Zum Inhalt springen Zur Navigation springen
IT-Forensik und Incident Response: Daten und Fakten

IT-Forensik und Incident Response: Daten und Fakten

Artikel von Marcus Kirsch, M.B.L., M.Sc.·25. Mai 2016

Beginnend mit diesem Beitrag werden wir auch die Themen IT-Forensik und Incident Response stärker integrieren. Dabei werden wir insbesondere die Wechselwirkungen zwischen den Themen Datenschutz, IT-Sicherheit, Digitale Forensik und Incident Response beleuchten. Zum Einstieg beginnen wir zunächst mit ein paar Zahlen, Daten und Fakten. Hierzu existieren ein paar spannende Studien.

Sicherheitsvorfälle werden zum Großteil durch externe Stellen entdeckt

Die Firma Mandiant stellte in der Studie M-Trends 2015: A VIEW FROM THE FRONT LINES fest, dass 69 % der Unternehmen, welche von einem Einbruch in ihre IT-Systeme (Incident) betroffen waren, hierüber von externen Stellen informiert wurden.

Die Aufdeckung eines Angriffs dauert über ein ½ Jahr

Dabei befanden sich die Angreifer durchschnittlich bereits rund 205 Tage im Netzwerk des Opfers bevor sie entdeckt wurden.

Die längste unbemerkte Präsenz der Angreifer betrug dabei

2.982 Tage.

Bevor Sie jetzt anfangen zu rechnen, dies sind rund acht (!!!) Jahre. Diese Zeitspanne dürfte einem Cyber-Kriminellen genügen um sich ausführlich im Netzwerk des Unternehmens umzuschauen, nebenbei gemütlich den einen oder anderen Kaffee zu trinken, ggf. dazu 1-2 Zigaretten zu rauchen und beliebig jegliche wertvollen Informationen aus dem Netzwerk zu laden.

Phishing E-Mails haben regelmäßig IT-Bezug

Soweit hierfür Phishing E-Mails eingesetzt wurden, so waren diese Phishing E-Mails in 78 % der Fälle IT- oder IT-Sicherheitsbezogen und es wurde versucht die interne IT-Abteilung oder einen Anti-Virus-Hersteller zu imitieren. Das zeigt wie wichtig Schulungsmaßnahmen zur Erhöhung der Awareness bei Mitarbeitern sind.

Sonntags wird ausgeschlafen

Aber auch Cyberkriminelle scheinen nur Menschen zu sein. Die Studie zeigt nämlich auch, dass diese äußerst ungern an Sonn- und Montagen arbeiten. 78 % der Phishing E-Mails wurden an Wochentagen versandt, an Sonn- und Montagen waren dagegen kaum Aktivitäten zu verzeichnen.

Wirft man nun einen Blick auf die Folgestudie M-Trends 2016, so ist festzustellen, dass sich die Zahlen zumindest etwas verändert haben.

Nunmehr wurden zumindest 47 % der Systemeinbrüche intern erkannt und die durchschnittliche Erkennungszeit betrug 146 Tage. Bei externen Benachrichtigungen war diese Zeitspanne allerdings erheblich höher (320 Tage). Die Verteilung der Spear-Fishing Attacken war jedoch ähnlich wie zuvor.

Entdeckung von Incidents durch interne Stellen nimmt zu

Hier scheint sich eine Entwicklung abzuzeichnen, wenn man bedenkt dass in der Studie „M-Trends 2012: An evolving threat“ nur 6 % der Systemeinbrüche intern entdeckt wurden und die Entdeckung noch rund 416 Tage dauerte.

Malware nur auf rund der Hälfte der kompromittierten Systeme

Diese Studie zeigt auch, dass fortgeschrittene Angreifer Malware nur auf 54 % der kompromittierten Systeme installierten. Sich bei der Abwehr also nur auf Tools zur Erkennung von Malware zu verlassen bedeutet, dass dabei rund die Hälfte der betroffenen Opfersysteme außen vor bleibt.

Auch in Deutschland werden Incidents überwiegend durch Hinweise Unternehmensexterner entdeckt

Spannend ist insoweit auch die Studie „e-Crime – Computerkriminalität in der deutschen Wirtschaft 2015“ von KPMG.

Die Studie bestätigt die Tatsache, wonach Einbrüche in die IT-Systeme vornehmlich (58 %) durch Hinweise externer Stellen aufgedeckt werden.

Angreifer suchen vornehmlich nach Kunden- und Bankdaten

Ziele der Angreifer sind hiernach insbesondere

  • Kundendaten
  • Bank-/Finanzdaten des Unternehmens
  • Patente/Produktinformationen/Konstruktionszeichnungen
  • Preis-/Konditionsinformationen

Durchschnittliche Ermittlungs- und Folgekosten für IT-Forensik und Incident Response betragen rund 68.000,- EUR je Vorfall

Der durch eine e-Crime Handlungen entstandene durchschnittliche Gesamtschaden betrug rund 377.777,- EUR je Vorfall, wobei bereits die darin enthaltenen Ermittlungs- und Folgekosten für IT-Forensik und Maßnahmen zum Incident Response rund 18 % (68.000,- EUR) betrugen.

Präventionsmaßnahmen müssen auch Innentäter umfassen

Schaut man sich nun die Herkunft der Täter an so ist festzustellen, dass Mitarbeiter hier eine entscheidende Rolle spielen. Nach diese Studie handelt es sich bei den Tätern einer Verletzung von Betriebs- und Geschäftsgeheimnissen beispielsweise zu rund 60 % um eigene Mitarbeiter des Unternehmens. Bei dem Thema Datendiebstahl stammen immerhin noch rund 33 % der Täter aus dem eigenen Unternehmen. Eine Abwehrstrategie welche lediglich auf Außenangreifer fokussiert ist, verfehlt damit klar das Ziel.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.