[datensicherheit.de, 30.04.2025] In seiner Presseinformation zum mitunterzeichneten Statement der Nationalen Plattform Resilienz mit Kernforderungen an die neue Bundesregierung wies der Deutsche Verein des Gas- und Wasserfaches e. V. (DVGW) Anfang März auf die Notwendigkeit einer engen Verzahnung bestehender Gesetze zum Schutz Kritischer Infrastrukturen hin: Energie- und Wasserversorgungssysteme abzusichern, ist eine zentrale Aufgabe. Die zunehmende Zahl von immer komplexeren Angriffen auf die IT-Sicherheit ist Anlass zu großer Sorge.

Cyberbedrohungen im Wassersektor immer komplexer

Tatsächlich sehen sich die Akteure des Wassersektors immer komplexeren und ausgefeilteren Cyberbedrohungen gegenübergestellt. Obwohl bereits Anstrengungen unternommen wurden, müssen die Organisationen ihre Abwehrstrategien entsprechend der Kritikalität ihrer Tätigkeit verstärken. Wasser ist eine lebenswichtige, kritische Ressource. Ein erfolgreicher Angriff kann schwerwiegende Folgen haben, wenn er beispielsweise zu Versorgungsunterbrechungen oder zur Verunreinigung von Trinkwasser führt.

Veralterung der Komponenten und Architekturen

Dieser Sektor ist Cyberangriffen besonders ausgesetzt, was auf die verteilte Natur des Netzes, aber auch auf die Obsoleszenz bestimmter Systeme und den Mangel an Investitionen in die Cybersicherheit zurückzuführen ist. Die Infrastrukturen verwenden manchmal veraltete Betriebssysteme und industrielle Systeme, die vor 20 oder 30 Jahren entwickelt wurden. Diese Veralterung der Komponenten und Architekturen ist oft gleichbedeutend mit zahlreichen Schwachstellen. Darüber hinaus erweitert die zunehmende Digitalisierung der Infrastrukturen mit der Integration von vernetzten Objekten, ja sogar des IIoT (Industrial Internet of Things), die potenziellen Angriffsvektoren und macht diese Anlagen noch anfälliger für Cyberbedrohungen. Eine weitere Schwachstelle betrifft insbesondere kleine und mittlere Gebietskörperschaften, denen die Mittel fehlen, um die Implementierung der Cybersicherheit ihrer Systeme zu bewältigen. Dadurch stehen sie in diesem Bereich teilweise ohne Ansprechpartner da und den Cyberbedrohungen hilflos gegenüber.

Verschärfte Behördenanforderungen an die Cybersicherheit

In diesem Zusammenhang verschärfen die Behörden schrittweise die Anforderungen an die Cybersicherheit für kritische Infrastrukturen, einschließlich denen des Wassersektors. Die europäische NIS2-Richtlinie, die in Deutschland voraussichtlich erst im Herbst 2025 umgesetzt wird, dürfte die Wasserwirtschaftsorganisationen zur Einführung verstärkter Maßnahmen in den Bereichen Governance, Verteidigung, Schutz und Resilienz gegenüber Cyberbedrohungen verpflichten.

Uwe Gries, Country Manager DACH bei Stormshield, Bild: Stormshield

In Erwartung dessen ist es über die notwendige Konformität hinaus bereits möglich, bestimmte Ansätze zu verfolgen, um sich vor Cyberbedrohungen zu schützen. Die Akteure des Wassersektors können beispielsweise den Empfehlungen des DVGW zur Verbesserung ihres Sicherheitsniveaus folgen, aber auch denen des BSI, etwa bezüglich der tiefgreifenden Verteidigung. Dieser Ansatz basiert auf mehreren Schlüsselprinzipien, insbesondere dem der Netzwerksegmentierung, die es ermöglicht, die verschiedenen Systeme zu unterteilen, um die Ausbreitung eines Angriffs durch die Isolierung von Subsystemen zu begrenzen. Dies beinhaltet die Trennung zwischen IT- und OT-Netzwerken, wobei letztere die operativen Systeme umfassen, die Geräte steuern. Die Segmentierung kann allerdings auch intern innerhalb der operativen Infrastrukturen erfolgen.

Andererseits ermöglicht die Implementierung von speziell für industrielle Umgebungen entwickelten, gehärteten Firewalls und Systemen zur Identifizierung von Anomalien, jeden Manipulationsversuch von Netzwerkprotokollen oder Befehlen zu erkennen. Diese verstärkte Überwachung trägt dazu bei, die Integrität der Prozesse zu gewährleisten und potenzielle Bedrohungen zu antizipieren. Die Industrie muss schrittweise sicherere Lösungen einführen und gleichzeitig die Prinzipien der Cybersicherheit in jede betriebliche Phase integrieren. Dies erfordert eine kontinuierliche Modernisierung der Infrastrukturen und eine regelmäßige Aktualisierung der Systeme.

Betreiberschulung in Best Practices der Cybersicherheit

Darüber hinaus müssen die Betreiber solcher Infrastrukturen in den Best Practices der Cybersicherheit geschult werden, um bei einem Vorfall effektiv reagieren zu können. Sensibilisierung ist entscheidend, um eine Cybersicherheitskultur zu entwickeln und die Widerstandsfähigkeit gegenüber Angriffen zu verbessern.

