[datensicherheit.de, 19.02.2025] „44 Prozent der CISOs zeigen sich machtlos: Zwischen 2023 und 2024 waren sie nicht in der Lage, Sicherheitsvorfälle mithilfe ihrer Sicherheitslösungen rechtzeitig zu erkennen“, berichtet Tiho Saric, „Senior Sales Director“ bei Gigamon, in seiner aktuellen Stellungnahme. Diese Zahl, die aus den Ergebnissen der „Hybrid-Cloud-Studie“ von Gigamon (s.u.) stamme, zeigt demnach: „Trotz steigender Investitionsbereitschaft – laut Bitkom fließen mindestens 20 Prozent des IT-Budgets in die Sicherheit – sind Unternehmen noch immer schlecht auf Angriffe vorbereitet.“ Herkömmliche Herangehensweisen in puncto Sicherheit nützten nicht mehr viel gegen die sich rasant weiterentwickelnde Cyber-Kriminalität. Angesichts dieser Bedrohungslage, in der geringere Budgets und KI mittlerweile keine unwichtige Rolle spielten, habe Gigamon CISOs zu ihren Lösungsvorschlägen und Plänen befragt: „Was steht bei ihnen ganz oben auf der Prioritätenliste? Was davon sollten andere CISOs ebenfalls in Betracht ziehen und in ihre Sicherheitsstrategie integrieren, sofern sie an diesen Stellen Lücken aufweisen?“

Foto: Gigamon

Tiho Saric gibt CISOs zu bedenken: Umfassende Sichtbarkeit, „Observability“ und Sicherheit sind direkt miteinander verbunden

1. Tipp für CISOs: „Blindflug verboten: Daten und ihren Inhalt sichtbar machen!“

Bei sogenannten „Blind Spots“ handele es sich um Teile des Netzwerks, welche für IT- und Sicherheitsteams nicht einsehbar seien – und diese vermehrten sich zunehmend. „Unter anderem umfassen sie lateralen ,East-West‘- sowie verschlüsselten Datenverkehr. Hinter letzterem werden heute aktuellen Untersuchungen zufolge 93 Prozent der Malware versteckt.“

Kein Wunder also, dass „Blind Spots“ für 81 Prozent der CISOs als Top-Herausforderung gälten. „Sie sind der Meinung, dass („Cloud“-)Sicherheit stark von der Sichtbarkeit sämtlicher Daten im Netzwerk abhängig ist. Daher hat es sich die Mehrheit von ihnen (84%) zum Ziel gemacht, verschlüsselten Datenverkehr und dessen Inhalte sichtbarer zu machen.“ Für 43 Prozent gelte die Sichtbarkeit des „East-West-Traffics“ ebenfalls als Faktor, „der einen kritischen Beitrag zur Infrastruktur-Sicherheit leistet“.

2. CISO-Tipp: „Alert Overload: Clever in Sicherheit investieren!“

Unsicherheit und vage Versprechen hätten in den vergangenen Jahren dazu geführt, „dass unter anderem auch CISOs massiv in zahlreiche neue Lösungen investiert haben“. Dadurch seien die „Tool Stacks“ stark angewachsen. Gleichzeitig seien auch die mit Datenspeicherung und -management einhergehenden Kosten gestiegen. Dies seien jedoch nicht die einzigen Gründe, welche die Optimierung bestehender Security-Investitionen erforderlich machten.

„76 Prozent der CISOs berichten, dass ihr Team von der steigenden Anzahl an Meldungen überwältigt ist, die all diese Sicherheitslösungen aufgrund von Anomalien und (potenziellen) Angriffen produzieren.“ Infolgedessen liste die Mehrheit von ihnen (62%) die Konsolidierung und Optimierung ihrer Tools als hohe Priorität auf. Ihrer Meinung nach sei dies mitunter eine der effektivsten Strategien, „Blind Spots“ entgegenzuwirken.

3. CISO-Tipp: „Kampf der Titanen: KI gegen KI einsetzen!“

In den Reihen der CISOs mache sich langsam Sorge über den Einfluss breit, den KI künftig auf das Wachstum der globalen Ransomware-Bedrohung haben könnte. „83 Prozent von ihnen gehen dabei von erheblichen Auswirkungen aus.“ KI-Fähigkeiten, wie das effiziente Suchen und Sammeln von Informationen, könnten dazu beitragen, dass sich sogenannte Cybercrime-as-a-Service-Modelle noch weiter ausbreiteten.

