cisco 2016 annual security report · aktivitäten schlagen. und auch die verfahren, mit denen sie...
TRANSCRIPT
Cisco 2016Annual Security Report
2
Zusammenfassung
Security-Technologien und Abwehrstrategien werden immer ausgereifter. Doch auch auf Seiten der Angreifer wird laufend aufgerüstet und optimiert: Immer leistungsfähiger sind die Backend-Infrastrukturen, über die sie ihre Kampagnen fahren. Immer raffinierter sind zudem die Techniken, mit denen die Kriminellen Profit aus ihren Aktivitäten schlagen. Und auch die Verfahren, mit denen sie das Ausschleusen von Daten und geistigem Eigentum verschleiern, sind immer ausgefeilter.
Der Cisco Annual Security Report 2016 untersucht aktuelle Herausforderungen beim Aufspüren und Abwehren der bestens ausgestatteten und hochdynamischen Angreifer von heute. Grundlage für diese Analyse bilden neben den Erkenntnissen von Cisco Security Research auch Untersuchungen von unabhängigen Experten wie den Threat Research Labs von Level 3.
Die von uns erfassten Daten werden im Zeitverlauf ausgewertet und auf dieser Basis Empfehlungen abgegeben, wie Sicherheitsverantwortliche auf diese Entwicklungen in der Bedrohungslandschaft reagieren sollten.
Der Report ist in die folgenden Themenkomplexe gegliedert:EntwicklungEn im BEdrohungsumfEldNeben den wichtigsten Trends im Bereich der Cybersicherheit geht dieser Abschnitt auf aktuelle Entwicklungen rund um internetseitige Angriffsvektoren und -methoden sowie Sicherheitslücken ein. Ein besonderer Fokus liegt zudem auf Schadprogrammen wie Ransomware, die derzeit ganz besonderer Aufmerksamkeit bedürfen. Den hier skizzierten Trends liegt ein umfangreicher Satz von Telemetriedaten zugrunde, die Cisco weltweit erfasst, analysiert und auswertet.
BranchEntrEndsIn diesem Abschnitt werden Trends rund um die IT-Sicherheit beleuchtet, die sich auf das heutige Unternehmensumfeld auswirken, etwa der zunehmende Einsatz von verschlüsselten Verbindungen und die damit verbundenen Risiken. Untersucht werden außerdem die Schwachstellen im Netzwerkschutz kleiner und mittelständischer Unternehmen sowie die Gefahren, die veraltete oder nicht mehr von den Herstellern aktualisierte bzw. durch technischen Support abgedeckte Software darstellt.
ErgEBnissE dEr sEcurity capaBilitiEs BEnchmark studyIm Rahmen dieser Studie hat Cisco Sicherheitsverantwortliche zu ihren Sicherheitsressourcen und -verfahren befragt, um zu ermitteln, wie diese den aktuellen Sicherheitsstatus ihres Unternehmens einschätzen. Verglichen mit der erstmalig im Jahr 2014 durchgeführten Studie sind die 2015 Befragten Leiter der Sicherheitsabteilung (Chief Security Officer, CSO) und die ihnen unterstellten Sicherheitsteams (Security Operations Manager, SecOps) weniger überzeugt, dass ihre Sicherheitsinfrastruktur auf dem neuesten Stand oder in der Lage ist, Angriffe zuverlässig abzuwehren. Gleichzeitig ist aber auch festzustellen, dass Unternehmen ihre Schulungsprogramme und anderen Prozesse zur Stärkung der IT- und Netzwerksicherheit ausweiten. Die Ergebnisse der Studie finden Sie exklusiv im Cisco Annual Security Report 2016.
Ein Blick in diE ZukunftIn diesem Abschnitt werden geopolitische Entwicklungen und deren Auswirkungen auf das Security-Umfeld beleuchtet sowie die Ergebnisse zweier Studien von Cisco erläutert – eine zu den Ansichten von Führungskräften bezüglich der Cybersicherheit, die andere zu den Einschätzungen von IT-Entscheidungsträgern bezüglich Sicherheitsrisiken und der Vertrauenswürdigkeit von IT-Anbietern. Ebenfalls thematisiert werden die Fortschritte von Cisco bei der Verkürzung der Bedrohungs-Erkennungszeit sowie die Bedeutung einer integrierten Architektur zum Schutz vor Bedrohungen.
ZusammenfassungNeue Strategien sind gefragt.
Cisco 2016 Annual Security Report
3
Inhalt
ZusammEnfassung ................................................. 2
wichtigstE EntwicklungEn und ErkEnntnissE ........................................................... 4
dEn profit immEr im augE: cyBErkriminEllEn gEht Es hEutE EinZig ums gEld ........................... 7
EntwicklungEn im BEdrohungsumfEld .......... 9fokusthemen ..............................................................................10
Koordinierte Aktion der Branche bringt groß angelegte, hochprofitable Exploit-Kit- und Ransomware-Kampagne zum Erliegen .......................................................................................10
Branche formiert Allianz gegen eines der größten je dokumentierten DDoS-Botnets ...................................................14
Kaum beachtet, weit verbreitet: Datenlecks durch infizierte Browser ............................................16
Command-and-Control: Botnets weltweit ...................................17
Unter dem Radar: DNS als Startrampe für Command-and-Control .........................................................19
threat-intelligence-analyse .....................................................20
Web-Angriffsvektoren .................................................................20
Web-Angriffsmethoden ...............................................................21
Bedrohungen aktuell ...................................................................23
Malware-Auftrittsrisiko im Branchenvergleich ..............................25
Blockierung von Web-Angriffen: Geografischer Überblick ...........27
BranchEntrEnds .................................................29Verschlüsselung auf dem Vormarsch – eine Herausforderung für Sicherheitsteams ...................................... 30
WordPress-Server im Visier von Cyberkriminellen .................... 33
Veraltete Infrastruktur: Ein jahrelang verschlepptes Problem ..... 35
Kleinbetriebe und der Mittelstand – sind sie ein schwaches Glied in der Sicherheitskette? ................................................... 37
ErgEBnissE dEr cisco sEcurity capaBilitiEs BEnchmark study .......................41Unternehmen sehen Handlungsbedarf bei Sicherheitsvorkehrungen ........................................................... 42
Ein Blick in diE Zukunft .....................................55Regulierung des Internets: Geopolitische Entwicklungen schüren Unsicherheit ......................................... 56
Cybersicherheit bereitet Führungskräften Sorgen ..................... 57
Vertrauenswürdige Anbieter: Studie beleuchtet Risiken und Herausforderungen für Unternehmen ..................... 58
Bedrohungs-Erkennungszeit: Ein ständiger Wettlauf ................. 60
Die sechs Säulen der integrierten Bedrohungsabwehr .............. 62
Stärken bündeln gegen einen gemeinsamen Feind ................... 63
ÜBEr cisco .............................................................64Mitwirkende .............................................................................. 65
Mitwirkender Cisco Partner ....................................................... 67
anhang ...................................................................... 68
Inhalt
Cisco 2016 Annual Security Report
4
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Wichtigste Entwicklungen und Erkenntnisse
5
Wichtigste Entwicklungen und Erkenntnisse
• Cisco und die Threat Research Labs von Level 3 konnten in Zusammenarbeit mit dem Hosting-Provider Limestone Networks eine der größten Angler-Operationen der USA aufspüren und zum Erliegen bringen. Mithilfe des Exploit-Kits hatten die Drahtzieher bis zu 90.000 Nutzer pro Tag angegriffen und jedes Jahr Gewinne in zweistelliger Millionenhöhe eingefahren.
• In Zusammenarbeit mit den Threat Research Labs von Level 3 gelang Cisco ein wichtiger Schlag gegen die SSHPsychos-Gruppe (auch bekannt unter dem Namen Group 93), die für eines der größten DDoS-Botnets (Distributed-Denial-of-Service) zeichnet, das je von Cisco untersucht wurde. Wie bereits im o. g. Fall von Angler wird auch hier deutlich, wie wichtig eine enge Zusammenarbeit der Branche im Kampf gegen Cyberkriminelle ist.
• Schädliche Browser-Erweiterungen können erhebliche Datenlecks verursachen und sind weit verbreitetes Problem – schätzungsweise 85 Prozent der von uns untersuchten Unternehmen sind davon betroffen.
• Bei der Untersuchung einer Gruppe von Unternehmen im Juli 2015 konnten wir mehrheitlich Command-and-Control-Aktivitäten feststellen, die von den weithin bekannten Botnets Bedep, Gamarue und Miuref ausgingen.
• Die Mehrheit der als „bekannt“ eingestuften Malware (91,3 Prozent) fährt Kampagnen über den Domain Name Service (DNS). Mittels retrospektiver Analyse der DNS-Abfragen konnte Cisco „schädliche“ DNS-Resolver in den Netzwerken seiner Kunden aufspüren, die Mitarbeiter dort als Teil der DNS-Infrastruktur unbemerkt verwendeten.
• Das Ausnutzen von Sicherheitslücken in Adobe Flash steht auch weiterhin hoch im Kurs bei Cyberkriminellen. Um Benutzer besser vor Flash-Exploits zu schützen, unternehmen Softwareanbieter jedoch bereits verschiedene Anstrengungen.
• Wie die Datenverkehrstrends 2015 zeigen, ist HTTPS-Verschlüsselung auf dem Vormarsch und wird schon Bald das Gros des Datenverkehrs im Internet bilden. Verschlüsselung stärkt zwar die Datensicherheit, kann gleichzeitig aber auch die Effektivität von Security-Produkten einschränken, da sie die Nachverfolgung von Bedrohungen deutlich erschwert. Hinzu kommt, dass einige Malware-Typen verschlüsselte Kommunikationskanäle über eine Vielzahl von Ports initiieren.
• Kompromittierte Websites, die über das gängige Web-Entwicklungstool WordPress erstellt wurden, werden zunehmend als Plattform genutzt, um Zugang zu Serverressourcen zu erlangen und kriminelle Aktivitäten zu verschleiern.
Wichtigste Entwicklungen und ErkenntnisseCyberkriminelle optimieren ihre Backend-Infrastrukturen auf größere Effizienz und mehr Profit
Cisco 2016 Annual Security Report
6
• Immer häufiger ist veraltete Infrastruktur in Unternehmen im Einsatz – und macht sie zunehmend angreifbar. Eine Analyse von 115.000 mit dem Internet verbundenen Cisco Geräten ergab: Auf 92 Prozent der Geräte wurde Software mit bekannten Sicherheitslücken ausgeführt. Bei 31 Prozent der Geräte handelte es sich zudem um „End-of-Sale“-, bei 8 Prozent um „End-of-Life“-Modelle.
• Im Vergleich zu 2014 waren die 2015 im Rahmen der Cisco Security Capabilities Benchmark Study befragten Sicherheitsverantwortlichen weniger von ihren Sicherheitstools und -prozessen überzeugt. So gaben 2015 etwa nur noch 59 Prozent an, dass die Sicherheitsinfrastruktur ihres Unternehmens auf dem neusten Stand ist. 2014 galt dies noch für 64 Prozent. Aus Sorge um die Sicherheit sind sie aber auch zunehmend bemüht, ihre Abwehrmechanismen zu stärken.
• Verglichen mit größeren Unternehmen sind Kleinbetriebe und der Mittelstand in Sachen IT-Sicherheit schlechter aufgestellt. So nutzten der Benchmark-Studie zufolge 2015 nur 48 Prozent dieser Unternehmen Tools für Web-Sicherheit. 2014 waren es noch 59 Prozent. Zudem hatten 2015 nur 29 Prozent Patching- und Konfigurationstools im Einsatz, verglichen mit 39 Prozent im Jahr 2014. Diese Unternehmen sind somit potenziell leichter angreifbar – ein Risiko für ihre Geschäftspartner aus Großunternehmen.
• Cisco konnte die Bedrohungs-Erkennungszeit (auch „Time to Detection“, TTD) in seinen Netzwerken auf weniger als einen Tag verkürzen: Im Oktober 2015 lag der TTD-Median nur noch bei 17 Stunden – und damit deutlich unter dem Branchenstandard von derzeit 100 bis 200 Tagen.
Wichtigste Entwicklungen und ErkenntnisseCisco 2016 Annual Security Report
7
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Den Profit immer im Auge: Cyberkriminellen geht es heute einzig ums Geld
8
Den Profit immer im Auge
In der Vergangenheit suchten viele Cyberkriminelle noch den Schutz der Tiefen des Internets. Um unerkannt zu bleiben, hielten sie sich nur so kurz wie möglich in Unternehmensnetzwerken auf – gerade so lange, dass sie ihre Exploits starten können. Heute dagegen gehen einige deutlich dreister vor: Sie zapfen seriöse Online-Ressourcen an, verschaffen sich Zugang zu Serverkapazitäten und lesen Daten aus. Oder aber sie verschlüsseln die Daten ihrer Opfer, die erst nach der Zahlung eines „Lösegeldes“ die Codes zur Entschlüsselung erhalten.
Diese Entwicklungen machen deutlich: Der Kampf gegen Cyberkriminelle nimmt an Intensität weiter zu. Denn sie sind immer breiter aufgestellt – und damit auch um ein Vielfaches effektiver.
Wie es ihnen gelingt, derart robuste Infrastrukturen aufzubauen, haben die Experten von Cisco untersucht. So zeigt sich: Die Verfahren der Kriminellen für die Maximierung ihrer Gewinne werden immer effizienter. Und durch das Kapern von Serverressourcen immer leistungsfähiger.
Besonders deutlich wird dies angesichts der rasanten Verbreitung von Ransomware (siehe seite 10), einem Malware-Typ, mit dem die Drahtzieher aus den infizierten Nutzern direkt Profit schlagen können. Und das in beträchtlicher Höhe. Denn mit automatisierten Kampagnen sind sie in der Lage, pro Tag viele Tausend Nutzer gleichzeitig und dabei weitgehend unbehelligt zu kompromittieren. Als Startrampe für diese hochprofitablen Operationen dienen immer häufiger die Ressourcen seriöser Anbieter.
So leiten etwa einige Ransomware-Varianten und andere Exploits ihren Datenverkehr über gehackte WordPress-Websites, die ihnen als Tarnung dienen und gleichzeitig die benötigten Serverressourcen bereitstellen (siehe seite 33). SSHPsychos wiederum, eines der größten je von Cisco untersuchten Botnets, nutzte Standardnetze von Hosting-Providern, um sich ungestört zu verbreiten. Erst durch die Zusammenarbeit der Experten von Cisco und der Threat Research Labs von Level 3 gelang es, den Datenverkehr dieses Botnets zu blockieren.
Den Profit immer im Auge: Cyberkriminellen geht es heute einzig ums Geld
Cisco 2016 Annual Security Report
Entwicklungen im Bedrohungsumfeld
10
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Angler ist derzeit eines der umfangreichsten und effektivsten Exploit-Kits. Auf diesen Angriffsbaukasten sind nicht nur zahlreiche groß angelegte Malvertising- (bösartige Online-Werbung) und Ransomware-Kampagnen zurückzuführen, er ist auch einer der Hauptfaktoren für die rasante Verbreitung von Ransomware in den letzten Jahren. Ransomware verschlüsselt Dateien auf dem System des infizierten Nutzers. Erst gegen Zahlung eines „Lösegeldes“ – in der Regel zwischen 300 und 500 US-Dollar – erhält der Betroffene die Codes zur Entschlüsselung.
Wie bereits im Cisco Midyear Security Report 2015 ausgeführt, können Kriminelle dank Kryptowährungen wie Bitcoin und anonymen Web-Netzen wie Tor noch schneller und leichter in den Malware-Markt einsteigen und Gewinne einstreichen. Und das insbesondere mit Ransomware. Denn bei minimalem Aufwand wandern die erpressten Gelder via Krypto-Bezahlung direkt in die Taschen der Drahtzieher.
Bei der Untersuchung von Angler- und damit verbundenen Ransomware-Trends stellte Cisco fest, dass eine unverhältnismäßig hohe Zahl der weltweit von Angler-Operationen verwendeten Proxys auf Servern des Hosting-Providers Limestone Networks ausgeführt wurden. Dies ist eine Entwicklung, die unsere Experten mittlerweile immer häufiger beobachten: Cyberkriminelle stützen sich neben illegalen zunehmend auch auf seriöse Ressourcen.