Die Modernisierung der Systeme, die Segmentierung der Netzwerke, der Einsatz fortschrittlicher Überwachungslösungen und die kontinuierliche Schulung sind wesentliche Hebel zur Stärkung der Widerstandsfähigkeit gegenüber Angriffen. Dazu gehört die Intensivierung aller ergriffenen Initiativen, um einen wirksamen Schutz dieser lebenswichtigen Ressource zu gewährleisten. Ein proaktiver und kollaborativer Ansatz zwischen öffentlichen und privaten Akteuren ist unerlässlich, um diesen Herausforderungen zu begegnen sowie die Dienstkontinuität der Wasser- und Abwasserwirtschaft in einem sich ständig weiterentwickelnden digitalen Umfeld sicherzustellen – auch angesichts allgegenwärtiger Cyberbedrohungen.

Weitere Informationen zum Thema:

Stormshield
Vertrauenswürdige Europäische Cyber-Sicherheit

[datensicherheit.de, 18.03.2022] Eine neue Studie von Trend Micro warnt vor der zunehmenden Gefährdung digitaler Infrastrukturen und der Mitarbeiter im Homeoffice, da Bedrohungsakteure ihre Angriffsrate auf Unternehmen und Individuen erhöhen.

Fokus verlagert sich auf Kritische Infrastrukturen und Branchen

Ransomware-Angreifer verlagern ihren Fokus auf Kritische Infrastrukturen und Branchen, die sich einem hohen Druck zur Zahlung ausgesetzt sehen. Dabei gewährleisten Double-Extortion-Taktiken, dass sie davon profitieren können. Zu den meistgetroffenen Industriezweigen in Deutschland zählen die Immobilienbranche, staatliche Behörden, das Gesundheitswesen, die Medien- und Kommunikationsbranche sowie das produzierende Gewerbe. Ransomware-as-a-Service-Angebote haben zudem den Markt für Angreifer mit wenig technischen Vorkenntnissen geöffnet – und zugleich zu einer stärkeren Spezialisierung geführt. So sind Access Broker nun ein wesentlicher Bestandteil der Cybercrime-Lieferkette.

Bedrohungsakteure werden immer besser darin, menschliche Schwachstellen auszunutzen, um Cloud-Infrastrukturen und die Arbeit im Homeoffice zu kompromittieren. Im Jahr 2021 erkannte und verhinderte nach unternehmenseigenen Angaben das Produkt Trend Micro Cloud App Security (CAS) 25,7 Millionen-E-Mail-Bedrohungen – im Vergleich zu 16,7 Millionen im Vorjahr. Dabei hat sich das Ausmaß der blockierten Phishing-Versuche in diesem Zeitraum beinahe verdoppelt. Studien zeigen, dass Mitarbeiter im Homeoffice häufiger Risiken eingehen als vor Ort im Unternehmen, was Phishing-Angriffe gefährlicher macht.

Bedrohung in der Cloud geht von fehlkonfigurierten Systemen aus

In der Cloud geht nach wie vor eine große Bedrohung für Unternehmen von fehlkonfigurierten Systemen aus. Dabei weisen unter anderem Dienste wie Amazon Elastic Block Store und Microsoft Azures Virtual Machine relativ hohe Fehlkonfigurationsraten auf. Trend Micro stellt zudem fest, dass Docker-REST-APIs häufig fehlkonfiguriert sind. Dadurch sind sie Angriffen von Gruppen wie TeamTNT (1) ausgesetzt, die Krypto-Mining-Malware auf den betroffenen Systemen einsetzen.

Bei den Business-Email-Compromise (BEC)-Angriffen ging die Zahl der Entdeckungen um 11 Prozent zurück. Allerdings blockierte CAS einen hohen Prozentsatz an fortgeschrittenen BEC-Emails, die nur durch einen Vergleich des Schreibstils des Angreifers mit dem des vorgesehenen Absenders erkannt werden konnten. Diese Angriffe machten im Jahr 2021 47 Prozent aller BEC-Versuche aus, im Vergleich zu 23 Prozent im Jahr 2020.

Während 2021 ein Rekordjahr für neue Schwachstellen war, zeigen Untersuchungen von Trend Micro, dass 22 Prozent der 2021 im Untergrund von Cyberkriminellen verkauften Exploits über drei Jahre alt waren. Das Patchen alter Schwachstellen bleibt daher neben der Überwachung neuer Bedrohungen eine wichtige Aufgabe, um Cyberangriffe zu verhindern und eine umfassende Sicherheit zu gewährleisten.

„Die Angreifer arbeiten kontinuierlich daran, die Menge ihrer Opfer sowie ihren Profit zu steigern, sei es durch die Anzahl oder die Effektivität ihrer Attacken“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Der Umfang und die Tiefe unserer globalen Threat Intelligence ermöglicht es uns, Veränderungen in der Vorgehensweise, wie Cyberkriminelle ihre Opfer weltweit angreifen, zu identifizieren. Unsere aktuellen Forschungen zeigen einerseits, dass die Gesamtzahl der von Trend Micro erkannten Bedrohungen im Jahr 2021 im Vergleich zum Vorjahr um 42 Prozent auf über 94 Milliarden gestiegen ist. Zugleich ging die Angriffssumme in einigen Bereichen zurück, da Attacken immer zielgerichteter werden.“

