In der heutigen vernetzten Welt ist die Frage nicht mehr, ob man angegriffen wird - sondern wann. Symantec (Nasdaq: SYMC) zeigt im Internet Security Threat Report (ISTR), Band 20, einen Taktikwechsel der Cyber-Angreifer: Sie infiltrieren Netzwerke und bleiben dabei unerkannt, indem sie die Infrastruktur großer Unternehmen kapern und gegen sie verwenden.
"Angreifer müssen nicht die Tür zum Netzwerk eines Unternehmens eintreten, wenn sie leicht an die Schlüssel kommen", erklärt Candid Wüest, Virenforscher bei Symantec Security Response. "Angreifer bringen Unternehmen mit einem Trick dazu, sich selbst zu infizieren: Sie schleusen Trojaner in Software-Updates verbreiteter Programme ein und warten geduldig, bis ihre Opfer sie herunterladen - womit die Angreifer dann ungehinderten Zugang zum Unternehmensnetzwerk haben."
Angreifer sind durch Geschwindigkeit und Präzision erfolgreich
Die Auswertungen von Symantec zeigen, dass dies ein Rekordjahr für Zero-Day-Schwachstellen war, in dem Softwareunternehmen im Durchschnitt 59 Tage brauchten, um Patches zu erstellen und zu verteilen - gegenüber nur vier Tagen im Jahr 2013. Angreifer nutzten die Verzögerungen aus. Im Fall von Heartbleed machten sie sich die Schwachstelle in nur vier Stunden zu eigen. Im Jahr 2014 wurden insgesamt 24 Zero-Day-Schwachstellen erkannt, bei denen Angreifer freie Bahn hatten, um bekannte Sicherheitslücken auszunutzen, bevor sie gepatcht wurden.
Gleichzeitig drangen gewiefte Angreifer weiter mit gezieltem Spear-Phishing in Netzwerke ein, hier wurde ein Anstieg von acht Prozent im Jahr 2014 verzeichnet. Besonders interessant war im vergangenen Jahr die Präzision dieser Angriffe: Sie nutzten mehr Drive-by-Malware-Downloads und andere webbasierte Exploits und verwendeten 20 Prozent weniger E-Mails, um ihre Opfer zu treffen. In Deutschland waren vor allem kleine Unternehmen mit bis zu 250 Mitarbeitern (28 Prozent) und Konzerne mit mehr als 2.500 Mitarbeitern (45,7 Prozent) von Spear-Phishing betroffen. Kleine bis mittelständische Unternehmen sind nach wie vor ein beliebtes Ziel, da sie oft weniger ausgefeilte Sicherheitssysteme zum Schutz des Netzwerks einsetzen und oftmals als Dienstleister und Zulieferer für größere Unternehmen fungieren. Die angegriffenen Unternehmen stammten überwiegend aus dem Dienstleistungssektor (73,8 Prozent).
Außerdem beobachtete Symantec, dass Angreifer wie folgt vorgingen:
- Verwendung gestohlener E-Mail-Konten eines Opfers in einem Unternehmen, um Vorgesetzte dieser Person mit Spear-Phishing anzugreifen;
- Nutzung der Verwaltungstools und -prozesse eines Unternehmens, um gestohlenes geistiges Eigentum innerhalb des Unternehmensnetzwerks zu verschieben, bevor es nach außen gebracht wird;
- Erstellung benutzerdefinierter Angriffs-Software im Netzwerk der Opfer, um die kriminellen Aktivitäten weiter zu verschleiern;
- Bei sogenannten Supply Chain Hacks tarnen Angreifer ihre Malware als Software-Update.
Digitale Erpressung nimmt zu
E-Mail bleibt ein wichtiger Angriffsvektor für Cyber-Kriminelle, aber sie experimentieren weiterhin mit neuen Angriffsmethoden über Mobilgeräte und soziale Netzwerke, um mit weniger Aufwand mehr Personen zu erreichen.
"Cyber-Kriminelle sind von Haus aus faul; für ihre schmutzige Arbeit nutzen sie lieber automatisierte Tools und die Hilfe ahnungsloser Nutzer", fügt Candid Wüest, Virenforscher bei Symantec Security Response, hinzu. "Im vergangenen Jahr wurden 70 Prozent der Betrugsfälle über soziale Medien manuell weitergegeben, indem Angreifer die Bereitschaft der Menschen ausnutzten, Inhalten zu vertrauen, die ihre Freunde geteilt hatten."
