Juristischer Druck steigert die Cybercrime-Angrifferkennung

Der „FireEye Mandiant M-Trends-Bericht 2020“ enthält Statistiken und Ergebnisse, die auf den weltweiten Untersuchungen von Fireeye-Mandiant im Jahr 2019 basieren.  Der Bericht zeigt, dass der Medianwert für die Verweildauer – die Dauer vom Beginn eines Cyber-Angriffs bis zu seiner Erkennung – in EMEA seit dem letzten Jahr von 177 Tagen auf 54 Tage gesunken ist. Das entspricht einem signifikanten Rückgang um 70 Prozent.

FireEye Mandiant vermutet als Grund für die hohe Verweildauer in den vergangenen zwei Jahren, dass die Unternehmen lange Zeit Angriffe übersehen haben, die erst mit der Einführung der DSGVO und damit verbundenen Security-Assessments offengelegt wurden. Die Verweildauer in EMEA deckt sich nun mit den globalen Zahlen, was darauf hindeutet, dass das Inkrafttreten der DSGVO zu einem höheren Sicherheitsbewusstsein geführt hat.

Weiter wurde ein deutlicher Rückgang des Medianwerts für die globale Verweildauer beobachtet, die mit 56 Tagen um 28 Prozent unter dem im letzten Bericht beobachteten Wert von 78 Tagen lag. Die Experten von Fireeye-Mandiant führen diesen Trend auf die Verbesserung der Security-Infrastruktur von Unternehmen sowie auf Veränderungen im Verhalten der Angreifer zurück. Zu Letzterem gehört auch der kontinuierliche Anstieg von disruptiven Attacken, beispielsweise durch Ransomware und Cryptojacking, die häufig kürzere Verweilzeiten als andere Angriffsarten haben.

Die internen und externen Erkennungszeiten haben sich weltweit ebenfalls verringert:

  • Medianwert für die Verweildauer bei Unternehmen, die von ihrem Vorfall durch eine externe Partei erfahren haben: 141 Tage, ein Rückgang um 23 Prozent seit dem letzten M-Trends-Bericht (184 Tage). 
  • Medianwert für die Verweildauer bei Unternehmen, die den Vorfall selbst entdeckt haben: 30 Tage, ein Rückgang von 40 Prozent im Vergleich zum Vorjahr (50,5 Tage). Während die interne Erkennungszeit am stärksten verbessert wurde, weisen immer noch 12 Prozent der Fälle eine Verweildauer von mehr als 700 Tagen auf.

Interne Angriffserkennung erreicht Vier-Jahres-Tief

Zwar hat sich die Verweildauer für die von Unternehmen intern festgestellten Angriffe verringert, doch der Anteil der selbst entdeckten Sicherheitsvorfälle im Vergleich zu externen Quellen ist seit dem Vorjahr um 12 Prozentpunkte zurückgegangen. Zuvor war seit 2011 eine stetige Verbesserung der internen Angriffserkennung zu verzeichnen.

Zum ersten Mal seit vier Jahren übertrifft die Anzahl an externen Hinweisen auf Sicherheitsvorfälle die interne Angriffserkennung. Für diese Verschiebung könnten mehrere Faktoren ausschlaggebend sein, wie etwa die Zunahme der Meldungen von Behörden und Cyber-Sicherheitsdiensten, Änderungen der Offenlegungsnormen oder Änderungen bei der Einhaltung von Vorschriften. Fireeye-Mandiant hält es für unwahrscheinlich, dass Unternehmen Angriffe schlechter erkennen, denn andere Messgrößen deuten darauf hin, dass sich Unternehmen bei der Angriffserkennung und der Reaktion auf Angriffe kontinuierlich steigern.

Hunderte neue Malware-Familien identifiziert

Der Bericht zeigt, dass von allen Malware-Familien, die Mandiant 2019 beobachtet hat, 41 Prozent vorher unbekannt waren. Darüber hinaus gehören 70 Prozent der identifizierten Stichproben zu den fünf am häufigsten gesehenen Familien, die auf Open-Source-Tools basieren, welche sich in aktiver Entwicklung befinden. Diese Beobachtungen belegen, dass Malware-Entwickler nicht nur innovativ sind, sondern dass Cyber-Kriminelle Aufgaben auslagern, um Angriffe schneller zu monetarisieren.

Die Mehrzahl der neuen Malware-Familien betrifft entweder Windows oder mehrere Plattformen. Fireeye beobachtete auch neuen Familien, die ausschließlich auf Linux oder Mac abzielen – dies bleibt jedoch die Ausnahme.

Erhöhte Ertragschancen bedeuten mehr Ransomware-Angriffe

Die meisten der beobachteten Angriffe sind vermutlich durch direkten finanziellen Gewinn motiviert (29 Prozent). Dazu gehören Erpressung, Lösegeldforderungen, Kartendiebstahl und illegale Überweisungen. An zweiter Stelle steht Datendiebstahl (22 Prozent), der wahrscheinlich auf geistiges Eigentum oder Spionage abzielt.

Erfolgreiche Lösegeldforderungen sowie die Verfügbarkeit von Ransomware-as-a-Service trugen zu einem Anstieg der Ransomware-Angriffe bei. Etablierte Gruppen von Cyber-Kriminellen, die in der Vergangenheit auf persönliche Daten und Kreditkarteninformationen aus waren, greifen immer häufiger auf Ransomware als zweite Einnahmequelle zurück. Da Ransomware-Attacken leicht auszuführen und häufig ertragreich sind, rechnet Fireeye damit, dass diese Angriffsform weiterhin als zweites Standbein genutzt wird, um aus dem Zugang zu den Umgebungen der Opfer Profit zu schlagen.

„Fireeye Mandiant hat festgestellt, dass Unternehmen ihr Sicherheitsniveau weitgehend verbessert haben. Der Kampf gegen aktuelle Bedrohungen ist jedoch immer noch eine große Herausforderung für sie“, sagt Jurgen Kutscher, Executive Vice President of Service Delivery bei Fireeye. „Es gibt heute mehr aktive Gruppen denn je, die laut unserer Beobachtung deutliche mehr Ziele ins Visier nehmen. Folglich ist es für Unternehmen wichtig, ihre Abwehr weiter auszubauen und kontinuierlich zu testen.“

Den vollständigen Bericht „FireEye Mandiant M-Trends 2020″ lässt sich  unter folgender Adresse herunterladen: https://www.fireeye.com/mtrends

#Fireeye