(1) TeamTNT löste sich nach eigener Angabe im November des vergangenen Jahres offiziell auf. Es ist anzunehmen, dass hinter der Gruppe Deutsche oder deutschsprachige Akteure standen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.02.2021
Trend Micro warnt: Connected Cars anfällig für Cyber-Angriffe

Trend Micro
Navigating New Frontiers: Trend Micro 2021 Annual Cybersecurity Report

[datensicherheit.de, 25.09.2018] Datenschutz-Verstöße kosten Unternehmen weltweit Milliarden Euro, zerstören das Vertrauen in die betroffenen Unternehmen und können sich negativ auf Marke und Image auswirken – mit realen Folgen wie Kurseinbrüchen und Umsatzeinbußen. Vor diesem Hintergrund stellt sich die Frage, in wie weit ist das Thema Datensicherheit bei den Führungskräften angekommen ist. Ziehen sie mit den IT-Sicherheitsverantwortlichen am gleichen Strang, wenn es um Security geht? Um dies herauszufinden, hat Varonis 345 Vorstände und IT- und Sicherheits-Verantwortliche in den USA, UK, Frankreich und Deutschland befragt.

Die größten Sicherheits-Herausforderungen

Führungskräfte in Unternehmen teilen die gleichen Sorgen wie ihre Sicherheitsteams. Auf die Frage nach den drei wichtigsten Cybersicherheitsproblemen, denen sich ihre Unternehmen gegenübersehen, nennen beide Gruppen Datenverlust und Datendiebstahl/Exfiltration als ihre jeweils größten Probleme.

Die beiden Gruppen unterscheiden sich jedoch bei der Benennung ihres dritten Schwerpunkts. Die Cybersecurity/IT-Profis sehen in Ransomware wie WannaCry eine große Herausforderung, während die Führungskräfte eher Risiken, die aus der Datenveränderung resultieren, im Blick haben, also etwa Sabotageakte durch Änderung kritischer Informationen, wie z.B. Code für eine automatisierte Montagelinie.

Bild: Varonis

Infografik: Wie Führungskräfte und IT-Sicherheitsverantwortliche über die größten Cyberbedrohungen denken

Welche Daten besonders geschützt werden müssen

Seit 2013 sind 9,7 Milliarden Datensätze verloren gegangen oder gestohlen worden (das sind zwei Milliarden mehr als die Welt Bewohner hat!). Bei vielen davon handelt es sich um Kunden- und Nutzerkonten, die beispielsweise Kontoinformationen, E-Mail-Adressen, Telefonnummern und weitere personenbezogenen Daten beinhalten. Auf die Frage, welche Art von Daten sie am meisten schützen wollen, haben entsprechend sowohl Führungskräfte als auch Cybersecurity/IT-Profis Kunden- oder Patientendaten sowie geistiges Eigentum angegeben. Wie schon zuvor gibt es beim dritten Platz wieder unterschiedliche Sichtweisen: Während die Führungskräfte den Schutz von Mitarbeiterdaten vor Finanzdaten als dringend empfinden, betrachten die Sicherheitsverantwortlichen die Finanzdaten als großes Sicherheitsrisiko.

Auswirkungen eines Daten-Vorfalls

Auf die Frage, welche Geschäftsfelder von IT-Sicherheitsrisiken besonders betroffen sind, nennen beide Gruppen zwar dieselben Bereiche, allerdings in unterschiedlicher Reihenfolge: Die Security-Verantwortlichen heben vor allem die Markenwahrnehmung und Reputation hervor, während die wirtschaftlich denkenden Führungskräfte eher die Kosten in Zusammenhang mit den Datenschutzverstößen (Recovery-Kosten, Bußgelder u.ä.) fokussieren.

Sicht auf den Stand der IT-Sicherheit und die Entwicklung

Die IT-Sicherheitsverantwortlichen sehen ihre Arbeit überaus selbstbewusst: 96 Prozent empfinden die IT-Security-Planung und -Umsetzung im Einklang mit den Risiken und Anforderungen des Unternehmens. Die Chefs sind mit 73 Prozent Zustimmung ein wenig kritischer. Auch was die Fortschritte in Sachen Cyberabwehr anbelangt, sind die Security-Spezialisten optimistischer: 91 Prozent sehen hier deutliche und messbare Fortschritte, während nur 69 Prozent der Führungskräfte hiervon überzeugt sind. Möglicherweise spielen dabei auch Berichte über Sicherheitsverstöße bei großen Unternehmen eine Rolle. Es scheint auf jeden Fall jedoch ein gewisses Defizit an Kommunikation zwischen den beiden Parteien und entsprechendem Teamwork vorhanden zu sein.

Einfluss der Sicherheitsverantwortlichen

94 Prozent der IT-Experten glauben, dass die Führungskräfte bei einer Sicherheitsbedrohung ihrem Rat folgen würden. Leider sehen das die Führungskräfte anders: Nur 76 Prozent zeigen sich offen für die Expertise der Spezialisten. Auch dies deutet auf mangelnden Austausch zwischen den beiden Parteien hin. Möglicherweise würde dem Sicherheitsniveau (und damit auch dem Unternehmen) eine entsprechend hoch angesiedelte Position helfen, etwa durch die Schaffung eines Chief Information Security Officers (CISO).

