IBM Security hat aktuell die Ergebnisse des jährlichen »Cost of a Data Breach«-Reports veröffentlicht. Die Erhebung basiert auf einer eingehenden Analyse von mehr als 500 realen Datenschutzverletzungen im vergangenen Jahr. Demzufolge sind mit diesen Datenschutzverletzungen in der 17-jährigen Geschichte des Berichts verbunden. Unternehmen sahen sich während der Pandemie gezwungen, zügig auf Remote Working umzustellen. Die Ergebnisse des Berichts legen nahe, dass Sicherheit diesen schnellen IT-Veränderungen hinterherhinkt – einschließlich der Tatsache, dass Datenschutzverletzungen mehr kosten und schwieriger einzudämmen sind.

Illustration: Absmeier, IBM Security Intelligence

Der vom Ponemon Institute unabhängig durchgeführte und auf einer quantitativen Analyse von 524 kürzlich erfolgten Verstößen in 17 Ländern und 17 Branchen basierende jährliche Bericht über die Kosten einer Datenschutzverletzung bietet wertvolle Insights und Benchmarks, um Organisationen bei der Verbesserung ihrer Haltung gegenüber der Sicherheit zu unterstützen und Finanz- und Markenschäden einzudämmen [1].

Hank Schless, Senior Manager of Security Solutions, Lookout:

»Die Art und Weise, wie wir arbeiten, hat sich grundlegend geändert. Der Schwerpunkt liegt inzwischen darauf von überall aus zu arbeiten. Die Ergebnisse des IBM 2021 Cost of a Data Breach Report zeigen eine Reihe von neuen, aber auch bereits bestehenden Sicherheitsherausforderungen auf. SaaS-Apps unterstützen eine produktive Zusammenarbeit, während eine Cloud-basierte Infrastruktur die Skalierbarkeit bietet, die moderne Unternehmen brauchen. Aber diese Cloud-First-Umgebung hat neue Risiken mit sich gebracht:

Mit legitimen Anmeldeinformationen kann jeder von überall aus auf Unternehmensressourcen zugreifen.
Die stärkere Abhängigkeit von privaten oder nicht verwalteten Geräten erschwert es, zu erkennen, ob jemand, der sich mit dem Netzwerk verbindet, eine potenzielle Gefahr für das Unternehmen darstellt.
Ohne Transparenz über den Kontext, wer oder was sich mit Cloud-basierten Ressourcen verbindet, werden verräterische Anzeichen eines Angriffs leicht übersehen.
Nicht immer sind lokale Infrastruktur und Cloud-basierte Dienste gleichermaßen geschützt.

Remote Working hat etliche der bereits bestehenden Probleme weiter verschärft. Kompromittierte Anmeldeinformationen sind kein neues Phänomen. Aber in Remote Working- oder hybriden Umgebungen fehlt Firmen die nötige Transparenz hinsichtlich von Benutzern und Geräten. Der häufigste Weg, Anmeldeinformationen zu kompromittieren, ist mobiles Phishing:

Daten von Lookout zeigen, dass ein Drittel der mobilen Nutzer weltweit im Zeitraum des IBM-Berichts, von Mai 2020 bis März 2021, mindestens einem mobilen Phishing-Versuch ausgesetzt waren.
Jede mobile App mit Messaging-Funktionen ist anfällig für Social Engineering. Für Angreifer bieten sich unzählige Kanäle: SMS, Social-Media-Plattformen, Messaging-Apps Dritter und sogar Dating-Apps.
Viele Mitarbeiter nutzen private oder unzureichend verwaltete Geräte, um auf Unternehmensressourcen zuzugreifen. Also suchen Angreifer gezielt nach Anmeldeinformationen für Plattformen wie Google Workspace oder Microsoft 365.

Gelingt es einem Angreifer Anmeldeinformationen zu kompromittieren, wird er damit versuchen, auf unternehmenseigene Cloud-Plattformen wie Google Workspace, AWS, Microsoft 365 und Azure zuzugreifen – und somit auf Unmengen sensibler Daten.

Aus diesem Grund ist es für Unternehmen unerlässlich, dedizierte Sicherheitsmaßnahmen für Apps in der Cloud zu implementieren. Mit CASB-Lösungen (Cloud Access Security Broker) haben Firmen die Möglichkeit, anomales Benutzer-, Geräte- oder Dateiverhalten mit User and Entity Behavior Analytics (UEBA) zu überwachen. Angreifer, die sich als legitime Benutzer ausgeben, melden sich oft von anderen Standorten aus an als die Mitarbeiter selbst und versuchen, auf verschiedene Dateien zuzugreifen und große Mengen sensibler Daten abzuziehen. Verhalten, das auf eine Insider-Bedrohung hindeutet.

Wenig überraschend steht nach Aussagen von IBM auch die Gesundheitsbranche im Fokus von Cyberkriminellen. Die Branche speichert neben Daten zur Patientengesundheit auch Zahlungsdaten, Sozialversicherungsnummern und andere hochsensible und persönlich identifizierbare Informationen, die sogenannten PII-Daten. Neben branchenspezifischen Compliance-Standards wie HIPAA müssen auch andere Datenschutzbestimmungen wie DSGVO und CCPA berücksichtigt werden. Angesichts der veränderten Datennutzung und der mangelnden Transparenz, ist es aber deutlich schwieriger als innerhalb des traditionellen Perimeters, die Einhaltung dieser Vorschriften zu gewährleisten. Das Gesundheitswesen hat bereits eine Flut von Ransomware-Angriffen erlebt. Angreifer machen sich die Tatsache zunutze, dass die Branche durch die Pandemie unter immensem Druck steht, und haben sie mit maßgeschneiderten Ransomware-Kampagnen ins Visier genommen. Ransomware-Gruppen wissen, welche Folgen es hat, Gesundheitssysteme herunterzufahren – Angreifer können also von einer potenziell höheren Wahrscheinlichkeit ausgehen, das geforderte Lösegeld erfolgreich einzutreiben.

