Hacker-Angriffe früher erkennen

Hacker Angriff
Anzeige

Beitrag teilen

In Unternehmen gilt es immer Hacker-Angriffe so früh wie nur möglich zu erkennen. Dabei hilft eine Verhaltensanalyse die „Dwell Time“ erfolgreicher Angriffe zu verkürzen.

In Filmen werden Hacks oft als eine Art digitaler Bankraub dargestellt: Die Hacker durchbrechen die Schutzmechanismen ihres Ziels auf dramatische Weise und haben dann nur wenige Minuten, um die begehrten Daten zu stehlen, während die IT-Sicherheit verzweifelt versucht die Angreifer zu stoppen. Die Realität sieht ganz anders aus, denn tatsächlich machen es sich die Cyberkriminellen meist im Netzwerk gemütlich und verbringen dort mitunter Monate oder Jahre, bevor sie entdeckt werden. Wer so viel Zeit hat, kann natürlich sehr großen Schaden anrichten und die Verweildauer, auf Englisch „Dwell time“ genannt, ist bei der Analyse von erfolgreichen Hacks eine der wichtigsten Indikatoren, um festzustellen, wie schwerwiegend ein Angriff war. In vielen Fällen können bereits wenige Stunden Zugriff zu einer Kompromittierung erheblicher Datenmengen führen.

Anzeige

Angreifer verbringen vor ihrer Entdeckung 56 Tage in der Zielumgebung

In einem kürzlich erschienenen Bericht lag der globale Mittelwert der Dwell Time von Cyberkriminellen vor ihrer Entdeckung bei 56 Tagen. Dieser Wert war zwar deutlich besser als der des Vorjahres, als die Angreifer noch satte 78 Tage Zeit hatten, bevor sie entdeckt wurden. In einigen Fällen blieben Verstöße jedoch mehrere Jahre lang unentdeckt, was für alle Beteiligten schwerwiegende Folgen hatte. Einer der Gründe dafür, dass Angriffe so lange unentdeckt bleiben können, ist die zunehmende Ausdehnung der Netzwerke der meisten Organisationen. Je größer, verstreuter und unorganisierter solche Netzwerke werden, desto leichter fällt es Kriminellen, im Verborgenen zu bleiben. Einmal angekommen, navigieren die Angreifer unentdeckt durch das Netzwerk und scannen und exfiltrieren dabei Daten. Für Unternehmen, die sensible Kunden- oder geheime Forschungsdaten vorhalten, ist es natürlich ein Albtraum sich vorzustellen, dass sich Angreifer Monate oder gar Jahre unerkannt im Netzwerk aufhalten können. Wie schwerwiegend solche lang andauernden Datenlecks für die betroffenen Unternehmen sind, belegen zahlreiche Beispiele.

Der Albtraum der IT-Sicherheit: Jahrelang unentdeckte Angreifer im Netzwerk

Es gibt unzählige Beispiele von Unternehmen, die Opfer von erfolgreichen Hacks wurden, deren Schäden in die Milliarden gingen. Der US-amerikanische Finanzdienstleister Equifax verlor nach Bekanntwerden eines großen Datenlecks 2017 beispielsweise 35 Prozent seines Börsenwerts, musste einen immensen Rufschaden hinnehmen und mehr als eine halbe Milliarde US-Dollar an Strafen bezahlen. Legendär, und in Sachen Verweildauer fast schon unerreicht, ist auch der Fall von Cathay Pacific aus dem Jahr 2018, bei dem 9,4 Millionen Passagierdaten kompromittiert wurden. Cathay Pacific brauchte mehr als sechs Monate für die Untersuchung, die eine Reihe schockierender Enthüllungen aufdeckte: Der früheste bekannte Zeitpunkt des unbefugten Zugriffs auf das Netzwerk war fast vier Jahre alt, nämlich im Oktober 2014. Die Angreifer waren also ganze vier Jahre unentdeckt im Netzwerk! Und als wäre dies für Cathay Pacifics IT-Sicherheit nicht schon peinlich genug, war die Schwachstelle, über die die Angreifer eingedrungen waren, einfach auszunutzen und darüber hinaus sogar längst öffentlich bekannt.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Beide Fälle dienen als Warnungen dafür, was im schlimmsten Fall geschehen kann und als Beispiel, dass der Schaden begrenzt werden kann, wenn die Verletzung der IT-Sicherheit so früh wie möglich erkannt wird. Dabei hat sich längst die Erkenntnis breitgemacht, dass jedes Unternehmen angreifbar und es nur eine Frage der Zeit ist, bis eine Sicherheitsverletzung auftritt. Damit stellt sich die Frage, welche Lösungen und Fertigkeiten die IT-Sicherheit benötigt um diese böswilligen Aktivitäten so frühzeitig wie möglich erkennen zu können.

Fortschrittliche Verhaltensanalyse bietet ein viel besseres Frühwarnsystem

Offenbar ist es um die Fertigkeiten und eingesetzten Lösungen in vielen Unternehmen nicht gut bestellt, wenn Angreifer im Schnitt gut zwei Monate Zeit haben es sich in einer Zielumgebung bequem zu machen. Bei der Aufgabe, Angriffe entweder ganz zu verhindern oder die Verweildauer zu verkürzen, stehen viele Sicherheitsteams auf ziemlich verlorenem Posten. Denn viele gängige Sicherheitslösungen produzieren vor allem eines: Fehlalarme. Um die Flut von Alarmen manuell abzuarbeiten, müssen die Teams viel Zeit aufwenden. Dies lässt, wenn überhaupt, wenig Zeit sich mit dem noch längeren Prozess zu beschäftigen, Angreifer aufzuspüren, die es bereits ins Netzwerk geschafft haben, und diese zu beseitigen.

Eine Technologie, die deutliche effektiver ist als die manuelle Bewertung von Sicherheitswarnungen, ist die Verhaltensanalyse. Sie kann dabei helfen, verdächtige Benutzer- oder Netzwerkaktivitäten effektiver zu identifizieren. Lösungen zu Verhaltensanalyse nutzen bereits bestehende Logs für Sicherheitsvorfälle, was bedeutet, dass sie bereits den vollen Umfang und Kontext der zugehörigen Ereignisdetails kennen. Infolgedessen müssen Sicherheitsanalytiker nicht mehr eine große Anzahl von Ereignisprotokollen durchforsten, um von Hand Zeitleisten für Vorfälle zu erstellen. Durch den Wegfall dieses zeitaufwändigen Prozesses lassen sich potenzielle Sicherheitsverletzungen viel schneller erkennen, wodurch die Sicherheitsteams Angreifern schnell auf die Spur kommen und die Verweildauer der Angreifer praktisch eliminiert wird.

Fazit: Die Analyse des Verhaltens von Benutzern und Entities erkennt Bedrohungen früher

Moderne Datenschutzbestimmungen sind strenger denn je, was bedeutet, dass Unternehmen es sich einfach nicht mehr leisten können, in Sachen Datensicherheit selbstgefällig zu sein. Aber da die Netzwerke heute größer und verstreuter sind als je zuvor, ist es unrentabel geworden, sie mit traditionellen Sicherheitswerkzeugen und manueller Analyse zu schützen. Neue Technologien, wie z.B. die fortschrittliche Verhaltensanalyse, machen die zeitraubende Kleinarbeit, die ältere Tools erfordern, überflüssig, vermeiden Fehlalarme und helfen echte Bedrohungen viel früher zu erkennen.

[starbox id=17]

 

Passende Artikel zum Thema

Angreifer setzen verstärkt auf Datenexfiltration

Cyberkriminelle passen ihre Methoden an, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen, so die Ergebnisse eines aktuellen Threat ➡ Weiterlesen

Cyberattacken: Gefahr für die Lieferkette

Mit dem stetigen Voranschreiten der digitalen Transformation in den letzten Jahren wurden Unternehmen zunehmend abhängig von zahlreichen Partnern und Lieferanten. ➡ Weiterlesen

IT-Sicherheit: In die richtigen Maßnahmen investieren

Deutsche Unternehmen investieren in IT-Sicherheit, wie eine aktuell veröffentlichte Studie zeigt. Die Frage ist nur, ob sie dabei auch korrekt ➡ Weiterlesen

Cyberattacke: MDR senkt extrem den Versicherungsschaden  

Eine Sophos-Untersuchung von 282 Schadensfällen zeigt: Der Wert der Cyberversicherungsansprüche von Unternehmen, die MDR-Dienste nutzen, ist im Durchschnitt 97,5 Prozent ➡ Weiterlesen

Ransomware-Trends: Cybercrime-Szene im Umbruch

Ransomware: Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. ➡ Weiterlesen

KI und ihr noch großer Vorteil in der Cybersicherheit

Gemeinsam mit Chester Wisniewski, Director, Global Field CISO bei Sophos, haben wir diverse Aspekte über den Einsatz von Künstlicher Intelligenz ➡ Weiterlesen

KI-generierter Betrug: Deepfakes, KI-Voices, Fake-Profile verhindern

KIs generieren alles für den Benutzer – auch jede Menge Content für den Betrug, wie Deepfakes, KI-Voices oder Fake-Profile. Nutzer ➡ Weiterlesen

Oracle: Hacker will 6 Mill. Datensätze erbeutet haben

Während Oracle sich über die im Darknet angebotenen Daten weiter in Schweigen hüllt, sollen erste Kunden die Echtheit der Datensätze ➡ Weiterlesen