Cyberangriff: Elf Tage Entdeckungszeit sind leider zu lang
Elf Tage dauert es durchschnittlich, bis ein Cyberangriff entdeckt wird – so eine Studie des Security-Anbieters Sophos. Vor ein paar Jahren waren es noch rund 200 Tage. Cyberkriminelle fliegen heute also viel früher auf. Ist das eine gute Nachricht? Ganz und gar nicht, erklärt Wolfgang Kurz, Geschäftsführer von indevis.
Manch einer mag aufgeatmet haben, als er die Zahl gelesen hat: Elf Tage bis zur Entdeckung eines Cyberangriffs – ist das nicht schnell? Das zeigt doch, dass Unternehmen ihre Detection & Response erheblich verbessert haben und die modernen Security-Maßnahmen greifen. Schön wäre es ja, doch leider ist das ein Trugschluss.
Denn dass Cyberkriminelle heute viel früher auffliegen als noch vor ein paar Jahren, bedeutet schlichtweg: Sie haben ihr Geschäftsmodell geändert. Ging es damals noch hauptsächlich darum, möglichst lange unerkannt zu bleiben, um Netzwerke auszuspionieren und Daten zu stehlen, dominiert heute die Jagd nach dem schnellen Geld.
Und das lässt sich in Hacker-Kreisen am besten verdienen, indem man Systeme verschlüsselt und die Opfer erpresst. Dafür reichen elf Tage locker aus. Warum also unnötig Zeit verschwenden? Je schneller man ans Ziel kommt, desto eher klingelt die Kasse. Nach erfolgreicher Arbeit kann man also ruhig zur Monetarisierung übergehen und sich zu erkennen geben.
Cyberangriffe erfolgen professionell, automatisiert und arbeitsteilig
Ransomware-Attacken sind für Cyberkriminelle ein lukratives Business. Sie lassen sich heute hochautomatisiert mit wenig Aufwand durchführen und sind häufig erfolgreich. Man braucht dafür noch nicht einmal besondere Hacking-Kenntnisse. Wer die entsprechende kriminelle Energie mitbringt, kann im Darknet vorgefertigte Malware-Module erwerben.
Jetzt fehlt nur noch ein geeignetes Ziel – und auch das gibt es in einschlägigen Foren zu kaufen. Mittlerweile hat sich im Untergrund eine regelrechte Ransomware-Branche etabliert, in der sich Spezialisten die Arbeit teilen. Die einen entwickeln die Schadsoftware, die anderen spähen lukrative Opfer aus und legen versteckte Zugänge, die sie weiterverkaufen.
Den eigentlichen Verschlüsselungsangriff führt dann wieder ein anderer aus. Dabei haben die Täter großes Interesse daran, dass das Opfer das Lösegeld auch bezahlt. Daher setzen sie ihre Forderung meist so an, dass sie in etwa zehn Prozent der Wirtschaftsleistung entspricht. In der Regel ist das eine Summe, die ein Unternehmen aufbringen kann.
Nach erfolgreichem Zahlungseingang bieten manche Ransomware-Akteure sogar Support per Chat an, um bei der Entschlüsselung zu unterstützen. Schließlich wäre es geschäftsschädigend, wenn man in Verruf käme, dass die Wiederherstellung nicht funktioniert.
Unternehmen müssen in der Angriffserkennung schneller werden
Dank dieser Professionalisierung können Cyberkriminelle heute viel schneller zuschlagen. Die Wertschöpfungskette bis zur erfolgreichen Erpressung oder zum Verkauf der erbeuteten Daten ist erheblich kürzer geworden als noch vor ein paar Jahren. Für Security-Verantwortliche bedeutet das: Auch sie müssen schneller werden und ihre Angriffserkennung verbessern.
Vor diesem Hintergrund sind elf Tage also keine gute Nachricht – vielmehr erhöhen sie den Druck. Doch selbst mit modernster Security-Technologie wie einem SOAR (Security Orchestration, Automation and Response) sind die wenigsten Unternehmen in der Lage, Cyberangriffe rechtzeitig zu erkennen und einzudämmen. Denn solche Systeme sind hochkomplex und sehr aufwändig.
