Die meisten Unternehmen haben keinen Incident-Response-Plan

Laut einem Report von NTT Com Security sieht es mit der Notfallplanung in Unternehmen für den Fall eines Hacker-Angriffs sehr schlecht aus.

NTT Com Security hat die Ergebnisse des aktuellen Global Threat Intelligence Report (GTIR) vorgestellt. Für den GTIR sammelt das Unternehmen weltweit Daten von Angriffen, basierend auf Informationen aus Logs, Events, Attacken und Schwachstellen von Kunden sowie aus NTT-Quellen wie Honeypots und Sandboxes. Laut NTT Com Security wurden dazu Informationen aus Billionen von Logs und aus über sechs Milliarden Logs im gesamten Jahr 2014 ausgewertet.

Auch NTT Com Security kommt im GTIR zum Schluss, dass die Zahl der Cyberangriffe weltweit steigt. Incident-Response-Maßnahmen zur Abwehr von Attacken waren deshalb 2014 öfter (52 Prozent) in betroffenen Organisationen notwendig, als im Vorjahr (43 Prozent. Allerdings haben 74 Prozent der von NTT beratenen Unternehmen keine Richtlinien oder Prozeduren für die Abwehr von Angriffen, 2013 waren noch 77 Prozent ohne Incident-Response-Plan. Die große Mehrheit aller Unternehmen ist daher nicht in der Lage, einen Angriff erfolgreich abzuwehren, so NTT Com Security. Mit entsprechenden Maßnahmen und Prozessen könne die Auswirkung eines Vorfalls aber um 95 Prozent reduziert werden. 

Angriffe nach Branche. (Quelle: NTT Com Security)Angriffe nach Branche.

Die Haupterkenntnisse des GTIR 2015 im Überblick:

  • 56 Prozent der Attacken auf die weltweite Kundebasis von NTT kamen aus den USA.
  • Der Finanzsektor ist das Hauptangriffsziel mit 18 Prozent Anteil an den entdeckten Attacken.
  • Angriffe zielen vor allem auf einen bestimmten Dienst ab (30 Prozent), versuchen Netzwerke zu manipulieren (20 Prozent) oder richten sich gegen eine bestimmte Anwendung (11 Prozent).
  • Die Injection-basierten Attacken auf Web Applikationen haben zugenommen. 26 Prozent der analysierten Angriffe versuchten Schadcode in Schwachstellen einzuschleusen.
  • Angriffe auf Web-Applikationen sind vor allem Security Mis-Config (16 Prozent), XSS (13 Prozent) und Injection-basiert (12 Prozent).
  • Incident-Response-Maßnahmen infolge Malware sind global von 43 auf 52 Prozent gestiegen.
  • Vorkommnisse mit Malware sind im Bildungssektor dagegen von 42 Prozent auf 35 Prozent gesunken.
  • Angriffe auf Geschäfts- und professionelle Services haben von 9 auf 15 Prozent zugenommen.
  • 76 Prozent der 2014 identifizierten Schwachstellen in allen Systemen in Unternehmen waren mehr als zwei Jahre alt, fast neun Prozent davon sogar über zehn Jahre.

Der Global Threat Intelligence Report 2015 ist bei NTT Com Security hier kostenlos nach Registrierung erhältlich.

Interview mit Dr. Matthias Rosche zum GTIR 2015

NTT Com Security ist ein weltweites Unternehmen für Informationssicherheit und Risikomanagement. Das Angebot umfasst Managed Security, Unternehmensinfrastruktur und Dienstleistungen für Beratung und Technologieintegration. Das Unternehmen ist Teil der NTT Communications Group, einem der größten Telekommunikationsunternehmen der Welt.

Dr. Matthias Rosche, Director Solutions & Strategic Accounts bei NTT Com Security.Dr. Matthias Rosche, Director Solutions & Strategic Accounts bei NTT Com Security.

SearchSecurity.de hat Dr. Matthias Rosche, Director Solutions & Strategic Accounts bei NTT Com Security während der Information Security World 2015 zu den Ergebnissen des Global Threat Intelligence Report 2015 befragt.

Herr Dr. Rosche, die Daten für den Report wurden weltweit erhoben. Gibt es signifikante Unterschiede zu den Einzelergebnissen für Deutschland? Beispielsweise sind laut GTIR 2015 in Deutschland 25 Prozent der Angriffe auf den Finanzsektor gerichtet, weltweit waren es dagegen nur 18 Prozent.

Das sind keine dramatischen Unterschiede, auch wenn es Abweichungen um ein paar Prozentpunkte gibt. Wir haben in Deutschland eine etwas andere Situation aufgrund unserer Industriestruktur. Hier gibt es überproportional viele Technologieunternehmen mit entsprechendem Know-how, das für Angreifer ein lohnendes Ziel ist. Wir beobachten auch unabhängig vom Report, dass diese Firmen ein interessantes Angriffsziel sind. Im Finanzbereich treten aber die gleichen Probleme auf, wie wir sie auch in anderen Staaten finden.

Sind mittelständische Firmen stärker bedroht als Enterprise-Unternehmen?

Es ist eine Frage inwieweit sich diese Unternehmen dem wirklich stellen beziehungsweise inwieweit sie sich dessen bewusst sind. Gerade die dedizierten Angriffe, die Targeted Attacks, bekommt man durch eine solche Statistik nicht mit. Das sind auch ganz wenige verglichen mit der Vielzahl von Broadcast-Attacken auf eine große Anzahl von Zielen. Das gefährliche dabei ist, dass man die wirklich kritischen Sachen in dem Volumen dieser Attacken schlecht identifizieren kann. Die Kunden der NTT Com Security sind Enterprise-Unternehmen, die in der Regel mit gezielten Attacken angegriffen werden. Der Report wird aber mit den Daten aus der Infrastruktur der gesamten NTT Group erstellt. Dort finden Sie die ganze Bandbreite, das beinhaltet in Deutschland von der Anzahl her natürlich mehr mittelständische Unternehmen als beispielsweise in Asien.

Zielgerichtet Angriffe oder APTs werden in dem Report aber nicht berücksichtigt, warum?

Ich bezeichne APTs als unbekannte Angriffe. Wenn man etwas an den Internetkontenpunkten analysiert, dann funktioniert das in der Regel mit bekannten Angriffen. Unbekannte Pattern sind da erst einmal schwierig zu erkennen, zumal die erst dann sichtbar werden wenn die Infektion erfolgt ist und die erste Aktion stattfindet.

Der Report basiert auf Informationen, die Sie über Ihre Netzwerkinfrastruktur und Dienstleistungen gesammelt haben. Da müssten doch auch Daten zu APTs vorhanden sein?

Dazu müsste man entsprechend APT-relevante Tools auswerten, die wiederum herstellerspezifisch sind. Man bekommt natürlich im Nachgang „ehemalige APTs“, sprich dann bekannte Pattern, aber nicht zu dem Zeitpunkt an dem sie noch unbekannt für die entsprechenden Engines sind. Das ist auch das größte Problem der Security-Branche. Das gesamte signaturbasierte Erkennungsverfahren wird ad absurdum geführt. Die neuste Generation von polymorphen Angriffen ändert innerhalb von Sekunden ihre Signaturen beziehungsweise Pattern. So wird es fast unmöglich noch mit Signaturen zu arbeiten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

 

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close