Aktuelles, Branche, Studien - geschrieben von am Montag, August 29, 2016 18:54 - noch keine Kommentare

Erkenntnisse zum Wirtschaftsschutz im Digitalen Zeitalter

Erörterung der bitkom-Studie vom Juli 2016 durch David Lin von Varonis

[datensicherheit.de, 29.08.2016] Schadensbegrenzung ergänze Prävention – dies sei einer der wichtigen Schlüsse, den die Autoren der bitkom-Studie „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ aus den Ergebnissen ihrer Befragung zögen. Das Maß aller Dinge sei längst nicht mehr allein der Schutz an den Netzwerkgrenzen, vielmehr gehe es darum, Angriffe möglichst frühzeitig zu erkennen. David Lin von Varonis: „Die Studie befasst sich nicht nur mit der Art der aktuellen Bedrohungen, sondern auch damit wer besonders betroffen ist, wie der eigene Sicherheitsstatus eingeschätzt wird, was man tun kann und welche Unterstützung man sich zusätzlich von staatlicher Seite erhofft.“

Gesundheitswesen und Finanzbranche im Visier

Das Know-how deutscher Unternehmen sei nach wie vor begehrt und zwar von ganz unterschiedlichen Interessengruppen. Neben der klassischen Wirtschaftsspionage und dem „Wissensklau“ seitens der Wettbewerber seien innovative Technologien für die organisierte Cyber-Kriminalität durchaus von Interesse. Ein Mal mehr gelte das insbesondere für mittelständische Unternehmen, warnt Lin.
Aktuell von Datenschutz-Verletzungen und Ransomware seien besonders das Gesundheitswesen und die Finanzbranche gebeutelt. Auf die deutsche Gesamtwirtschaft gerechnet sei jedes zweite Unternehmen in den vergangenen zwei Jahren von einem Angriff betroffen gewesen. Das führe nach konservativen Berechnungen des bitkom zu wirtschaftlichen Schäden in Höhe von rund 51 Milliarden Euro pro Jahr, so Dr. Bernhard Rohleder im Vorwort der Studie.

Deutlicher Nachholbedarf bei technischen Sicherheitsmaßnahmen

Die Schadensbilanz lese sich entsprechend ernüchternd. So hätten 51 Prozent der befragten Unternehmen angegeben, in den letzten beiden Jahren von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffen gewesen zu sein.
Was Unternehmen neben dem frühzeitigen Erkennen eines Datenschutzvorfalls ebenfalls große Probleme bereite, sei die Eingrenzung des Vorfalls und der mit ihm potenziell verbundenen Schäden. Zwar hätten praktisch alle Befragten nach einem Datenschutzvorfall ihre technischen Sicherheitsmaßnahmen verstärkt, trotzdem bescheinige die Studie noch einen deutlichen Nachholbedarf – vor allem vor dem Hintergrund, dass die IT-Systeme von 75 Prozent aller befragten Unternehmen regelmäßig von Angriffen betroffen seien, so Lin.

Anomalien im Benutzerverhalten als Warnung

Dazu kämen noch die Bedrohungen durch Insider. Bei 52 Prozent der befragten Unternehmen sei ein aktueller oder ehemaliger Mitarbeiter, bewegt von ganz unterschiedlichen Motiven, das Einfallstor gewesen.
Aber auch Phishing kombiniert mit Social-Engineering-Methoden habe einen erheblichen Anteil an erfolgreich lancierten Angriffen. Der Studienbericht weise ausdrücklich darauf hin, dass die „Sensorik im Unternehmen“ ausgeweitet werden müsse. Wolle man Angriffe in einem frühen Stadium überhaupt als solche identifizieren, lieferten Anomalien beispielsweise im Benutzerverhalten einen ersten Anhaltspunkt.
Das gelte unter anderem für Ransomware-Angriffe, die in den meisten Fällen so konzipiert seien, dass sie den Radar von Antivirensoftware unterliefen. „Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider, sehen die Systemaktivitäten aus wie die eines legitimen Nutzers“, erläutert Lin.