Man muss sie nicht nur richtig aufsetzen, sondern auch kontinuierlich managen und ihre Warnmeldungen stetig überwachen, verstehen und zügig auswerten. Das erfordert viel Zeit und Experten-Know-how. Beides ist angesichts des Fachkräftemangels rar.
Ein eigenes SOC (Security Operations Center) und SOAR lohnt sich für Unternehmen in der Regel nicht. Aufwand und Kosten sind zu hoch. Günstiger und sicherer ist es, Managed Detection & Response (MDR) als Service zu beziehen. Externe Spezialisten betreiben dann das SOAR und kümmern sich um das Monitoring und die Analyse.
Sie können nicht nur Bedrohungen schneller erkennen, sondern auch feststellen, wie sich ein Angreifer bisher im Netzwerk bewegt hat und welche Systeme betroffen sind. So lassen sich diese isolieren, bevor es zur Verschlüsselung kommt. Nur wenn das gelingt, sind elf Tage auch wirklich eine gute Nachricht.
Bis ein Unternehmen einen Cyberangriff bemerkt, dauert es im Durchschnitt 200 Tage
Bis ein Unternehmen einen Cyberangriff bemerkt, dauert es im Durchschnitt 200 Tage Viele Schweizer Firmen sind von Cyberattacken betroffen, doch die Abwehr steckt noch in den Kinderschuhen
Je mehr Funktionen in einem Unternehmen miteinander vernetzt sind, desto verletzlicher wird es. (Bild: Chris Ratcliffe / Bloomberg)
Die Schweiz ist bisher von externen Angriffen auf die Rechnernetze von Unternehmen und Organisationen, sogenannten Cyberattacken, ziemlich verschont geblieben. Grossattacken, bei denen ganze Organisationen lahmgelegt oder riesige Summen erbeutet wurden, gab es bis anhin nicht – oder zumindest drang davon nichts an die Öffentlichkeit. Das grosse mediale Echo auf den Erpressungsangriff durch «Wanna Cry» vor wenigen Wochen täuscht über den vergleichsweise geringen Schaden hinweg, den er anrichten konnte. Trotzdem ist in Sachen Cybersicherheit auch die Schweiz kein Paradies, wie die jüngste Untersuchung von KPMG belegt. Die Resultate lassen aufhorchen, denn die Zahl der Angriffe dürfte nicht nur grösser sein als angenommen, sondern wegen der Digitalisierung der Geschäftsprozesse tendenziell zunehmen.
Noch immer Einschränkungen: Ein Monat nach dem Cyberangriff auf die IHK
Bis alle Industrie- und Handelskammern deutschlandweit wieder voll funktionsfähig arbeiten können, werde es noch einige Wochen dauern", teilte deren IT-Servicedienstleister IHK-GfI am Donnerstag mit.
Essenzielle Services würden aber bereits kurzfristiger wieder zur Verfügung gestellt oder seien bereits verfügbar: So seien die Websites der meisten IHK inzwischen wieder online und 47 der insgesamt 79 Industrie- und Handelskammern (Stand 6. September) wieder per E-Mail erreichbar. Auch die wesentlichen internen Anwendungen stünden zur Verfügung.
Der am 3. August entdeckte Angriff habe zwar durch das Trennen aller IHK vom Internet abgewehrt werden können, die Software-Anwendungen und IT-Systeme der IHK würden aber nur nach intensiver Prüfung schrittweise hochgefahren, erklärte die IHK-GfI. Grund ist die Sorge vor weiteren Attacken.
"Hinter dem Cyber-Angriff stecken nach Erkenntnissen der IT-Forensiker und des Bundesamts für Sicherheit in der Informationstechnik extrem professionelle Hacker", heißt es in der Mitteilung der IHK-GfI. Der Angriff sei von langer Hand vorbereitet worden. Die Vorgehensweise der Hacker deute auf Spionage oder Sabotage als Zweck hin. Ein finanzielles Motiv sei aber noch nicht auszuschließen. (dpa/rs/rw)