Im vorliegenden Fall war die IP-Infrastruktur, die für Angler genutzt wurde, nicht sonderlich groß. Im Allgemeinen waren zwischen 8 und 12 Systeme aktiv, die meisten davon nur für einen Tag. Abbildung 1 zeigt die Zahl der eindeutigen IP-Adressen, die im Juli 2015 dokumentiert wurden.
Um ihre Aktivitäten zu verbergen und ihre Geldflüsse aufrechtzuerhalten, verwendeten die Drahtzieher im Wesentlichen linear aufsteigende IP-Adressen.
fokusthemen
Koordinierte Aktion der Branche bringt groß angelegte, hochprofitable Exploit-Kit- und Ransomware-Kampagne zum Erliegen
Entwicklungen im BedrohungsumfeldDen Erkenntnissen in diesem Report liegt ein umfangreicher Satz von Telemetriedaten zu Malware-Datenverkehr und anderen Bedrohungen zugrunde, die Cisco weltweit erfasst, analysiert und auswertet. Dies ermöglicht Rückschlüsse auf künftige Aktionen von Cyberkriminellen und kann zur besseren Erkennung beitragen.
Quelle: Cisco Security Research
Figure X.Angler IP Addresses by Date, July 2015
Juli 2015
16
Anzahl der IP-Adressen
Zwischen 8 und 12
12
8
4
311 15 2010
abbildung 1: Anzahl der Angler-IP-Adressen nach Datum, Juli 2015
TEILEN
11
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Wie Abbildung 2 zeigt, startet Angler zunächst mit einer IP-Adresse (hier 74.63.217.218). Sobald der Host erkennt, dass Nutzer durch dieses System kompromittiert werden, wechselt der Exploit zu einer benachbarten IP-Adresse (74.63.217.219) und durchläuft nach diesem Schema fortlaufend die Blöcke im IP-Bereich des jeweiligen Hosting-Providers.
Über die autonomen Systemnummern (ASN) ließen sich die Provider ermitteln, denen die IP-Adressen zugewiesen waren. Das Ergebnis: Der Großteil des von Angler generierten Datenverkehrs ging von den Servern von zwei legitimen Hosting-Providern aus: Limestone Networks und Hetzner (Abbildung 3) – im Juli sogar fast 75 Prozent des gesamten Datenverkehrs.
Cisco wandte sich zunächst an Limestone Networks, das offenbar das Gros dieser Angler-Operation weltweit hostete. Das Unternehmen begrüßte eine Zusammenarbeit, denn allein durch Kreditkarten-Rückzahlungen musste es jeden Monat bereits Verluste von mehreren Tausend Dollar beklagen – die Hacker hatten seine Server mit gestohlenen Kreditkarten bezahlt.
74.63.217.218
IP-Adressen bei Limestone Networks
Juli 2015
Figure X. Low IP Infrastructure Supporting Angler
74.63.217.219
74.63.217.220
74.63.217.221
74.63.217.222
74.63.237.178
74.63.237.181
74.63.237.179
74.63.237.180
74.63.237.182
2 8
Quelle: Cisco Security Research
3 4 5 6 7
abbildung 2: Von Angler genutzte IP-Infrastruktur
abbildung 3: Angler-HTTP-Anforderungen nach Anbieter, Juli 2015
Quelle: Cisco Security Research
Figure X. Angler HTTP Requests by Provider, July 2015
Provider A
Provider B
Provider C
Provider D
Provider E
Provider F
Provider G
Provider H
Provider I
Provider J
Provider K
Provider L
10.0006.000Anzahl der Anforderungen
(Limestone Networks)
(Hetzner)75% des
Gesamt-Tra�cs
TEILEN
12
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Diese Transaktionen ließen sich zudem nur schwer eindeutig zurückverfolgen. Denn die Hacker bezahlten die Server immer wieder über unterschiedliche Namen und Kreditkarten: Am einen Tag drei oder vier mit den einen, am nächsten Tag wieder drei oder vier mit den anderen. Flog ein kompromittierter Server auf und wurde offline genommen, konnten sie auf diese Weise einfach von einer IP-Adresse zur nächsten wechseln.
In Zusammenarbeit mit den Threat Research Labs von Level 3 und OpenDNS, einem Cisco Unternehmen, untersuchten wir die Bedrohung genauer. Ihre Ausrichtung sowie ihre Reichweite am Höhepunkt ihrer Aktivitäten konnte mit der Unterstützung der global aufgestellten Experten von Level 3 präziser ermittelt werden. OpenDNS wiederum lieferte wichtige Erkenntnisse dazu, auf welchen Domains die Bedrohung sich bewegte – und damit auch zu den dabei eingesetzten Techniken wie Domain-Shadowing.
Seine Payloads verbreitete Angler über schädliche Werbeanzeigen, die auf Hunderten beliebten Websites zu finden waren – von großen Nachrichten- und Immobilienseiten bis hin zu Seiten der Popkultur. Bemerkenswert dabei: Diese Art von Websites wird von der Security-Community in der Regel als „bekannt unbedenklich“ eingestuft.
Daneben wurden noch unzählige kleine, vermutlich zufällig gewählte Websites gefunden, die den Exploit ebenfalls mittels Malvertising verbreiteten, darunter auch eine Todesanzeige in einer kleinen Lokalzeitung aus den USA. Diese richtete sich sehr wahrscheinlich vorrangig an ältere Menschen – eine Bevölkerungsschicht, die tendenziell häufiger Standard-Webbrowser wie Microsoft Internet Explorer nutzt und u. U. weniger häufig Patches für Sicherheitslücken, etwa in Adobe Flash, installiert.
Die Angler-Operation verwendete zudem eine bemerkenswert hohe Zahl an eindeutigen Referrern, diese jedoch nur für ausgesprochen wenige Nutzer (Abbildung 4): 15.000 Seiten verwiesen auf das Exploit-Kit, 99,8 Prozent davon wurden allerdings nicht öfter als 10 Mal verwendet und bereits nach kurzer Zeit wieder entfernt. Der im Juli 2015 gemessene Höhepunkt der Aktivitäten wurde
zudem von verschiedenen Zero-Day-Exploits (CVE-2015-5119, CVE-2015-5122) begleitet. Diese Exploits waren im gleichen Monat nach einem Angriff auf das Unternehmen Hacking Team bekannt geworden.1
Bei 60 Prozent der Payloads von dieser Angler-Operation handelte es sich um Ransomware, in den meisten Fällen Cryptowall 3.0. Daneben wurde auch die Downloader-Malware Bedep ausgeliefert, die in der Regel Schadcode von Klickbetrug-Kampagnen auf dem betroffenen System installiert (siehe „Kaum beachtet, weit verbreitet: Datenlecks durch infizierte Browser“ auf seite 16). Diese Malware-Typen sind in der Szene sehr beliebt. Denn sie bringen schnelles Geld bei minimalem Aufwand.
abbildung 4: Eindeutige Referrer pro Tag, Juli 2015
Juli 2015
311 15
Quelle: Cisco Security Research
Figure X. Unique Referers by Day, July 2015
Anza
hl e
inde
utig
er U
RLs
mit
Verw
eis
auf E
xplo
it-Se
rver
Aktivitäts-Höhepunkt begleitet von Zero-Day-Exploits
2K
0
¹ „Adobe Patches Hacking Team’s Flash Player Zero-Day“, Eduard Kovacs in SecurityWeek, 8. Juli 2015: http://www.securityweek.com/adobe-patches-hacking-teams-flash-player-zero-day
13
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Die Hacker-Gruppe hinter dieser Angler-Kampagne attackierte bis zu 90.000 Nutzer täglich – und erbeutete damit schätzungsweise über 30 Millionen US-Dollar pro Jahr.
Ähnlich erfolgreich war vermutlich auch das Netzwerk, das die Gruppe über die Server von Hetzner aufgebaut hatte. Das bedeutet, dass während der Untersuchung von Cisco rund die Hälfte aller Angler-Aktivitäten weltweit allein auf die Operation zurückging, die die Server von Limestone Networks und Hetzner nutzte. Damit konnte sie pro Jahr Gewinne von bis zu 60 Millionen US-Dollar generieren.
angler: Ein einträgliches geschäft
X90.000Angri�sziele pro
Tag/Server
10%
der Exploits ausgeliefert
62%
Ransomware eingespielt
2,9%
der Lösegelder bezahlt
300 USD
Jeden Tag bezahlen 9.515 Nutzer das Lösegeld
durchschnittliches Lösegeld
147Proxy-Server
pro Monat
34Mio USD
von Ransomware generierter Gewinn pro Kampagne
40%
der Nutzer kompromittiert
=
90Ktargets per server
10%
served exploits
40%
compromised
62%
delivered ransomware
2,9%
of ransoms paid
$300average ransom
4,8redirection servers per day
$95Kper day per campaign
$34Mgross yearly income for
ransomware per campaign
X
X
X
X
X
X
=
TEILEN
Figure X. Angler Revenue
Quelle: Cisco Security Research
targets per day90K of Angler infections
delivered ransomware
62%unique IP addresseswere served exploitsin a single day
9Kof users being served exploits were compromised
40%
147average ransom
$300gross yearly incomefor ransomware per campaign
$34Mof ransoms paid per day
redirection servers
2.9%X X =
14
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Die Server, auf die die Nutzer zugriffen, hielten die Malware zudem nicht selbst vor. Sie dienten lediglich als Ausgangspunkt für eine Kette von Weiterleitungen, die den Nutzer via GET-Anforderung an eine Landing-Page des Proxyservers vermittelte. Der Proxy reichte den Traffic dann an einen Exploit-Server weiter, der in einem anderen Land von einem Drittprovider gehostet wurde. Ein einzelner Exploit-Server war dabei für mehrere Proxys verantwortlich (siehe Abbildung 5).
Darüber hinaus war ein Statusserver hinzugeschaltet, der die Proxys überwachte. Jedem dieser Proxys waren zwei eindeutige URLs zugeordnet. Über die eine gab der Statusserver beim Aufruf den HTTP-Statuscode „204“ zurück. So konnten die Angreifer jeden Proxy eindeutig identifizieren und zudem verifizieren, dass der jeweilige Proxy unbeeinträchtigt arbeitete. Die andere URL übermittelte die Logfiles der Proxys, über die die Angreifer prüfen konnten, wie effizient ihr Netzwerk arbeitete.
Entscheidend für den Erfolg dieser Untersuchung war die Kooperation zwischen den genannten Branchenakteuren. Denn erst dadurch gelang es, die Angler-Proxys beim US-Service-Provider auszuschalten und die Machenschaften einer hochgradig professionellen Bande aufzudecken, die jeden Tag Tausende Webnutzer attackierte.
Neue Angler-Server, die bei Limestone online gingen, konnte Cisco zudem sofort aufspüren und aus dem Verkehr ziehen. So ebbte die Angler-Aktivität bei Limestone allmählich ab – und ging daraufhin auch weltweit deutlich zurück.
Branche formiert Allianz gegen eines der größten je dokumentierten DDoS-BotnetsIn vielen Fällen können integrierte Abwehrsysteme den Schaden von groß angelegten Cyberangriffen frühzeitig abwenden. Nicht selten gelingt der entscheidende Durchbruch jedoch erst, wenn Service-Provider, Security-Anbieter und andere Branchenvertreter koordiniert gegen die Akteure vorgehen.
Im Kampf gegen die Malware-Kampagnen von heute braucht es starke Allianzen in der Branche. Denn immer größer sind die Gewinne, die Verbrecherkombinate damit einstreichen. So auch die SSHPsychos-Gruppe, die für eines der größten DDoS-Botnets zeichnet, das je von Cisco untersucht wurde. In Zusammenarbeit mit den Threat Research Labs von Level 3 gelang jedoch ein wichtiger Schlag gegen die auch unter dem Namen Group 93 bekannten Angreifer.
abbildung 5: Backend-Infrastruktur von Angler
Nutzer StatusserverProxyserver
Exploit-Server
Ö�net Seite
Weiterleitung an Proxy
Proxyserver erhält Daten vom Exploit-Server (Port 81)
Exploit-Server sendet HTTP-Anforderungen an Statusserver
Übermittelt Protokolle an Master-Server
Statusserver überwacht HTTP-Anforderungen/Status
Figure X. Angler: Back–End Infrastructure
Quelle: Cisco Security Research
Master-Server
Mehr über diesen bedeutenden Schlag gegen das weltweit florierende Geschäft mit Angler finden Sie im Blog „threat spotlight: cisco talos thwarts access to massive international Exploit kit generating $60m annually from ransomware alone“ von Cisco Security.
TEILEN
15
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
BEdrohung von BEispiEllosEm ausmass Das SSHPsychos DDoS-Netzwerk ist in vielerlei Hinsicht einzigartig. So verteilt es etwa seine DDoS-Angriffe auf Tausende weit im Internet verstreute Systeme und macht ein Vorgehen gegen Einzelsysteme damit nutzlos. Im vorliegenden Fall wurde das Botnet mittels Brute-Force-Angriffen über Secure Shell (SSH) aufgezogen (Abbildung 6), einem Protokoll für sichere Kommunikation, das häufig für die Systemverwaltung per Fernzugriff verwendet wird. Während der Analyse von Cisco und Level 3 gingen zeitweise mehr als 35 Prozent des weltweiten SSH-Verkehrs auf SSHPsychos zurück (Abbildung 7).
Die Gruppe operiert in zwei Ländern. Von einem Hosting-Provider in China ging ein Brute-Force-Angriff mit etwa 300.000 unterschiedlichen Passwörtern aus, der eingestellt wurde, sobald ein gültiges Passwort erraten wurde. Erst 24 Stunden später loggten sich die Angreifer dann über eine IP-Adresse in den USA auf dem betroffenen System ein und installierten ein DDoS-Rootkit darauf – eine raffinierte Taktik, denn so bleibt die Aktion unauffällig. Die Ziele des Botnets waren unterschiedlich, in vielen Fällen jedoch große Internet Service Provider (ISP).
Scanner schließen erfolgreiche Logins ab
Malware-Host
SSH-Brute-Force-Versuche (300.000 unterschiedliche Passwörter) Zielnetzwerk
Quelle: Cisco Security Research
abbildung 6: SSHPsychos setzt auf Brute-Force-Angriffe
abbildung 7: Am Höhepunkt seiner Aktivitäten verursachte SSHPsychos 35 Prozent des weltweiten Internet-Traffics
50.000
100.000
150.000
Brute-Force-Versuche
Feb. Mrz. Apr.
SSHPsychos 103.41.125.0/23 SSHPsychos 43.255.190.0/23SSHPsychos 103.41.124.0/23
Quelle: Cisco Security Research
TEILEN
16
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
sichErhEitsExpErtEn startEn gEmEinsamE aktionGegen ein DDoS-Netz dieser Größe brauchte es die Unterstützung eines Unternehmens, das die Quellen der Brute-Force-Angriffe effektiv aus dem Internet entfernen konnte. Backbone-Provider filtern die Inhalte ihrer Kunden jedoch nur äußerst ungern.
So wandte Cisco sich an die Threat Research Labs von Level 3, die den Datenverkehr innerhalb des Adressbereichs analysierten, in dem das Botnet vermutet wurde (103.41.124.0/23). Da von dieser Adresse keinerlei legitimer Verkehr ausging oder darauf einging, leitete Level 3 ihn in seinen eigenen Netzwerken auf eine Null-Route und veranlasste, dass die Service-Provider die betroffenen Domains blockierten.
Wie Abbildung 8 zeigt, kam das ursprüngliche Botnet dadurch praktisch sofort zum Erliegen. Im Adressbereich 43.255.190.0/23 wurde daraufhin jedoch starke SSH-Brute-Force-Aktivität eines neuen Botnets registriert, das sich genauso verhielt wie SSHPsychos. Cisco und Level 3 gingen daher neben 103.41.124.0/23 auch umgehend gegen den neuen Adressbereich 43.255.190.0/23 vor.
Das DDoS-Netz wurde durch die Aktion zwar nicht dauerhaft ausgeschaltet. Sie konnte die SSHPsychos-Gruppe aber zumindest ausbremsen und – wenigstens vorübergehend – die Infektion neuer Systeme verhindern.
