit- und Debitkonteninformationen gemacht. Verizon Business bestätigt für das Jahr 2008 einen enormen Anstieg von Angriffen auf PIN-Daten. Diese PIN-basierten Attacken treffen die Verbraucher viel härter als übliche Unterschriftfälschungen, mit denen die Kreditkarte eines Kunden missbraucht wird. Die Ermittler haben festgestellt, dass der Betrug mit PIN-Daten typischerweise dazu führt, dass Bargeld direkt vom Kundenkonto abgebucht wird - ganz gleich ob es sich um ein Giro-, Spar- oder Brokerage-Konto handelt. Für den Kunden ist es sehr viel schwieriger, einen Betrugsversuch nachzuweisen. Der höhere mit PIN-Daten zu erzielende Geldwert hat eine Reihe von Neuerungen der Angriffs-methoden hervorgebracht. Kriminelle haben ihre Verfahren überdacht und neue Tools wie Memory-Scraping Malware entwickelt, um diese wertvollen Güter zu rauben. Die geografische Verbreitung der Quellen externer Datenrechtsverletzungen verweist weiterhin auf eine hohe Aktivität in Osteuropa, Ostasien und Nordamerika. Laut 2009 Report entfallen 82 Prozent aller externen Angriffe auf diese Regionen. "Osteuropa ist unter Ermittlern als berüchtigter Schutzhafen der organisierten Internetkriminalität bekannt. Diese Region hat mit Blick auf die Datenrechtsverletzungen im Jahr 2008 die Hauptrolle gespielt", sagte Tippett. "Wir haben zahlreiche Beweise, dass die hinterhältigen Aktivitäten aus Osteuropa auf organisiertes Verbrechen zurückzuführen sind”, erklärte er. Und er fügte hinzu: "Die gute Nachricht ist, dass die Bemühungen der Strafverfolgung 2008 bereits in mindestens 15 Fällen zu Verhaftungen geführt haben, und die Zahl steigt." Finanzdienstleistungen verzeichnen den höchsten Anstieg Wie in den Jahren 2004 bis 2007 betreffen auch die 2008 untersuchten Verstöße ein breites Spektrum von Unternehmen. Der Einzelhandel ist weiterhin die am häufigsten betroffene Branche – auf sie entfallen ein Drittel aller Datenrechtsverletzungen. Den größten Anstieg verzeichnen Finanzdienstleister, deren Anteil mit 30 Prozent mehr doppelt so hoch ist wie zuvor. Zudem sind mehr als neun von zehn der über 285 Millionen betroffenen Datensätze der Finanzbranche zuzurechnen. Dieser Anstieg der Datenrechtsverletzungen im Finanzsektor spiegelt die jüngsten Trends der Aktivitäten im Bereich der Internetkriminalität wider – insbesondere die Konzentration auf die Beschaffung von PINs, die dann auf dem Schwarzmarkt gehandelt werden. Tippett sagte dazu: "Gerade Finanzdienstleister fielen im Jahr 2008 einigen extrem gezielten, ausgeklügelten und leider auch sehr erfolgreichen Angriffen zum Opfer." Unternehmen der Lebensmittel- und Getränkeindustrie, die im ersten Report auf Platz zwei der am häufigsten betroffene Branchen lagen, fielen 2008 auf den dritten Platz zurück. Ihr Anteil sank von 20 Prozent auf 14 Prozent. Die Zahl von Untersuchungen, die das Verizon Business Investigative Response Team außerhalb der USA durchführte, stieg auf mehr als ein Drittel aller Fälle des Jahres 2008 an. Zusätzlich zu Datenrechtsverletzungen, die umfangreiche Untersuchungen innerhalb der USA erforderten, betrafen viele Verstöße Unternehmen in Kanada und Europa. In Brasilien, Indonesien, auf den Philippinen, in Japan und Australien nahmen die Fälle von Datenrechtsverletzungen weiter zu. Es ist davon auszugehen, dass die Angreifer weiterhin international leicht erreichbare Ziele ansteuern. Doch man muss auch damit rechnen, dass das Interesse an Emerging Economies ebenfalls steigt - vor allem mit Blick auf Kundendaten. "Unsere Arbeit wird alles andere als einfacher. Das Gesamtaufkommen an Informationen wächst weltweit kontinuierlich an und solche Informationen ziehen sich durch alles, was man tut und wo immer man es