Um sich vor aktuellen Angriffstrends und Herausforderungen zu schützen, sollten Unternehmen, Cybersicherheit vom Endgerät bis in die Cloud betrachten und dazu eine echte Endpunkt-zu-Cloud-Sicherheitsstrategie umsetzen. Ziel ist es, Transparenz über alle Aktivitäten in Zusammenhang mit Daten, Benutzern, Geräten und Apps herzustellen. Endgerätesicherheit selbst ist ein wichtiger erster Schritt. Unternehmen sollten aber zusätzlich Sicherheitslösungen integrieren, die granulare, kontextabhängige Zugriffsrichtlinien auf Cloud-Ressourcen implementieren.«

Tim Mackey, Principal Security Strategist bei Synopsys:

»Jedes Jahr bietet der IBM Cost of a Data Breach Report eine Fülle von Einblicken in die unternehmerischen Auswirkungen einer Datenschutzverletzung. Was mir in diesem Jahr besonders aufgefallen ist, dass sich die Zeitspanne zwischen Identifizierung und Eindämmung einer Datenschutzverletzung signifikant erhöht hat. Laut IBM Security hat sich dieser Zeitraum seit der Analyse von 2020 um rund eine Woche auf 287 Tage erhöht. Die durch die Pandemie beeinflusste Remote-Working-Umgebung sollte indes keinen großen Einfluss auf die Identifizierung und Eindämmung von Datenschutzverletzungen gehabt haben. Trotzdem scheint eher das Gegenteil der Fall zu sein. Unternehmen, die zu mehr als 50 % remote arbeiten, verzeichneten einen Anstieg von 46 Tagen bis zur Identifizierung und zwölf Tagen bis zur Eindämmung einer Datenschutzverletzung. Bei Remote Working werden die üblichen IT-Sicherheitsmaßnahmen auf die Remote-Arbeitsumgebung ausgedehnt, eine im Grunde nicht verwaltete Umgebung. Es ist daher nicht allzu überraschend, dass kompromittierte Anmeldeinformationen, Phishing und Social Engineering dazu geführt haben, dass die Zeit zum Erkennen und Eindämmen einer Datenschutzverletzung den Basiswert überschritten hat.

Die Situation mag einige Geschäftsführer veranlasst haben, sich eher auf die menschliche Seite der Sicherheitsgleichung zu konzentrieren. Aber die aufschlussreiche Statistik bezieht sich darauf, wie lange es dauert, eine Datenschutzverletzung in Verbindung mit Software von Drittanbietern zu identifizieren und einzudämmen. Angesichts mehrerer hochkarätiger Angriffe auf die Software-Lieferkette allein in den letzten sechs Monaten ist es ziemlich beunruhigend, dass es 2020 durchschnittlich 286 Tage dauerte, eine Datenschutzverletzung zu identifizieren und einzudämmen, die auf einer ausgenutzten Software-Schwachstelle beruht. Obwohl einige Zero-Day-Angriffe in diese Statistik einfließen, sieht die Realität doch so aus, dass Software Patch Management automatisiert abläuft und die Statistik somit korrigiert werden könnte. Dass dies nicht der Fall ist, spricht für einen blinden Fleck beim Patch Management. Er beruht wahrscheinlich auf der Annahme, dass Anbieter Update-Benachrichtigungen an ihre Kunden senden. Dies ist für einige kommerzielle Anbieter auch durchaus zutreffend, nicht aber für Open-Source-Software oder anderweitig frei verfügbare. Wenn die Download-Site nicht weiß, wer Sie sind, kann sie auch keine Updates senden. Wenn eine Patch-Management-Lösung nicht über ein vollständiges Inventar sämtlicher in einem Unternehmen verwendeten Software verfügt, unabhängig von deren Herkunft, kann sie unmöglich alle ausstehenden Patches identifizieren. Cyberkriminelle wissen um diesen blinden Fleck.«

[1] https://www.ibm.com/de-de/security/data-breach

2100 Artikel zu „Kosten IT-Sicherheit“

NEWS | BUSINESS | EFFIZIENZ | IT-SECURITY

Firmeninterne IT-Sicherheitsteams halbieren Kosten eines Sicherheitsvorfalls

2. Oktober 2019

Folgekosten von Cyberattacken im Vergleich zum Vorjahr auf 1,41 Millionen US-Dollar gestiegen; mit SOCs nur 675.000 US-Dollar. 34 Prozent der Unternehmen mit Datenschutzbeauftragten, die von einem Datenverstoß betroffen waren, erlitten keine finanziellen Verluste. Mit der Einführung eines internen IT-Sicherheitsteams lassen sich die durchschnittlichen Kosten eines Cybersicherheitsvorfalls deutlich reduzieren: So schätzen Unternehmen, die über ein…