Der Report stützt sich auf Untersuchungen von mehr als 450 weltweiten Datenschutzverletzungen, mehr als 2.500 Penetrationstests, über neun Millionen Angriffe auf Webapplikationen, über zwei Millionen Netzwerk- und Vulnerability-Scans, über fünf Millionen schädliche Websites, über 20 Milliarden E-Mails und umfangreiche Forschungen und Analysen von Zero-Day Bedrohungen. Alle Informationen basieren auf eigens von Trustwave erhobenen Daten, die durch Experten untersucht wurden, und nicht auf Studien Dritter.
Eindringlinge werden spät entdeckt
Die Ergebnisse zeigen, dass im Jahr 2012 beinahe jede Branche, jedes Land und jegliche Arten von Daten in irgendeiner Art Angriffen ausgesetzt war. Die Menge der Cybersecurity-Bedrohungen nimmt in der gleichen Geschwindigkeit zu, in der Unternehmen Schutzmaßnahmen implementieren. Angriffe wurden in 29 Ländern entdeckt. Der größte Anteil, 34,4 Prozent, stammte aus Rumänien. Zum beliebtesten Angriffsvektor wurden Applikationen. E-Commerce-Seiten wurden am häufigsten angegriffen und machen 48 Prozent der untersuchten Fälle aus.
64 Prozent der angegriffenen Organisationen benötigten mehr als 90 Tage, um Eindringlinge zu bemerken. Durchschnittlich waren dazu 210 Tage nötig, was 35 Tage mehr als im Jahr 2011 sind. Fünf Prozent benötigten mehr als drei Jahre, um kriminelle Aktivitäten zu bemerken. Die Mehrzahl der angegriffenen Organisationen sind immer noch darauf angewiesen, dass Dritte, Kunden, Strafverfolgungsorgane und Regulierungsstellen sie darauf hinweisen, wenn eine Sicherheitsverletzung stattfand. Die ist ein weltweites Phänomen.
Einfach zu erratende Passwörter
Untersucht wurden auch mehr als drei Millionen Passwörter. 50 Prozent der Anwender in Unternehmen setzen immer noch auf einfach zu erratende Begriffe. Am häufigsten wird „Password1“ genutzt, da es oft die Mindestvoraussetzungen akzeptierter Passwörter erfüllt. Hier zeigt sich, dass vor allem Angestellte den Angreifern Tür und Tor öffnen: Ob aus Mangel an Wissen oder aus mangelnder Durchsetzung von Richtlinien – Mitarbeiter wählen schwache Passwörter, klicken Phishing Links und teilen Firmeninterna auf Social Media oder anderen öffentlichen Plattformen.
Die Menge an Spam ging 2012 zurück, macht aber immer noch 75,2 Prozent der eingehenden E-Mails eines Unternehmens aus. Zudem sind zehn Prozent aller Spams schädlich. Unternehmen scheinen verstärkt die IT an Drittanbieter auszulagern. In 63 Prozent der untersuchten Fälle waren Drittanbieter, die mit den Support, Entwicklung und Wartung betraut waren, verantwortlich für Sicherheitslücken, die ohne großen Aufwand von Hackern ausgenutzt werden konnten. Die zwei häufigsten Methoden, in ein System einzudringen, waren SQL Injection und Remote Zugriff, die 73 Prozent der Eindringlinge im Jahr 2012 nutzen.
Malware-Angriffe meist aus Russland und de USA
Bei den 450 in 2012 untersuchten Fällen konnten die 40 verschiedene Malware-Arten sechs kriminellen Vereinigungen zugeordnet werden. Drei dieser Teams verursachten den Großteil der Sicherheitsverletzungen bei Kreditkarten. Die meisten Malware-Angriffe stammen aus Russland und den USA und machen dabei 39,4 Prozent und 19,7 der gehosteten Malware aus. „Unternehmen sollten einen Augenblick innehalten und Ihre Sicherheitsstrategie überdenken“, kommentiert Werner Thalmeier, Vice-President Product Management bei Trustwave. Alle Entwickler, besonders die aus dem Bereich E-Commerce, sollten eine Sicherheitsstrategie entwerfen, die auch gründliche Schulungen für sie und die Angestellten beinhalten.