Wie der Fall von SSHPsychos zeigt, bauen kriminelle Gruppen immer ausgedehntere Netzwerke auf. Dagegen müssen Anbieter von Top-Level-Domains, ISPs, Hosting-Provider, DNS-Resolver und die Security-Branche gemeinsam vorgehen. Sie müssen unterbinden, dass sie ihre Exploits über legitime Netzwerke, also quasi direkt vor unseren Augen, fahren können. Es geht also darum, diese „legitimen Einfallstore“ zu stopfen.
Kaum beachtet, weit verbreitet: Datenlecks durch infizierte BrowserBrowser-Add-ons gelten bei Sicherheitsteams tendenziell eher als unbedenklich. Sie wären allerdings gut beraten, diesen Angriffsvektor genauer zu überwachen, um im Falle einer Infektion schnell dagegen vorgehen zu können.
Denn wie sich zeigt, sind Infektionen dieser Art weit verbreitet. Eine Untersuchung von 26 Typen von schädlichen Browser-Add-ons zwischen Januar und Oktober 2015 (Abbildung 9) ergab zwar, dass die Zahl der Infektionen insgesamt zurückging.
0
180.000
Brute-Force-VersucheBlockierung durch Cisco und Level 3
120.000
60.000
Juni Juli
Figure X. SSHPsychos Tra c DropsDramatically After Intervention
Quelle: Cisco Security Research
abbildung 8: SSHPsychos-Traffic geht nach Aktion deutlich zurück
Näheres zur gemeinsamen Aktion von Cisco und den Threat Research Labs von Level 3 gegen SS-HPsychos können Sie im Blog „threat spotlight: sshpsychos“ von Cisco Security nachlesen.
abbildung 9: Browser-Infektionen, Januar bis Oktober 2015
Jan.
0,5%
Anteil
0,3%
0
Registrierte Browser-Infektionen
Jul.Apr.
2015
Okt.
Quelle: Cisco Security Research
Figure X. Increased Encryption MakesIOC Detection More Dicult
40%
17
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Doch diese Zahlen sind mit Vorsicht zu genießen. Denn in diesen Monaten waren die URL-Informationen deutlich häufiger via HTTPS verschlüsselt, was eine Erkennung von Indicators-of-Compromise unmöglich macht. Im Abschnitt „Verschlüsselung auf dem Vormarsch – eine Herausforderung für Sicherheitsteams“ auf seite 30 wird diese Problematik näher erläutert.
Schädliche Browser-Add-ons erzeugen zum Teil erhebliche Datenlecks. Denn bei jedem Aufruf einer neuen Website über den kompromittierten Browser lesen sie Daten aus. Dabei jedoch nicht nur unbedeutende Informationen darüber, welche internen oder externen Seiten der Nutzer aufruft. Aus der URL können sie auch hochgradig sensible Informationen herauslesen, etwa Anmelde- und Kundendaten sowie Details über interne APIs und Infrastruktur eines Unternehmens.
Einige Browser-Erweiterungen, in der Regel installiert über Softwarepakete oder Adware, warten zudem mit noch vielseitigere Methoden zur Gewinngenerierung für die Hintermänner auf. So verleiten sie infizierte Nutzer etwa dazu, auf bösartige Werbeanzeigen oder Pop-ups zu klicken. Oder sie verteilen Malware über kompromittierte Links oder liefern Schadcode über vermeintlich nützliche Downloads aus. Möglich ist auch, dass sie die Browser-Anfragen des Nutzers auslesen und darüber bösartige Webseiten in dessen Suchergebnisse einbetten.
Von den 45 untersuchten Unternehmen waren jeden Monat 85 Prozent von bösartigen Browser-Add-ons betroffen. Das macht die enorme Verbreitung dieser Bedrohung deutlich. Bedrohungen durch browserseitige Infektionen werden häufig unterschätzt und bleiben daher in vielen Fällen unentdeckt. Umso länger können die Drahtzieher Kampagnen dieser Art ungestört durchführen (siehe „Bedrohungs-Erkennungszeit: Ein ständiger Wettlauf“ auf seite 60).
Sicherheitsteams sollten diesen Bereich daher stärker überwachen und ihre Prozesse zur Priorisierung von Bedrohungen verstärkt automatisieren.
Command-and-Control: Botnets weltweit Botnets sind Netzwerke aus mit Malware infizierten Computern, die, gesteuert als Gruppe, bestimmte Aufgaben ausführen, etwa das Senden von Spam oder Starten eines DDoS-Angriffs. Botnets haben in Zahl und Größe in den letzten Jahren dramatisch zugenommen. Um das globale Ausmaß dieser Bedrohung zu ermitteln, haben wir zwischen April und Oktober 2015 die Netzwerke von 121 Unternehmen auf Anzeichen für mindestens eines von acht weit verbreiteten Botnets untersucht. Die dabei erfassten Daten wurden normalisiert, um einen allgemeinen Überblick über die Aktivitäten zu gewinnen (Abbildung 10).
Am häufigsten wurde im Analysezeitraum Command-and-Control-Aktivität von Gamarue registriert, einem modularen Mehrzweck-Datendieb, der schon seit vielen Jahren in Umlauf ist.
Um
fang
der
Bot
net-
Akt
ivitä
t
400
0Apr. Mai Jun. Jul. Aug. Sep. Okt.
2015
Miuref
Andere
Gamarue
Vawtrak
Bedep
Cryptowall
Figure X. Growth of Individual Threats (Ratio of Infected Users)
Quelle: Cisco Security Research
abbildung 10: Wachstumstrend der jeweiligen Bedrohung (gemessen an infizierten Benutzern)
18
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Der Ausschlag bei Infektionen mit der Ransomware Cryptowall 3.0 ist größtenteils auf das Angler-Exploit-Kit zurückzuführen, einem der bekanntesten Auslieferer der Cryptowall-Payload. Wie bereits aus dem Cisco Midyear Security Report 2015 hervorging, nutzen die Autoren von Angler und anderen Exploit-Kits „Patching-Lücken“ – also den Zeitraum zwischen der Veröffentlichung eines Software-Updates durch den Hersteller und dem Zeitpunkt, an dem ein Nutzer es tatsächlich installiert – insbesondere bei Adobe Flash sehr schnell aus.² Die Aktivitätsspitze im Juli 2015 geht sehr wahrscheinlich auf den Zero-Day Flash-Exploit CVE-2015-5119 zurück, der als Teil des Hacking-Team-Leaks bekannt wurde.³
Das Angler-Exploit-Kit verbreitet zudem die Bedep-Payload. Bei diesem für Klickbetrug genutzten Trojaner wurde im Juli ebenfalls ein leichter Ausschlag verzeichnet (Abbildung 11).
Insgesamt waren bei den von uns analysierten Nutzern mehr als 65 Prozent der Command-and-Control-Aktivitäten auf die Botnets Bedep, Gamarue und Miuref (ein weiterer Trojaner, der Browser infiziert und für Klickbetrug genutzt wird) zurückzuführen.
Der Anteil der Bedep-Infektionen blieb im Analysezeitraum relativ konstant. Bei Infektionen mit Miuref dagegen wurde ein Rückgang verzeichnet, vermutlich aufgrund der Zunahme von HTTPS-Traffic, aus dem Indicators-of-Compromise dieses Trojaners nicht erkannt werden können.
Abbildung 12 zeigt die Botnet-Typen, auf die im Analysezeitraum die meisten Infektionen zurückgingen. Mehrzweck-Botnets wie Gamarue und Sality führen das Feld an, gefolgt von Klickbetrug-Botnets. Den dritten Platz belegen Bank-Trojaner, eine alt bekannte, aber dennoch weit verbreitete Bedrohung.
Vergleichstrend der Botnet-Infektionen
200
0
100
Ausschlag aufgrund von Zero-Day-Exploit
Figure X. Monthly Threat Coverage, Based on Number of Infected Users
Apr. Mai Jun. Jul. Aug. Sep. Okt.
2015
MiurefGamarue
Vawtrak
Bedep
Cryptowall
Quelle: Cisco Security Research
abbildung 11: Verbreitung der Bedrohungen je Monat (nach Anzahl der infizierten Nutzer)
Figure X. Monthly Threat Coverage, Based on Threat Categories
Apr. Mai Jun.0
100
Jul. Aug. Sep. Okt.
2015
Klickbetrug-Botnets
Ransomware
Mehrzweck-Botnets
Bank-Trojaner
Quelle: Cisco Security Research
% d
er B
otne
t-Ty
pen
abbildung 12: Verbreitung der Bedrohungen je Monat (nach Kategorie)
² Cisco Midyear Security Report 2015: http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html.³ „Adobe Patches Hacking Team’s Flash Player Zero-Day“, Eduard Kovacs in SecurityWeek, 8. Juli 2015:
http://www.securityweek.com/adobe-patches-hacking-teams-flash-player-zero-day
TEILEN
19
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Die Mehrheit der als „bekannt“ eingestuften Malware (91,3 Prozent) nutzte den Domain Name Service (DNS) auf eine der folgenden drei Arten:
• Zum Steuern des Zielsystems via Command-and-Control
• Zum Auslesen von Daten
• Zum Umleiten von Datenverkehr
Dieser Wert ergab sich aus den Verhaltensweisen aller Malware-Stichproben, die wir in unseren diversen Sanboxes analysierten. Malware, die DNS ausschließlich für Internet-„Statusprüfungen“ nutzte, wurde aus der Analyse herausgenommen. Alle anderen Malware-Stichproben verwendeten DNS, um mit Seiten zu kommunizieren, die als bösartig oder verdächtig eingestuft waren.
Obwohl sich immer mehr Malware-Kampagnen auf DNS stützen, überwachen nur wenige Unternehmen den Dienst auf Sicherheitsprobleme. Das macht DNS zum idealen Einfallstor für Angreifer. Wie Abbildung 13 zeigt, überwachen einer aktuellen Cisco Umfrage zufolge 68 Prozent der Sicherheitsverantwortlichen rekursive DNS-Abfragen in keiner Weise (über rekursive DNS-Nameserver kann der Host die IP-Adresse des gewünschten Domain-Namens abfragen).
Die Nachlässigkeit der Unternehmen in Sachen DNS ist in erster Linie darauf zurückzuführen, dass zwischen den Bereichen Security und DNS in der IT-Abteilung üblicherweise kein reger Austausch stattfindet.
Die Überwachung von DNS ist jedoch unerlässlich für das Erkennen und Beseitigen von Malware, die über diesen Dienst operiert. Ausgehend von DNS lassen sich zudem weitere Komponenten bestimmen, mit deren Hilfe die von einem Angriff genutzte Infrastruktur sowie dessen Ursprung genauer untersucht werden kann.
Eine effektive DNS-Überwachung setzt neben der Zusammenarbeit zwischen Sicherheits- und DNS-Teams jedoch auch die für die Korrelationsanalyse erforderliche Abstimmung von Technologie und Know-how voraus. So konnten etwa erst mit Unterstützung von OpenDNS die Domains zu den IP-Adressen ermittelt werden, die das Angler-Exploit-Kit nutzte (mehr hierzu unter „Koordinierte Aktion der Branche bringt groß angelegte, hochprofitable Exploit-Kit- und Ransomware-Kampagne zum Erliegen“ auf seite 10).
rEtrospEktivE dns-analysEDer bei DNS-Abfragen generierte TCP- und UDP-Datenverkehr kann retrospektiv analysiert und so zahlreiche Malware-Quellen zurückverfolgt werden, etwa Command-and-Control-Server, Websites und Verteilungspunkte. Zur Erkennung schädlicher Inhalte kommen hierbei Listen bekannter Bedrohungen, Berichte der Security-Community, Verlaufsdaten zu Kompromittierungen und Informationen zu branchenspezifischen Schwachstellen zum Einsatz.
Anders als mit herkömmlichen Erkennungstechnologien lassen sich so etwa auch die besonders unauffälligen Auslesungsverfahren von Advanced Persistent Threats (APT) aufdecken. Denn Anomalien in der ausgehenden Kommunikation werden aufgrund des enormen dabei generierten Traffic-Volumens leicht übersehen. Auch hier können retrospektive Analysen verhindern, dass potenzielle Datenkompromittierungen und schädliche Aktivitäten im Netzwerk „durchs Raster fallen“.
Figure X.Monitoring Threats via Recursive DNS
Quelle: Cisco Security Research
der Unternehmen vernachlässigen rekursive DNS-Abfragen
der Malware nutzt DNS
68%91,3%
abbildung 13: Bedrohungen durch rekursive DNS-Abfragen
Unter dem Radar: DNS als Startrampe für Command-and-Control
20
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
So war es auch möglich, „bösartige“ DNS-Resolver in den Netzwerken unserer Kunden aufzuspüren, die Mitarbeiter dort als Teil der DNS-Infrastruktur unbemerkt verwendeten. Werden DNS-Resolver nicht aktiv verwaltet und überwacht, besteht das Risiko, dass der Dienst für Cache-Poisoning und Traffic-Umleitungen missbraucht wird.
Die retrospektive Analyse förderte in den Netzwerken unserer Kunden jedoch noch weit mehr als nur schädliche DNS-Resolver zutage:
• Adressbereiche in Spam- und Malware-Sperrlisten
• Adressbereiche als Beacon für bekannte Command-and-Control-Server von Zeus und Palevo
• Aktive Malware-Kampagnen wie CTB-Locker, Angler und DarkHotel
• Verdächtige Aktivitäten wie die Nutzung von Tor, automatische E-Mail-Weiterleitungen und Online-Konvertierungen von Dokumenten
• Ständig geöffnete DNS-Tunnel zu in China registrierten Domains
• DNS-„Typosquatting“⁴
• Umgehung von vertrauenswürdiger DNS-Infrastruktur des Kunden durch interne Clients
Bei der Untersuchung ausgewählter Kunden von Cisco Custom Threat Intelligence aus verschiedenen Branchen wurden zudem die folgenden Malware-Typen gefunden (die Zahlen zeigen den Anteil der infizierten Kunden im Vergleich zur Gesamtstichprobe):
threat-intelligence-analyse
Web-AngriffsvektorenadoBE flash: ErstE anZEichEn dEr BEssErung Flash ist bei Exploit-Kit-Entwicklern auch weiterhin beliebt. Denn obwohl Flash-Inhalte im letzten Jahr insgesamt zurückgingen (siehe „content-trends bei adobe flash und pdf“ im nächsten Abschnitt), blieb das das Volumen an Flash-Malware im Jahr 2015 weitestgehend unverändert (Abbildung 14). Insbesondere das Angler-Exploit-Kit zielt nach wie vor sehr aggressiv auf Sicherheitslücken in Flash ab.
Allerdings wird Adobe Flash mittlerweile immer häufiger in Browsern deaktiviert, was insgesamt zu einer Abnahme von Flash-Inhalten im Netz geführt hat (siehe nächster Abschnitt, „content-trends bei adobe flash und pdf“). Diese Entwicklung war in den letzten Jahren bereits bei Java zu beobachten, das in der Folge als Angriffsvektor zunehmend an Bedeutung verlor – Angler zum Beispiel enthält mittlerweile praktisch keine Exploits mehr für Sicherheitslücken in Java. Die Verbreitung von Malware über PDF dagegen blieb im gleichen Zeitraum relativ konstant.
Auch Microsoft Silverlight ist immer seltener das Ziel von Angriffen. Der Grund: Viele Anbieter nutzen für die Browser-Integration ihrer Produkte nicht mehr die Silverlight-API, sondern setzen dafür stattdessen auf HTML5-basierte Technologien. Eine neue Version von Silverlight ist derzeit ebenfalls nicht in Aussicht. Microsoft zufolge sind für die Zukunft derzeit nur Sicherheits-Updates für die aktuelle Version vorgesehen.
Figure X. Types of Malware Numberof Total Customers
Quelle: Cisco Security Research
4/5
3/5
Angler Exploit-Kit
Cutwail Spam-Botnet
Dyre
Exploit-Kits (allgemein)
Bedep-Trojaner
Ransomware
Onion.city (Darkweb-Suchmaschine) Onion Router-Tra�c
Figure X. Types of Malware Numberof Total Customers
Quelle: Cisco Security Research
4/5
3/5
Angler Exploit-Kit
Cutwail Spam-Botnet
Dyre
Exploit-Kits (allgemein)
Bedep-Trojaner
Ransomware
Onion.city (Darkweb-Suchmaschine) Onion Router-Tra�c
30
500
20.000
Protokoll-Volumen
Sep. 2013 Sep. 2015
Flash Java PDF
Figure X. Share of Attack Vectors,Two–Year Comparison
Quelle: Cisco Security Research
abbildung 14: Anteil der Angriffsvektoren im 2-Jahres-Vergleich
⁴ Typosquatting beschreibt die Praxis, Domains auf Namen zu registrieren, die bereits vorhandenen Domain-Namen stark ähneln. Durch Tippfehler bei der URL-Eingabe gelangt der Nutzer dann auf die infizierte Website.
