Europäischen Organisationen jeglicher Branchen, darunter auch Industrieunternehmen, drohen Angriffe auf die IT-Sicherheit. Europa liegt auf Platz 2 bei von Kaspersky weltweit analysierten Vorfallreaktionen.
Am häufigsten lösten verdächtige Dateien (36,2 %), bereits verschlüsselte Daten (21,3 %) oder verdächtige Aktivitäten an den Endpoints (10,6 %) eine Vorfallreaktion aus. Das Problem: Die Hälfte der Vorfälle wird erst nach einigen Wochen entdeckt. Der Schaden ist also bereits entstanden. Darüber hinaus stehen ein Viertel der Sicherheitsvorfälle in Verbindung mit legitimen Verwaltungs- und Fernzugriffstools, die Sicherheitslösungen als Angriffe auf die IT-Sicherheit nur schwer erkennen können und die in Zeiten des Arbeitens von Zuhause sich großer Beliebtheit erfreuen.
Bei der Analyse der Vorfallreaktionen in Europa stellten die Kaspersky-Experten fest, dass in mehr als einem Drittel (35,3 %) der Fälle ausgenutzte Programm-Schwachstellen das Einfallstor in das Unternehmensnetzwerk waren. Das russische Softwareunternehmen identifizierte noch weitere erste Angriffsvektoren auf die IT-Sicherheit: schädliche E-Mails (29,4 %), externe Datenträger (11,8 %), Ausnutzung von Schwachstellen aufgrund fehlerhafter Konfiguration (11,8 %), geleakte Zugangsdaten (5,9 %) sowie Insider (5,9 %).
Verwaltungs- und Fernzugrifftools sind Risiko für IT-Sicherheit
Waren die Angreifer erst einmal im Netzwerk, missbrauchten sie in 25 % der analysierten Incident Responses legitime Tools, um Schaden anzurichten. Diese dienen eigentlich IT- und Netzwerkadministratoren unter anderem dazu, Fehler zu beheben und den Mitarbeitern technischen Support zu bieten. Jedoch können Cyberkriminelle damit Prozesse auf Endpunkten ausführen, auf vertrauliche Informationen zugreifen und diese extrahieren, wobei verschiedene Sicherheitskontrollen zur Erkennung von Malware umgangen werden.
Laut Report wurden 18 verschiedene legitime Tools identifiziert, die von Angreifern für schädliche Zwecke missbraucht wurden. Bei der Hälfte der in Europa analysierten Fälle (50 %) wurden das mächtige Verwaltungstool PowerShell, das für viele Zwecke verwendet werden kann, vom Sammeln von Informationen bis zum Ausführen von Malware, und PsExec, das zum Starten von Prozessen auf Remote-Endpunkten verwendet wird, genutzt. SoftPerfect Network Scanner, mit dem Informationen zu Netzwerkumgebungen abgerufen werden, in 37,5 % der Angriffe.
„Um eine Erkennung zu vermeiden und in einem gefährdeten Netzwerk so lange wie möglich unsichtbar zu bleiben, verwenden Angreifer häufig Software, die für normale Nutzeraktivitäten, Administratoraufgaben und Systemdiagnosen entwickelt wurde“, erklärt Konstantin Sapronov, Leiter des globalen Notfallteams bei Kaspersky. „Mit diesen Tools können Angreifer Informationen über Unternehmensnetzwerke sammeln und sich darin bewegen, Software- und Hardwareeinstellungen ändern oder sogar schädliche Aktionen ausführen – sie könnten legitime Software verwenden, um Kundendaten zu verschlüsseln. Legitime Software kann Angreifern dabei helfen, unter dem Radar von Sicherheitsanalysten zu bleiben, da sie den Angriff häufig erst erkennen, nachdem der Schaden angerichtet wurde. Es ist aus vielen Gründen nicht möglich, diese Tools auszuschließen. Ordnungsgemäß eingesetzte Protokollierungs- und Überwachungssysteme helfen jedoch dabei, verdächtige Aktivitäten im Netzwerk und komplexe Angriffe in früheren Phasen zu erkennen.“
Kontakt:
Kaspersky Labs GmbH
Despag-Straße 3
85055 Ingolstadt
Tel.: +49 84198189-0
www.kaspersky.de