Sicherheitsempfehlungen für 2013
Um den Sicherheitsstandard zu verbessern, empfiehlt Trustwave Unternehmen für 2013 die folgenden sechs Punkte:
1. Mitarbeiter schulen. Die Mitarbeiter sind die erste Verteidigungslinie gegen Angreifer. Unternehmen sollten für alle bestehenden und neuen Mitarbeiter regelmäßige Schulungen für das Sicherheitsbewusstsein anbieten.
2. Anwender identifizieren. Jede von Anwendern initiierte Aktion sollte einer bestimmten Person zugeordnet werden, ganz gleich ob in einer physikalischen oder digitalen Umgebung. Jedes Jahr kommt es einer erheblichen Anzahl an Sicherheitsverletzungen, da sich Angreifer Zugang zu einem Benutzerkonto verschaffen.
3. Geräte registrieren. Mit dem Zuwachs an Bring-Your-Own-Device (BYOD) ist es wichtiger denn je, alle berechtigen Geräte in vollständigen Inventarlisten und Registern zu erfassen. Ein Gerät sollte niemals Zugang zu einem kontrollierten Netzwerk haben, es sein denn, es ist registriert und bekannt. Darüber hinaus sollten die Patch-Levels und die Schwachstellen regelmäßig ausgewertet werden. Nicht nur, um die Sicherheit in diesen Umgebungen zu verbessern, sondern auch um die Risiken zu verstehen die auftreten, wenn Probleme nicht rechtzeitig gelöst werden können.
4. Daten schützen. Angriffe sind raffinierter als jemals zuvor und um Cyberkriminelle aus dem Netzwerk zu halten, bedarf es eines mehrdimensionalen Ansatzes. Unternehmen sollten für die Sicherheit einen Ansatz implementieren, der „mehr als nur eine Technologie“ umfasst. Dazu zählen Team-Trainings und Schulungen, sichere Codebewertung und regelmäßige Penetrations- und Schwachstellentests für E-Commerce Web-Anwendungen. Des-weiteren sind Methoden nötig, um Daten über ihren gesamten Lebenszyklus zu verwalten, von der Entstehung bis zur Aussetzung. Ebenso sollten Unternehmen die Widerstandsfähigkeit von Systemen steigern. Dies gelingt durch bewährte Technologien wie eine leistungsfähige Secure WebGateway und einer Web Application Firewall. Diese verbessern Sicherheit und Performance von geschäftskritischen Anwendungen und sollten virtuellen Patching-Funktionen zur Bekämpfung von Bedrohungen in Echtzeit bieten.
5. Änderungsprotokolle vereinheitlichen. Heute behandeln die meisten Unternehmen die Kontrolle von physikalischer Sicherheit und IT-Sicherheit getrennt. Badge-Systeme, Personaldaten und sogar Schadensvermeidung sind typischerweise nicht mit demselben Team verknüpft, die auch Firewalls, Intrusion Detection und anderen Sicherheitstechnologien überwachen. Unternehmen sollten Technologien wie Security Information und Event Management (SIEM) nutzen, um die Verarbeitung dieser Protokolle zu übernehmen.
6. Events visualisieren. Das oberste Ziel von Unternehmen sollte es sein, eine Umgebung zu schaffen, in der Sicherheitsbedrohungen sowohl von den verantwortlichen Sicherheitsexperten als auch von anderen im Unternehmen entdeckt werden. Die Visualisierung von Sicherheitsevents erlaubt es Unternehmen, Muster zu erkennen, Schwachstellen und Angriffen entgegenzuwirken und schnell und entschlossen im gesamten Unternehmen auf Attacken zu reagieren. Mit dem Einsatz der richtigen Datenquellen, fortschrittlichen SIEM-Analysen und Datenmodellierung rüsten die visualisierten Sicherheitsevents die Unternehmen bestens aus, um effektiv die aktuellen und zukünftigen Bedrohungen zu mindern.