Cybersicherheit 2017: Quo vadis, EMEA?

Jedes Jahr sind Experten von Mandiant, einem Unternehmen von FireEye, weltweit bei der Bekämpfung zahlreicher Cyberangriffe im Einsatz. Für den Bericht „M-Trends 2017: Ein Blick in die Praxis“ wurden die im letzten Jahr untersuchten Vorfälle zusammengestellt und eine globale sowie regionale Analysen erstellt. Darin wird die Entwicklung bei den Angriffen ebenso betrachtet wie die Abwehrstrategien und die neuen Trends. Durch Einblicke in die Arbeit der FaaS-Teams (FireEye-as-a-Service) enthält der Report einen einzigartigen Überblick über die aktuelle Bedrohungslage. Außerdem wirft FireEye zusammen mit der Rechtsanwaltskanzlei DLA Piper einen Blick auf die Datenschutz-Grundverordnung der EU, die vor einem Jahr in Kraft getreten und im Mai 2018 anzuwenden ist.

Cyberangriffe werden zunehmend komplexer

Bei Angriffen geht der grundsätzliche Trend zu mehr Komplexität. Das betrifft zum einen staatlich unterstützte Hacker, die auch weiterhin den Maßstab setzen. Aber auch finanziell motivierte Angreifer sind inzwischen auf einem Niveau von Angriffen angekommen, das eine Unterscheidung von APT-Gruppen erschwert. Sie haben ihre Taktiken, Techniken und Prozesse inzwischen derart weiterentwickelt, dass Angriffe nur noch schwer zu erkennen, zu analysieren und zu beheben sind.

Eine Hackergruppierung, die von FireEye inzwischen als FIN7 identifiziert wurde, geht dabei besonders dreist vor: Sie kontaktiert potentielle Opfer telefonisch und unterstützt diese bei der Aktivierung bösartiger Makros in Office-Dokumenten.

Europa: Mehr Cyberangriffe auf Finanzindustrie, die Energiebranche und Behörden

Die auffälligste Erkenntnis in den aktuellen M-Trends ist, dass die mittlere Verweildauer von Angreifern, also die Zeit, die sie unentdeckt Zugriff auf infizierte Systeme haben, von 469 Tagen im Jahr 2015 (vgl. M-Trends 2016) auf 106 Tage zurückgegangen ist. Dabei ist dieser Rückgang auf verschiedene Faktoren zurückzuführen. Einerseits steigt in Organisationen zunehmend das Bewusstsein für Cyberbedrohungen und die damit verbundenen Gefahren, so dass auch proaktive Sicherheitsmaßnahmen stärkere Verbreitung finden. Andererseits entwickeln sich auch die Angriffsmethoden weiter, so dass eine Erkennung erschwert wird. Außerdem sind zunehmend gewollt auffällige Angriffe wie Systemlöschungen oder Ransomware-Attacken zu beobachten, was zu einem Sinken des Durchschnittswertes beiträgt.

Besonders häufig attackiert werden in EMEA Unternehmen aus der Energiewirtschaft, dem öffentlichen Dienst, dem Finanzsektor, sowie der Telekommunikationsbranche. Der Finanzsektor steht bei finanziell motivierten Angreifern hoch im Kurs, da einerseits die zunehmende Digitalisierung weitere Ziele für Hacker erschließt. Andererseits stellen besonders Finanzinstitute im Nahen Osten ein lohnendes Ziel dar, da hier oft weniger Geld in Cybersecurity investiert wird als bei westlichen Institutionen. Die Branchen Energiewirtschaft, öffentlicher Dienst und Telekommunikation stehen besonders bei staatlich gesponserten APT-Gruppen weit oben auf der Liste. Deren Ziele sind dabei vielfältiger Natur: Die Hacker sind auf der Suche nach Betriebsgeheimnissen, um die heimischen Unternehmen zu stärken, spionieren politische und militärische Geheimnisse aus oder versuchen, Informationen zur Europäischen Union zu erfassen, von denen die eigenen Streitkräfte profitieren können.

Unternehmen und die Datenschutz-Grundverordnung

Doch nicht nur Cyberangreifer sind ein großes Thema für Unternehmen in EMEA. Besonders in Hinblick auf die Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, ergeben sich für Unternehmen neue Regulierungen und Bestimmungen, die sie im Umgang mit personenbezogenen Daten von EU-Bürgern erfüllen müssen. Diese strikten Vorgaben sollen Verbraucher in der EU darin bestärken, dass sie sicher Daten weitergeben und auf dem globalen digitalen Markt agieren können.

Inwiefern ist die Datenschutz-Grundverordnung aber auch effektiv umsetzbar? Eine wichtige Vorschrift der neuen Verordnung ist, dass ein Unternehmen seine lokalen Datenschutzbehörden innerhalb von 72 Stunden benachrichtigen muss, wenn unbefugter Zugriff auf personenbezogene Daten bekannt wird. Natürlich ist das „Bekanntwerden“ im Unternehmen subjektiv, denn es beruht auf der Sicherheitsstrategie des jeweiligen Unternehmens. Dementsprechend wird in der Datenschutz-Grundverordnung zwar das Zeitfenster für die Benachrichtigung der Behörden festgelegt, aber nicht der Auslöser definiert, ab dem die Zeit läuft.

Unternehmen sollten sich bereits jetzt auf Mai 2018 vorbereiten. Sie sollten nicht nur eine effektive Incident-Response-Strategie implementieren, um potenzielle Datenverletzungen eskalieren, verwalten und melden zu können, sondern sicherstellen, dass diese Strategie sich in ein kohärentes Governance-Framework einfügt, das auch alle anderen Vorschriften der Datenschutz-Grundverordnung erfüllt. Im schlimmsten Fall müssen Unternehmen im Zuge eines Vorfalls mit empfindlichen Strafen in Höhe von bis zu vier Prozent der Jahresumsätze rechnen. Besonders in Anbetracht der zunehmenden Raffinesse, mit der Angriffe durchgeführt werden, ist es nur eine Frage der Zeit, bis es zu einem Vorfall kommt. Auf diesen sollten Organisationen dann gemäß der Datenschutz-Grundverordnung vorbereitet sein.

Ausführliche Informationen finden Sie im vollständigen, deutschsprachigen Report „M-Trends 2017: Ein Blick in die Praxis“.