Datendiebstähle: Mittelstand im Fokus

Praktisch sei jedes zweite Unternehmen bereits Opfer von „Datenklau und Co.“ geworden, so Lin – und das seien nach den bitkom-Erhebungen nicht nur Unternehmen mit einer Mitarbeiterzahl von über 500. Zwar lägen diese mit einem Anteil von 54 Prozent noch über dem Mittelwert, am häufigsten erwische es aber Unternehmen in der Größenordnung von 100 bis 499 Mitarbeitern. Nicht selten handele es sich dabei um Zulieferer für Großkonzerne.
Zwar seien solche Unternehmen in ihrer Branche oft sogenannte „Hidden Champions“ mit Spezial-Know-how. Das heiße aber nicht unbedingt, dass sie über dieselben Mittel für IT-Sicherheit wie ein Großkonzern verfügten.

Blindes Vertrauen in IT-Dienstleister

Zudem vertrauten erstaunlicherweise gerade die „als besonders sicherheitsaffin geltenden Deutschen“ ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüften, welche Dienstleister wie in ihre Systeme gelangen, geschweige denn welche Zugriffsberechtigungen vergeben worden sind. Das habe schon die Umfrage „Vendor Vulnerability Survey 2016“ ergeben, bei der mehr als 600 IT-Experten aus Deutschland, Großbritannien, Frankreich und den USA befragt worden seien.
Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch sei, darüber könne man nur spekulieren, sagt Lin. Bei der zitierten Umfrage seien es jedenfalls satte 92 Prozent der Befragten, die ihren Dienstleistern so weit vertrauten, dass sie ihnen weitreichende Privilegien einräumten – und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liege.

Automobilbranche unangefochten auf dem Spitzenplatz

Wenig überraschend liege die Automobilbranche unangefochten auf dem Spitzenplatz, gefolgt von der Chemie- und Pharmaindustrie. Danach allerdings hätten sich erst kürzlich das Finanz- und Versicherungswesen und der Bereich Gesundheit dauerhaft in der Liste „etabliert“.
Zumindest was diese Erhebung anbelangt, lägen die Betreiber der Kritischen Infrastrukturen bei Angriffen nicht deutlich über oder unter anderen Wirtschaftszweigen. Was den regionalen Ursprung der Angriffe anbelangt, unterschieden sie sich allerdings von anderen Institutionen und Unternehmen. „Betrachtet man die KRITIS-Sektoren isoliert, so stammen die Täter bei den Betreibern Kritischer Infrastrukturen deutlich häufiger aus Russland, den USA, Westeuropa und China“, erläutert Lin.

Nahezu die Hälfte der Unternehmen erlebt Angriff mindestens einmal pro Monat

Neben dem Diebstahl von Daten und Datenträgern seien verstärkt sensible elektronische Dokumente betroffen und IT-Angriffe mittlerweile auch jenseits der großen Schlagzeilen in deutschen Unternehmen alltäglich geworden. Drei von vier Unternehmen hätten angegeben, von IT-Angriffen betroffen zu sein, wenn auch in unterschiedlicher Intensität.
Nahezu die Hälfte der befragten Unternehmen (45 Prozent) gebe an, regelmäßig angegriffen zu werden, also mindestens einmal pro Monat, und immerhin noch neuen Prozent sähen sich täglichen Angriffen ausgesetzt.
Hierbei gebe es einen direkten Zusammenhang zur Größe des Unternehmens: Je größer die Organisation desto häufiger werde in dieser Weise attackiert. Zwar scheiterten die meisten dieser Angriffe an der Firewall und/oder dem Virenscanner, aber gerade die besonders raffiniert programmierten Schadsoftware-Varianten schafften es zunehmend häufiger bis ins Innere des Netzwerks – und dort, so Lin, blieben sie lange Zeit unerkannt.