21
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
contEnt-trEnds BEi adoBE flash und pdfFlash-Inhalte gehen im Internet insgesamt zurück (Abbildung 15), vor allem auch aufgrund der jüngsten Schritte von Amazon, Google und anderen Internetgrößen, die Flash-Werbeanzeigen in ihren Netzwerken jetzt entweder ablehnen oder blockieren.
Das Volumen an PDF-Inhalten ist im letzten Jahr dagegen relativ konstant geblieben. Veränderungen sind hier zwar keine zu erwarten, allerdings sind Angriffe über PDF nun schon seit längerem eher selten.
Kurzfristig ist bei Flash-Inhalten ein noch deutlicherer Rückgang zu erwarten, da Adobe kürzlich die Einstellung des Produkts angekündigt hat.⁵ Bis sie allerdings vollständig aus dem Web verschwinden, wird sehr wahrscheinlich noch einige Zeit vergehen. Denn Flash ist nach wie vor in Browsern wie Google Chrome, Microsoft Internet Explorer und Microsoft Edge integriert und auch bei Gaming-, Video- und anderen Webinhalten noch immer weit verbreitet.
Mit dem Vormarsch von HTML5 und mobilen Plattformen in den kommenden Jahren werden Java, Flash und Silverlight aber zunehmend an Bedeutung verlieren – und damit auch deutlich unattraktiver für Cyberkriminelle werden. Denn diese bevorzugen Angriffsvektoren, über die sie eine deutlich größere Nutzerschaft ins Visier nehmen und damit deutlich schneller Gewinne generieren können.
Web-AngriffsmethodenAbbildung 16 und 17 zeigen die verschiedenen Malware-Typen, die Cyberkriminelle für den Einbruch in Unternehmensnetzwerke einsetzen. Abbildung 16 zeigt die am häufigsten beobachtete Malware: Adware, Spyware, schädliche Redirects, iFrame-Exploits und Phishing.
abbildung 15: Anteil von Flash und PDF am Gesamt-Traffic
Jan.
% des gesamten Internetverkehrs
60%
14%
Nov.
Quelle: Cisco Security Research
Figure X.Percentage of Total Trac for Flash and PDF
Flash PDF
abbildung 16: Am häufigsten registrierte Malware
Quelle: Cisco Security Research
Windows-Binärdateien5.070
JavaScript-Download-Trojaner5.858
JavaScript-Download-iFrame8.958
Facebook-Scams33.681
JavaScript31.627
Windows-Download-Trojaner4.911
Phishing3.798
iFrame3.726
JavaScript Obfuscator3.552
Umleitung6.472
3.261 Android-Download-Trojaner
3.228 Windows-Trojaner
Summe (Anzahl Stichproben) x 1.000
⁵ „Adobe News: Flash, HTML5 and Open Web Standards“, Adobe, 30. November 2015: http://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html
22
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
In Abbildung 16 sind die Malware-Typen aufgeführt, die sich als kosteneffizientes Mittel für die Kompromittierung von großen Nutzerzahlen bei minimalem Aufwand bewährt haben. JavaScript-Exploits und Facebook-Scams (Social-Engineering) wurden hier am häufigsten registriert.
Abbildung 17 zeigt Malware-Typen, die seltener anzutreffen waren – was jedoch nicht bedeutet, dass diese weniger effektiv sind. Vielmehr kann es sich hierbei um neue Malware oder sehr stark zielgerichtete Kampagnen handeln.
Die häufig besonders raffinierte Techniken anwenden, um größtmöglichen Nutzen für die Hintermänner zu generieren – etwa das Ausschleusen hochsensibler Daten oder das Sperren des Zugriffs auf Daten gegen Zahlung eines Lösegeldes.
Der Malware-Schutz darf daher nicht nur auf die häufigsten Bedrohungen beschränkt sein, sondern muss das gesamte Spektrum berücksichtigen.
Quelle: Cisco Security Research
Figure X.Sample of Lower-Volume Malware Observed
Summe (Anzahl Stichproben) < 40
Windows-Downloader „Upatre“2
Windows-Backdoor2
Windows-Hoax2
Download-Trojaner3
Verdächtige PDF-Dateien7
Windows-Backdoor „Ace“5
JavaScript „Blackhole“10
Windows-Trojaner9
Windows-Malware „Gampass“15
Windows-Malware „Krap-K“35
Windows-Malware „Sality“44
Windows-Wurm1
Windows-Trojaner „Upatre“1
Windows-Download-Trojaner1
iFrame2
JavaScript-Download-Trojaner1
abbildung 17: Weniger häufig registrierte Malware (Auszug)
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
abbildung 18: Gesamtzahl der CVEs nach Anbieter
Quelle: Cisco Security Research, National Vulnerability Database
Figure X. Total Number of CVEs by Vendor
Oracle
Micros
oftCisc
o
Adob
eAp
ple IBM
Mozilla
Word
Press
Ubuntu
(Can
onica
l)Deb
ian HPEM
CLin
ux
Red H
atSA
P
Apac
he
Siemen
s
Fedo
ra
Proje
ct
Wire
shark
Novell
Anz
ahl d
er C
VEs
200
0
400
600
Quelle: Cisco Security Research, Metasploit, Exploit-DB
5
0
10
15
20
Adobe Microsoft Apple Cisco Novell Joomla VMware
Anz
ahl ö
�ent
liche
r Ex
ploi
ts
Figure X. Number of Public Exploits Availableby Vendor Vulernability
abbildung 19: Anzahl der für Sicherheitslücken öffentlich verfügbaren Exploits nach Anbieter
Das Diagramm oben zeigt die Gesamtzahl der CVEs, die 2015 für die Produkte der jeweiligen Anbieter veröffentlicht wurden. Hier liegt Adobe nicht ganz vorne. Wie jedoch das Diagramm rechts zeigt, sind für die Sicherheitslücken in Adobe-Produkte die meisten Exploits verfügbar.
Bei den Zahlen für WordPress ist zudem zu beachten: Nur 12 der 2015 veröffentlichten Sicherheitslücken betreffen das Produkt selbst. Die restlichen 240 wurden in Plug-ins und Skripts gefunden, die von Dritten erstellt wurden.
Wie in Abbildung 20 ausgeführt, bieten die Listen von CVEs und zugehörigen Exploits einen Überblick über kritische und häufig ausgenutzte Sicherheitslücken. Sicherheitsexperten können sich bei der Priorisierung von Patches nach dieser Liste richten. Eine ausführliche Auflistung der CVEs nach Anbieter finden Sie unter https://www.cvedetails.com/top-50-products.php.
23
Bedrohungen aktuellflash-sichErhEitslÜckEn fÜhrEn Exploit-ranking an Adobe Flash steht bereits seit mehreren Jahren im Visier von Cyberkriminellen, und immer wieder wird vor neuen, besonders schwerwiegenden Sicherheitslücken gewarnt. Allerdings waren die Anbieter von Produkten, die häufig von diesen Exploits betroffen sind (z. B. Webbrowser), im Jahr 2015 zunehmend bemüht, diese Lücken zu schließen.
Doch auch 2016 werden sich Exploits und Angriffe noch sehr gezielt an Flash-Nutzer richten. Denn für einige dieser Sicherheitslücken sind Exploits entweder frei im Internet verfügbar oder als Teil eines Angriffsbaukastens käuflich zu erwerben. (Wie auf seite 21 ausgeführt, sind Flash-Inhalte zwar insgesamt zurückgegangen, die Plattform ist aber weiterhin einer der beliebtesten Angriffsvektoren.)
Wie in der Vergangenheit bereits bei Java geschehen, wird Flash mittlerweile in vielen Webbrowsern blockiert oder in eine Sandbox überführt, um die Nutzer zu schützen. Dies ist zwar eine positive Entwicklung. Viele Flash-Exploits werden in nächster Zeit aber auch weiterhin Erfolg haben, etwa bei Nutzern, die ihre Browser nicht rechtzeitig aktualisieren.
Insgesamt werden Flash-Angriffe aber allmählich zurückgehen. Denn durch die Schutzmaßnahmen, die mittlerweile in einige weit verbreitete Browser und Betriebssysteme integriert sind, erreichen Flash-Exploits immer weniger Opfer und sind damit nicht mehr lukrativ genug für Kriminelle.
TEILEN
24
CVE-2015 - 7645556024191671 51225119311331043090035903360311 03130310
Figure 20. Common Vulnerabilities
3105
Flash EK
Hanjuan
NullHole
Sweet Orange
Fiesta
Nuclear
Rig
Neutrino
Nuclear Pack
Magnitude
Angler
Quelle: Cisco Security Research
Ö�entliche Exploits
Flash-Sicherheitslücken Andere Sicherheitslücken
abbildung 20: Häufigste Sicherheitslücken
Abbildung 20 zeigt Sicherheitslücken, für die Exploit-Kits zum Kauf angeboten werden (siehe Zeile „Flash-EK“) oder Exploits öffentlich verfügbar sind (siehe Zeile „Öffentliche Exploits“). Kritisch sind hierbei insbesondere die funktionsfähigen Exploits.
Sicherheitsexperten können sich bei der Priorisierung von Patching- und Korrekturmaßnahmen an dieser Liste orientieren. Die Verfügbarkeit eines (öffentlichen oder in einem Exploit-Kit integrierten) Exploits für ein bestimmtes Produkt bedeutet jedoch nicht automatisch, dass die jeweilige Sicherheitslücke auch angegriffen wird.
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
25
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Malware-Auftrittsrisiko im BranchenvergleichDas Auftrittsrisiko für webbasierte Malware in einer Branche ermitteln wir, indem wir das relative Volumen des Angriffsverkehrs („Blockierungsrate“) dem „normalen“ bzw. erwarteten Verkehr gegenüberstellen.
Abbildung 21 zeigt die 28 wichtigsten Branchen und deren relevante Blockierungsaktivität als Anteil des normalen Netzwerkverkehrs. Bei einer Rate von 1,0 verhält sich die Anzahl der Blockierungen proportional zum dokumentierten Netzwerkverkehr. Bei einem Wert über 1,0 ist die Blockierungsrate höher als erwartet. Liegt die Rate unter 1,0, ist sie niedriger als erwartet.
Quelle: Cisco Security Research
1
68
42
1
68
42
1
68
42
1
68
42
Nov.2014
Sept.2015
Nov.2014
Sept.2015
Nov.2014
Sept.2015
Nov.2014
Sept.2015
Nahrungs- und Genussmittel
Transport und Spedition
UnterhaltungHeizungs-, Sanitär- und Klimatechnik
Maschinenbau und Bauwesen
Industrie
Gesundheit Professional ServicesElektronikBehörden
Versorgung
Versicherung
Bildungswesen
IT-Telekom-munikation
Wirtschafts-prüfung
Medien und Verlagswesen Luftfahrt Tourismus
und Freizeit
Wohlfahrtsor-ganisationen und NGOs
Immobilien und Landmanage-ment
Pharma- und Chemieindustrie
Automobil-branche Rechtswesen Einzel- und
Großhandel
Banken und Finanzsektor
Energie-, Öl- und Gasversorger
Fertigung Landwirtschaft und Bergbau
1
42
1
42
1
42
1
42
1
42
1
42 1
21
42
1
42
1
42
1
42
1
42
1
42
1
42
1
42
1
42
12
12
12
12
12
12
12
124
abbildung 21: Monatliche Blockierungsraten nach Branche, November 2014 bis September 2015
26
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
TEILEN
Wie Abbildung 22 zeigt, variiert die Blockierungsaktivität auch im Zeitverlauf (bei einem Wert von Null blieb die Aktivität unverändert). So wurde zwischen Januar und März 2015 etwa bei Behörden die höchste Aktivität gemessen. Zwischen März und Mai wiederum stand die Elektronikbranche an der Spitze. Im Hochsommer führte die Dienstleistungsbranche das Feld an, wurde dann aber im Herbst 2015 vom Gesundheitswesen abgelöst.
Die hohe Blockierungsaktivität in diesen vier Branchen war 2015 in erster Linie auf Angriffe durch Trojaner zurückzuführen. Im Bereich Behörden wurde zudem eine hohe Zahl an PHP-Injections festgestellt, während in der Dienstleistungsbranche auch häufig iFrame-Angriffe zu verzeichnen waren.
abbildung 22: Relative Blockierungsraten nach Branche, Monatsvergleich
Quelle: Cisco Security Research
Nov.2014
Sept.2015
Nov.2014
Sept.2015
Nov.2014
Sept.2015
Nov.2014
Sept.2015
Nahrungs- und Genussmittel
Transport und Spedition
UnterhaltungHeizungs-, Sanitär- und Klimatechnik
Maschinenbau und Bauwesen
Industrie
Versorgung
Versicherung
Bildungswesen
IT-Telekom-munikation
Wirtschafts-prüfung
Medien und Verlagswesen Luftfahrt Tourismus
und Freizeit
Wohlfahrtsor-ganisationen und NGOs
Immobilien und Landmanage-ment
Pharma- und Chemieindustrie
Automobil-branche
Rechtswesen Einzel- und Großhandel
Banken und Finanzsektor
Energie-, Öl- und Gasversorger
Fertigung Landwirtschaft und Bergbau
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-2
20
-8
48
0-2
-8
48
0-2
-8
48
0-2
-8
48
0-2
Gesundheit Professional ServicesElektronikBehörden
27
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Polen 1,5
Figure X. Web Blocks by Country or Region
Russland 1Dänemark 1
Japan 1
Kanada 1,5
China 4Frankreich 2USA 1
Quelle: Cisco Security Research
Hongkong 9
Deutschland 1,5
Blockierungsaktivität = schädlicher Datenverkehr/erwarteter Datenverkehr
abbildung 23: Web-Blockierungsrate nach Land/Region
Blockierung von Web-Angriffen: Geografischer ÜberblickAbbildung 23 zeigt die Malware-bezogenen Blockierungsaktivitäten nach Land bzw. Region. Für die Auswahl der Länder wurde das jeweilige Volumen des Internet-Datenverkehrs zugrunde gelegt. Bei einer Blockierungsrate von 1,0 verhält sich die Anzahl der registrierten Blockierungen proportional zur Netzwerkgröße.
In Ländern und Regionen mit aus unserer Sicht ungewöhnlich hohen Blockierungsraten ist von einer hohen Zahl an Webservern sowie zahlreichen Hosts auszugehen, bei denen Sicherheitslücken noch nicht geschlossen wurden. Für Cyberkriminelle sind Landesgrenzen jedoch unbedeutend. Für sie zählt einzig die Frage, wo sie Malware am effektivsten hosten können.
28
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Die Verbreitung von Malware über große, kommerziell nutzbare Netzwerke, die umfangreiche Internet-Datenvolumina verarbeiten, trägt ebenfalls zu einer hohen Blockierungsaktivität bei – wie etwa im Fall von Spitzenreiter Hongkong.
Der Vergleich der Web-Blockierungen nach Land/Region auf Monatsbasis in Abbildung 24 liefert zusätzlichen Kontext zu diesen Einstufungen.
So war die Web-Blockierungsaktivität in Hongkong und Frankreich im Frühjahr 2015 ungewöhnlich hoch. Bei beiden ging die Aktivität seitdem deutlich zurück. Bei Hongkong lag die Aktivität im Frühjahr allerdings so hoch über dem Basiswert, dass zum Ende des Jahres auch nach dem jüngsten Rückgang noch eine deutlich höhere Aktivität verzeichnet wird. In Frankreich ging die Blockierungsaktivität bis zum Hochsommer wieder auf ein normales Niveau zurück.
November 2014–October 2015
Quelle: Cisco Security Research
Nov.2014
Hongkong
Deutschland
Feb. Apr. Jun. Aug. Okt.Nov.2014
013579
111315
0135
013579
013579
0135
0135
79
111315
171719192121
Frankreich
Australien
Italien
Feb. Apr. Jun. Aug. Okt.
