Cybersecurity-Studie

Andrea Gillhuber,

Deutschland ist zu langsam für Hacker

Mit der momentanen Geschwindigkeit, mit der Unternehmen Angriffen auf ihre IT-Infrastruktur begegnen, haben Angreifer leichtes Spiel. Und dazu müssen sie nicht einmal besonders gewieft sein. Warum das so ist, zeigt eine aktuelle Studie von CrowdStrike.
Unternehmen sind immer noch weit davon entfernt, Cyberangreifern auf Augenhöhe zu begegnen und ihnen schnell genug das Handwerk zu legen. © Rawpixel.com/Shutterstock.com

Unternehmen reagieren zu langsam auf Hackerangriffe. Das ist das Ergebnis der Global Security Attitude Survey 2019 mit 1.900 befragten IT-Entscheidern und Sicherheitsexperten aus den USA, Kanada, Großbritannien, Deutschland, Japan, Frankreich und weiteren Ländern. Darin wird klar, dass Unternehmen immer noch weit davon entfernt sind, Angreifern auf Augenhöhe zu begegnen und ihnen schnell genug das Handwerk zu legen. Im globalen Schnitt benötigen sie beinahe sieben volle Tage, um Angriffe auf ihre Netze zu erkennen, zu analysieren und zu beheben – in Deutschland sogar über elf Tage.

Dieser Zustand ist zum einen bedenklich, da Hacker – insbesondere staatlich organisierte Angreifer – deutlich schneller agieren. Im Schnitt benötigen Cyber-Akteure lediglich zwei Stunden, um sich nach dem Eindringen in ein Unternehmensnetzwerk auf das Ziel zuzubewegen (Breakout-Zeit, vergleiche Global Threat Report 2019). Administratoren haben deshalb in der Regel weniger als zwei Stunden Zeit, um einen Eindringling zu erkennen und aus dem System zu entfernen, bevor er von seinem ursprünglichen Einstiegspunkt aus weitere IT-Systeme kompromittiert und enormen Schaden anrichten kann. Besonders schnelle Angreifer, wie beispielsweise von Russland organisierte Gruppen, benötigen jedoch nicht einmal eine halbe Stunde, um sich in den Netzwerken der Zielunternehmen auszubreiten.

Anzeige

Zum anderen ist der aufgezeigte Zustand kritisch, weil schon lange kein Unternehmen mehr vor bösartigen Angriffen mit folgenreichen Konsequenzen gefeit ist. Niemand kann mehr die Augen verschließen und von sich behaupten, für Hacker aus dem Ausland oder mit finanziellen Absichten nicht interessant zu sein. Jedes Unternehmen ist dieser Gefahr ausgesetzt und kann regelmäßig Angriffsversuche auf das firmeneigene Netzwerk beobachten. Dass vor allem Geschwindigkeit der zentrale Faktor ist, um sich vor solchen Bedrohungen zu schützen, ist gemeinhin anerkannt. Doch was heißt das im Detail und wie lässt sich eine ausreichende Geschwindigkeit bestimmen?

Bestandteile einer schnellen Reaktion

Die allgemeine Forderung nach Schnelligkeit ist nur schwer greifbar, es braucht also konkrete Referenzwerte. Helfen kann Unternehmen die 1-10-60-Regel. Sie stellt eine Metrik dar, mit der IT-Verantwortliche die Reaktionszeiten ihres Teams messen können. Die Regel selbst ist von den Fähigkeiten der weltweit besten IT-Teams und den Angriffszeiten der schnellsten Angreifer abgeleitet. Die 1-10-60-Regel sollte von Unternehmen als Richtlinie für ihre IT-Sicherheit verstanden werden. Sie stellt quasi den Gold-Standard dar und besteht aus folgenden drei Bestandteilen:

Entdecken: Ein sicherheitsrelevanter Vorfall muss innerhalb einer Minute entdeckt werden. 

Untersuchen: Um die richtigen Maßnahmen ergreifen zu können, muss der Vorfall innerhalb von 10 Minuten analysiert, verstanden und eingeordnet werden. Dieser Teil besteht aus der Triage sowie der eigentlichen Investigation. 

Eindämmen: Damit der Angreifer möglichst keinen Schaden anrichten kann, muss er innerhalb von 60 Minuten aus dem Netzwerk entfernt werden. 