Einfluss der Security auf den Geschäftserfolg

Laut Cybersecurity Ventures werden die Ausgaben für Produkte und Dienstleistungen in den nächsten fünf Jahren 1 Billion (also 1.000 Milliarden) US-Dollar übersteigen. Wie sich die eigenen Security-Investitionen auf den Geschäftserfolg auswirken, können jedoch nur 68 Prozent der Führungskräfte und 88 Prozent der Cybersecurity-Verantwortlichen quantifizieren. IT-Abteilungen täten also gut daran, die Geschäftsführung besser über ihre Maßnahmen und die damit verbundenen Erfolge, also den messbaren Einfluss auf das Unternehmensergebnis, zu informieren. Auch hierfür wäre die Position eines CISO prädestiniert.

Datenverstöße und Cyberbedrohungen halten Führungskräfte weiter auf Trab. Kommen noch neue Anforderungen wie die DSGVO hinzu, wird IT-Sicherheit immer mehr zur strategischen Entscheidung und damit zur Chefsache. Security-Spezialisten müssen mit ihrem Know-how zu klugen Entscheidungen beitragen. Vor allem aber müssen sie auch von der Führungsriege gehört werden. Am besten klappt dies wohl auf Augenhöhe, wenn Security als unternehmenskritischer Bereich wie auch HR oder Finanzen angesehen und in der Geschäftsführung entsprechend personell verankert wird.

Weitere Informationen zum Thema:

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 05.09.2018
Datenschutz liegt in der Verantwortung der Führungskräfte

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

[datensicherheit.de, 15.08.2018] Im Dschungel der Cyberbedrohungen kommen immer wieder neue Methoden ans Licht, derer sich Angreifer bedienen. Gut getarnte Angriffsmuster und stetig an Fortschritt wachsende Varianten ermöglichen Cyberkriminellen Zugang zu fremden Netzwerken. Auch in Bilddateien, zum Beispiel in dem weit verbreiteten JPEG-Format, kann sich Malware verbergen, auf diese Weise bestehende Schutzsysteme umgehen, Computer und Netzwerke infizieren oder unbemerkt vertrauliche Daten ausschleusen. Jonathan Chapman, Wissenschaftler am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, hat sich diesem Problem angenommen und eine Methode entwickelt, die Anomalien in Bilddateien aufspürt und diese anhand ihrer ungewöhnlichen Struktur herausfiltert und erkennt. Ihre Funktion hat er anhand eines Datensatzes von über 500.000 Bilddateien erfolgreich überprüft. Im Rahmen des „USENIX Security Symposiums“, das vom 15. bis 17. August 2018 in Baltimore stattfindet, stellt der FKIE-Wissenschaftler seine Ergebnisse erstmals vor.

Der Ansatz, den der IT-Experte aus der Abteilung „Cyber Analysis and Defense“ entwickelt hat, erkennt durch die Einbettung von Malware-Daten bedingte strukturelle Anomalien in Bilddateien. Dies kann dazu genutzt werden, um in einem solchen Fall einen Alarm auszulösen und die Übertragung zu unterbrechen. Besonders ist an dem Ansatz, dass er nicht eine bestimmte Form von Malware erkennt, sondern signifikante Strukturanomalien in Bilddateien ausreichen, um eine verdeckt kommunizierende Malware zu detektieren.

SAD THUG, kurz für „Structural Anomaly Detection for Transmissions of High-value Information Using Graphics“ – unter diesem Titel stellt Jonathan Chapman den Ansatz in Baltimore vor –, erkennt, wie die Strukturen von Bilddateien aussehen müssen, um diese als gut oder bösartig zu klassifizieren. Im Gegensatz zu einem bereits existierenden Ansatz wurde zur Erkennung von strukturellen Anomalien bei JPEG-Dateien auch Maschinelles Lernen eingesetzt und so anhand großer Datensätze erlernt, wie die Struktur nicht-infizierter Bilddateien auszusehen hat.

Mehr als 500.000 Bilddateien hat der FKIE-Wissenschaftler als Grundlage für „SAD THUG“ verwendet. Die Ergebnisse sind beeindruckend: Bei JPEG-Dateien (511.024) lag die Rate bei der Erkennung von Malware bei 99,24 Prozent und weist zugleich eine äußerst niedrige Falsch-Positiv-Rate von 0,52 Prozent auf. Bei PNG-Dateien lag das Ergebnis aufgrund des deutlich kleineren Datensatzes von nur 60.083 Bilddateien und des damit verbundenen geringeren Lerneffekts der Software bei einer Falsch-Positiv-Rate von 1,1 Prozent. Allerdings wurden auch hier 99,32 Prozent der Malware-Bilder korrekt erkannt.

Somit bietet »SAD THUG« Computernutzern und vor allem IT-Administratoren weltweit eine sehr effektive Lösung für das Problem in Bilddateien eingebetteter Schadsoftware. Denn nicht nur in Dateien, die E-Mails anhängen, kann sich eine solche Malware verbergen, sondern auch in den tagtäglich millionenfach in den Sozialen Netzwerken wie Facebook und Twitter verwendeten Bilddateien.

Über sie hielt beispielsweise die Ransomware „CryLocker“ den Kontakt zu ihren Autoren. Diese Form von Malware verschlüsselt wichtige Dateien der infizierten Nutzersysteme mit einem geheimen Code, den die Autoren nur nach Zahlung eines Lösegelds (»ransom«) bereitstellen. Aktuellen Schätzungen zufolge entstand der Weltwirtschaft hierdurch 2017 ein Schaden in Höhe von mehr als 4,3 Milliarden Euro.

