Wann Cyber-Kriminelle Überstunden machen

Auch wenn sich Unternehmen der Angriff durch Cyber-Angriffe mittlerweile sehr bewusst sind und verstärkt Maßnahmen ergreifen - gebannt ist die Gefahr noch lange nicht. Denn die Hacker passen sich sehr schnell den veränderten Gegebenheiten an. Das ist eine Kernaussage des "2023 Active Adversary Report for Tech Leaders" des IT-Sicherheitsunternehmens Sophos. Das Rennen von Hase und Igel geht unvermindert weiter.

• Der Active Adversary Report baut auf Daten aus 25 Branchen von Januar bis Juli 2023 auf, die vom Sophos Incident Response Team übernommen wurden.
• Die angegriffenen Unternehmen befanden sich in 33 verschiedenen Ländern auf sechs Kontinenten.
• 88 % Prozent der Fälle stammten von Unternehmen mit weniger als 1.000 Mitarbeitern.

Das sind die wesentlichen Erkenntnisse aus der Studie:

• Die durchschnittliche Verweildauer von Angreifern (Zeit vom Beginn eines Angriffs bis zu seiner Entdeckung) bei allen Angriffen von zehn auf acht Tage und bei Ransomware-Attacken auf fünf Tage gesunken. John Shier, Field CTO bei Sophos, erklärt "Mit der zunehmenden Verbreitung von Security-Technologien lassen sich Angriffe früher erkennen, was zu einem kürzeren Zeitfenster für Angreifer führt. Gleichzeitig haben Kriminelle ihre Schachzüge optimiert, insbesondere die erfahrenen und gut ausgestatteten Ransomware-Angreifer."

• Die Zahl der entdeckten Angriffe nimmt im Verlauf der Woche zu, vor allem bei der Untersuchung von Ransomware-Angriffen. Fast die Hälfte (43 %) der Ransomware-Angriffe wurde entweder am Freitag oder am Samstag entdeckt. Der weit überwiegende Teil der Angriffe findet zudem zwischen 21 Uhr und 6 Uhr morgens statt.  Nach Ansicht von Sophos zielt das darauf ab, eine Reaktion sowohl für das IT-Personal als auch die Entscheidungsträger in der Geschäftsleitung so schwierig wie möglich zu machen.

• Angreifer brauchen im Durchschnitt weniger als einen Tag – etwa 16 Stunden –, um das Active Directory (AD) zu erreichen. Das AD verwaltet in der Regel die Identitäten und den Zugriff auf Ressourcen in einem Unternehmen. Der Zugriff der Angreifer auf das AD bedeutet, dass sie die Privilegien in einem System erweitern und eine Vielzahl von schädlichen Aktivitäten durchführen können. John Shier:  „Wenn ein Angreifer das Active Directory kontrolliert, kann er das gesamte Unternehmen kontrollieren."

• Die Schulung der eigenen Mitarbeiter durch externe Experten ist für deutsche Unternehmen die wichtigste Maßnahme der Cyber-Security. Das zeigt eine Umfrage des TÜV-Verbands zum Thema, bei der im ersten Quartal 2023 rund 500 Unternehmen ab einer Größe von zehn Mitarbeitenden befragt wurden. 72 % der an der Umfrage teilnehmenden Firmen geben demnach an, dass sie ihre IT-Sicherheit durch die Beratung von externen ExpertInnen optimieren.
• Die wenigsten Unternehmen setzen jedoch auf Anwendungen in der Praxis. Sicherheitstests aus Angreiferperspektive, so genannte Pen-Tests, führt nur ein Drittel der Unternehmen durch, jeweils knapp ein Viertel setzt IT-sicherheitsrelevante Zertifizierungen oder Notfallübungen um. Am seltensten werden personalpolitische Maßnahmen ergriffen: Nur rund 18 Prozent der Befragten haben Fachkräfte im Bereich Cybersicherheit eingestellt.
• Laut TÜV-Umfrage haben 52 Prozent der Unternehmen ihre Ausgaben für IT-Sicherheit leicht oder deutlich erhöht, was auch auf die Häufigkeit der Angriffe zurückzuführen sein dürfte.
• 11 Prozent der Unternehmen wurden in den vergangenen zwölf Monaten Opfer einer Cyberattacke, 23 Prozent rechnen mit einem Vorfall im kommenden Jahr.
• Die häufigsten Angriffe der 55 betroffenen Unternehmen waren Phishing oder Spear-Phishing, Ransomware-Angriffe und Social Engineering.