Die Studie hat die Teilnehmer danach gefragt, ob in ihren jeweiligen Unternehmen diese Zeiten eingehalten werden. Im Ergebnis geben lediglich fünf Prozent an, dass ihre Maßnahmen zur Abwehr schädlicher Vorgänge im Netzwerk so wirksam sind, dass sie der 1-10-60-Regel entsprechen. Beinahe alle sind folglich zu langsam und müssen davon ausgehen, dass früher oder später ein Angreifer so weit vordringt, dass er ernsthaften Schaden anrichtet. 95 Prozent der Unternehmen aus den wichtigsten Branchen weltweit sind nicht ausreichend darauf vorbereitet, innerhalb der Breakout-Zeit auf Angriffe der größten Cybergegner zu reagieren. Die Mehrheit der Befragten gibt mit 80 Prozent an, dass sie in den letzten zwölf Monaten nicht in der Lage waren, Eindringlingen in ihrem Netzwerk den Zugriff auf ihre Zieldaten zu verwehren. Die Ursache hierfür sehen 44 Prozent in einer zu langsamen Erkennung.

Die wichtigsten Ergebnisse zu deutschen Unternehmen

Die Einschätzung der befragten Experten in deutschen Unternehmen zu den vorhandenen Reaktionszeiten ist im internationalen Vergleich besonders ernüchternd. Im weltweiten Vergleich liegen sie deutlich unter dem Durchschnitt. Sie brauchen:

184 Stunden, um eine Attacke aufzuspüren; der weltweite Durchschnitt liegt bei 120 Stunden.

11 Stunden, um sie zu analysieren; der weltweite Durchschnitt liegt ebenfalls bei 11 Stunden.

75 Stunden, um sie zu beheben; der weltweite Durchschnitt liegt bei 31 Stunden.

Wesentlich besser sind deutsche Unternehmen hingegen bei der Analyse der Identitäten der Hacker. In 53 Prozent der Fälle können sie die Angreifer klar identifizieren, hier liegen sie gleichauf mit den USA. Was die Art und Identität der Angreifer angeht, so befürchten deutsche Unternehmen vor allem, Opfer eines Angriffs von E-Crime-Akteuren mit finanzieller Motivation und damit einhergehenden Lösegeldforderungen zu werden. Angriffe durch Gruppen, die von Nationalstaaten wie China, Nordkorea oder Russland koordiniert werden, sehen nur 14 Prozent der Befragten als unmittelbare Bedrohung.

Falsches Vertrauen in bestehende Legacy-Infrastruktur

Es gelingt den Unternehmen nicht, die Reaktionsgeschwindigkeit zu erreichen, die erforderlich ist, um anspruchsvolle nationalstaatliche Gegner, die auf alle Arten von Organisationen abzielen, zu erkennen. Ob es an einem falschen Sicherheitsverständnis und einem damit verbundenen fehlenden Handlungswillen liegt, oder mangelndes Know-how der Grund dafür ist, sei dahingestellt. Fest steht jedoch, dass nach wie vor ein zu großes Vertrauen in die bestehende Legacy-Infrastruktur besteht. Diese wird allerdings den heutigen Sicherheitsanforderungen, die einen ganzheitlichen Ansatz erfordern, um Bedrohungen zu stoppen, nicht gerecht. Zukunftsorientierte Unternehmen sollten deshalb einen Ansatz verfolgen, der den Teams umfassende Transparenz und Schutz bietet, um ein breites Spektrum an Sicherheits- und Betriebsanforderungen zu erfüllen.

Tuncay Eren, Director of Sales bei Crowdstrike / ag

Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige

Editorial

Ist der schon drin oder was?

Erinnern Sie sich noch an Stuxnet? Im Jahr 2010 sorgte der Computerwurm für Aufsehen, der speziell für Siemens Simatic S7 entwickelt wurde und das iranische Atomprogramm sabotieren sollte.

mehr...
Anzeige
Anzeige
Anzeige
Anzeige

IT-Sicherheit

Tägliche Angriffe mit Ransomware

Paddy Francis ist CTO von Airbus CyberSecurity. Mit ihm sprach Andreas Mühlbauer über die Bedrohungen von Industrieunternehmen durch Cyber-Angriffe, die Sicherheit von Cloud-Systemen und die Möglichkeiten und Erfolgschancen von Abwehrstrategien.

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite