Hälfte der IT-Sicherheitsvorfälle passiert nach Feierabend
Kriminelle Hacker kennen keinen Feierabend - das behauptet zumindest der US-Anbieter von Cybersicherheitslösungen Arctic Wolf. Demnach findet fast die Hälfte aller IT-Sicherheitsvorfälle ausserhalb der regulären Arbeitszeiten statt.
45 Prozent aller IT-Sicherheitsvorfälle passieren zwischen 20 und 8 Uhr - also ausserhalb der klassischen Arbeitszeiten. Dies betrifft insbesondere die Ausführung der Verschlüsselung im Fall von Ransomware-Attacken, wie Arctic Wolf unter Berufung auf eine Auswertung von über 250 Billionen Sicherheitsereignissen von mehr als 6500 Unternehmen mitteilt.
Bis zu 20 Prozent aller Sicherheits-Alerts würden jeweils am Wochenende erfasst, und zwar zwischen Freitag um 20 Uhr und Montag und 8 Uhr. Cyberkriminelle nutzten diese Zeiten, in denen Sicherheitsteams nicht im Einsatz oder dünn besetzt sind, scheinbar gezielt aus, um Schaden anzurichten.
Cloud-Dienste erhöhen die Angriffsfläche
In den ersten Angriffsphasen hingegen würden sich Angreifer oftmals in den Log-Daten legitimer User verstecken. So können sie das Risiko, entdeckt zu werden, verringern, ihre Verweildauer verlängern und die eingeschränkte Reaktionsfähigkeit der Unternehmen auszunutzen. Die breite Einführung von cloudbasierten Anwendungen lässt Unternehmen zusätzlich rund um die Uhr zu einem attraktiven Ziel werden, wie der US-Anbieter von Cybersicherheitslösungen mitteilt.
"Hacker halten sich nicht an gesetzliche Arbeitszeiten", lässt sich Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf, in der Mitteilung zitieren. "Gleichzeitig ist für viele Unternehmen ein Rund-um-die-Uhr-Monitoring aufgrund von knappen personellen Ressourcen und aus finanziellen Gründen keine Option."
Sebastian Schmerl, Regional Vice President Security Services EMEA, Arctic Wolf. (Source: arcticwolf.com)
Geschäftskritische Anwendungen im Visier
Folgende Geschäftsanwendungen waren der Auswertung zufolge die häufigsten Ziele von Cyberangriffen:
- Windows 10 OS (ungepatchte oder fehlende sicherheitsrelevante Updates)
- MS Outlook (2016 und 2013)
- Cisco IOS XE WebUI
- Office 365 (2016 Click-to-Run)
- Apache ActiveMQ
"Weil Unternehmen nicht auf diese Anwendungen verzichten können, ist ein gewisses Grund- oder Restrisiko für Cyberangriffe unvermeidlich", fährt Schmerl fort. Dementsprechend wichtig seien Risikomanagement-Programme, um Schwachstellen zu identifizieren und zeitnah zu Patchen. "Dies ist nach wie vor eines der wirksamsten Mittel zur Risikominderung und schützt effektiv vor bekannten Schwachstellen und häufig eingesetzten Exploits."
Banken bilden die Ausnahme
Die meisten Warnmeldungen lösten gemäss Arctic Wolf Telemetriedaten von Tools für das Identitäts- und Zugriffsmanagement (IAM) aus. Darunter waren beispielsweise Login-Versuche aus gesperrten Ländern. An zweiter und dritter Stelle lagen ungewöhnliche Änderungen der Firewall und hinzugefügte Regeln zur E-Mail-Weiterleitung.
Diese Auflistung sei branchenübergreifend konsistent und zeige, dass verschiedene Angreifer auf dieselben "Bausteine" zurückgreifen würden, heisst es in der Mitteilung weiter. Eine Ausnahme bildet allerdings der Bankensektor, bei dem "ungewöhnliche Änderungen der Firewall" auf Platz eins liegen.
Da Banken in der Regel gut segmentierte Netzwerke mit verschiedenen Vertrauens- und Fehlerdomänen betreiben, versuchen die Angreifer laut Schmerl, über Änderungen an den Firewall-Konfigurationen zu privilegierten Netzwerksegmenten und zu den Systemen vorzudringen und so die Netzwerksegmentierung zu durchbrechen.
Ob und inwiefern Banken für gehackte E-Banking-Konten geradestehen müssen, hängt übrigens vom Einzelfall ab - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.