Chapman: „Der neue Ansatz erkennt nicht nur eine bestimmte Methode zum Verstecken von Schadsoftware-Informationen, sondern buchstäblich jede Methode, die die Struktur einer Containerdatei verändert. Viele der Angriffe, die in den vergangenen Monaten bekannt geworden sind, nutzen Werkzeuge, die mit ›SAD THUG‹ hätten erkannt und unter Umständen frühzeitig abgewehrt werden können. Das gilt nicht zuletzt auch für die dem russischen Geheimdienst zugerechnete Hammertoss-Malware.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware

datensicherheit.de, 16.03.2018
Jede vierte mobile Malware nutzt schlüpfrige Inhalte zur Verbreitung

[datensicherheit.de, 10.08.2018] Proofpoint hat kürzlich den vierteljährlich erscheinenden Threat-Report veröffentlicht. Dieser analysiert die Cyberbedrohungen des vorangegangenen Quartals und gibt einenÜberblick über die aktuelle Bedrohungslage durch Malware und Co.

Wichtige Ergebnisse im Überblick:

• Nach einem zuvor beobachteten Rückgang von Ransomware-Attacken wuchs deren Volumen wieder merklich an.
• Ein Großteil aller Angriffe basierte auf Banking-Trojanern aber auch sogenannte Coin-Miner, also Software, die das vom Opfer unbemerkte Generieren von Krypto-Währung ermöglicht, gewannen an Bedeutung hinzu.
• Insbesondere im Social-Media-Bereich war eine Zunahme von Betrugs- und Spam-Attacken zu beobachten. Im Fall von E-Mails stellte Proofpoint ein unvermindert starkes Aufkommen dieser Angriffsform fest.

Weitere Informationen zum Thema:

proofpoint
Proofpoint Threat Report: Ransomware returns but banking Trojans keep the top spot in the second quarter of 2018

proofpoint
Quarterly Threat Report Q2 2018

datensicherheit.de, 19.07.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren

datensicherheit.de, 11.06.2018
Wandel der Bedrohungslage: Bankentrojaner vor Ransomware

[datensicherheit.de, 15.09.2015] 551.000 US-Dollar muss ein großes Unternehmen durchschnittlich in Folge eines IT-Sicherheitsvorfalles aufbringen. Bei mittelständischen Unternehmen betragen die Kosten im Schnitt 38.000 US-Dollar. Dies geht aus einer aktuellen von Kaspersky Lab bei B2B International beauftragen Studie hervor [1]. Zu den kostenintensivsten IT-Sicherheitsvorfällen gehören Mitarbeiterbetrug, Cyberspionage, Netzwerkeinbrüche (Network Intrusions) sowie Fehler von Drittanbietern.

Klassische Ausgaben als Folge eines Sicherheitsvorfalls sind der Mehraufwand für professionelle Dienstleistungen – wie externe IT-Experten, Anwälte oder Berater – sowie Umsatzverluste aufgrund verloren gegangener Geschäftsoptionen oder von IT-Ausfällen. Neben den oben genannten direkten Kosten kommen noch indirekte Ausgaben – beispielsweise für Personal, Trainings und Infrastrukturaktualisierungen – hinzu, die durchschnittlich zwischen 8.000 (KMU) und 69.000 US-Dollar (große Unternehmen) betragen [2].

„Es gibt bisher nicht allzu viele Berichte über die Folgen von IT-Sicherheitsvorfällen, bei denen reale Geldverluste von Unternehmen rekonstruiert werden“, erklärt Holger Suhl, General Manager DACH bei Kaspersky Lab. „Es ist auch nicht einfach, verlässliche Methoden zur Erhebung dieser Daten zu finden. Wir haben dies dennoch umgesetzt, weil wir wissen wollten, wie das theoretische Wissen über die Cyberbedrohungslandschaft mit den realen Geschäftspraktiken der Firmen zusammenhängt. Als Ergebnis sehen wir eine Auflistung von Bedrohungen, die die höchsten Schäden verursachen und vor denen sich Unternehmen bestmöglich schützen sollten.“

Diverse Kostenaufstellung für Großunternehmen

Die Kaspersky-Studie gibt einen detaillierten Überblick über die Kosten, die für Großunternehmen im Zuge eines Cybersicherheitsvorfalls anfallen können [3], mit folgenden Ausgaben für:

• externe Services (IT, Risikomanagement oder Anwälte): bis zu 84.000 US-Dollar, bei einer Eintrittswahrscheinlichkeit von 88 Prozent
• verloren gegangene Geschäftsoptionen: bis zu 203.000 US-Dollar, bei einer Eintrittswahrscheinlichkeit von 29 Prozent
• IT-Ausfälle: bis zu 1,4 Millionen US-Dollar, bei einer Eintrittswahrscheinlichkeit von 30 Prozent
• indirekte Ausgaben: bis zu 69.000 US-Dollarmögliche
• Reputationsschäden: bis zu 204.750 US-Dollar.

Mittelstand versus Großunternehmen

Neun von zehn Unternehmen, die an der Studie teilgenommen haben, hatten mindestens einen Sicherheitsvorfall im Untersuchungszeitraum zu beklagen. Fast die Hälfte (46 Prozent) haben aufgrund einer internen oder externen Cyberbedrohung sensible Firmendaten verloren.

