tashatuvango - Fotolia

Europäische Unternehmen entdecken Cyberangriffe erst sehr spät

Es vergehen im Durchschnitt 469 Tage bis Firmen in der Region EMEA das Eindringen von Hackern bemerken. Der weltweite Wert liegt bei 146 Tagen.

Dies sind Ergebnisse des aktuellen M-Trends-Reports von Mandiant für die Region EMEA. Mandiant ist ein Tochterunternehmen des Sicherheitsanbieters Fireeye. Die Daten für diesen Bericht hat Mandiant aus seinen Untersuchungen in Unternehmen gesammelt und erstmals in einem gesonderten Report für die Region EMEA (Europa, Naher Osten und Afrika) ausgewiesen. Allerdings werde man meist erst gerufen, wenn das Kind bereits in den Brunnen gefallen ist, sprich ein Cyberangriff schon stattgefunden hat.

Wie eingangs erwähnt, würden Unternehmen in dieser Region durchschnittlich 469 Tage benötigen, um das Eindringen von Hackern zu bemerken. Die Diskrepanz zum weltweiten Durchschnitt von 146 Tagen erklärt Mandiant insbesondere mit dem besonders guten Ergebnis der USA. So habe die Erkennung von derartigen Bedrohungen dort bereits einen viel höheren Stellenwert in Unternehmen.

Angreifer bleiben meist unbemerkt

Zudem würden sich viele Unternehmen (88 Prozent) in EMEA ausschließlich auf interne Abwehrressourcen verlassen. Sicherheitsrelevante Events würden häufig nicht überwacht. Zu den internen Abwehrressourcen zählen unter anderem Antiviren-Lösungen, Firewalls, oder Schutzmaßnahmen vor DDoS-Angriffen. Angreifer würden sich aber häufig VPN-Zugängen, Web Shells oder auch Backdoors bedienen, um Zugang zum Netzwerk zu erlangen. Ist der Angreifer erst einmal im Netzwerk, bleibt er meist unbemerkt. Ungewöhnliche Vorkommnisse beim internen Netzwerkverkehr würden nur selten überwacht.

So würden Angreifer versuchen an Domänen- oder Administrator-Zugänge zu gelangen, um dann ihre Ziele zu verfolgen. Mit offiziellen Zugangsdaten versehen, können sich die ungebetenen Gäste meist gut tarnen. Um länger unentdeckt zu bleiben, wechseln die Übeltäter während des Angriffs häufig zu Remote-Access-Lösungen beziehungsweise VPNs. Die zuvor verwendete Malware sei zudem meist erst sehr individuell vor dem Angriff geschrieben beziehungsweise angepasst worden, so dass traditionelle Erkennungsmechanismen kaum eine Chance hätten. Nachdem Wechsel zu einem Remote-Zugang würde die Malware darüber hinaus inzwischen auch oft wieder entfernt. Sind die Täter einmal im Netzwerk würden sie sich meist erst einmal „umsehen“, um sich einen Überblick über die vorhandenen Server in einer Domäne oder etwa die Freigaben zu verschaffen.

Verwendung regulärer Zugangsdaten

Bei seinen forensischen Untersuchungen hat Mandiant festgestellt, dass Angreifer durchschnittlich 37 Nutzer-Accounts und sieben Administrator-Zugänge während eines Einbruchs verwendet haben. Das durchschnittliche Datenvolumen, dass Unternehmen bei den untersuchten Vorfällen abhanden gekommen sei, beziffert Mandiant mit 2,6 GByte.

Bei den untersuchten Vorfällen seinen unterschiedliche Angriffsvektoren zum Einsatz gekommen, darunter besonders bevorzugt: Spear-Phishing, Social Engineering und Angriffe auf Web-Server.

Fireeye Attack Lifecycle
Abbildung 1: Angreifer sind in der Regel mit regulären Zugangsdaten und auch Zugängen unterwegs, demzufolge bleiben sie relativ lange unerkannt. Einmal im Netzwerk wird oft nach weiterreichenden Rechten gesucht – der Lebenszyklus einer Attacke.

Und anders als im weltweiten Durchschnitt sieht es in der Region EMEA laut Mandiant noch nicht besonders rosig aus, was die Unterstützung durch Behörden angeht. Dies würde sich zwar ändern, da der Schutz entsprechender Infrastrukturen zunehmend als staatliche Aufgabe wahrgenommen werde. Es sei für Unternehmen heute zudem schwierig geworden, entsprechende sicherheitsrelevante Vorfälle geheim zu halten. Gründe hierfür seien zunehmend Meldepflichten wie auch eine größere mediale Öffentlichkeit für Themen wie Datenklau und Hackerangriffe.

„Da die Motive hinter den Angriffen von Industriespionage über Medienpräsenz bis hin zu Markenschädigung reichen, sind solche Bedrohungen nicht mehr nur ein Fall für die IT-Abteilung, sondern auch für die Vorstandsebene,” so Jan Korth, Director of Mandiant Security Consulting Services (DACH), FireEye. „Viele Unternehmen müssen sich von der traditionellen Vorgehensweise verabschieden, auf Vorfälle nur zu reagieren. Andernfalls wird sich die Verweildauer der Angreifer nicht schnell genug verkürzen. Das, und die Tatsache, dass die CERT-Fähigkeiten und -Mandate einiger Regierungen in EMEA unterschiedlich ausgereift sind, führen dazu, dass Unternehmen unter dem gewaltigen Druck stehen, Gefahren selbst erkennen zu müssen.“

Den vollständigen M-Trends Report 2016 von Mandiant können interessierte Anwender, Admins und Sicherheitsverantwortliche hier herunterladen.

 Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close