Was uns der neueste Verizon Data Breach Report über die Bedrohungslandschaft verrät

Branchentrends kommen und gehen. Aber ein fester Bestandteil der Cybersicherheitslandschaft der letzten 17 Jahre war der Verizon Data Breach Investigations Report (DBIR). Es ist ein strenge Analyse von realen Datenschutzverletzungen und -vorfällen durch Verizon und Partner, die einen der besten und detailliertesten Schnappschüsse der aktuellen Bedrohungslandschaft liefert. Allein Verizon verarbeitet nach eigenen Angaben jedes Jahr 34 Billionen Protokolle.

Wie sieht die Geschichte für 2023 aus? Es ist sowohl beruhigend als auch etwas deprimierend zu sehen, dass es – trotz der Besorgnis über die Rolle der KI in der Cyberkriminalität – die üblichen Verdächtigen der Ausnutzung von Schwachstellen, Lieferkettenrisiken und menschlichem Versagen sind, die Unternehmen weiterhin plagen. Deprimierend, weil Unternehmen diese Herausforderungen immer noch nicht bewältigen können, aber beruhigend, weil Best-Practice-Frameworks und -Standards einen vorgefertigten Weg zur Minderung solcher Risiken bieten.

Neuer Bericht, dieselben alten Verstöße

In diesem Jahr basiert der Bericht auf der Analyse von 30,458 Sicherheitsvorfällen und 10,626 bestätigten Verstößen – doppelt so viele wie vor einem Jahr. Das ist kein Hinweis darauf, dass es per se mehr Verstöße gab; einfach, dass der Bericht mehr Daten enthält und daher wahrscheinlich eine genauere Darstellung dessen ist, was wirklich da draußen vor sich geht. Was verrät es also? Drei miteinander verbundene Themen stechen hervor:

1) Schwachstellen nehmen rasant zu

Das DBIR stellt einen 180-prozentigen Anstieg der Ausnutzung von Sicherheitslücken als Hauptursache für Datenschutzverletzungen fest. Laut Verizon sind sie mittlerweile für 14 % aller Verstöße verantwortlich. Der Anstieg war hauptsächlich auf die zunehmende Ausnutzung von Zero-Day-Bugs durch Ransomware-Akteure zurückzuführen: Denken Sie an MOVEit. Diese Kampagne im letzten Jahr führte zum Kompromiss von fast 3,000 Organisationen und 95 Millionen nachgelagerte Kunden – viele davon aus den Bereichen Bildung, Finanzen und Versicherungen.

Einerseits ist es wahr, dass Systemadministratoren eine undankbare Aufgabe haben. In der National Vulnerability Database (NVD) wurde eine Rekordzahl an CVEs veröffentlicht letzten sieben Jahre. Im Jahr 2023 zählte es über 29,000 Schwachstellen. Und Bedrohungsakteure greifen diese Schwachstellen immer schneller an. Ein Viertel wird ausgebeutet am Tag ihrer Veröffentlichung. Dennoch müssen Netzwerkverteidiger es besser machen. Verizon stellt fest, dass es etwa 55 Tage dauert, 50 % der kritischen Schwachstellen zu beheben, die im Katalog der bekannten ausgenutzten Schwachstellen (KEV) der Cybersecurity Infrastructure and Security Agency (CISA) aufgeführt sind, sobald Patches verfügbar sind. Die durchschnittliche Zeit bis zur Entdeckung einer Massenausnutzung dieser Bugs beträgt fünf Tage.

Offensichtlich betreiben Unternehmen noch immer keine automatisierten, risikobasierten Patch-Management-Programme, die ihnen dabei helfen würden, Updates zu priorisieren und die Widerstandsfähigkeit kritischer Systeme zu verbessern. Zero-Day-Bugs hingegen sind schwieriger vollständig zu blockieren. Es können jedoch Maßnahmen ergriffen werden, um ihre Auswirkungen zu verringern, darunter Netzwerksegmentierung und kontinuierliche Erkennung und Reaktion.

2) Dritte sind ein wichtiger Angriffsvektor

Ein Grund dafür, dass die Ausnutzung von Sicherheitslücken als Erstzugriffsvektor immer häufiger auftritt, sind fehlerhafte Produkte. Damit sind wir beim zweiten Thema: Risiken durch Dritte. Hier zählt Verizon Geschäftspartner (wie Anwaltskanzleien oder Reinigungsunternehmen), externe Datenverarbeiter oder Verwalter wie Managed Service Provider und Softwarelieferanten (einschließlich Open Source). Es wird ein Anstieg von 68 % bei solchen Verstößen festgestellt, an denen Dritte beteiligt sind, so dass sie inzwischen 15 % der Gesamtzahl ausmachen – hauptsächlich verursacht durch Erpresser, die bei Angriffen Zero-Day-Exploits einsetzen.

„Wir empfehlen Unternehmen, nach Möglichkeiten zu suchen, bessere Entscheidungen zu treffen, um nicht die schwächsten Glieder in der Kette zu belohnen“, heißt es in dem Bericht. „In einer Zeit, in der die Offenlegung von Verstößen zur Pflicht wird, verfügen wir möglicherweise endlich über die Tools und Informationen, mit denen wir die Sicherheitswirksamkeit unserer potenziellen Partner messen können.“
Diese Ergebnisse werden durch eine neue Studie von ISMS.online, The State of Information Security Report 2024, bestätigt. Sie zeigt, dass die überwiegende Mehrheit (79 %) der Informationssicherheitsexperten zugibt, dass das Versorgungsrisiko im Laufe des Jahres zu mindestens einem wesentlichen Sicherheitsvorfall geführt hat letzten 12 Monate.