tut. Die meisten Angriffe sind bislang eher unspektakulär. Doch die Kriminellen kennen unsere gegenwärtigen Schutzstrategien und erfinden immer neue Wege, um an die Daten heranzukommen, auf die sie es abgesehen haben." Empfehlungen für Unternehmen Die Studie 2009 zeigt erneut, dass simple Maßnahmen enorme Vorteile mit sich bringen, wenn sie sorgfältig und auf kontinuierlicher Basis durchgeführt werden. Ausgehend von den insgesamt gewonnenen Erkenntnissen aus fast 600 Datenrechtsverletzungen, die mehr als eine halbe Milliarde gefährdeter Datensätze betreffen, empfiehlt das RISK Team von Verizon Business: · Standard-Legitimationen ändern. Im Jahr 2008 haben mehr Kriminelle die Vermögenswerte von Unternehmen über Default Credentials angegriffen als mit Hilfe jeder anderen Methode. Aus diesem Grund ist es wichtig, Anwendernamen und Passwörter regelmäßig zu ändern und sicherzustellen, dass auch sämtliche Lieferanten dies tun. · Gemeinsame Nutzung von Berechtigungen vermeiden. Neben der Änderung von standardmäßigen Legitimationen müssen Unternehmen sicherstellen, dass Passwörter nur einmal vergeben und nicht von mehreren Anwendern oder innerhalb verschiedener Systeme genutzt werden. Dies hat sich gerade bei von Dritten verwalteten Assets als problematisch erwiesen. · Anwenderkonten überprüfen. Jahrzehntelange Erfahrungen zeigen, dass Unternehmen Anwenderkonten regelmäßig überprüfen müssen. Bei der Überprüfung wird formal bestätigt, dass aktive Konten gültig, erforderlich, richtig konfiguriert und mit den entsprechenden Berechtigungen ausgestattet sind. · Application Testing und Code Review einsetzen. SQL-Injection-Angriffe, Cross-Site-Scripting, Authentication-Bypass und der Diebstahl von Session-Variablen trugen zu fast 50 Prozent der in Zusammenhang mit Hacking untersuchten Fälle bei. Die Prüfung von Web-Anwendungen war nie wichtiger! · Umfassendes Patching. Sämtliche Hackermethoden und Arten von Schadsoftware, welche die Angreifbarkeit eines Unternehmens ausnutzen, um Daten zu stehlen, waren sechs Monate alt oder älter. Das bedeutet, dass die Lösung des Problems nicht im schnellen, sondern vielmehr im vollständigen und sorgfältigen Patching liegt. · Den effektiven Entzug von Berechtigungen im Bereich HR sicherstellen. Bei mehreren Insiderfällen wurden 2008 die Berechtigungen von kurz zuvor gekündigten Mitarbeitern verwendet, um Sicherheitsverletzungen zu begehen. Unternehmen müssen sicherstellen, dass bei Beendigung des Arbeitsverhältnisses formale und umfassende Maßnahmen ergriffen werden, um Anwenderkonten zu löschen und sämtliche Zugriffsberechtigungen zu entziehen. · Anwendungsprotokolle erstellen und überprüfen. Angriffe wechseln verstärkt von der Rechnerstruktur auf die Anwendungsebene. Unternehmen sollten daher über eine standardmäßige Log-Review-Strategie verfügen, welche die Überprüfung von Daten jenseits des Netzwerks, des laufenden Systems und der Firewall-Protokolle verlangt und Remote-Zugriffe, Web-Anwendungen Datenbanken und andere kritischen Anwendungen einbezieht. · Die Begriffe "verdächtig" und "regelwidrig” definieren (und dann danach suchen, was immer "es" sein mag). Die zunehmend gezielten und ausgeklügelten Angriffe gelten oft Unternehmen, die große Datenmengen lagern, die für die kriminelle Szene einen Wert darstellen. Unternehmen müssen sich darauf einrichten, sich gegen sehr gezielte, gut vorbereitete und qualifizierte Angriffe zu verteidigen und diese zu erkennen. "Dieser Bericht zeigt deutlich, dass es nicht um findige und komplizierte Sicherheitsmaßnahmen geht. Vielmehr geht es um Basics und zwar von der Planung über die Implementierung bis hin zur Datenüberwachung", fasste Tippett zusammen. (Verizon: ra) |
||
|