China
2015 2015
abbildung 24: Web-Blockierungsrate nach Land/Region im Monatsvergleich, November 2014 bis Oktober 2015
29
Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld
Branchentrends
3030
BranchentrendsCisco 2016 Annual Security Report
Grundsätzlich spricht einiges für den Einsatz von Verschlüsselung, etwa der Schutz von geistigem Eigentum und anderen vertraulichen Daten, die Sicherung der Integrität von Werbeanzeigen und Back-End-Analysen oder die Vertraulichkeit von Kundendaten.
Die Kehrseite ist allerdings, dass sie auch dazu führen kann, dass Unternehmen sich in falscher Sicherheit wiegen. Denn wie sich zeigt, verschlüsseln Unternehmen ihre Daten zwar zunehmend bei der Übertragung, versäumen dies aber häufig bei der Ablage der Daten. Davon zeugen viele der in den letzten Jahren öffentlich gewordenen Cyberangriffe, bei denen die Betroffenen die in ihren Rechenzentren und anderen internen Systemen gespeicherten Daten nicht verschlüsselt hatten – ein Szenario, in dem quasi eine Fracht auf ihrem Weg ins Lager umfassend geschützt wird, das Lager selbst aber für jedermann weit offen steht.
End-to-End-Verschlüsselung kann zudem die Effektivität von Security-Produkten einschränken, da sie auch die Indicators-of-Compromise unkenntlich macht, über die schädliches Verhalten aufgedeckt und nachverfolgt werden kann.
Nichtsdestotrotz ist die Verschlüsselung vertraulicher Daten heute unabdingbar. Sicherheitstools und ihre Betreiber müssen sich daran anpassen, indem sie den Traffic anhand der unverschlüsselten Elemente des Datenstroms (z. B. des Headers) zusammen mit anderen Kontext-Quellen analysieren. Denn bei der Analyse von verschlüsselten Verbindungen sind Tools, die etwa durch vollständige Paketerfassung die Informationen der Payload sichtbar machen, wenig effektiv. Daher sind heute Systeme unerlässlich, die sich auf die Analyse der Metadaten stützen, etwa Cisco NetFlow.
Wie die Datenverkehrstrends 2015 zeigen, ist insbesondere die Verschlüsselung via HTTPS auf dem Vormarsch. Derzeit ist zwar noch die Mehrheit der Web-Transaktionen unverschlüsselt, doch HTTPS wird schon bald das Gros des Datenverkehrs im Internet bilden. Denn im Verlauf unserer Untersuchung lag der Anteil der verschlüsselt übertragenen Byte bereits konstant über 50 Prozent (Abbildung 25). Zurückzuführen ist dieser hohe Wert auf den HTTPS-Overhead und die Tatsache, dass über HTTPS tendenziell umfangreichere Inhalte z. B. an Online-Datenspeicher übertragen werden.
Bei jeder Web-Transaktion wird eine bestimmte Datenmenge versendet (ausgehend) und empfangen (eingehend). Diese ist bei HTTPS größer als bei HTTP-Transaktionen – bei ausgehenden Anforderungen um etwa 2000 Byte. Bei eingehenden Anforderungen ist der Overhead bei HTTPS zwar ebenfalls größer, bildet bei umfangreicheren Antworten aber keinen signifikanten Teil der Gesamtdatenmenge.
BranchentrendsVieles wird unternommen, um Sicherheit besser kontrollierbar zu machen. Manches davon erschwert allerdings auch die Erkennung von Bedrohung und kann sogar die Risiken für Unternehmen und Einzelnutzer erhöhen.
46%
57%
Figure X.SSL Percentages
% HTTPS-Anforderungen
Anteil am Datenverkehr
2015
% Bytes gesamt
Jan. Okt.
60
20
40
24%
33.56%
Quelle: Cisco Security Research
abbildung 25: Anteil von SSL am Datenverkehr
Verschlüsselung auf dem Vormarsch – eine Herausforderung für Sicherheitsteams
TEILEN
30
3131
BranchentrendsCisco 2016 Annual Security Report
% Delta2015
Online-Speicherung und -Backup 50%
Dateiübertragungsdienste 36%
Webseiten-Übersetzung 32%
Fotosuche/Bildmaterial 27%
Glücksspiel 26%
Pornogra�e 25%
Internettelefonie 19%
Video-Streaming 17%
Suchmaschinen und Portale 14%
Persönliche Websites 14%
Verweis 13%
Illegale Downloads 13%
Online-Communitys 12%
Illegale Drogen 11%
Regierung und Recht 10%
Unterwäsche und Bademode 10%
E-Mail-Webservice 10%
Nicht jugendfreie Inhalte 8%
Anzeigen 8%
Mobiltelefone 8%
Figure X. HTTPS Request- Biggest Changesfrom January to September 2015
Quelle: Cisco Security Research
abbildung 26: HTTPS-Anforderungen: Bereiche mit der stärksten Zunahme (Januar bis September 2015)
Über die Summe der bei einer Web-Transaktion ein- und ausgehend übertragenen Byte lässt sich der Anteil der per HTTPS verschlüsselten Daten an der Gesamtdatenmenge der Transaktion ermitteln. Aufgrund der Zunahme des HTTPS-Datenverkehrs und des größeren Overhead bei diesen Transaktionen ergab sich aus dieser Rechnung, dass im Oktober 2015 57 Prozent des gesamten Internetverkehrs über HTTPS verschlüsselt waren (Abbildung 25). Im Januar waren es noch 46 Prozent.
Eine Web-Traffic-Analyse zeigte beginnend im Januar 2015 zudem eine allmähliche, aber signifikante Zunahme der HTTPS-Anforderungen Wie Abbildung 25 zeigt, wurde bei 24 Prozent der Anforderungen im Januar das HTTPS-Protokoll verwendet, bei den übrigen HTTP.
Im Oktober lag dieser Anteil bereits bei 33,56 Prozent. Und auch bei der eingehend übertragenen Datenmenge war für HTTPS über das gesamte Jahr hinweg eine steigende Tendenz festzustellen. Mit der Zunahme des HTTPS-Traffic steigen auch die Bandbreitenanforderungen – pro Transaktion werden zusätzlich 5 Kbit/s benötigt.
Diesen Wachstumstrend bei verschlüsselten Verbindungen führen wir auf folgende Faktoren zurück:
• Zunahme des Traffics von mobilen Anwendungen, die ihre Daten ausschließlich verschlüsselt übertragen
• Zunahme der Anforderungen zum Herunterladen verschlüsselter Videoinhalte
• Zunehmender Datenverkehr über Storage- und Backup-Server, auf denen vertrauliche – und damit für Angreifer besonders interessante – Daten gespeichert sind
Wie Abbildung 26 zeigt, ging tatsächlich ein besonders großer Teil der HTTPS-Anforderungen auf Online-Storage- und Backup-Ressourcen zurück. Hier war gegenüber Anfang 2015 ein Anstieg von 50 Prozent zu verzeichnen, gefolgt von Dateiübertragungsdiensten, bei denen der Traffic im gleichen Zeitraum um 36 Prozent zunahm.
Insgesamt ist die Tendenz eindeutig: Sowohl die Zahl der verschlüsselten Transaktionen als auch die Menge an verschlüsselten Daten, die bei jeder Transaktion übertragen werden, nehmen stetig zu. Die Vorteile, aber auch die Risiken, sind hierbei jeweils unterschiedlich. Umso wichtiger ist daher eine integrierte Bedrohungsabwehr, die hier die nötige Transparenz schafft.
TEILEN
3232
BranchentrendsCisco 2016 Annual Security Report
abbildung 27: Hosts mit dem größten Anteil am HTTPS-Traffic
0-25% 26-50% 51-75% 76-100%% Verschlüsselt
Figure X. Top 100 Hosts
Quelle: Cisco Security Research
www.google-analytics.com
crl.microsoft.com
pagead2.googlesyndication.com
ad4.liverail.com
b.scorecardresearch.com
ads.adaptv.advertising.com
ping.chartbeat.net
v4.moatads.com
au.download.windowsupdate.com
ib.adnxs.com
c2s-openrtb.liverail.com
http.00.s.sophosxl.net
platform.twitter.compixel.adsafeprotected.com
ads.yahoo.com
Hosts mit 76-100% (Auszug)
Hosts mit 51-75% (Auszug)
Hosts mit 26-50% (Auszug) Hosts mit 0-25% (Auszug)
maps.googleapis.com
www.google.com googleads.g.doubleclick.net
ad.doubleclick.net0.2mdn.net
hangouts.google.com
www.facebook.commail.google.com
0-25% Verschlüsselt
44 Hosts
51-75% Verschlüsselt
12 Hosts
26–50%Verschlüsselt
12 Hosts
76-100% Verschlüsselt
32 Hosts
⁶ Entropie: In der Informatik beschreibt die Entropie den Grad der Beliebigkeit oder Nicht-Vorhersagbarkeit, nach dem ein Betriebssystem oder eine Anwendung die für die Kryptographie oder andere Anwendungsfälle benötigten Zufallsdaten erfasst.
Abbildung 27 zeigt die Domains mit den meisten Anforderungen. Hier ist festzuhalten, dass bei Google und Facebook viele der Hauptseiten verschlüsselt sind, dagegen aber in der Regel nur 10 Prozent des Datenverkehrs, der über diese Domains durch Werbung generiert wird.
Unabhängig von den damit verbundenen Herausforderungen ist Datenverschlüsselung ein unbedingtes Muss. Denn Cyberkriminelle sind heute zu versiert in der Umgehung von Zugriffskontrollen, als dass die Nutzer kritische Informationen in irgendeiner Stufe der Speicherung oder Übertragung ungeschützt lassen dürften.
Um ausschließen zu können, dass die HTTPS-Anforderungen von verdächtigen Standorten ausgehen bzw. darauf eingehen, müssen Sicherheitsteams daher unbedingt die Datenverkehrsmuster überwachen – dabei allerdings keinesfalls nur auf einen bestimmten Port-Bereich beschränkt. Denn wie der nächste Abschnitt zeigt, kann Malware verschlüsselte Kommunikationskanäle über eine Vielzahl unterschiedlicher Ports initiieren.
dEr EntropiE-faktor Verschlüsselte oder komprimierte Dateiübertragungen und Kommunikationen sind gut an ihrer hohen Entropie erkennen.⁶ Der Vorteil für Sicherheitsteams dabei: Die Entropie kann auch ohne Kenntnisse der zugrunde liegenden Verschlüsselungsprotokolle überwacht werden.
Über einen Zeitraum von drei Monaten ab 1. Juni 2015 untersuchten unsere Experten 7.480.178 Datenflüsse aus 598.138 Malware-Stichproben mit dem Schweregrad 100. In diesem Zeitraum wiesen 958.851 Datenflüsse (12,82 Prozent) eine hohe Entropie auf.
Daneben wurde bei 917.052 Datenflüssen (12,26 Prozent) das TLS-Protokoll (Transport Layer Security) verwendet, von denen 8419 nicht über Port 443, dem Standardport für sichere HTTP-Übertragungen, erfolgten. Stattdessen kommunizierte die beobachtete Malware über die Ports 21, 53, 80 und 500.
Zur Erkennung von potenziellen Bedrohungen aus dem zunehmend verschlüsselten Internetverkehr werden integrierte Architekturen immer wichtiger (siehe „Die sechs Säulen der integrierten Bedrohungsabwehr“ auf seite 62). Denn Einzellösungen sind hierbei wenig effektiv, da sie nicht die nötige Transparenz liefern, um verdächtige Datenverkehrsmuster und Aktivitäten schnell und einfach zu erkennen.
3333
BranchentrendsCisco 2016 Annual Security Report
abbildung 28: Anzahl der für Malware-Aktivitäten genutzten WordPress-Domains
Figure X. WordPress Domains Usedby Malware Creators
Quelle: Cisco Security Research
Feb.73
Apr.82
Jun.114
Aug.171
Sep.212
Mrz.83
Mai123
Jul.181
Jan.128
235
Okt.
Lancope, ein Cisco Unternehmen, untersuchte anhand von Vertretern aus drei Branchen (zwei Universitäten, eine Klinik und ein großer ISP, alle aus den USA), in welchem Umfang diese ihren internen und Internet-Datenverkehr verschlüsseln.
So nutzte die eine der beiden Universitäten für ihren internen Datenverkehr fast ausschließlich verschlüsselte Verbindungen (zu 82 Prozent), allerdings nur für 53 Prozent ihres Internet-Datenverkehrs – Werte, die auch die Trends widerspiegeln, die Lancope in anderen Branchen ermitteln konnte.
Bei der Klinik dagegen war nur 36 Prozent des internen Datenverkehrs verschlüsselt, dafür aber mehr als die Hälfte des Internetverkehrs (52 Prozent).
Der ISP wiederum verschlüsselte 70 Prozent des internen Datenverkehrs sowie 50 Prozent der Internetverbindungen.
Die Studie von Lancope zeigt: Bei der Übertragung von Daten setzen Unternehmen zunehmend auf Verschlüsselung. Ebenso wichtig wäre dies aber auch bei Daten in der Ablage. Denn erst dadurch wird der Schaden bei Sicherheitsverletzungen wirksam begrenzt.
trends beim Einsatz von verschlüsselung – fallstudie
WordPress-Server im Visier von Cyberkriminellen
Figure X. The Move Toward Encryption Case Data
Internet DataInterne Daten
Quelle: Lancope Threat Research Labs
Klinik
36%52%
Universität 2
82%
53%
Universität 1
14%
37%
70%
50%
ISP
Wie bereits eingangs in diesem Report erläutert, suchen Cyberkriminelle laufend nach neuen Wegen, wie sie effizienter, kostensparender und unauffälliger operieren können. Websites, die mit dem gängigen Web- und Blog-Entwicklungstool WordPress erstellt wurden, erweisen sich dabei als effizienter und äußerst ergiebiger Zugang zu Serverressourcen, über die sie Infrastrukturen für Ransomware-, Bankbetrug- und Phishing-Kampagnen aufziehen können. Denn das Internet wimmelt von aufgegebenen WordPress-Seiten, die nicht mehr vom Webmaster gesichert werden – ein willkommenes Vehikel für kriminelle Aktivitäten.
Und ein immer häufiger genutztes. Denn wie sich zeigte, verlagern Cyberkriminelle die für Ransomware und andere Schadprogramme genutzten Systeme zunehmend auf kompromittierte WordPress-Server. Zwischen Februar und Oktober 2015 stieg die Zahl dieser Domains um 221 Prozent (siehe Abbildung 28).
Diese Verlagerung lässt sich wie folgt erklären: Überträgt Ransomware Verschlüsselungsschlüssel und andere Command-and-Control-Informationen über ein anderes
Tool, kann diese Kommunikation erkannt und blockiert werden, bevor die Verschlüsselung abgeschlossen ist. Größere Erfolgschancen verspricht dagegen eine Umleitung über kompromittierte WordPress-Server, die die Kommunikation kaschiert – die WordPress-Seiten fungieren somit als Relais für die Übertragung der Verschlüsselungscodes.
3434
BranchentrendsCisco 2016 Annual Security Report
abbildung 29: Verlauf der Kompromittierung über WordPress-WebsitesFigure X. How Cryptowall Ransomware uses hacked WordPress servers for Command and Control
Cryptowall C&C-Server
Nutzer ö�net Webseite mit Bannerwerbung
Cryptowall-Binärdatei wird von WordPress-Server heruntergeladen
Cryptowall ruft Zahlungsanweisung ab und stellt Link zur Begleichung bereit
Cryptowall fordert Verschlüsselungsschlüssel vom C&C-Server an
Cryptowall verschlüsselt Dokumente
!
!
!
Quelle: Cisco Security Research
3
4
5
6
1 Flash-Exploit2 TEILEN
Durch das Hosten von Malware-Payloads und Command-and-Control-Servern auf WordPress-Seiten kompensieren die Cyberkriminellen die Nachteile anderer Technologien. Denn diese Strategie bietet ihnen zahlreiche Vorteile, etwa die große Zahl an aufgegebenen Seiten, die nur schwach geschützt und leicht zu kompromittieren sind.
Bei Malware-Operationen auf kompromittierten Systemen besteht prinzipiell das Risiko, dass einer der gehackten Server erkannt und offline genommen wird. Geschieht dies inmitten einer Kampagne, kann der Malware-Downloader seine Payload möglicherweise nicht abrufen oder die Kommunikation zwischen Malware und Command-and-Control-Servern reißt ab. Dieses Problem umgangen die Kriminellen jedoch, indem sie die Operation auf mehrere WordPress-Server verteilten und auf Filesharing-Websites wie Pastebin Listen der kompromittierten Server ablegten.
Beim Ausfall eines kompromittierten Servers konnte die Malware anhand dieser Listen einfach auf einen funktionsfähigen Command-and-Control-Server ausweichen. Auf einigen Malware-Downloadern fanden unsere Experten zudem Listen von WordPress-Servern, die als Ausweichstandort die Payloads zurückhielten.
Die kompromittierten Websites liefen häufig nicht auf der neuesten Version von WordPress, waren nur durch schwache Admin-Passwörter geschützt und verwendeten Plug-ins, bei denen Sicherheitspatches fehlten.
Über diese Schwachstellen gelang es den Angreifern, die Server zu kapern und als Malware-Infrastruktur nutzen (siehe Abbildung 29).
Folgende Software- und Dateitypen waren am häufigsten auf den kompromittierten WordPress-Websites zu finden:
• Ausführbare Dateien, die als Payload von Exploit-Kits ausgeliefert werden
• Konfigurationsdateien für Malware, z. B. Dridex und Dyre • Proxy-Code, der die Command-and-Control-
Kommunikation umleitet, um die C&C-Infrastruktur zu kaschieren
• Phishing-Seiten zum Abgreifen von Benutzernamen und Passwörtern
• HTML-Skripte, die Datenverkehr an Exploit-Kit-Server weiterleiten
Darüber hinaus nutzten diverse Malware-Familien kompromittierte WordPress-Websites als Infrastruktur:
• Dridex Infostealer • Pony Password Stealer • TeslaCrypt Ransomware • Cryptowall 3.0 Ransomware • TorrentLocker Ransomware • Andromeda Spam Botnet • Bartallex Trojan Dropper • Necurs Infostealer • Fingierte Anmeldeseiten
3535
BranchentrendsCisco 2016 Annual Security Report
0
1
2
3
4
5
6
Jahre
Figure X. Average Software Age in Years
Luftfa
hrt
Komm.
Pharm
a
Großu
nter-
nehm
en
Finan
zsek
tor
Gesun
dheit
Versi
cheru
ng
Servic
e-
Prov
ider
Einze
lhand
el
Telek
omm.
Quelle: Cisco Security Research
abbildung 30: Durchschnittliches Alter der eingesetz-ten Software (in Jahren)
2
Versicherung
1
Großunter-nehmen
0,6
Einzelhandel
10
Service-Provider
16,3
Gesundheit
15,7
Telekomm.
15
Finanzsektor
19,9
Figure X. Percentage of LDoS forInfrastructure Devices
Quelle: Cisco Security Research
Pharma
4,8
Luftfahrt
5
Komm.
abbildung 31: Einsatz von Infrastrukturkomponenten mit erreichtem Support-Ende (in %)
Blog-Beiträge von cisco security zu diesem thema:
„it security: when maturity is overrated“
„Evolution of attacks on cisco ios devices“
„synful knock: detecting and mitigating cisco ios software attacks“
Zum Schutz vor Bedrohungen aus gehackten WordPress-Websites ist Web-Security-Technologie erforderlich, die Inhalte aus mit diesem Tool erstellten Seiten überprüfen kann. Als Anzeichen für ungewöhnlichen Traffic von diesen Websites können Programmdateien gewertet werden, die zusätzlich zu Seiteninhalten und Bildmaterial heruntergeladen werden (ebenso gut können aber auch seriöse Programme auf WordPress-Websites gehostet sein).
Veraltete Infrastruktur: Ein jahrelang verschlepptes ProblemInformations- und Betriebstechnik sind in der umfassend vernetzten und digitalisierten Welt von heute nicht mehr wegzudenken. Starke IT-Sicherheit ist daher von grundlegender Bedeutung. Dennoch haben viele Unternehmen noch immer veraltete Komponenten und anfällige Betriebssysteme im Einsatz, die ihre Netzwerkinfrastruktur angreifbar machen.
Um die Risiken veralteter Infrastruktur und nicht behobener Sicherheitslücken besser aufzuzeigen, untersuchten wir 115.000 an das Internet angebundene oder in den Umgebungen unserer Kunden betriebene Cisco Geräte.
Mittels Internet-Scan identifizierten wir die 115.000 Geräte aus dieser eintägigen Stichprobe und untersuchten diese mit Blick von „außen nach innen“ (vom Internet aus und in das Unternehmen hinein). 106.000 dieser Geräte liefen auf Software mit bekannten Sicherheitslücken, d. h., 92 Prozent der mit dem Internet verbundenen Cisco Geräte aus dieser Stichprobe waren über diese Lücken angreifbar.
Im Schnitt wiesen die Softwareversionen auf diesen Geräten 26 Sicherheitslücken auf. Viele Unternehmen hatten zudem veraltete Software in ihrer Infrastruktur
im Einsatz (Abbildung 30) – im Finanzsektor, dem Gesundheitswesen und dem Einzelhandel war die Software teilweise älter als 6 Jahre.
Zahlreiche Infrastrukturkomponenten hatten zudem bereits
das Support-Ende erreicht (Abbildung 31). Geräte also, die weder sicherheitsseitig aktualisiert werden können, noch Patches für bekannte Sicherheitslücken – und damit Informationen zu neuen Bedrohungen – erhalten. Die betreffenden Kunden wurden informiert.
35
3636
BranchentrendsCisco 2016 Annual Security Report
Unternehmen, die veraltete Infrastrukturen nutzen, lassen Sicherheitslücken ungeschlossen – und öffnen damit Tür und Tor für Angreifer. Beim Schließen von Sicherheitslücken engagierter zeigt sich dagegen die Technologiebranche, wie die Zunahme der veröffentlichten Warnungen zu Produktsicherheitslücken in Open-Source- und proprietären Lösungen nahelegt.
So ist die kumulative Gesamtzahl der Warnmeldungen 2015 gegenüber dem Vorjahr um 21 Prozent gestiegen, dabei besonders deutlich im Zeitraum von Juli bis September 2015. Ein großer Teil geht dabei auf die Veröffentlichung neuer Versionen der Software etwa von Microsoft und Apple zurück, da sich in der Folge solcher Updates häufig neue Sicherheitslücken auftun.
Viele der namhaften Softwarehersteller veröffentlichen mittlerweile häufiger Patches und Upgrades und zeigen sich transparenter bezüglich Sicherheitslücken in ihren Produkten. Davon können Unternehmen profitieren, indem sie Security-Intelligence- und Management-Plattformen nutzen, die anhand dieser Informationen die Verwaltung von System- und Softwarebestand, die Priorisierung von Sicherheitslücken und die Erfassung von Threat-Intelligence stärker automatisieren. Diese Systeme sind flexibel über APIs anpassbar und ermöglichen es Unternehmen jeder Größe, ihre Sicherheitsverfahren effizienter, schneller und effektiver zu gestalten.
meldewillige hersteller: sicherheitswarnungen werden zahlreicher
abbildung 32: Kumulative Gesamtzahl der Warnungen/Jahr
TEILEN
Jan. Dez.Okt.
Quelle: Cisco Security Research
0
8K
Warnungen gesamt
Figure 32. Cumulative Annual Alert Totals
21% von 2014 bis 2015
2013
2014
8 Prozent der 115.000 Geräte aus der Stichprobe hatte zudem den „End-of-Life“-Status erreicht. Bei weiteren 31 Prozent handelte es sich um Modelle, für die in ein bis vier Jahren der Support eingestellt wird.
Alternde und überalterte IT-Infrastruktur birgt Risiken für Unternehmen. Denn mit der immer weiter voranschreitenden Entwicklung hin zum Internet of Things (IoT) und Internet of Everything (IoE) sind Netzwerkinfrastrukturen, die Datenströme und Kommunikation zuverlässig absichern, entscheidend für den Erfolg.
Viele unserer Kunden haben ihre Netzwerke vor ca. zehn Jahren installiert – zu einer Zeit, in der viele noch nicht damit gerechnet hatten, dass sie künftig vollständig auf diese Infrastruktur angewiesen sein würden. Ebenso wenig damit, dass diese einmal im Visier von Kriminellen stehen würde.
Unternehmen möchten Infrastrukturaktualisierungen tendenziell eher vermeiden, da diese kostspielig und mit Ausfallzeiten des Netzwerks verbunden sind. Bei einigen ist es mit einer einfachen Aktualisierung jedoch nicht getan. Denn bei ihnen sind teilweise Produkte im Einsatz, bei denen Upgrades zur Integration aktueller Sicherheitslösungen schon gar nicht mehr möglich sind.
Diese Fakten machen bereits deutlich, wie wichtig die Pflege der Infrastruktur ist – und wie wichtig sorgfältig geplante, regelmäßige Upgrades sind. Unternehmen müssen verstehen, dass sie die Kontrolle über ihre kritische Infrastruktur proaktiv in die Hand nehmen müssen – bevor ihnen kriminelle Kräfte zuvorkommen.
36
3737
BranchentrendsCisco 2016 Annual Security Report
abbildung 33: Anzahl der allgemein bekannten Sicherheitslücken nach Kategorie
In der Kategorie „Cross-Site Scripting (XSS)“ ging die Zahl der allgemein bekannten Sicherheitslücken 2015 gegenüber dem Vorjahr um 47 Prozent zurück, was auf umfangreichere Produktsicherheitstests seitens der Hersteller hindeutet. Denn insbesondere Angreifbarkeiten über diese Sicherheitslücken beheben viele Hersteller mittlerweile bereits in der Produktentwicklung.
Mit einem Rückgang von 15 Prozent in der Kategorie „Information Leak/Disclosure“ wurden 2015 zudem weniger Sicherheitslücken verzeichnet, die durch Daten-Leaks ungewollt an Außenstehende durchsickern. Hierauf achten die Hersteller mittlerweile genauer und richten entsprechend stärkere interne Kontrollen für den Zugriff auf solche Daten ein.
allgemein bekannte sicherheitslücken: weniger pufferfehler und undichte stellen
Kleinbetriebe und der Mittelstand – sind sie ein schwaches Glied in der Sicherheitskette?
Quelle: Cisco Security Research
Figure X. Common Vulnerabliity Categories
2014 2015
CWE-119: Bu�er Errors
861 681
CWE-22: Path Traversal
42 22
CWE-94: Code Injection
76 37
CWE-264: Permissions, Privileges, and Access Control
270 220
CWE-89: SQL Injection
35 20
CWE-287: Authentication Issues
50 27
CWE-200: Information Leak/Disclosure
269 191
CWE-352: Cross-Site Request Forgery (CSRF)
36 45
CWE-59: Link Following
12 4
(Zunahme)
CWE-79: Cross-Site Scripting (XSS)
201 120
CWE-16: Con�guration
4 10
CWE-78: OS Command Injections
42 26
(Zunahme)
Kleinbetriebe und der Mittelstand sind ein tragendes Element jeder Volkswirtschaft. Zugleich tragen sie aber auch eine große Verantwortung: Den Schutz der Daten ihrer Kunden vor dem Zugriff durch Cyberkriminelle. Den Ergebnissen der Cisco Security Capabilities Benchmark Study 2015 (siehe seite 41) zufolge werden ihre Abwehrmaßnahmen diesen Herausforderungen jedoch nicht gerecht. Damit erhöhen sie auch das Risiko für ihre Geschäftspartner aus Großunternehmen, denn über ihre schwächer geschützten Netzwerke könnten Angreifer auch einen Weg in die Systeme ihrer Partner finden.
Verglichen mit den Ergebnissen der Cisco Security Capabilities Benchmark Study vom Vorjahr setzten kleine und mittelständische Unternehmen 2015 weniger Tools und Prozesse zur Analyse von Kompromittierungen und zum Schutz vor Bedrohungen ein. So nutzten 2015 etwa nur 48 Prozent Tools für Web-Sicherheit. 2014 waren es noch 59 Prozent. Zudem hatten 2015 nur 29 Prozent Patching- und Konfigurationstools im Einsatz, verglichen mit 39 Prozent im Jahr 2014.
Hinzu kommt, dass in vielen kleinen und mittelständischen Unternehmen keine Führungskraft direkt mit dem Bereich Sicherheit betraut ist. Fast ein Viertel der Befragten sahen zudem keine bedeutende Gefährdung für das eigene Unternehmen – und überschätzen damit entweder ihre Fähigkeiten zur Abwehr der raffinierten Cyberangriffe von heute, oder gehen vielmehr gar nicht erst von einem Angriff auf ihr Unternehmen aus.
TEILEN
3838
BranchentrendsCisco 2016 Annual Security Report
abbildung 35: Einsatz von Sicherheitsverfahren bei kleinen und mittelständischen Unternehmen geringer als bei großen Unternehmen
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. SMBs Use Fewer Security Processes than Large Enterprises
Von Unternehmen eingesetzte Verfahren zur Analyse kompromittierter Systeme
Von Unternehmen eingesetzte Verfahren zur Wiederherstellung betro�ener Systeme
Speicherforensik
Analyse der Netzwerkstatistik
Analyse von Systemprotokollen
Externe Teams (oder Drittanbieter) zur Reaktion auf/Analyse von Vorfällen
Analyse von Ereignissen/Protokollen
Analyse der Registry
IOC-Erkennung
Implementierung zusätzlicher/neuer Erkennungsmethoden und Kontrollen
Unternehmensgröße
Patching und Aktualisierung von potenziell angreifbaren Anwendungen
30%
43%
47%
30%
34%
43%
31%
49%
250-499
51%
34%
47%
51%
32%
34%
43%
34%
55%
500-999
53%
34%
52%
55%
34%
40%
49%
37%
57%
1000-9999
57%
37%
53%
59%
39%
42%
52%
36%
61%
10.000+
60%
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. SMB Biggest Obstacles
Größte Hindernisse bei der Einführung von fortschrittlichen Sicherheitsprozessen und -technologien
Unternehmensgröße 250-499 500-999 1000-9999
Knappe Budgets 40% 39% 39% 41%
Nicht kompatible Altsysteme 32% 30% 32% 34%
Konkurrierende Prioritäten 25% 25% 24% 24%
10.000+
abbildung 34: Größte Hindernisse für kleine und mittelständische Unternehmen
abbildung 36: Einsatz von Sicherheitsverfahren geht 2015 bei kleinen und mittelständischen Unternehmen zurück
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. SMB Defenses Decrease in 2015
Von Unternehmen eingesetzte Sicherheitsverfahren2014 2015
Mobile Sicherheit 52% 42%51%Sicherer Wireless-Zugri 41%
Schwachstellen-Scans 48% 40%
VPN 46% 36%
Security Information and Event Management (SIEM) 42% 35%
Netzwerkforensik 41% 29%
39% 29%
Endpunktforensik
Patching und Kon�gurationsmanagement
31% 23%
Penetrationstests 38% 32%
incidEnt-rEsponsE-tEams nicht diE rEgElDer Einsatz von Teams für Incident-Response und Threat-Intelligence ist in kleinen und mittelständischen Unternehmen im Vergleich zu Großunternehmen weniger verbreitet. Zurückführen lässt sich dies etwa auf knappe Budgets, die viele der Befragten als größtes Hindernis bei der Einführung von fortschrittlichen Sicherheitsprozessen und -technologien nannten. Bei 72 Prozent der Großunternehmen (mehr als 1000 Mitarbeiter) ist für beide Bereiche jeweils ein eigenes Team aufgestellt, bei Unternehmen mit weniger als 500 Mitarbeitern gilt dies für 67 Prozent.
Daneben haben kleine und mittelständische Unternehmen auch weniger Prozesse zur Analyse von Kompromittierungen, zur Beseitigung der Ursachen von Vorfällen und zur Wiederherstellung betroffener Systeme im Einsatz (Abbildung 35). So ziehen etwa nur 43 Prozent der
Unternehmen mit weniger als 500 Mitarbeitern bei der Analyse von kompromittierten Systemen die Netzwerkstatistik heran, verglichen mit 53 Prozent der Unternehmen mit über 10.000 Mitarbeitern. 60 Prozent der Großunternehmen führen zudem Patches und Aktualisierungen von potenziell angreifbaren Anwendungen durch, verglichen mit 51 Prozent der Unternehmen mit weniger als 500 Mitarbeitern.
Der Einsatz von Sicherheitsverfahren geht bei kleinen und mittelständischen Unternehmen ebenfalls zurück, etwa bei mobiler Sicherheit. Hier waren es 2014 noch 52 Prozent, 2015 dagegen nur noch 42 Prozent. Gleiches gilt für Schwachstellenscans, die gegenüber den 48 Prozent vom Vorjahr im Jahr 2015 nur noch 40 Prozent nutzten (siehe Abbildung 36).
3939
BranchentrendsCisco 2016 Annual Security Report
Unternehmen sieht sich nicht als gefährdet und betraut daher keine Führungskraft mit dem Bereich Sicherheit.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X.SMBs Do Not Perceive Themselves as High-Value Targets
Führungskraft ist direkt mit dem Bereich Sicherheit betraut.
250-499
Unternehmensgröße Unternehmensgröße
89%
500-999
93%
1000-9999
92%
10.000+
92%
22% 17%13%26%
74%78% 87% 83%
NeinJaNeinJa
250-499 500-999 1000-9999 10.000+
11% 7% 8% 8%
abbildung 38: Kleine und mittelständische Unternehmen sehen nur geringe Gefahr für sich
Großunternehmen (mehr als 10.000 Mitarbeiter)
Ö�entlich gewordener Sicherheitsvorfall
39%52%
Kleine und mittelständische Unternehmen (250-499 Mitarbeiter)
Figure X. SMBs Report Fewer Public Breaches; Less Likely than Enterprises to Initiate Changes in Response
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 37: Öffentlich gewordene Sicherheitsvorfälle bei kleinen und mittelständischen Unternehmen seltener
Unternehmen sieht sich nicht als gefährdet und betraut daher keine Führungskraft mit dem Bereich Sicherheit.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X.SMBs Do Not Perceive Themselves as High-Value Targets
Führungskraft ist direkt mit dem Bereich Sicherheit betraut.
250-499
Unternehmensgröße Unternehmensgröße
89%
500-999
93%
1000-9999
92%
10.000+
92%
22% 17%13%26%
74%78% 87% 83%
NeinJaNeinJa
250-499 500-999 1000-9999 10.000+
11% 7% 8% 8%
Unternehmen sieht sich nicht als gefährdet und betraut daher keine Führungskraft mit dem Bereich Sicherheit.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X.SMBs Do Not Perceive Themselves as High-Value Targets
Führungskraft ist direkt mit dem Bereich Sicherheit betraut.
250-499
Unternehmensgröße Unternehmensgröße
89%
500-999
93%
1000-9999
92%
10.000+
92%
22% 17%13%26%
74%78% 87% 83%
NeinJaNeinJa
250-499 500-999 1000-9999 10.000+
11% 7% 8% 8%
Kleinbetriebe und der Mittelstand sind also schwächer aufgestellt als große Unternehmen. Doch warum ist das von Bedeutung? Mit einem unzureichend geschützten Netzwerk werden sie angesichts der immer raffinierteren Angriffs- und Tarnungsstrategien der Cyberkriminellen zu einem leichten Ziel. Zudem sollten auch sie keine Prozesse ungenutzt lassen, mit deren Hilfe sie die Ursache von Vorfällen ausmachen und beseitigen können.
Ihnen muss außerdem klar sein, dass ihre eigene Angreifbarkeit zum Risiko für ihre Kunden aus Großunternehmen werden kann. Denn für den Einstieg in die Netze von lukrativeren Zielen nutzen die Cyberkriminellen von heute häufig Netzwerke wie ihre als Ausgangspunkt.
vorfällE gEratEn sEltEnEr in dEn fokus dEr ÖffEntlichkEitSicherheitsvorfälle bei kleinen und mittelständischen Unternehmen erregen – vermutlich aufgrund der aus Sicht der Netzwerkgröße geringeren Tragweite – seltener öffentliches Aufsehen als bei großen Unternehmen. So waren bei Unternehmen mit mehr als 10.000 Mitarbeitern bereits 52 Prozent von einem solchen Vorfall betroffen, bei Unternehmen mit weniger als 500 Mitarbeitern dagegen nur 39 Prozent.
Vorfälle dieser Art können erheblichen geschäftlichen Schaden anrichten, gleichzeitig haben sie aber auch häufig zur Folge, dass die betroffenen Unternehmen ihre Sicherheitsmaßnahmen prüfen und stärken. So bauen große Unternehmen unserer Studie zufolge ihre Sicherheitstechnologie und -prozesse nach einem solchen Vorfall erheblich aus (siehe seite 74).
Kleine und mittelständische Unternehmen unterschätzen offenbar auch das Gefahrenpotenzial der aktuellen Bedrohungslandschaft. Denn wie Abbildung 38 zeigt, betrauen nur 22 Prozent der Unternehmen mit weniger als 500 Mitarbeitern eine Führungskraft direkt mit dem Bereich Sicherheit, da sie das eigene Unternehmen als nicht außerordentlich gefährdet ansehen.
TEILEN
4040
BranchentrendsCisco 2016 Annual Security Report
sEcurity-outsourcing 2015 im aufwind
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. More SMBs Outsource in 2015
Unternehmensgröße
Beratung
Überwachung
Entwicklungen im Bedrohungsumfeld
Incident-Response
Audits
Behebung von Vorfällen
250-499
46%
45%42%39%35%33%
51%
46%46%44%37%38%
54%
42%46%44%42%36%
55%
44%56%40%41%36%
Keine 18% 12% 11% 10%
Von kleinen und mittelständischen Unternehmen (250-499 Mitarbeiter) genannte Gründe für das Outsourcing dieser Services
Fachkräftemangel
31%51%
Mangel an internen Ressourcen (Software, Personal)
30%
Objektive Sicherheitsbewertung durch externe StelleHöhere Kostene�zienz
45%
Schnellere Reaktion auf Vorfälle
45%
1000-9999500-999 10.000+
Von Unternehmen teilweise oder vollständig an Drittanbieter ausgelagerte Services
abbildung 39: Kleine und mittelständische Unternehmen setzen 2015 stärker auf Security-Outsourcing
TEILEN
Kleinbetriebe und der Mittelstand lagern zwar zunehmend Sicherheitsbereiche an externe Anbieter aus, tendenziell aber in geringerem Umfang als große Unternehmen. Beratungsleistungen etwa bezogen 55 Prozent der großen Unternehmen durch Outsourcing, verglichen mit 46 Prozent der Unternehmen mit weniger als 500 Mitarbeitern. Und auch Sicherheitsaudits lagerten große Unternehmen mit 56 Prozent häufiger aus als Unternehmen mit weniger als 500 Mitarbeitern (42 Prozent) (siehe Abbildung 39).
Dennoch lagerten kleine und mittelständische Unternehmen 2015 insgesamt mehr Security-Services aus. So hatten 2014 noch 24 Prozent der Unternehmen mit weniger als 499 Mitarbeitern angegeben, dass sie keinerlei Services von Outsourcing-Anbietern nutzten, 2015 nur noch 18 Prozent.
Dieser Trend ist positiv zu bewerten, denn er zeigt, dass diese Unternehmen zunehmend auf flexible Tools setzen, mit denen sie ihre Netzwerke auch bei geringerem Personal- und Geldeinsatz wirksam schützen können. Gleichzeitig dürfen sie aber nicht annehmen, dass allein durch Security-Outsourcing bereits das Risiko eines Vorfalls minimiert wird oder die Sicherheit ihrer IT dadurch allein in den Händen ihrer Outsourcing-Partner liegt. Denn erst ein vollständig integriertes Abwehrsystem – eines, mit dem Angriffe nicht nur untersucht und eingedämmt, sondern auch verhindert werden können – kann ihnen den Schutz bieten, von dem auch große Unternehmen profitieren.
40
4141
BranchentrendsCisco 2016 Annual Security Report
Ergebnisse der Cisco Security Capabilities Benchmark Study
42
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
Mit der zunehmenden Komplexität der Bedrohungen von heute sinkt das Vertrauen der Unternehmen in die Sicherheit ihrer IT. Getrieben von dieser Sorge verstärken Sicherheitsverantwortliche aber gleichzeitig auch ihre Schutzmaßnahmen. So weiten sie etwa ihre Schulungsprogramme aus, formulieren umfangreichere Sicherheitsrichtlinien und beauftragen externe Experten mit Sicherheitsaudits, Beratungsleistungen oder Incident-Response. Kurzum: Sicherheitsverantwortliche intensivieren ihre Vorkehrungen zum Schutz vor Bedrohungen.
Umfangreichere Schulungsprogramme und Security-Outsourcing sind bereits Schritte in die richtige Richtung. Noch stärker als bisher muss die Branche aber auf Tools und Prozesse setzen, mit denen Bedrohungen effektiver aufgespürt, eingedämmt und unschädlich gemacht werden können. Angesichts knapper Budgets und Kompatibilitätsbarrieren braucht es zudem effektive Lösungen für eine integrierte Bedrohungsabwehr. Wichtig sind daneben auch Zusammenarbeit und Wissensaustausch innerhalb der Branche, um wie im Fall des SSHPsychos-Botnet (siehe seite 14) wirksam gegen groß angelegte Cyberangriffe vorgehen und diese künftig verhindern zu können.
Cisco hat die Leiter der Sicherheitsabteilung (Chief Security Officer, CSO) und die ihnen unterstellten Sicherheitsteams (Security Operations Manager, SecOps) aus Unternehmen verschiedener Länder und Größen zu ihrer Sicht auf den Sicherheitsstatus ihres Unternehmens befragt. Die Studie beleuchtet die aktuell in Unternehmen eingesetzten Sicherheitsressourcen und -verfahren und vergleicht die Ergebnisse mit der erstmalig im Jahr 2014 durchgeführten Erhebung.
Ergebnisse der Cisco Security Capabilities Benchmark Study
Unternehmen sehen Handlungsbedarf bei Sicherheitsvorkehrungen
43
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 40: Nutzung von Outsourcing-Diensten
Beratung
Audits
Überwachung
Incident-Response
Threat-Intelligence
Behebung
Keine/Intern
51%
41%
42%
35%
34%
21%
–
52%
47%
44%
42%
36%
12%
39%
Höhere Kostene�zienz
Objektive Sicherheitsbewertung durch externe Stelle
Schnellere Reaktion auf Vorfälle
Fachkräftemangel
Mangel an internen Ressourcen
53%
49%
46%
31%
31%
Gründe für das Outsourcing dieser Services † 2015 (n=1129)
Outsourcing von Security-Bereichen
2014 (n=1738) 2015 (n=2432)
Figure X.Outsourced Services Seen as Cost E�ective
Quelle: Cisco 2015 Security Capabilities Benchmark Study
† Befragte, die Security-Services auslagern (2015; n=2129)
abbildung 41: Zunahme bei externem Hosting
Hosting am Standort noch die Regel, jedoch Zunahme bei externem Hosting gegenüber Vorjahr
Figure X. O�-Premise Hosting on the Rise
2014 (n=2417) 2015 (n=2417)
Am Standort als Teil einer Private-Cloud 50% 51%
Externe Public-Cloud 8% 10%
Externe Private-Cloud 18% 20%
Am Standort, verwaltet über externen Dienstleister 23% 24%
Am Standort 54% 48%
Quelle: Cisco 2015 Security Capabilities Benchmark Study
rEssourcEn: outsourcing macht schulESicherheitsverantwortliche erkennen angesichts zunehmender Bedrohungen immer häufiger den Wert von Outsourcing-Diensten als effiziente Lösung für unterschiedliche Sicherheitsbereiche. Für Sicherheitsaudits etwa beauftragten 2015 47 Prozent der Unternehmen einen externen Anbieter, verglichen mit 41 Prozent im Vorjahr. 42 Prozent der Unternehmen griffen 2015 zudem im Bereich Incident-Response auf Outsourcing zurück. 2014 waren es noch 35 Prozent (Abbildung 40).
Gleichzeitig ging auch die Zahl der Unternehmen deutlich zurück, die vollständig auf Outsourcing verzichten. So galt dies 2014 noch für 21 Prozent, 2015 nur noch für 12 Prozent. Für die Nutzung von Outsourcing-Diensten sprach für 53 Prozent ihre höhere Kosteneffizienz, 49 Prozent begrüßten sie als Möglichkeit für eine objektive Sicherheitsbewertung durch externe Stellen.
Als Mittel zur Stärkung der Netzwerk- und Datensicherheit stehen Sicherheitsverantwortliche mittlerweile auch Konzepten für externes Hosting von Netzwerken etwas offener gegenüber, bevorzugen aber weiterhin interne Lösungen. So konnten externe Private-Cloud-Lösungen 2015 mit 20 Prozent gegenüber den 18 Prozent vom Vorjahr leicht zulegen (Abbildung 41).
44
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
Figure X. Budget Constraints Are the Major Barrier to Security Upgrades
2015 (n=2432)Größte Hindernisse bei der Einführung fortschrittlicher Sicherheitstools Prozesse und Technologie
Führungsebene nicht überzeugt 20%
Tools noch nicht bewährt 22%
Fachkräftemangel 22%
Unternehmenskultur 23%
Unzureichendes Know-how 23%
Derzeit zu hohe Arbeitsbelastung 24%
Konkurrierende Prioritäten 24%
Zerti�zierungsanforderungen 25%
Kompatibilitätsbarrieren 32%
Knappe Budgets 39%$
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 42: Knappe Budgets bilden größtes Hindernis für Sicherheitsinitiativen
FIgure X.Budget Constraints as Biggest Obstacles to Adopting Advanced Security Processesand Technology
HochOberes MittelfeldMittelUnteres Mittelfeld
38%38%39%
48%
43%
Niedrig
Befragte, die knappe Budgets als wichtigstes Hindernis nannten (in %) (n=2432)
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 43: Knappe Budgets besonders bei weniger ausgereiftem Sicherheitsansatz ein Hindernis
Separater Posten Nur über IT-BudgetTeilweise über IT-Budget
6% 9% 33% 33% 61% 58%
$$
A Minority of Organizations Still Have Security Budgets that Are Completely Separate From it, but Incidence Has Increased.
Wird Security als von der IT separater Posten budgetiert?
Figure X. Slight Increases in Organizations with Separate Security Budgets
2014 (n=1720) 2015 (n=2417)
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 44: Leichte Tendenz in Richtung separate Budgetierung von Security
TEILEN
Sicherheitsverantwortliche stehen bei der Umsetzung ihrer Pläne zur effektiveren Sicherung ihrer Netzwerke allerdings auch vor Herausforderungen. So wurden knappe Budgets mit 39 Prozent am häufigsten als Hindernis für die Einführung neuer Security-Services und -Tools genannt, gefolgt von Kompatibilitätsproblemen mit 32 Prozent (siehe Abbildung 42). Wie Abbildung 43 zeigt, sind knappe Budgets besonders bei Unternehmen mit weniger ausgereiften Sicherheitsprozessen eine Herausforderung. So hatten an dem o. g. Gesamtwert von 39 Prozent die Unternehmen mit einem niedrigen Reifegrad einen Anteil von 43 Prozent, weitere 48 Prozent fielen auf Unternehmen aus dem unteren Mittelfeld.
Inwieweit sich Unternehmen mit ihren Sicherheitsressourcen auseinandersetzen lässt sich daran erkennen, wie sie ihre Security-Budgets strukturieren. So führten in der aktuellen Studie etwas mehr Unternehmen den Bereich Security als separaten Posten vom IT-Budget: 2014 galt dies für 6 Prozent, 2015 bereits für 9 Prozent (siehe Abbildung 44).
