Elf Tage dauert es durchschnittlich, bis ein Cyberangriff entdeckt wird – so eine Studie des Security-Anbieters Sophos. Vor ein paar Jahren waren es noch rund 200 Tage. Cyberkriminelle fliegen heute also viel früher auf. Ist das eine gute Nachricht? Ganz und gar nicht, erklärt Wolfgang Kurz, Geschäftsführer von indevis, im folgenden Beitrag.
Manch einer mag aufgeatmet haben, als er die Zahl gelesen hat: Elf Tage bis zur Entdeckung eines Cyberangriffs – ist das nicht schnell? Das zeigt doch, dass Unternehmen ihre Detection & Response erheblich verbessert haben und die modernen Security-Maßnahmen greifen. Schön wäre es ja, doch leider ist das ein Trugschluss. Denn dass Cyberkriminelle heute viel früher auffliegen als noch vor ein paar Jahren, bedeutet schlichtweg: Sie haben ihr Geschäftsmodell geändert. Ging es damals noch hauptsächlich darum, möglichst lange unerkannt zu bleiben, um Netzwerke auszuspionieren und Daten zu stehlen, dominiert heute die Jagd nach dem schnellen Geld. Und das lässt sich in Hacker-Kreisen am besten verdienen, indem man Systeme verschlüsselt und die Opfer erpresst. Dafür reichen elf Tage locker aus. Warum also unnötig Zeit verschwenden? Je schneller man ans Ziel kommt, desto eher klingelt die Kasse. Nach erfolgreicher Arbeit kann man also ruhig zur Monetarisierung übergehen und sich zu erkennen geben.
Cyberangriffe erfolgen professionell, automatisiert und arbeitsteilig
Ransomware-Attacken sind für Cyberkriminelle ein lukratives Business. Sie lassen sich heute hochautomatisiert mit wenig Aufwand durchführen und sind häufig erfolgreich. Man braucht dafür noch nicht einmal besondere Hacking-Kenntnisse. Wer die entsprechende kriminelle Energie mitbringt, kann im Darknet vorgefertigte Malware-Module erwerben. Jetzt fehlt nur noch ein geeignetes Ziel – und auch das gibt es in einschlägigen Foren zu kaufen. Mittlerweile hat sich im Untergrund eine regelrechte Ransomware-Branche etabliert, in der sich Spezialisten die Arbeit teilen. Die einen entwickeln die Schadsoftware, die anderen spähen lukrative Opfer aus und legen versteckte Zugänge, die sie weiterverkaufen.
Den eigentlichen Verschlüsselungsangriff führt dann wieder ein anderer aus. Dabei haben die Täter großes Interesse daran, dass das Opfer das Lösegeld auch bezahlt. Daher setzen sie ihre Forderung meist so an, dass sie in etwa zehn Prozent der Wirtschaftsleistung entspricht. In der Regel ist das eine Summe, die ein Unternehmen aufbringen kann. Nach erfolgreichem Zahlungseingang bieten manche Ransomware-Akteure sogar Support per Chat an, um bei der Entschlüsselung zu unterstützen. Schließlich wäre es geschäftsschädigend, wenn man in Verruf käme, dass die Wiederherstellung nicht funktioniert.
Unternehmen müssen in der Angriffserkennung schneller werden
Dank dieser Professionalisierung können Cyberkriminelle heute viel schneller zuschlagen. Die Wertschöpfungskette bis zur erfolgreichen Erpressung oder zum Verkauf der erbeuteten Daten ist erheblich kürzer geworden als noch vor ein paar Jahren. Für Security-Verantwortliche bedeutet das: Auch sie müssen schneller werden und ihre Angriffserkennung verbessern. Vor diesem Hintergrund sind elf Tage also keine gute Nachricht – vielmehr erhöhen sie den Druck. Doch selbst mit modernster Security-Technologie wie einem SOAR (Security Orchestration, Automation and Response) sind die wenigsten Unternehmen in der Lage, Cyberangriffe rechtzeitig zu erkennen und einzudämmen. Denn solche Systeme sind hochkomplex und sehr aufwändig. Man muss sie nicht nur richtig aufsetzen, sondern auch kontinuierlich managen und ihre Warnmeldungen stetig überwachen, verstehen und zügig auswerten. Das erfordert viel Zeit und Experten-Know-how. Beides ist angesichts des Fachkräftemangels rar.
Ein eigenes SOC (Security Operations Center) und SOAR lohnt sich für Unternehmen in der Regel nicht. Aufwand und Kosten sind zu hoch. Günstiger und sicherer ist es, Managed Detection & Response (MDR) als Service zu beziehen. Externe Spezialisten betreiben dann das SOAR und kümmern sich um das Monitoring und die Analyse. Sie können nicht nur Bedrohungen schneller erkennen, sondern auch feststellen, wie sich ein Angreifer bisher im Netzwerk bewegt hat und welche Systeme betroffen sind. So lassen sich diese isolieren, bevor es zur Verschlüsselung kommt. Nur wenn das gelingt, sind elf Tage auch wirklich eine gute Nachricht.