Allerdings führten nicht alle Vorfälle zu ernsthaften Konsequenzen oder zum Verlust sensibler Firmendaten. Am häufigsten wird ein Sicherheitsvorfall über eine Malware-Attacke, Phishing, Mitarbeiter- oder Software-Schwachstellen verursacht. Die Kostenschätzungen zeigen, wie schwerwiegend IT-Sicherheitsvorfälle für Unternehmen jeglicher Größe ausfallen können – allerdings mit unterschiedlichen Auswirkungen für mittelständische und große Organisationen.

Große Unternehmen zahlen deutlich mehr, wenn ein Cybervorfall durch einen Fehler eines vertrauten Partners beziehungsweise Drittanbieters verursacht wird. Ähnlich kostenintensiv sind Betrügereien von Mitarbeitern, Cyberspionage und Netzwerkeinbrüche (Network Intrusions). Mittelständische Firmen müssen dagegen bei allen Sicherheitsvorfällen in ähnlich hohem Maße zur Tasche greifen – egal ob es sich hier um Cyberspionage, DDoS-Attacken oder Phishing handelt.

Weitere Informationen zum Thema:

[1] Bei der Studie wurden weltweit über 5.500 Unternehmens-IT-Entscheider aus 26 Ländern über IT-Sicherheitsthemen befragt. Kaspersky Lab hat eine Serie an IT-Sicherheitsberichten erstellt. Der komplette Report „Damage Control: The Cost of Security Breaches“ ist hier abrufbar: http://media.kaspersky.com/pdf/it-risks-survey-report-cost-of-security-breaches.pdf
[2] Ein Vorfall im unternehmenseigenen IT-Sicherheitssystem kann erhebliche Folgen nach sich ziehen. Für die betroffenen Firmen ist es allerdings schwer, einen vollständigen Überblick der Folgekosten zu erhalten. Die Methoden, die hierfür von Kaspersky Lab verwendet wurden, basieren auf Daten der Vorjahre. Damit können Ausgaben oder Vermögensverluste in Folge von IT-Sicherheitsvorfällen rekonstruiert werden.
[3] siehe Tabelle http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KL_Tabelle_Kosten_Cybervorfaelle.JPG
[4] http://www.kaspersky.com/de/business-security

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2015
Fünf Empfehlungen für mehr Cybersicherheit

datensicherheit.de, 09.09.2015
Unternehmen müssen sich für eine neue Dimension von Cyberrisiken wappnen

[datensicherheit.de, 20.03.2014] Proofpoint, Security-as-a-Service- Anbieter, veröffentlichte kürzlich eine umfassende Studie zu den Tricks von Hackern und Schwächen der User. „The Human Factor“ offenbart unter anderem, dass Angestellte doppelt so oft auf bösartige Links klicken wie ihre Vorgesetzten, dass mehr als jeder Fünfzehnte mindestens einmal im Monat auf Phishing-Links in seinem Posteingang klickt und dass Einladungen aus sozialen Netzwerken den Empfänger zwei Mal so häufig zum Klicken verleiten wie andere Methoden. Da der Großteil der heutigen Sicherheitslösungen eher auf System- und Softwarelücken als auf menschliches Versagen ausgerichtet ist, geben die von Proofpoint gewonnenen Erkenntnisse wichtige Hinweise für zukünftige Sicherheits- und Abwehrstrategien.

Bild: Proofpoint

Proofpoint-Studie „The Human Factor“

Die Ergebnisse der Studie:

• Jeder klickt. Im Schnitt klickt jeder zehnte Mitarbeiter auf bösartige Links in E-Mails. Selbst Angestellte in Top-Unternehmen klicken bei über einem Prozent der Angriffe.
• Attacken leben lange. Jeder fünfzehnte Klick auf bösartige Links geschieht erst über einen Monat nach Eingang der infizierten E-Mail.
• Mobilität ist wichtiger als Mobilgeräte: 90 Prozent aller Klicks auf gefährliche URLs stammen von PCs und Laptops, aber nur 10 Prozent von Mobilgeräten. Jedoch geschehen 20 Prozent aller Klicks auf schadhafte URLs außerhalb der Unternehmensfirewall, d. h. in Heim- oder öffentlichen Netzwerken.
• Soziale Netzwerke verleiten. Auftragsbestätigungen, Mahnungen und die Benachrichtigung über eine vermeintliche Kontaktaufnahme in sozialen Netzwerken verführen am häufigsten zum Klicken. Letztere werden im Schnitt doppelt so oft angeklickt wie jede andere Anfrage per E-Mail.

„Diese Studie betrachtet einen der wichtigsten Faktoren in punkto Sicherheit: den Menschen“, sagt Kevin Epstein, VP of Advanced Security & Governance bei Proofpoint. „Eine Sicherheitslösung ist nur dann umfassend, wenn sie auch das Klickverhalten der User berücksichtigt. Proofpoints Ansatz ist gerade deshalb effektiv, weil unser System ermitteln kann, wer diese User sind, wo sie im Unternehmen sitzen und was nach dem Klick geschieht – und zwar alles in Echtzeit.“  Um nach einer Attacke unmittelbar Maßnahmen zu ergreifen, ist ein rascher detaillierter Überblick sehr wichtig.

Forrester Research Inc. kam zu ähnlichen Schlüssen: Einblicke in das User- und Malwareverhalten sind für den Schutz unerlässlich. „Nach großen technologischen Investitionen, ist es enttäuschend, dass Unternehmen noch immer gehackt und ihre Daten angezapft werden. Daher verbringen CISOs heute mehr Zeit mit Überlegungen zu menschlichen Faktoren der Sicherheit, die im Allgemeinen die Schwachstelle bilden“, so der Bericht „Twelve Recommendations for your Security Program in 2014“ (Zwölf Empfehlungen für Ihr Sicherheitsprogramm 2014) von Forrester Research, aus Februar 2014. Weiter sagte Rick Holland von Forrester im Oktober 2013, „für 75 Prozent der Entscheidungsträger hat die Installation oder Verbesserung von intelligenten Schutzsystemen in ihrem Unternehmen oberste Proirität.“

Weitere Informationen zum Thema:

Proofpoint Threat Insight
Targeted Cyber Attack News, Trends, Reports, and Analysis

datensicherheit.de, 24.01.2014
Deutsche Unternehmen unterschätzen interne Sicherheitsrisiken

datensicherheit.de, 10.12.2013
IT-Sicherheit für alle Unternehmensgrößen relevant

[datensicherheit.de, 06.02.2014] Ein wesentliches Ergebnis des aktuellen „Cyberthreat Defense Report 2014” ist, dass die Befragten Network Access Control (NAC) von allen Sicherheitstechnologien am höchsten einschätzen. 77 Prozent der IT-Experten sehen zudem einen zwingenden Bedarf an kontinuierlicher Überwachung und Risikominderung; mehr als 60 Prozent der Teilnehmer erlebten im Jahr 2013 eine Datenschutzverletzung, wobei ein Viertel aller Teilnehmer mangelnde Investitionen des Arbeitgebers in adäquate Abwehrmaßnahmen als einen Faktor anführt.

Die Studie, die als erste ihrer Art einen Rundumblick über die Wahrnehmung von Sicherheitsbedrohungen und Sicherheitsinvestitionen in Unternehmen liefert, wurde von der CyberEdge Group, LLC durchgeführt und von ForeScout Technologies sowie acht weiteren Informationssicherheitsunternehmen gesponsert. An der Befragung nahmen mehr als 750 Entscheider sowie Angestellte in Unternehmen mit 500 und mehr Mitarbeitern teil.

Zu den wesentlichen Ergebnissen zählen:

• Die Teilnehmer wurden aufgefordert, ihre Wahrnehmung der Wirksamkeit verschiedener Abwehrlösungen von Cyberbedrohungen auf einer Skala von 1 bis 5 einzustufen, wobei 5 die höchste Wertung ist. NAC erhielt mit 3,71 die höchste Bewertung
• NAC ist die meistgenutzte Technologie zur Erkennung von Fehlkonfigurationen der Hostsicherheit gaben 53 Prozent der Befragten an
• NAC ist die meistgenutzte Technologie zur Erkennung von Schwachstellen und Sicherheitsfehlkonfigurationen bei nicht-stationären Laptops und Mobilgeräten (51 Prozent)
• Die Einführung von BYOD-Richtlinien wird erwartet, um von 31 Prozent im Jahr 2014 auf 77 Prozent im Jahr 2016 zu kommen
• Endpunkte werden als das schwächste Glied in der IT-Umgebung der meisten Organisationen genannt

Die Informationssicherheit wird immer anspruchsvoller – dies liegt an mehreren tiefgreifenden Veränderungen:

• die IT-Infrastruktur wird aufgrund eines exponentiellen Anstiegs der Netzwerkverbindungen und Nutzung von Mobil-, Virtualisierungs- und Cloud-Technologie immer komplexer;
• durch die Zunahme netzwerkfähiger und persönlicher Geräte am Arbeitsplatz verringert sich die  Kapazität zur Verwaltung von Endpunkten;
• in einer wachsenden Angriffslandschaft wird es immer schwieriger, die Gefahren effizient zu minimieren oder ganz abzuwenden.

Um diesen Herausforderungen entgegenzutreten, ergänzen viele Unternehmen ihre vorhandenen Sicherheitsinvestitionen durch NAC der nächsten Generation, mit dem Ziel, Nutzer, Gerät, Anwendung und Zugriffsvielfalt dynamisch sehen und kontrollieren zu können. Dabei gehen immer mehr Unternehmen von ihrem traditionellen, mehrschichtigen Verteidigungsmodell zu einem Modell über, das die Interoperabilität der Infrastruktur nutzt, um kontinuierliche Überwachungs- und Abhilfeprozesse besser zu unterstützen.

In dem Bericht gab ein Drittel der Unternehmen an, sie würden wöchentlich oder täglich vollständige Netzwerk-Scans durchführen – ein Zeichen dafür, dass Unternehmen es wichtig finden, einen kontinuierlichen Netzwerkstatus zu haben. 52 Prozent der teilnehmenden Unternehmen jedoch führen vollständige Netzwerk-Schwachstellenscans vierteljährlich oder jährlich durch. Erschreckenderweise gab eines von fünf Unternehmen zu, die Würfel entscheiden zu lassen, indem sie nämlich nichts tun, um den Zustand ihrer nicht stationären Geräte zwischen den regelmäßig geplanten, aktiven Scans zu bewerten.

