Der zum neunten Mal erschienene Verizon Data Breach Investigations Report (DBIR) ist die wohl umfassendste Untersuchung von weltweiten Datenlecks. Das Fazit der Autoren des aktuellen Reports: Es hat sich wenig getan in den letzten Jahren.

Weiterhin stehen sämtliche Industriesektoren im Visier von Angreifern – wenngleich der Löwenanteil der Attacken Organisationen im Finanzsektor aufs Korn nimmt – und auch Behörden werden im gleichen Maß attackiert. Gut 90 Prozent aller untersuchten Datenpannen hatten eine finanzielle Motivation. Zudem räumt der DBIR mit dem Mythos auf, dass ein respektabler Teil der Attacken von Innentätern ausgeht: Den Daten zufolge sind es in über 80 Prozent der Fälle externe Angreifer.

Beliebte Angriffsmethoden

Auch hinsichtlich der Wahl der Waffen zeigt sich ein unverändertes Bild: Social Engineering – beispielsweise mittels Phishing – ist ein sehr beliebter Einstieg für gezielte Angriffe, dem dann das Einschleusen von Malware zum Absaugen der gewünschten Daten folgt.

Die Kombination aus Social Engineering, Hacking und dem Einsatz von Malware ist das Mittel der Wahl beim Großteil aller Angriffe auf Unternehmensnetzwerke. (Bild: Verizon Business)

Gut 30 Prozent aller Phishing E-Mails würden laut Report geöffnet, in zwölf Prozent der Fälle klickt das Opfer auf den vergifteten Anhang oder den in der Nachricht platzierten Link – legale E-Mail-Marketingkampagnen müssen sich mit winzigen Bruchteilen dieser Werte begnügen.

Aber auch klassisches Hacking, wie der Missbrauch von Bugs in Webservern oder SQL Injections, gehört noch immer zum Repertoire von Datendieben. Massenhaftes Verteilen von Malware gibt es nach wie vor im Finanzsektor, um beispielsweise Online-Bankingnutzer zu berauben.

"Hausaufgaben nicht gemacht"

Dieses ewig gleiche Bild macht Lorenz Kuhlee, IR/Forensic Consultant bei Verizon Business, beinahe ärgerlich: "Es wird Zeit, dass Unternehmen endlich aufwachen", sagt Kuhlee. Vor einigen Jahren waren die Angriffswerkzeuge und die Vorgehensweisen der Kriminellen oftmals unbekannt, Schutz daher schwieriger. "Jetzt wissen wir, welche Spielzüge die Angreifer wählen und es gibt seit längerem auch entsprechende Gegenmaßnahmen", so Kuhlee weiter.

Der Fachmann zeigt unter anderem wenig Verständnis für die nach wie vor große Zahl an Angriffen, deren Grundlage zuvor abgefischte Log-in-Daten seien. Denn mit der Zwei-Faktor-Authentifizierung gebe es seit langem eine bewährte Methode, dieser Angriffsart das Wasser abzugraben. "Die Unternehmen machen ihre Hausaufgaben nicht", resümiert Kuhlee.

In trügerischer Sicherheit

Auf die hiesigen Opfer angesprochen sieht der Verizon-Vertreter das gleiche Muster wie im Rest der Welt: Jedes Unternehmen ist im Visier von Angreifern, vom Kleinstunternehmen bis zum Dax-Konzern, vom kleinen Webshop bis zur Online-Präsenz eines Großunternehmens.

Im Fall von attackierten Webservern gehe es den Kriminellen zumeist nicht nur um den Diebstahl der darauf gespeicherten Daten. Es gehe ihnen auch darum, ihre Infrastruktur zu erweitern, um so Hosts für DDoS-Attacken oder Malware-Ablageplätze zu schaffen. In diesem Zusammenhang ist es für Kuhlee unverständlich, warum so wenige dieser Server mit Werkzeugen wie Tripwire überwacht würden, um so sofort auf manipulierte Dateien aufmerksam zu werden.

Laut dem Verizon-Bericht verbreiten sich die meisten Schädlinge über E-Mail-Anhänge. (Bild: Verizon Business)

Als wahrscheinlichen Grund für die laxen Sicherheitsmethoden nennt der Fachmann den weit verbreiteten Irrglauben, dass das eigene Unternehmen ohnehin nicht ins Fadenkreuz von Online-Kriminellen geraten würde. Dies mache es den Angreifern leicht, mit vorgefertigten Angriffsbaukästen wie Metasploit oder Powersploit ans Ziel zu kommen.

Angriffe auf Industriesteuerungen nehmen zu

Der Report erfasst auch Angriffe auf Industrieanlagen in Mitteleuropa beziehungsweise Deutschland, weist hier aber keine einzelnen Zahlen aus. Verizon erkenne jedoch eine Zunahme der Angriffe auf kritische Infrastrukturen weltweit. So gebe es einen stetigen Anstieg von Zwischenfällen und Verstößen in der Energieversorgung, der Produktion, im öffentlichen Sektor und in hohem Maße im Transportsektor in den vergangenen drei Jahren.

Ein US-Vertreter von Verizon sagte im Gespräch mit heise security, dass die meisten der Angriffe auf Produktionssteuerungen sich noch im Erkundungsstadium befänden. Nur sehr selten gebe es gezielte Manipulationen, um beispielsweise einen Erpressungsversuch durch Tatsachen zu untermauern. (des)