Auch wenn Betrugsfälle über soziale Medien Cyber-Kriminellen schnelles Geld einbringen können, spezialisieren sich einige von ihnen auf lukrativere, aggressivere Angriffsmethoden wie Ransomware, die im letzten Jahr um 113 Prozent zugenommen hat. Es gab beachtliche 45 Prozent mehr Opfer von Krypto-Ransomware als im Jahr 2013. Statt wie herkömmliche Ransomware vorzugeben, dass im Rahmen einer Strafverfolgung ein Strafgeld für gestohlene Inhalte erhoben werden soll, nimmt die bösartigere Krypto-Ransomware die Dateien, Fotos und sonstigen digitalen Inhalte eines Opfers als Geisel, ohne die Absicht des Angreifers zu verbergen. Nur gegen die Zahlung eines Lösegeldes werden diese Inhalte dann vermeintlich wieder freigegeben. In Deutschland wurden neun Prozent aller globalen Ransomware-Infizierungen verursacht.
Sichern, was man nicht verlieren möchte
Angreifer sind beharrlich und entwickeln sich weiter. Zugleich können Unternehmen und Verbraucher viele Maßnahmen nutzen, um sich zu schützen. Als Ausgangspunkt empfiehlt Symantec die folgenden Schutzmaßnahmen:
Für Unternehmen:
- Lassen Sie sich nicht unvorbereitet erwischen: Verwenden Sie fortschrittliche Threat Intelligence Lösungen, um Anzeichen für Kompromittierungen zu entdecken und schneller auf Vorfälle zu reagieren.
- Sichern Sie sich rundum ab: Implementieren Sie mehrstufige Endgerätesicherheit, Netzwerksicherheit, Verschlüsselung, sichere Authentifizierung und reputationsbasierte Technologien. Arbeiten Sie mit einem Managed Security Services Anbieter zusammen, der Ihr IT-Team ergänzt.
- Seien Sie auf das Schlimmste vorbereitet: Mit Reaktionsmanagement können Sie sicherstellen, dass Ihre Sicherheitsinfrastruktur optimiert, messbar und reproduzierbar ist und dass Sie aus Erfahrungen lernen, um sich besser abzusichern. Ziehen Sie in Erwägung, zusätzlich einen Vertrag mit einem externen Experten abzuschließen, der Sie im Ernstfall beim Krisenmanagement unterstützt.
Für Verbraucher:
- Verwenden Sie sichere Kennwörter: Dies kann gar nicht genug betont werden. Verwenden Sie sichere und individuelle Kennwörter für Ihre Konten und Geräte und aktualisieren Sie sie regelmäßig - im Idealfall alle drei -- Nutzen Sie soziale Medien mit Vorsicht: Klicken Sie nicht auf Links in unaufgeforderten E-Mails oder Nachrichten in sozialen Medien, vor allem, wenn Sie den Absender nicht kennen. Betrüger wissen, dass Benutzer eher auf Links von ihren Freunden klicken. Daher kompromittieren sie Konten und senden dann bösartige Links an die Kontakte des Kontoinhabers.
- Achten Sie darauf, welche Daten Sie zugänglich machen: Wenn Sie ein mit einem Netzwerk verbundenes Gerät installieren, wie einen Router zu Hause oder ein Thermostat, oder wenn Sie eine neue App herunterladen, überprüfen Sie die Berechtigungen, um zu sehen, welche Daten Sie offenlegen. Deaktivieren Sie den Fernzugriff, wenn Sie ihn nicht benötigen.
Folgen Sie Symantec auf Facebook und Twitter.
Über den Internet Security Threat Report
Der Internet Security Threat Report bietet einen Überblick und eine Analyse der weltweiten Bedrohungsaktivitäten eines Jahres. Der Bericht basiert auf Daten aus dem Symantec Global Intelligence Network, mit dem Analysten von Symantec neu entstehende Trends bei Angriffen, bösartigem Code, Phishing und Spam identifizieren, analysieren und kommentieren.
Zukunftsbezogene Aussagen: Alle auf die Zukunft bezogenen Angaben zu Plänen für Produkte sind vorläufig, und alle zukünftigen Release-Daten sind unverbindlich und können geändert werden. Alle zukünftigen Versionen des Produkts oder geplanten Änderungen an Leistungsmerkmalen, Funktionen oder Features des Produkts unterliegen einer fortlaufenden Evaluierung durch Symantec. Sie werden nur möglicherweise implementiert und sind nicht als feste Zusagen von Symantec zu verstehen; bei Kaufentscheidungen sollten sie nicht als Grundlage dienen.