Interessanterweise kommt die Studie zu dem Ergebnis, dass die meisten teilnehmenden Unternehmen mehrere Technologien kombinieren, um eine einheitliche Lösung zu schaffen, die die speziellen Bedürfnisse erfüllt. Dies verspricht Gutes für die CounterACT-Plattform von ForeScout. Die neue Plattform versetzt IT-Sicherheitsprodukte in die Lage, Informationen dynamisch auszutauschen, und befähigt Unternehmen, schneller auf verschiedene sicherheits- und betriebsbezogene Probleme zu reagieren. Die Plattform bietet neue Schnittstellen, die ForeScout CounterACT für Entwickler, Kunden und Systemintegratoren öffnen, sodass sie CounterACT flexibel mit anderen Sicherheits- und Managementsystemen integrieren können.

Weitere Informationen zum Thema:

ForeScout
Cyberthreat Defense Report 2014

[datensicherheit.de, 23.05.2013] Weltweit entdeckten und entschärften Produkte von Kaspersky Lab im ersten Quartal 2013 über 1,3 Milliarden an Schadobjekten. Die Zahl der Bedrohungen über das Internet stieg gegenüber dem Vorquartal um 1,5 Prozentpunkte. Dafür gingen die lokalen Bedrohungen weltweit um 0,8 Prozentpunkte zurück. Den Spitzenplatz unter den Ländern, von denen Schadprogramme ausgehen, gab Russland wieder an die USA ab. Deutschland liegt hier auf Platz vier. Das zeigen die Zahlen des Kaspersky Security Network (KSN) für die Monate Januar bis März 2013 [1].

Insgesamt fand Kaspersky Lab im ersten Quartal auf allen untersuchten Rechnern 30.901.713 verwundbare Anwendungen und Dateien. Im Durchschnitt wies jeder infizierte Rechner acht Sicherheitslücken auf. Dabei blieben die gängigsten Bedrohungsszenarien die alten Bekannten: Bei den Sicherheitslücken ist Oracle Java weiter führend. Kaspersky Lab konnte derartige Schwachstellen auf 45,3 Prozent aller untersuchten Computer ermitteln, gefolgt von Adobe Flash Player (22,8 Prozent) und Adobe Shockwave Player (18,2 Prozent). Damit nutzten 40 Prozent aller im ersten Quartal gefundenen Exploits Sicherheitslücken in Adobe-Produkten.

Cyberkriegsführung bleibt großes Problem

Leider wies das erste Quartal auch wieder Vorfällen aus den Bereichen Cyberspionage und Cyberwaffen auf. Bereits zu Jahresbeginn machte Kaspersky Lab eine seit fünf Jahren aktive globale Cyberspionage-Operation mit dem Namen Roter Oktober [2] bekannt, die auf Regierungsorganisationen, diplomatische Einrichtungen und Unternehmen zielte. Im Februar deckte Kaspersky Lab zusammen mit dem ungarischen CrySys Lab das Schadprogramm MiniDuke [3] auf, das auf einer
Zero-Day-Sicherheitslücke im Adobe Reader beruht und sich ebenfalls gegen Regierungsorganisationen und Forschungseinrichtungen richtet.
Hinzu kam die Offenlegung einer Attacke chinesischer Hacker namens APT1 und Ende Februar die Entdeckung von Stuxnet 0.5, eine frühe Version des altbekannten Stuxnet-Wurms, deren Existenz bislang nur vermutet wurde.

„Das erste Quartal 2013 wies eine große Anzahl bedeutender Vorfälle in den Bereichen Cyberspionage und Cyberwaffen auf“, resümiert Dennis Maslennikov, Senior Malware Analyst bei Kaspersky Lab. „Es gibt ja eher selten Vorkommnisse, die die Antivirus-Industrie hartnäckig über Monate verfolgen muss. Noch rarer sind aber jene Vorfälle, die auch nach drei Jahren noch relevant sind, wie etwa der Fall Stuxnet. Obwohl dieser Wurm von vielen Antivirus-Unternehmen bereits untersucht wurde, gibt es immer noch Module, die – wenn überhaupt – bislang nur grob erforscht sind. So konnten auch durch die Analyse von Stuxnet 0.5 neue Erkenntnisse zu diesem Schadprogramm gewonnen werden, und es werden wohl nicht die letzten gewesen sein. Der Fall Stuxnet ist durchaus exemplarisch für andere Fälle von Cyberspionage und Cyberwaffen – wir wissen darüber insgesamt noch viel zu wenig!“

Unter den Unternehmen, die im ersten Quartal 2013 von Cyberspionage betroffen waren, befanden sich Apple, Facebook, Twitter und Evernote. Damit zeigt sich, dass das 2011 massenhaft aufgekommene Thema Wirtschaftsspionage noch nicht an Bedeutung verloren hat.

Der komplette Malware-Report von Kaspersky Lab für das erste Quartal 2013 beleuchtet ausführlich die genannten Bedrohungsszenarien, beschreibt die zielgerichteten Attacken der letzten Monate und geht auch auf die Gefahren für mobile Anwender sowie weitere interessante Statistiken ein.

[1] Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen wurden. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt.

[2] http://newsroom.kaspersky.eu/de/texte/detail/article/operation-roter-oktober-cyberspionage-angriff-auf-regierungsorganisationen-und-diplomatische/?no_cache=1

[3] http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-lab-entdeckt-miniduke-das-schadprogramm-zielt-auf-regierungsorganisationen-und-einrich/?no_cache=1&cHash=cc21ea0935c3827b33249bf8efb38721