Besonders die riesige Anzahl sowie die hohe Qualität der Angriffe, welche der Einsatz von KI ermöglichen könnte, setzten CISOs zunehmend unter Druck. „Diese Entwicklungen unterstreichen die bedeutsame Rolle, die vollumfängliche Sichtbarkeit für eine effiziente Sicherheitsstrategie spielt.“ 46 Prozent entschieden sich deshalb dazu, Gleiches mit Gleichem zu vergelten und auf KI-basierte Sicherheitslösungen sowie Automatisierung zu setzen, um klaffende Sichtbarkeitslücken zu füllen.

4. CISO-Tipp: „Der volle Durchblick: ,Deep Observability’ etablieren!“

Sowohl wachsende „Stacks“ als auch die Ausweitung des gesamten Unternehmensnetzwerks – unter anderem durch „Remote Work“ – stellten CISOs vor eine schwierige Aufgabe. Sie müssten in all dieser zunehmenden Komplexität für Übersichtlichkeit und Ordnung sorgen. „Das geht allerdings nicht, wenn sie keinen Einblick in jeden Winkel ihres Netzwerks haben. Umso wichtiger ist es, vollständige Sicht auf die gesamte Umgebung zu gewinnen.“ Erst dann ließen sich Cyber-Bedrohungen in Echtzeit identifizieren und entschärfen.

Allerdings gäben 70 Prozent der CISOs zu, dass die aktuell bei ihnen im Einsatz befindlichen Sicherheitslösungen, in „Sachen Sichtbarkeit stark eingeschränkt“ seien und wenig Wirkung zeigten. Dies sei wohl einer der Gründe, warum sich die Mehrheit von ihnen (82%) darüber einig ist, dass „Deep Observilibilty“ – also die Fähigkeit, Daten selbst bis hinunter auf Netzwerkebene einzusehen, einschließlich lateralen und verschlüsselten Traffic – heute und in Zukunft essenziell für die („Cloud“-)Sicherheit sei.

CISOs, Vorstands- und Führungsebenen zunehmend mit Erkenntnisgewinn

Saric kommentiert: „Auch wenn Unternehmen aktuell noch Lücken in ihrer Sichtbarkeit aufweisen und somit immer noch nicht so gut auf Angriffe vorbereitet sind, wie sie eigentlich könnten, gibt es einen Silberstreifen.“

Nicht nur CISOs, sondern auch die Vorstands- und Führungsebenen würden nämlich erkennen, dass umfassende Sichtbarkeit, „Observability“ und Sicherheit direkt miteinander verbunden seien. „So berichten 81 Prozent der befragten CISOs, dass ihre Führungsriege das Thema ,Deep Observability’ zum Schutz ihrer Infrastruktur diskutiert – ein großer ,Win’ auf Seiten der Unternehmen.“

Weitere Informationen zum Thema:

Gigamon, 2024
CISO Insights on Closing the Cybersecurity Preparedness Gap / 2024 Hybrid Cloud Security Survey

bitkom, 28.08.2024
Wirtschaftsschutz 2024 / Dr. Ralf Wintergerst / Bitkom-Präsident

HELP NET SECURITY, 06.04.2023
The hidden picture of malware attack trends

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.10.2023
Predictive-Text-Technologien: Veritas gibt CISOs Tipps zu Sicherheit und Datenschutz / Veritas-Stellungnahme soll mit fünf gängigen Missverständnissen aufräumen

datensicherheit.de, 25.09.2023
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz / Die Tipps reichen von KI-gesteuerter Bedrohungsabwehr in Echtzeit bis hin zu verständlicher Kommunikation mit der Vorstandsebene

Von unserem Gastautor Michael Heuer, Vice President DACH bei Proofpoint

[datensicherheit.de, 27.04.2020] Ein bisher wenig beachtetes Bedrohungsszenario tritt langsam in das Bewusstsein der Unternehmen: Immer mehr Unternehmen sehen sich Bedrohungen von innen ausgesetzt. Laut der Studie 2020 Cost of Insider Threats: Global Report, die das Marktforschungsinstitut Ponemon im Auftrag von ObserveIT angefertigt hat, mussten Unternehmen eine Zunahme dieser Angriffe um 47 Prozent gegenüber dem Vorjahr hinnehmen. Dies hat auch finanzielle Konsequenzen. So kosteten diese Attacken je Unternehmen durchschnittlich 11,45 Millionen US-Dollar – ein Anstieg von 31 Prozent innerhalb der letzten zwei Jahre.

Motive und Vorgehensweise unterscheiden sich

Die Motive und das Vorgehen der Angreifer unterscheiden sich hier. Manches geschieht absichtlich, indem Arbeitnehmer ihren Arbeitgeber aus Rache schädigen wollen oder ist finanziell motiviert, wenn beispielsweise unternehmensinterne, vertrauliche Informationen an Wettbewerber weitergeleitet werden. Doch nicht immer ist Vorsatz im Spiel. Auch durch Fahrlässigkeit kann ein Schaden entstehen, indem Mitarbeiter sich etwa nicht an Sicherheitsregeln halten. So kann es auch sein, dass sie sich nicht bewusst sind, dass sie eine Bedrohung darstellen.

Diese Diversität erschwert es den IT-Sicherheitsverantwortlichen, einen bestimmten Typus oder ein genaues Insider-Profil zu definieren und Bedrohungen rechtzeitig zu erkennen und schließlich abzuwehren. Hinzu kommt natürlich, dass interne Angreifer beziehungsweise Risikofaktoren nicht erst in das eigene Netzwerk eindringen müssen, da sie sich bereits innerhalb der Perimeter befinden.

Bild: Proofpoint

Michael Heuer, Vice President DACH bei Proofpoint

Dabei unterscheidet sich der Schaden, der durch Vorsatz entsteht, nicht so sehr von dem, der aufgrund Fahrlässigkeit zu verzeichnen ist. Hier stehen 4,58 Millionen US-Dollar bei Fahrlässigkeit den 4,08 Millionen US-Dollar durch kriminelle Aktivitäten gegenüber. Der Verlust beziehungsweise Diebstahl von Zugangsinformationen wie Kennung und Passwort kostet die befragten Unternehmen weitere 2,79 Millionen US-Dollar. Dabei entsteht der hohe Schaden bei Fahrlässigkeit einfach durch die Häufigkeit der einzelnen Vorfälle, der im Einzelfall aber hier deutlich unter kriminellen oder mutwilligen Vorfällen liegt. Durchschnittlich ist bei den Befragten pro Zwischenfall von einem finanziellen Verlust von 307.111 US-Dollar bei Fahrlässigkeit, 755.760 US-Dollar bei Böswilligkeit und 871.686 US-Dollar bei kompromittierten Konten auszugehen.

Die Kosten, die mit Insider-Bedrohungen verbunden sind, beschränken sich nicht auf den eigentlichen Schaden selbst. Zusätzlich muss ein Unternehmen nach dem Schadensfall noch Einnahmeverluste durch etwaige Betriebsunterbrechungen und außerordentliche Aufwendungen zur Absicherung der IT-Infrastruktur hinzurechnen.

Zwar lassen sich Insider-Bedrohungen, gleich welcher Art, nicht vollständig vermeiden. Jedoch bedeutet das nicht, dass Unternehmen sich in ihr Schicksal fügen müssen. Sie können proaktiv durch Investitionen in intelligente Schutzmechanismen und Mitarbeiterschulungen Zwischenfälle minimieren und auf diese Weise den potenziellen Schaden wirksam kontrollieren.

Kostenstruktur

Die verschiedenen Maßnahmen, die ein Unternehmen für die Abwehr von Insider-Bedrohungen ergreifen kann, belasten das IT-Budget auf unterschiedliche Weise. Sie unterscheiden sich auch darin, wo und wie sie ansetzen. Es gibt hier proaktive Maßnahmen, die sich auf Überwachung und Beobachtung konzentrieren, sowie reaktive, die eine Schadensbegrenzung und -behebung beinhalten. Zu letzter Kategorie zählen auch Analysen, die im Nachgang den Vorgang untersuchen. Sie sind wichtig, da Bedrohungen gründlich untersucht werden müssen, um die Quelle und den Umfang zu bestimmen. Hier werden Eskalations- und Planungssitzungen erforderlich, um alle beteiligten Interessensgruppen zu informieren. Um zukünftigen Angriffen besser begegnen zu können sollte auch eine Reaktionsstrategie definiert werden.

Dies ist mit erheblichen Kosten verbunden. Infolge einer einzigen Insider-Bedrohung geben Organisationen etwa 22.000 US-Dollar für die Überwachung und Beobachtung und 125.000 US-Dollar für die Untersuchung und Eskalation aus. Richtig teuer wird es, wenn es daran geht, den Insider-Angriff einzudämmen. Dies macht mit etwa 211.000 Dollar ein Drittel der Gesamtkosten aus, knapp gefolgt von Abhilfemaßnahmen in Höhe von 147.000 US-Dollar und reaktiven Maßnahmen in Höhe von 118.000 US-Dollar.

Da überrascht es nicht, dass die Ausgaben für Technologie und Arbeitskräfte die beiden größten Kostenkategorien sind, die zusammen fast die Hälfte der Gesamtkosten ausmachen. Darunter fallen Überstunden, zusätzliches Personal, externe Dienstleister sowie Soft- und Hardware, die zur Behebung des Störfalls benötigt werden.

Zusätzlich zum Umfang eines einzelnen Vorfalls kommt ein Schaden für den guten Ruf des Unternehmens. In den letzten Jahren haben in den Vereinigten Staaten beispielsweise sowohl einer der größten Einzelhändler Target als auch der Finanzdienstleister Capital One mit Einbrüchen bei Gewinnen und Verschlechterungen von Bewertungen nach Insider-Attacken kämpfen müssen.

Der wirksamste Weg, solche erheblichen finanziellen Konsequenzen zu vermeiden, besteht darin, das Risiko einer Insiderbedrohung von vornherein zu minimieren. Zwar sind proaktive Maßnahmen auch mit Kosten verbunden, doch ist es immer besser, eine geringere Summe für die Prävention als eine sehr hohe für die Schadensbehebung auszugeben.

Sensibilisierung notwendig

Im neuesten „State of the Phish“-Report von Proofpoint kommen Analysten zu dem Schluss, dass zwar 95 Prozent der untersuchten Unternehmen Schulungsmaßnahmen durchführen, diese aber leider mangelhaft sind. In den meisten Fällen beschränkt sich das Sicherheitstraining auf lediglich drei Stunden im Jahr. Viele Mitarbeiter können sogar die einfachsten Begriffe der Cybersicherheit nicht korrekt zuordnen.

Neben technischen Präventivmaßnahmen, wie der Einführung einer Insider-Threat-Management-Lösung, die Anwenderaktivitäten und Datenbewegungen korreliert, sollten kontinuierliche Sensibilisierungsmaßnahmen der Mitarbeiter Teil der Strategie sein. Diese Schulungsmaßnahmen sollten nicht nur, wie in einer Schule, lediglich Wissen vermitteln. Sie sollten vielmehr interaktive Innentäter bedrohen UnternehmenssicherheitElemente beinhalten bis zu der testweisen Schaffung kritischer Situationen. Hier können Mitarbeiter in einer sicheren Umgebung aus den eigenen Fehlern lernen. Denn Durchlebtes bleibt länger hängen als Gelesenes.

Um den Risiken der Insider-Angriffe wirklich wirksam begegnen zu können, sollten sich IT-Sicherheitsverantwortliche zeitnah mit dieser Thematik beschäftigen – denn frühzeitig erkannte Schwachstellen können budgetschonender behoben werden als IT-Katastrophen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2020
Wie CIOs in der Krise die Produktivität aus der Ferne sichern können

datensicherheit.de, 30.05.2019
Zu weit im Hintergrund: Interne Sicherheitsbedrohungen für Unternehmen

datensicherheit.de, 20.09.2017
Innentäter bedrohen Unternehmenssicherheit

datensicherheit.de, 22.08.2016
Insider-Bedrohungen Hauptursache für steigende Zahl von Datendiebstählen

[datensicherheit.de, 30.04.2016] Im neuesten „Research Report“ folgt IMPERVA nach eigenen Angaben der Infektionskette und den Handlungsabläufen der „CryptoWall 3.0“-Erpressungssoftware im Hinblick auf Zahlungen von Opfern. Diese Lösegeld-Zahlungen häuften sich geradezu zu einer kleinen Anzahl von Bitcoin-Wallets an und gäben so einen Hinweis auf eine gut organisierte Handlung.

Maßgeschneiderte On-Demand-Versionen von Schadsoftware

Das Geschäftsmodell „Ransomware as a Service“ (RaaS) sei ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellten.
Die Autoren der Erpressungssoftware sammelten das Lösegeld ein und teilten es mit dem Zwischenhändler. Dadurch blieben die Autoren von Schadsoftware in ihrer „Komfortzone der Programmierung“ von Software, während Zwischenhändler, die auf Spam, Malvertisement oder „BlackHat SEO“ spezialisiert seien, eine neue Einkommensquelle erschaffen würden, die auf ihren existierenden Plattformen basiere. Im klassischen Geschäftspartner-Marketing bekomme der Besitzer des Produkts den größeren Anteil des Geldes, im RaaS hingegen erhalte der Autor der Erpressungssoftware einen kleinen Anteil (fünf bis 25 Prozent), während der Rest an den Geschäftspartner gehe.

Lösegeldzahlungen per Bitcoin

Der RaaS-Autor bekommt laut IMPERVA das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor werde sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutze. Dieses Modell, das auf „TOR“ und Bitcoins basiere, sei entwickelt worden, um die Identitäten des Autors und des Zwischenhändlers zu verbergen.
Im letzten Jahr seien einige RaaS-Schadsoftwares gesichtet worden. „RaaS Tox“, Mitte 2015 das erste Mal gesichtet, sei der Vorreiter. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt worden seien, habe sich der „Tox“-Autor entschieden, aus dem Geschäft auszusteigen, und versucht, seine Erfindung zu verkaufen. „Tox“ habe es dem Zwischenhändler erlaubt, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Konfiguration der Erpressungssoftware-Parameter

„Encryptor RaaS“ sei eine weitere RaaS, die im Juli 2015 von „Jeiphoos“ veröffentlicht worden sei. Diese erlaube es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds nach Ablauf der Zeitbeschränkung sowie die Anzahl der Dateien, die gratis entschlüsselt werden könnten. Außerdem ermögliche „Encryptor RaaS“ dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwende, das dem Opfer beziehungsweise seinem Betriebssystem vorgaukele, dass die Datenquelle vertrauenswürdig sei, während er viele Endpunkt-Schutzmechanismen komplett umgehe.
Im November 2015 sei eine RaaS mit dem Namen „Cryptolocker“ aufgetaucht. Ein „Cryptolocker“-Autor habe sich selbst als „Fakben“ zu erkennen gegeben und eine Gebühr von 50 US-Dollar vom Zwischenhändler gefordert, um die grundlegende Erpressungssoftware zu bekommen. Dies habe ihm erlaubt, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen.
Eine vierte RaaS, Anfang 2016 aufgekommen und nach wie vor aktiv, sei „Ransom32“ – die erste in „JavaScript“ geschriebene Erpressungssoftware, was es relativ einfach mache, sie an verschiedene Betriebssysteme anzupassen. „Ransom32“ ermögliche es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.
Einige Beispiele seien die vollständige Sperrung des Computers des Opfers bei der Infektion, die Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung, die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt werde, die Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermögliche, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen sei. Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erforderten spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziere die Anzahl an Fähigkeiten, hauptsächlich technischer Art, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig seien.

Keine Rettung ohne zuverlässiges Backup

Vergangenen Februar habe das Hollywood Presbyterian Medical Center berichtet, dass seine EMR-Systemaufzeichnungen verschlüsselt worden seien, verbunden mit einer Lösegeldforderung. Das Krankenhaus habe 17.000 Dollar in Bitcoins bezahlt, um seine Daten freizubekommen und das Tagesgeschäft wieder aufzunehmen zu können. Die Abläufe des Krankenhauses seien eine Woche lang erheblich beeinträchtigt gewesen und einige Patienten hätten verlegt werden müssen.
Die IT der Kommune Lincolnshire County sei in der Lage gewesen, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchgeführt hätten.

RaaS und „Interner Täter“ – ein verhängnisvolles Gespann

Vorsätzlich handelnde Mitarbeiter könnten ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln, warnt IMPERVA.
Darüber hinaus wüssten sie, „wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können“.
Vorsätzlich handelnde Mitarbeiter hätten vor allem finanzielle Interessen und die Nutzung von RaaS in Unternehmen sei einfach, sicher und profitabel. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise interessante Netzwerkfreigaben sowie relevante Referenzen. Es sei denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen.

Weitere Informationen zum Thema:

IMPERVA
HACKER INTELLIGENCE INITIATIVE / The Secret Behind CryptoWall’s Success