3) Der Mensch bleibt ein Hauptrisikofaktor

Die vielleicht wenig überraschendste Erkenntnis in diesem Jahr ist, dass Mitarbeiter wohl die größte Ursache für Datenschutzverletzungen sind – ob direkt oder indirekt. Bei den meisten (68 %) analysierten Verstößen handelt es sich um ein „nicht böswilliges menschliches Element“, was bedeutet, dass jemand einen Fehler gemacht hat oder Opfer eines Social-Engineering-Angriffs geworden ist. Dieser Wert ist im Vergleich zum Vorjahr nahezu unverändert. Unter Social Engineering versteht man entweder Phishing oder, was wahrscheinlicher ist, Pretexting – was mit Business Email Compromise (BEC) verbunden ist. Letzteres macht mittlerweile wie vor einem Jahr rund ein Viertel der finanziell motivierten Vorfälle aus.

Social Engineering trägt auch zu einer herausragenden Erkenntnis aus EMEA bei: dass die Hälfte (49 %) aller Verstöße mittlerweile von innerhalb von Organisationen und nicht von externen Akteuren herrührt. Social Engineering ist auch der Grund dafür, dass „Zugangsdaten“ nach wie vor die Nummer eins als erste Aktionsart bei Verstößen sind (24 %). Bei der Hälfte (50 %) der Social-Engineering-Angriffe werden Anmeldedaten kompromittiert. Und obwohl sie manchmal ohne Verschulden des Einzelnen über Dritte gestohlen werden, werden bei anderen Gelegenheiten schwache Anmeldeinformationen von Brute-Force-Angreifern für Sicherheitsverletzungen ausgenutzt. Dies steht erneut im Einklang mit dem ISMS.online-Bericht, der feststellt, dass ein Drittel (32 %) der Befragten in den letzten 12 Monaten Social-Engineering-Angriffe erlebt haben. Etwa 28 % nennen Insider-Bedrohungen.

Es gibt ein wenig Grund zu Optimismus, dass sich die Sensibilisierung der Benutzer verbessert – denn die Benutzer scheinen Phishing besser zu melden. Verizon stellt fest, dass 20 % der Benutzer Phishing in Simulationsaktivitäten identifizieren und melden, und 11 % derjenigen, die durchklicken, melden dies ebenfalls. Allerdings zeigt die Tatsache, dass sich der Wert für nicht böswilliges menschliches Versagen bei 68 % seit einem Jahr nicht verändert hat, dass es noch viel zu tun gibt.

Zeit zum Handeln

Cassius Edison, Leiter der professionellen Dienste bei Closed Door Security, warnt davor, dass die durchschnittliche Erkennungszeit von fünf Tagen für weit verbreitete Schwachstellen immer noch zu lang ist.

„Eine durchschnittliche Erkennungszeit von fünf Tagen birgt erhebliche Risiken und gibt böswilligen Akteuren möglicherweise ausreichend Zeit, Schwachstellen auszunutzen“, sagt er gegenüber ISMS.online. „Während Lösungen zur Verbesserung der Erkennungsgeschwindigkeit, wie beispielsweise verbesserte Bedrohungsinformationen und Echtzeitüberwachung, Kosten verursachen würden, kann die Durchführung einer gründlichen Risikobewertung dabei helfen, diese Investitionen effektiv zu priorisieren.“

Der CISO von Barrier Networks, Jordan Schroeder, fügt hinzu, dass 55 Tage für die Behebung auch viel zu langsam für Unternehmen sind, die es ernst meinen mit der Eindämmung von Cyber-Risiken.

„Systeme, die Teil der Gruppe sind, die massiv ausgenutzt wird, sollten so schnell wie möglich aktualisiert werden“, sagt er gegenüber ISMS.online. „Ein OT/ICS-System, das keinen Internetzugang hat, ist einem geringeren Risiko einer Ausnutzung ausgesetzt. Daher muss eine risikobasierte Bewertung vorgenommen werden, was aktualisiert werden muss und wie schnell dies durchgeführt werden muss.“
Schroeder unterstützt auch die Verwendung von Best-Practice-Standards und -Frameworks, sofern CISOs akzeptieren, dass diese kein Allheilmittel sind.

„Sie stellen eine sehr wichtige Grundlage für jede Organisation dar, um ein Sicherheitsprogramm zu entwickeln, das für sie funktioniert, und um sicherzustellen, dass wichtige Faktoren berücksichtigt werden“, argumentiert er. „Ich beginne beim Entwerfen oder Verbessern einer Sicherheitsstrategie oder eines Sicherheitsplans immer mit vorhandenen Frameworks. Am Ende habe ich nicht immer eine Strategie oder einen Plan, der perfekt zu diesen Rahmenbedingungen passt. Aber am Ende des Prozesses wird die Organisation jeden Punkt sorgfältig durchdacht und etwas geschaffen haben, das alles berücksichtigt.“

Ein Mix von Standards könne helfen, etwaige Lücken in den einzelnen Angeboten zu schließen, sagt er.

„Eine Organisation kann ihre Fähigkeit, die in diesem Bericht hervorgehobenen allgemeinen Probleme zu entschärfen, erheblich verbessern, indem sie sich achtsam und intelligent auf eine Mischung aus Rahmenwerken und Standards stützt, die gut zur Organisation passen, und diese dann sorgfältig weiter verfeinert, um einen leistungsstarken Standard zu schaffen passt am besten zur Organisation“, schließt Schroeder.