Als Aufklärer in Sachen falsch verstandener Cybersicherheit tritt heute silicon.de-Blogger Detlef Eppig, Geschäftsführer Verizon Deutschland auf. Er greift dazu auf den soeben vorgelegten “2016 Data Breach Investigation Report” seines Unternehmens zurück.
Trotz Fortschritten bei der Erkennung von Cyberattacken und der zunehmenden Bedeutung von digitaler Technologie zu Hause und bei der Arbeit, hat die Cyber-Security-Branche es immer wieder mit denselben Fehlern zu tun. Um es auf den Punkt zu bringen: Bei vielen Firmen und Behörden fehlt nach wie vor eine umfassende Sicherheitsstrategie. Der Grund dafür ist recht simpel: Firmen und Behörden lassen sich unverändert von irrigen Annahmen rund um die Cyberkriminalität beeinflussen. Häufig unter der falschen Prämisse, dass die Sicherheitsstrategien früherer Jahre für die heutigen Cyberbedrohungen ausreichen oder dass man schlicht nicht Ziel solcher Angriffe sein könne.
Sollte es jedoch irgendwo kritische Daten von Wert geben, werden sich die Cyberkriminellen dieser Welt dafür interessieren und versuchen, sie in ihre Finger zu bekommen. Letztlich ist niemand immun gegen Cyberkriminalität und je länger eine Firma oder Behörde benötigt, um eine Datenverletzung aufzudecken, umso mehr Zeit haben die Angreifer, die Verteidigungsmechanismen zu überwinden und Schaden anzurichten.
Unser 2016 Data Breach Investigation Report zeigt erneut, dass es so etwas wie ein einbruchsicheres System nicht gibt. Lassen Sie uns daher mit den verbreitetsten Cybermythen Schluss machen:
Mythos Nr. 1: Hacker wählen stets ein Ziel sorgfältig aus und schlagen dann mit einem Zero-Day-Angriff zu
Tatsache ist: Die meisten Angriffe sind opportunistischer Natur, sie erfolgen wahllos und nutzen bekannte Schwachstellen aus. Die Top 10-Schwachstellen machen 85 Prozent des erfolgreichen Exploit-Traffics aus. Die verbleibenden 15 Prozent bestehen aus den 900 häufigsten Schwachstellen und Lücken.
Mythos Nr. 2: Die Angreifer sind schnell. Aber die Guten holen auf
Tatsache ist: Die Kluft zwischen Kompromittieren und Aufdecken wird immer größer. Bei 93 Prozent der Datenverletzungen brauchen die Angreifer nur Minuten oder weniger, um in ein System einzudringen. Hingegen wird vier von fünf Betroffenen erst Wochen oder noch später klar, dass sie angegriffen wurden. In 7 Prozent der Fälle bleibt die Datenverletzung ein Jahr oder länger unentdeckt.
Mythos Nr. 3: Passwörter belegen die Identität autorisierter Nutzer
Tatsache ist: 63 Prozent der bestätigten Datenverletzungen nutzen schwache, standardisierte oder gestohlene Passwörter aus.
Mythos Nr. 4: Phishing-Mails kann man ganz einfach erkennen und ignorieren
Tatsache ist: Phishing hat Konjunktur. 30 Prozent der Phishing-Mails werden tatsächlich geöffnet. Und etwa 12 Prozent der Zielpersonen klicken auf einen entsprechenden Link oder Anhang.
Mythos Nr. 5: Cyber-Spionageangriffe sind weit verbreitet und nehmen zu
Tatsache ist: Geld ist nach wie vor der Hauptgrund für Angriffe. 80 Prozent der analysierten Datenverletzungen hatten finanzielle Motive.
Mythos Nr. 6: Das ist alles viel zu kompliziert. Die Bösen haben gewonnen
Tatsache ist: 95 Prozent der Datenverletzungen sind gerade einmal neun Angriffsmustern zuzuordnen. Sie gilt es zu verstehen, dann können Firmen und Behörden zielgerichtet investieren und ihre Daten effektiver schützen.
Die Wahrheit schmerzt bisweilen, aber Fakten lügen nicht
Viele Unternehmen, die Opfer von Cyberattacken werden, befolgen nicht die grundsätzlichen Sicherheitspraktiken wie etwa Ausweisung kritischer Assets und Daten oder Implementierung strengerer Kontrollen zur Bewältigung von Risiken. Grundlegende Schritte zu ignorieren, kann leicht ins Desaster führen. Ein entsprechendes Bewusstsein ist die erste und beste Verteidigungslinie. Das Fehlen eines grundsätzlichen Bewusstseins in manchen Organisationen ist Garant für den wiederholten Erfolg der Mehrheit von Cyberattacken.