Pro Jahr ein Schaden von 51 Milliarden Euro

Ein Ziel der bitkom-Erhebung habe darin bestanden, den aus Datendiebstahl, Wirtschaftsspionage und Sabotage entstehenden Schaden für die deutsche Wirtschaft zu beziffern.
Selbst nach konservativen Berechnungen, so das Ergebnis, entstehe der deutschen Wirtschaft durch das Trio Wirtschaftsspionage, Datendiebstahl und Sabotage pro Jahr ein Schaden von 51 Milliarden Euro. Die Folgen seien weitreichend, wobei Unternehmen nach eigenen Angaben die größten Umsatzeinbußen durch nachgemachte Produkte (Plagiate) erlitten. Darüberhinaus gingen Wettbewerbsvorteile verloren, IT-Systeme, Produktions- und Betriebsabläufe nähmen Schaden, genauso wie das Image bei Kunden und Lieferanten. Oben drauf kämen die Kosten für datenschutzrechtliche Maßnahmen insbesondere gemäß der neuen EU-Datenschutz-Grundverordnung und nicht selten Kosten für anhängige Rechtstreitigkeiten.

Insider als Täter

Lin: „Wenn man sich schon länger mit den Aktivitäten rund um Daten und Dateien beschäftigt, überrascht es nicht besonders, dass eigene oder ehemalige Mitarbeiter zum Einfallstor für erfolgreiche Attacken werden. Und zwar sowohl mutwillig wie unbeabsichtigt.“
Bei 52 Prozent der im Rahmen der bitkom-Studie befragten Unternehmen seien es derzeitige oder ehemalige Mitarbeiter, die entweder zu Tätern geworden seien oder unbeabsichtigt einen Datenschutzvorfall verursacht hätten. Auf Platz 2 der Urheber liege dann immerhin noch das, was in der Studie als „unternehmerisches Umfeld“ bezeichnet werde – dazu gehörten Wettbewerber, Lieferanten und andere externe Dienstleister, aber auch Kunden, die vielleicht einen direkten Zugang zum Unternehmen hätten. 39 Prozent der Angriffe ließen sich auf diese Gruppe zurückführen.

Wenig Vertrauen in staatliche Stellen

„Bleibt noch zu erwähnen, dass die befragten Unternehmen wenig Vertrauen in staatliche Stellen haben, wenn es darum geht, Angriffe in den Bereichen Wirtschaftsspionage, Datendiebstahl oder Sabotage aufzuklären“, berichtet Lin.
Organisationen setzten hierbei verstärkt auf interne Untersuchungen (53 Prozent) oder auf die Hilfe von externen Spezialisten (30 Prozent), weniger auf die Unterstützung durch staatliche Stellen (20 Porzent). Gerade kleine und mittlere Unternehmen wünschten sich aber durchaus mehr Hilfestellung seitens des Staates, sei es durch wirtschaftliche Förderung, durch CERTs (Computer Emergency Response Teams), die sowohl präventiv als auch reaktiv tätig werden könnten, durch Experten und Arbeitskreise, personelle Beratung oder Regulierung.

60 Prozent vermutlich nicht umfassend genug gewappnet

Bei den technischen Sicherheitsmaßnahmen verfügten Unternehmen in Deutschland laut dem Branchenverband zwar über einen guten Basisschutz, bei Investitionen in umfassende Sicherheitsmaßnahmen seien sie aber immer noch zu zurückhaltend: „Nur 29 Prozent der befragten Unternehmen verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) und nicht einmal ein Viertel (23 Prozent) über spezielle Systeme zur Einbruchserkennung (Intrusion Detection)“ oder darüber hinausgehende und ergänzende Systeme.
An dieser Stelle seien die Unternehmen durchaus selbstkritisch. Zwar sähen sich 39 Prozent der Befragten ausreichend gerüstet, dennoch bekenne eine deutliche Mehrheit von 60 Prozent, vermutlich nicht umfassend genug gewappnet zu sein.

Technischerer Schutz und Schulung der Mitarbeiter

Die Ansprüche an Unternehmenssicherheit hätten sich dramatisch geändert und Firmen müssten darauf reagieren. Dazu gehörten die technischen Sicherheitsvorkehrungen genauso wie die Schulung von Mitarbeitern, die noch viel stärker als bisher in Sicherheitskonzepte einbezogen werden sollten. Das schon angesprochene Umdenken in Sachen Schadensbegrenzung plus Prävention mit eingeschlossen.
Notwendig seien Maßnahmen zur Analyse und Beendigung des Angriffes, zur Wiederherstellung des Betriebszustandes, zur Datenwiederherstellung sowie zur Bewertung von Schäden.

Weitere Informationen zum Thema:

bitkom
Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter / Studienbericht



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung