Die wichtigsten Ursachen von Sicherheitsrisiken

bei

 / 27. May. 2019

Jedes Jahr um diese Zeit informiert Verizon in seinem Data Breach Investigations Report (DBIR) [1] über die neuesten Trends in der globalen Bedrohungslandschaft. Die Ergebnisse des diesjährigen Berichts basieren auf Daten, die mehr als 70 Quellen (darunter Qualys) zu über 41.000 Sicherheitsvorfällen bereitgestellt haben, einschließlich mehr als 2.000 bestätigter Datensicherheitsverletzungen. Die Vorfälle verteilen sich auf eine Vielzahl von Regionen (mehr als 80 Länder) und Branchen.

Der 78-seitige Bericht spricht ein breites Spektrum von Themen an. Im Folgenden fokussiert sich dieser Beitrag auf drei wichtige Fragestellungen:

  • Wer sind die bevorzugten Ziele von Hackern und weshalb?
  • Warum ist es so wichtig, schneller zu werden – sowohl bei der Erkennung von Sicherheitsproblemen wie Schwachstellen oder Kompromittierungen als auch bei der Behebung der Probleme?
  • Wie erhöhen mangelnde Übersicht, menschliche Fehler und durch Nachlässigkeit verursachte Fehlkonfigurationen die Sicherheitsrisiken von Unternehmen?

Wer sind die Opfer?

Fast die Hälfte der Datensicherheitsverletzungen betraf kleine Unternehmen. Dafür kann es mehrere Erklärungen geben. Kleine Unternehmen haben in der Regel eine schwächere Sicherheitsabwehr, weil sie über weniger Ressourcen und technisches Know-how verfügen. Sie sind aber auch deshalb ein attraktives Ziel, weil sie als Teil von Lieferketten Hackern den Weg in die Netzwerke größerer Unternehmen erleichtern können.

Was die verschiedenen Branchen betrifft, wurden Sektoren wie staatliche Einrichtungen, das Gesundheitswesen und der Finanzsektor hart getroffen. Das zeigt deutlich, dass sensible, vertrauliche Daten, die die Akteure in diesen Branchen besitzen, einen hohen Wert für die Angreifer haben, die diese dann wiederum verkaufen oder für umfangreichere Angriffe nutzen.

Zeit bis zur Erkennung, Zeit bis zum Patch

Besorgniserregend ist die Feststellung, dass mehr als die Hälfte der Sicherheitsverletzungen erst nach Monaten aufgedeckt wurden. Dies lässt darauf schließen, dass es den IT- und Sicherheitsteams nach wie vor schwerfällt, einen vollständigen Überblick über IT-Umgebungen zu gewinnen, die digitalisiert werden und somit hybride und immer stärker verteilt sind. Was nicht gesehen wird, kann nicht überwacht, bewertet, verteidigt oder geschützt werden.

Dieses Diagramm verdeutlicht noch einmal die Zeitverläufe bei Datensicherheits-verletzungen:

Abbildung 1: Zeitverläufe bei Datensicherheitsverletzungen, Verizon Data Breach Investigations Report 2019

Es wird deutlich, dass Kompromittierungen und Datendiebstähle eine Sache von Minuten sein können, während bis zur Entdeckung manchmal Tage vergehen, oft aber auch Wochen, Monate oder gar Jahre. Und wenn die Sicherheitsverletzungen dann bemerkt wurden, kostet es Zeit, Mühe und Ressourcen, sie nach so langer Zeit einzudämmen.

Was die Schwachstellen betrifft, werden 50 Prozent innerhalb von 90 Tagen nach ihrer Entdeckung beseitigt und 25 Prozent innerhalb von 30 Tagen. Das mag vielen effizient erscheinen, doch hier ist noch eine Menge Luft nach oben. Besonders, wenn die Schwachstellenbeseitigung eng mit den Maßnahmen zur Erkennung integriert wird.

Die Zeiten sind vorbei, in denen isolierte, punktuelle Lösungen eingesetzt werden, um einzelne IT-, Sicherheits- und Compliance-Probleme zu beheben. Heterogene Produkte, die nicht interoperabel sind, führen zu Verzögerungen und Lücken. Das gilt insbesondere für die Verhinderung von Sicherheitsverletzungen, für die ein integriertes Programm benötigt wird, das Asset-Inventarisierung [2], Schwachstellenmanagement [3] , Priorisierung von Bedrohungen [4] und Patchmanagement [5] umfasst.

Bevorzugte Taktiken

Bei 52 Prozent der Sicherheitsverletzungen wurde eine beliebige Form von Angriffen eingesetzt, während Malware-Infektionen 28 Prozent und Missbräuche durch autorisierte Benutzer 15 Prozent ausgemacht haben. Abgesehen vom Mangel an Sichtbarkeit unterstreichen diese Zahlen auch die Notwendigkeit, die Compliance zu stärken und Fehlkonfigurationen in digitalisierten, hybriden IT-Umgebungen zu reduzieren, die Elemente wie etwa Cloud-Instanzen, Container, herkömmliche Rechenzentren, Remote-Mitarbeiter und mobile Geräte umfassen.

Laut Verizon ist die häufigste interne Bedrohung nicht vorsätzliche Sabotage, sondern ein Mitarbeiterfehler, der ohne böse Absicht geschieht. Laut dem Bericht werden dabei „entweder Server falsch konfiguriert, was unerwünschten Zugriff ermöglicht, oder Daten auf einem Server öffentlich gemacht, zu denen nicht alle Benutzer hätten Zugang haben dürfen.“

Die Dominanz externer Bedrohungen, die 69 Prozent der Sicherheitsverletzungen ausmachen ist ein weiterer besorgniserregender Trend – wobei Ransomware zu den am weitest verbreiteten Bedrohungen dieser Art zählt (bei 24 Prozent der Vorfälle eingesetzt). Dies unterstreicht die Wichtigkeit eines leistungsstarken Programms für Schwachstellen- und Fehlerbehebungsmanagement, damit die Angriffsfläche verringert wird. Um Sicherheit und Reaktionsgeschwindigkeit zu erhöhen, ist es sinnvoll einen Schwerpunkt auf folgende Aspekte zu legen:

  • Priorisierung der Abhilfemaßnahmen [6], damit die kritischsten Bedrohungen für das eigene Unternehmen sofort erkannt und behoben werden können
  • abteilungsübergreifend verteilte, dynamische Dashboards, um das Situationsbewusstsein zu stärken
  • und transparente Automatisierung über alle Plattformen des IT- und Sicherheitsbetriebs hinweg.

Ein weiteres Ergebnis, das die Bedeutung eines starken Schwachstellenmanagement-Programms deutlich macht, ist, dass die Ausnutzung von Schwachstellen an dritter Stelle der beliebtesten Hacking-Techniken rangiert und dass der primäre Vektor für Hacker-Aktionen Webanwendungen [7] sind.

Ein Schlüssel zur effektiven Priorisierung liegt in der Fähigkeit, Erkenntnisse zu Cyberbedrohungen zu verarbeiten und Kriterien wie die Ausnutzbarkeit einer Schwachstelle, Verfügbarkeit eines Patches und andere Echtzeitindikatoren für Bedrohungen heranzuziehen und mit vorhandenen Schwachstellendaten zu korrelieren.

Außerdem hebt der DBIR auch hervor, wie wichtig die Einhaltung von Richtlinien ist. Beispielsweise nennt er als die drei häufigsten Ursachen für die große Mehrzahl der Sicherheitsverletzungen den Missbrauch von Berechtigungen, eine falsche Handhabung von Daten und nicht genehmigte Workarounds: drei Synonyme für mangelnde Compliance.

Compliance wird oft als das Letzte angesehen, was bei implementierten Projekten noch zu tun ist. Der richtige Ansatz wäre dagegen, die Erfassung und Verarbeitung von IT-, Sicherheits- und Compliance-Daten von Anfang an in Einklang zu bringen. Auf diese Weise kann eine einheitliche Datenbasis („Single Source of Truth“) geschaffen, bei der Daten aus mehreren Perspektiven visualisiert werden – je nachdem, wer von ihnen Gebrauch macht. Dies erleichtert es auch, Konfigurationsfehler zu reduzieren.

Fazit

Es ist Zeit, dass Unternehmen zu soliden Grundlagen für Sicherheit und Compliance zurückkehren. Beginnend mit einem ständig aktualisierten IT-Asset-Inventar und der umfassenden Erkennung von Schwachstellen und Fehlkonfigurationen. Weiterführend mit der Priorisierung von Abhilfemaßnahmen, indem die Indikatoren für Cyberbedrohungen mit vorhandenen Assets und deren Schwachstellen korreliert werden. Sehr wichtig ist außerdem ein integriertes Patchmanagement-Programm, damit anfällige Assets schnell abgesichert werden können.

Sämtliche Assets – also nicht nur On-Premises-Systeme – müssen abgedeckt werden: mobile Geräte, Cloud-Workloads, containerisierte Anwendungen, DevOps-Pipelines, IoT-Systeme und Betriebstechnik (OT). Nur so kann eine umfassende IT-Security gewährleistet werden.

Quellen und Referenzen

[1] https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

[2] https://www.qualys.com/apps/asset-inventory/

[3] https://www.qualys.com/apps/vulnerability-management/

[4] https://www.qualys.com/apps/threat-protection/

[5] https://www.qualys.com/apps/patch-management/

[6] https://www.qualys.com/apps/threat-protection/

[7] https://www.qualys.com/apps/web-app-scanning/

 

Marco Rottigni ist seit knapp 30 Jahren in der IT und 20 Jahren im Security-Bereich verankert. Der Vertriebsingenieur arbeitete für viele Unternehmen wie Esker, SCO, Stonesoft, McAfee und leitete viele europäische Teams und Projekte. Seit 2018 ist er Chief Technical Security Officer EMEA bei Qualys.