Security-Teams zwischen Misstrauen und überzogenen Erwartungen : News und Produkte

Entscheider aus Unternehmen in Deutschland zweifeln in vielen Fällen die Fähigkeiten ihrer IT-Sicherheitsteams an – das folgert Kaspersky aus der Studie „Incident Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“, welche Arlington Research im Juni 2023 im Auftrag des Unternehmens durchgeführt hat. Dabei wurden insgesamt 200 IT-Entscheidungsträger in Deutschland (und zudem je 50 in Österreich und der Schweiz) zum Thema Incident-Response und Cybersicherheit befragt.

Der Umfrage zufolge glauben 40 %, dass das eigene Sicherheitsteam das Risiko, das von Angriffen ausgeht, nicht richtig einschätzen kann. Argwohn zeige sich auch bei weiteren wichtigen Themen: Sogar 43,5 % trauen ihrem Team demnach nicht zu, Schwachstellen und Risiken richtig zu identifizieren und zu priorisieren. Nur rund die Hälfte der Befragten vertraut darauf, dass ihr Team betroffene Systeme isolieren kann oder Backups korrekt durchführt (vgl. Abb.). Zudem erstellen lediglich 58 % der antwortenden Unternehmen überhaupt regelmäßig Backups – bloß 14,5 % führen Angriffssimulationen durch.

Auf der anderen Seite sind die befragten Entscheider sehr zuversichtlich, wenn es um die Vorfall-Erkennung geht: 41,5 % sind der Meinung, dass dies in ihrem Haus innerhalb von Minuten machbar wäre – 40,5 % gehen von wenigen Stunden aus. Während es am Vertrauen in das eigene Sicherheitsteam also häufig mangelt, herrscht hinsichtlich der Geschwindigkeit, mit der ein Sicherheitsvorfall im eigenen Netzwerk erkannt werden kann, große Zuversicht.

Ähnliches zeige sich bezüglich der Eindämmung von Angriffen beziehungsweise der Beseitigung von Malware: 25 % der Entscheider meinen, auch dies könne innerhalb von Minuten geschehen. Tatsächlich machen fortgeschrittene und sich ständig weiterentwickelnde Methoden von Cyberkriminellen sowie deren Fähigkeit, ihre Absichten zu verschleiern, eine schnelle Identifizierung eher unwahrscheinlich, warnt Kai Schuricht, Lead Incident Response Specialist bei Kaspersky, und kommentiert die Erwartungen: „Das ist mehr als sportlich!“

In Sachen Incident-Response zeige sich ebenfalls eine teilweise Ahnungslosigkeit: Nur 62 % der Befragten wüssten, was Incident-Response-Services und -Tools sind – nur gut ein Fünftel (20,5 %) der Unternehmen verfüge über Incident-Response-Pläne. Sofern darin klar beschrieben und definiert ist, wann welche Situation eintritt und wie diese eventuell eskaliert werden muss, bieten solche Pläne jedoch eine gute Orientierung sowohl für Sicherheitsteams als auch Entscheider. Außerdem stehen damit im Voraus abgesprochene Handlungsoptionen bereit, wie auf Risiken und Angriffe zu reagieren ist – das schaffe Vertrauen und Handlungssicherheit, konstatiert der Report.

Der Bericht zur Kaspersky-Studie „Incident Response zur Prävention“, der auch Tipps zur Erstellung eines Incident-Response-Playbooks umfasst, ist kostenfrei als 12-seitiges PDF in deutscher Sprache über https://kas.pr/irreport_de verfügbar (Registrierung und Werbeeinwilligung erforderlich). (www.kaspersky.de/enterprise-security/)

Linux-Systeme häufiger im Visier

Laut Trend Micro stehen Linux-Betriebssysteme immer öfter im Fokus von Malware-Attacken. Im ersten Halbjahr 2023 habe es einen 62%igen Anstieg von Ransomware-Erkennungen im Vergleich zum Vorjahreszeitraum gegeben – aber auch Krypto-Miner, Webshell-Angriffe und Rootkits nähmen zu. Gleichzeitig erfreut sich Linux immer größerer Beliebtheit in der IT-Welt: Unternehmen greifen vor allem für Web-Server und im Rahmen von Embedded Systems zum Open-Source-Betriebssystem. Rund 81 % aller Webseiten und 90 % aller Public-Cloud-Workloads werden Trend Micro zufolge mit Linux betrieben. In den letzten Jahren habe auch dessen Einsatz innerhalb besonders sicherheitskritischer Systeme zugenommen – etwa in Medizingeräten, autonomen Fahrzeugen oder der Raumfahrt.

Dabei erzielen Cyberkriminelle nach Erkenntnissen des Sicherheitsanbieters selbst mit älteren Schadsoftware-Tools weiterhin regelmäßig Erfolge, weil in den Linux-Systemen vieler Unternehmen eine große Zahl älterer, bereits weithin bekannter Sicherheitslücken klaffe, die bis heute ungepatcht blieben. Die besondere Zunahme von Ransomware lasse sich darüber hinaus mit dem Einsatz neuer Technologie wie generativer KI und anderer Tools erklären. So habe etwa die neue Gruppierung „Mimic“ im Frühjahr eine Lücke im Suchwerkzeug Everything genutzt, um zu bestimmen, welche Dateien verschlüsselt werden sollten.

2022 haben dem Bericht zufolge Skriptangriffe über Webshell fast die Hälfte (49,6 %) aller Malware-Angriffe ausgemacht. Danach folgen Trojaner (29,4 %) sowie Attacken über spezielle Backdoors (12 %). Krypto-Miner mit immerhin noch 4,2 % und Phishing-Angriffe mit knapp 2 % wurden eher selten gemeldet.
Anders als bei Windows erfolgen Angriffe auf Linux-Systeme überwiegend webbasiert: 97 % aller von Trend Micro erfassten Attacken verwendeten Methoden wie SQL-Injektionen, Cross-Site-Scripting (XSS) oder Server-Side-Request-Fälschungen (SSRF). Als vielversprechendste Gegenmaßnahmen nennt das Unternehmen den Einsatz aktueller Software/Plugins und zeitnahes Patchen sowie Überprüfungen der Systemkonfigurationen bezüglich Credentials und Ports. Auch eine Schulung von Mitarbeitern gegen Phishing- und Social-Engineering-Angriffe sei wichtig.

Der vollständige „Linux Threat Landscape Report“ ist unter www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/the-linuxthreat-landscape-report auf Englisch zu lesen. (www.trendmicro.com/de/)