"Angreifer müssen nicht die Tür zum Netzwerk eines Unternehmens eintreten, wenn sie leicht an die Schlüssel kommen", erklärt Candid Wüest, Virenforscher bei Symantec Security Response. "Angreifer bringen Unternehmen mit einem Trick dazu, sich selbst zu infizieren: Sie schleusen Trojaner in Software-Updates verbreiteter Programme ein und warten geduldig, bis ihre Opfer sie herunterladen - womit die Angreifer dann ungehinderten Zugang zum Unternehmensnetzwerk haben."
Angreifer sind durch Geschwindigkeit und Präzision erfolgreich
Die Auswertungen von Symantec zeigen, dass dies ein Rekordjahr für Zero-Day-Schwachstellen war, in dem Softwareunternehmen im Durchschnitt 59 Tage brauchten, um Patches zu erstellen und zu verteilen - gegenüber nur vier Tagen im Jahr 2013. Angreifer nutzten die Verzögerungen aus. Im Fall von Heartbleed machten sie sich die Schwachstelle in nur vier Stunden zu eigen. Im Jahr 2014 wurden insgesamt 24 Zero-Day-Schwachstellen erkannt, bei denen Angreifer freie Bahn hatten, um bekannte Sicherheitslücken auszunutzen, bevor sie gepatcht wurden.
Gleichzeitig drangen gewiefte Angreifer weiter mit gezieltem Spear-Phishing in Netzwerke ein, hier wurde ein Anstieg von acht Prozent im Jahr 2014 verzeichnet. Besonders interessant war im vergangenen Jahr die Präzision dieser Angriffe: Sie nutzten mehr Drive-by-Malware-Downloads und andere webbasierte Exploits und verwendeten 20 Prozent weniger E-Mails, um ihre Opfer zu treffen. In Deutschland waren vor allem kleine Unternehmen mit bis zu 250 Mitarbeitern (28 Prozent) und Konzerne mit mehr als 2.500 Mitarbeitern (45,7 Prozent) von Spear-Phishing betroffen. Kleine bis mittelständische Unternehmen sind nach wie vor ein beliebtes Ziel, da sie oft weniger ausgefeilte Sicherheitssysteme zum Schutz des Netzwerks einsetzen und oftmals als Dienstleister und Zulieferer für größere Unternehmen fungieren. Die angegriffenen Unternehmen stammten überwiegend aus dem Dienstleistungssektor (73,8 Prozent).
Außerdem beobachtete Symantec, dass Angreifer wie folgt vorgingen:
- Verwendung gestohlener E-Mail-Konten eines Opfers in einem Unternehmen, um Vorgesetzte dieser Person mit Spear-Phishing anzugreifen;
- Nutzung der Verwaltungstools und -prozesse eines Unternehmens, um gestohlenes geistiges Eigentum innerhalb des Unternehmensnetzwerks zu verschieben, bevor es nach außen gebracht wird;
- Erstellung benutzerdefinierter Angriffs-Software im Netzwerk der Opfer, um die kriminellen Aktivitäten weiter zu verschleiern;
- Bei sogenannten Supply Chain Hacks tarnen Angreifer ihre Malware als Software-Update.
Digitale Erpressung nimmt zu
E-Mail bleibt ein wichtiger Angriffsvektor für Cyber-Kriminelle, aber sie experimentieren weiterhin mit neuen Angriffsmethoden über Mobilgeräte und soziale Netzwerke, um mit weniger Aufwand mehr Personen zu erreichen.
"Cyber-Kriminelle sind von Haus aus faul; für ihre schmutzige Arbeit nutzen sie lieber automatisierte Tools und die Hilfe ahnungsloser Nutzer", fügt Candid Wüest, Virenforscher bei Symantec Security Response, hinzu. "Im vergangenen Jahr wurden 70 Prozent der Betrugsfälle über soziale Medien manuell weitergegeben, indem Angreifer die Bereitschaft der Menschen ausnutzten, Inhalten zu vertrauen, die ihre Freunde geteilt hatten."
Auch wenn Betrugsfälle über soziale Medien Cyber-Kriminellen schnelles Geld einbringen können, spezialisieren sich einige von ihnen auf lukrativere, aggressivere Angriffsmethoden wie Ransomware, die im letzten Jahr um 113 Prozent zugenommen hat. Es gab beachtliche 45 Prozent mehr Opfer von Krypto-Ransomware als im Jahr 2013. Statt wie herkömmliche Ransomware vorzugeben, dass im Rahmen einer Strafverfolgung ein Strafgeld für gestohlene Inhalte erhoben werden soll, nimmt die bösartigere Krypto-Ransomware die Dateien, Fotos und sonstigen digitalen Inhalte eines Opfers als Geisel, ohne die Absicht des Angreifers zu verbergen. Nur gegen die Zahlung eines Lösegeldes werden diese Inhalte dann vermeintlich wieder freigegeben. In Deutschland wurden neun Prozent aller globalen Ransomware-Infizierungen verursacht.
Sichern, was man nicht verlieren möchte
Angreifer sind beharrlich und entwickeln sich weiter. Zugleich können Unternehmen und Verbraucher viele Maßnahmen nutzen, um sich zu schützen. Als Ausgangspunkt empfiehlt Symantec die folgenden Schutzmaßnahmen:
Für Unternehmen:
- Lassen Sie sich nicht unvorbereitet erwischen: Verwenden Sie fortschrittliche Threat Intelligence Lösungen, um Anzeichen für Kompromittierungen zu entdecken und schneller auf Vorfälle zu reagieren.
- Sichern Sie sich rundum ab: Implementieren Sie mehrstufige Endgerätesicherheit, Netzwerksicherheit, Verschlüsselung, sichere Authentifizierung und reputationsbasierte Technologien. Arbeiten Sie mit einem Managed Security Services Anbieter zusammen, der Ihr IT-Team ergänzt.
- Seien Sie auf das Schlimmste vorbereitet: Mit Reaktionsmanagement können Sie sicherstellen, dass Ihre Sicherheitsinfrastruktur optimiert, messbar und reproduzierbar ist und dass Sie aus Erfahrungen lernen, um sich besser abzusichern. Ziehen Sie in Erwägung, zusätzlich einen Vertrag mit einem externen Experten abzuschließen, der Sie im Ernstfall beim Krisenmanagement unterstützt.
Für Verbraucher:
- Verwenden Sie sichere Kennwörter: Dies kann gar nicht genug betont werden. Verwenden Sie sichere und individuelle Kennwörter für Ihre Konten und Geräte und aktualisieren Sie sie regelmäßig - im Idealfall alle drei -- Nutzen Sie soziale Medien mit Vorsicht: Klicken Sie nicht auf Links in unaufgeforderten E-Mails oder Nachrichten in sozialen Medien, vor allem, wenn Sie den Absender nicht kennen. Betrüger wissen, dass Benutzer eher auf Links von ihren Freunden klicken. Daher kompromittieren sie Konten und senden dann bösartige Links an die Kontakte des Kontoinhabers.
- Achten Sie darauf, welche Daten Sie zugänglich machen: Wenn Sie ein mit einem Netzwerk verbundenes Gerät installieren, wie einen Router zu Hause oder ein Thermostat, oder wenn Sie eine neue App herunterladen, überprüfen Sie die Berechtigungen, um zu sehen, welche Daten Sie offenlegen. Deaktivieren Sie den Fernzugriff, wenn Sie ihn nicht benötigen.
Folgen Sie Symantec auf Facebook und Twitter.
Über den Internet Security Threat Report
Der Internet Security Threat Report bietet einen Überblick und eine Analyse der weltweiten Bedrohungsaktivitäten eines Jahres. Der Bericht basiert auf Daten aus dem Symantec Global Intelligence Network, mit dem Analysten von Symantec neu entstehende Trends bei Angriffen, bösartigem Code, Phishing und Spam identifizieren, analysieren und kommentieren.
Zukunftsbezogene Aussagen: Alle auf die Zukunft bezogenen Angaben zu Plänen für Produkte sind vorläufig, und alle zukünftigen Release-Daten sind unverbindlich und können geändert werden. Alle zukünftigen Versionen des Produkts oder geplanten Änderungen an Leistungsmerkmalen, Funktionen oder Features des Produkts unterliegen einer fortlaufenden Evaluierung durch Symantec. Sie werden nur möglicherweise implementiert und sind nicht als feste Zusagen von Symantec zu verstehen; bei Kaufentscheidungen sollten sie nicht als Grundlage dienen.