45
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report Figure X. Majority of Organizations Are Certied or Seeking Certication
Vorbereitung auf Zertizierung
Zertizierungsverfahren im Gange
Unternehmen legt Sicherheitsstandards zugrunde (2015 n=1265)
63% Industriechemie58% Fertigung (nicht Computer-bezogen)57% Transport46% Land- und Forstwirtschaft/Fischerei44% Pharma36% Bergbau
70% Finanzsektor70% Telekommunikation67% Gesundheit65% Behörden64% Versorgung63% Andere Branche
Zertizierung bereits erworben
63%31%
7%
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 45: Mehrheit der Unternehmen bereits zertifiziert oder auf dem Weg dorthin
abbildung 46: Firewalls und Data-Loss-Prevention am weitesten verbreitet
Maßnahmen zur Bedrohungsabwehr
In der Cloud verwaltet (Befragte, die Bedrohungsabwehr einsetzen)
2014 (n=1738) 2014 (n=1646) 2015 (n=2268)2015 (n=2432)
Netzwerk, Sicherheit, Firewalls und Intrusion-Prevention* 60% N/A 35%
E-Mail-/Messaging-Sicherheit 56% 52% 37% 34%
Verschlüsselung/Datensicherheit 53% 53%
Data-Loss-Prevention 55% 56%
Authenti�zierung 52% 53%
Firewall* – 65% 31%
Websicherheit 59% 51% 37% 31%
*Firewall und Intrusion Prevention waren 2014 zusammengefasst: „Netzwerksicherheit, Firewalls und Intrusion-Prevention“
Figure X. Firewalls and Data Loss Prevention Are Most Commonly Used Security Tools
Quelle: Cisco Security Capabilities Benchmark Study 2015
Unternehmen, die ihre Prozesse an offiziellen Sicherheitsstandards ausrichten und sich nach diesen zertifizieren lassen, unterstreichen ihr Engagement im Bereich Sicherheit. Bei fast zwei Drittel der Befragten war dies bereits der Fall oder sie hatten entsprechende
Initiativen bereits auf den Weg gebracht (Abbildung 45) – eine positive Entwicklung, die zeigt, dass Unternehmen ihr Know-how und ihre Reaktionsfähigkeit rund um die Abwehr von Bedrohungen stärker ausbauen.
Firewalls sind mit 65 Prozent die am häufigsten eingesetzten Sicherheitstools, gefolgt von Data-Loss-Prevention- und Authentifizierungstools mit 56 bzw. 53 Prozent (siehe Abbildung 46). Cloud-basierte Tools waren 2015 etwas weniger populär.
Sicherheitsverantwortliche setzen zwar insgesamt mehr auf Security-Outsourcing (siehe seite 43), belassen ihre Tools aber tendenziell eher innerhalb der eigenen Infrastruktur (vollständige Liste auf seite 71).
46
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 48: Vertrauen in eigene IT-Sicherheit geringer als im Vorjahr
TEILEN
abbildung 47: Sicherheitsrichtlinien werden vermehrt in formellen Regelwerken festgelegt
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. O�-Premise Hosting on the Rise
2014 (n=1738)Sicherheitsstandards 2015 (n=2432)
Formelles, regelmäßig aktualisiertes Regelwerk zur unternehmens-weiten Security-Strategie
66%
Keine der Genannten 1% 1%
Grundlage bilden Sicherheitsstandards wie ISO 27001
59%
52% 52%
54% 38%
Formelle Festlegung besonderer Risikomanagement- und Schutzrichtlinien von entweder geschäftskritischen oder gesetzlich regulierten Ressourcen
Figure X. Con�dence is Lower in 2015
2014 (n=1738) 2015 (n=2432)
In 2015, Companies are Less Con�dent that Their Security Infrastructure is Up-to-Date; Budget is the Top Barrier to Upgrades.
Unsere Sicherheitsinfrastruktur wird laufend aktualisiert und regelmäßig durch die besten am Markt verfügbaren Technologien ergänzt.
Wir ersetzen oder aktualisieren unsere Sicherheitstechnologien regelmäßig, sind jedoch nicht mit den allerneuesten Tools ausgestattet.
Wir erneuern oder aktualisieren unsere Sicherheitstechnologien nur, wenn die bestehenden ihren Zweck nicht mehr erfüllen/veraltet sind oder wenn neue Anforderungen ein Upgrade erfordern.
64% 59%
33% 37%
3% 5%
Wie würden Sie Ihre Sicherheitsinfrastruktur beschreiben?
Quelle: Cisco Security Capabilities Benchmark Study 2015
wEnigEr vErtrauEn in diE EigEnEn fähigkEitEnIm Vergleich zum Vorjahr waren Sicherheitsverantwortliche 2015 weniger davon überzeugt, dass ihre Sicherheitsinfrastruktur den aktuellen Herausforderungen gewachsen ist – eine angesichts der immer häufigeren Großangriffe auf bedeutende Konzerne, dem Ausmaß der dabei entstandenen Datenverlusten und Rufschädigungen nachvollziehbare Entwicklung.
Gleichzeitig gibt diese Entwicklung aber auch der Einführung stärkerer Sicherheitsvorkehrungen Auftrieb. So hielten 2015 bereits 66 Prozent der Unternehmen ihre Security-Strategie in einem formellen Regelwerk fest, im Vorjahr dagegen nur 59 Prozent (Abbildung 47).
Etwas nach unten ging das Vertrauen der Befragten etwa in die bei ihnen eingesetzten Technologien. So gaben 2014 noch 64 Prozent an, dass ihre Sicherheitsinfrastruktur auf dem neuesten Stand ist und laufend aktualisiert wird, 2015 dagegen nur noch 59 Prozent (Abbildung 48). Zudem beklagten 2014 noch 33 Prozent der Befragten, dass ihr Unternehmen nicht mit den neuesten Sicherheitstools ausgestattet sei, 2015 dagegen bereits 37 Prozent.
CSO zeigen sich insgesamt etwas optimistischer als ihre Kollegen aus den SecOps-Teams. Von ihnen befanden 65 Prozent, dass ihre Sicherheitsinfrastruktur auf dem neuesten Stand ist, von den SecOps-Teams dagegen nur 54 Prozent – mit dem täglichen Umgang mit Sicherheitsvorfällen fällt somit offenbar auch die Sicht auf den eigenen Sicherheitsstatus weniger positiv aus.
47
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 49: Gemischtes Bild beim Vertrauen in die Effektivität von Erkennungssystemen
TEILEN
Figure X. Mixed Con�dence in Ability to Detect Compromises
Unsere Sicherheitsinfrastruktur wird laufend aktualisiert und regelmäßig durch die besten am Markt verfüg-baren Technologien ergänzt.
Quelle: Cisco 2015 Security Capabilities Benchmark Study
Ausmaß eines Vorfalls kann bestimmt und der Schaden behoben werden (Anteil der Befragten)
451 8 46
(2015 n=2432)
Schwachstellen können frühzeitig ausgemacht und so schwerwiegende Vorfälle verhindert werden (Anteil der Befragten)
511 4 45
Stimme überhaupt nicht zu Stimme vollkommen zuStimme nicht zu Stimme zu
Wie würden Sie Ihre Sicherheitsinfrastruktur beschreiben?
59%
abbildung 50: Weniger Vertrauen in Maßnahmen zur Integration von Sicherheit auf Systemebene
Figure X. Lower Con�dence in Ability to Build Security into Systems
Quelle: Cisco Security Capabilities Benchmark Study 2015
Sicherheitsaspekte sind bei uns gut in Systeme und Anwendungen integriert (%)
93
582 5 35
96
541 4 42
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollkommen zuStimme nicht zu Stimme zuSicherheitsrichtlinien
Ein gemischtes Bild zeigt das Vertrauen der Sicherheitsverantwortlichen gegenüber ihren Fähigkeiten zur Abwehr von Angriffen. So waren nur 51 Prozent davon überzeugt davon, Schwachstellen frühzeitig ausmachen und so schwerwiegende Vorfälle verhindern zu können. Zudem vertrauten nur 45 Prozent auf ihre Fähigkeiten, das Ausmaß eines Vorfalls in ihrem Netzwerk bestimmen und den Schaden beheben zu kommen (siehe Abbildung 49).
Sinkendes Vertrauen zeigen die Befragten gegenüber ihren Maßnahmen zur Stärkung der Abwehr von Angriffen. So waren 2015 etwa nur noch 54 Prozent davon überzeugt, dass ihre Verfahren für die Systembeschaffung, -entwicklung und -wartung durch angemessene Sicherheitsrichtlinien geschützt sind, verglichen mit 58 Prozent im Vorjahr (siehe Abbildung 50) (vollständige Liste auf seite 76).
47
48
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 51: Vertrauen in Sicherheitskontrollen
Figure X.Enterprises Believe They Have GoodSecurity Controls
Mit unseren Systemen können wir zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist
Quelle: Cisco Security Capabilities Benchmark Study 2015
Sicherheitskontrollen
92
541 6 38
95
541 5 412015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollkommen zuStimme nicht zu Stimme zu
Sicherheitsverfahren werden bei uns regelmäßig nach formellen und strategischen Gesichtspunkten geprüft und optimiert
Stimme überhaupt nicht zu Stimme vollkommen zuStimme nicht zu Stimme zu
94
561 4 38
96
561 4 40
2015n=2432
2014n=1738
Sicherheitstechnologien sind bei uns gut miteinander integriert und arbeiten e�ektiv zusammen
94
562 5 38
95
521 4 43
2015n=2432
2014n=1738
Das Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden
89
462 9 43
91
451 8 46
2015n=2432
2014n=1738
Sicherheitsimplementierung
Figure X. Enterprises Lack Con�dence in Ability to Contain Compromises
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 52: Vertrauen in Fähigkeiten zur Eindämmung von Vorfällen zeigt gemischtes Bild
TEILEN
In einigen Bereichen ist der Vertrauensrückgang besonders deutlich. So waren 2015 etwa nur 54 Prozent der Befragten davon überzeugt, Sicherheitsvorfälle mit den bei ihnen eingesetzten Systemen zuverlässig erkennen zu können (siehe Abbildung 51) (vollständige Liste auf seite 77).
Ein ebenfalls gemischtes Bild zeigt das Vertrauen in die Fähigkeiten ihrer Systeme, das Ausmaß solcher Vorfälle bestimmen und den Schaden eindämmen zu können. So werden Sicherheitsverfahren bei nur 56 Prozent der Befragten regelmäßig nach formellen und strategischen Gesichtspunkten geprüft und optimiert, und nur 52 Prozent befinden, dass ihre Sicherheitstechnologien gut miteinander integriert sind und effektiv zusammenarbeiten (siehe Abbildung 52) (vollständige Liste auf seite 79).
49
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
Figure X. One-Fourth of Enterprises Believe Security Tools Are Only Somewhat E�ective
Überhaupt nicht ÄußerstWenig Etwas e�ektiv SehrE�ektivität von Sicherheitstools
Ähnlich wie im letzten Jahr bewertete über ein Viertel die eigenen Sicherheitstools lediglich nur als „etwas“ statt „sehr“ oder „äußerst“ e�ektiv.
Blockierung bekannter Bedrohungen 73
230 3 24 50
75
240 2 5123
2015n=2432
2014n=1738
Erkennung von Netzwerkanomalien und Abwehr dynamischer Bedrohungen
70
210 4 27 49
70
210 2 4928
2015n=2432
2014n=1738
Durchsetzung von Sicherheitsrichtlinien 71
201 3 27 51
70
200 2 5028
2015n=2432
2014n=1738
Bewertung potenzieller Sicherheitsrisiken 70
221 4 26 48
69
190 2 5029
2015n=2432
2014n=1738
Bestimmung des Ausmaßes eines Vorfalls Eingrenzung des Vorfalls und Beseitigung weiterer Exploits
67
190 3 30 48
68
190 2 4930
2015n=2432
2014n=1738
Quelle: Cisco 2015 Security Capabilities Benchmark Study
abbildung 53: Ein Viertel bewertet eigene Sicherheitstools nur als „etwas effektiv“
Ähnlich wie im Vorjahr bewerten auch 2015 über ein Viertel der Befragten ihre Sicherheitstools nur als „etwas effektiv“ (Abbildung 53).
50
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 54: Öffentlich gewordene Vorfälle bewirken häufig eine Stärkung der Sicherheitsvorkehrungen
Ist ein Sicherheitsvorfall in Ihrem Unternehmen schon einmal an die Ö�entlichkeit gelangt?
Figure X. Public Breaches Can Improve Security
(n=1701) (n=1347)
48% Ja
53% Ja
vs.
20152014
Inwieweit reagierte Ihr Unternehmen auf diesen Vorfall mit Verbesserungen bei Sicherheitsrichtlinien, -verfahren oder -technologien? (n=1134)
Überhaupt nicht UmfangreichEtwasKaum
10%1% 42% 47%
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 55: Schulungsmaßnahmen werden intensiviert
Figure X.More Organizations Conduct Security Training
43%Quelle: Cisco 2015 Security Capabilities Benchmark Study
43 Prozent der Befragten weiteten 2015 ihre Schulungsmaßnahmen nach einem ö�entlich gewordenen Sicherheitsvorfall aus.
Sicherheitsvorfälle, die an die Öffentlichkeit gelangen, sind für die betroffenen Unternehmen der häufig der Moment, an dem sie ihren bisherigen Maßnahmen überdenken und sich um stärkere Sicherheitsvorkehrungen bemühen. Mit 48 Prozent hatten 2015 allerdings weniger der Befragten mit einem solchen Vorfall zu tun als im Vorjahr – 2014 waren es noch 53 Prozent (siehe Abbildung 54).
Ein solcher Vorfall kann sich also auch positiv auf das Sicherheitsbewusstsein des betroffenen Unternehmens auswirken – eine Ansicht, die auch die befragten Sicherheitsverantwortlichen teilen. Und ein Effekt, den nicht wenige der Befragten aus diesen Unternehmen bestätigten: Bei 47 Prozent wurden daraufhin die Sicherheitsrichtlinien und -verfahren überarbeitet und verbessert, bei 43 Prozent reagierte man mit umfangreicheren Schulungsprogrammen sowie bei weiteren 42 Prozent mit höheren Investitionen in Sicherheitstechnologien.
Insgesamt ist festzuhalten, dass Unternehmen Vorfälle dieser Art zunehmend ernst nehmen und entsprechend darauf reagieren. So ist bei 97 Prozent der im Jahr 2015 Befragten jetzt mindestens einmal pro Jahr eine Sicherheitsschulung vorgesehen, ein erheblicher Anstieg gegenüber den 82 Prozent vom Vorjahr (siehe Abbildung 90 auf seite 82).
TEILEN
51
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 57: Kein direkter Zusammenhang zwischen Reifegrad und Herausforderungen
abbildung 56: Bestimmung des Reifegrads auf Grundlage der Sicherheitsprozesse
Figure X. Maturity Model Ranks OrganizationsBased on Secuirty Processes
Cisco prüfte verschiedene Segmentierungsansätze und entschied sich dann – basierend auf einer Reihe von Fragen zu den Sicherheits-prozessen – für die Aufteilung in fünf Segmente. Diese Lösung deckt sich weitestgehend mit dem Capability Maturity Model Integration (CMMI).
Niedrig
Oberes Mittelfeld
Unteres Mittelfeld
Hoch
Mittel
5 Segmente
Optimierung
Quantitativ verwaltet
Deniert
Reproduzierbar
Reaktiv
Fokus liegt auf Prozessoptimierung
Prozesse werden quantitativ gemessen und kontrolliert
Auf das Unternehmen zugeschnittene Prozesse; häug proaktiv
Auf Projekte zugeschnittene Prozesse; häug reaktiv
Ad-hoc-Prozesse; nicht planbar
1
2
3
4
5
Stufe
Quelle: Cisco Security Capabilities Benchmark Study 2015
Quelle: Cisco Security Capabilities Benchmark Study 2015
Größte Hindernisse bei der Einführung von fortschrittlichen Sicherheitsprozessen und -technologien?
Reifegrad Niedrig Oberes Mittelfeld HochUnteres Mittelfeld Mittel
Knappe Budgets
Konkurrierende Prioritäten
39%43% 48% 38%38%
Führungsebene nicht überzeugt
20%14% 20% 19%22%
Fachkräftemangel
26%19% 27% 22%26%
Zerti�zierungsanforderungen 26%14% 17% 25%27%
22%21% 27% 23%19%
Unzureichendes Know-how bezüglich fortschrittlicher Sicherheitsprozesse und -technologie
25%31% 20% 22%23%
Tools noch nicht am Markt bewährt
Zu hohe Arbeitsbelastung lässt derzeit keine neuen Aufgaben zu
24%12% 25% 19%25%
Unternehmenskultur bezüglich Sicherheit 23%31% 23% 21%22%
36% 23% 22%25%25%
Probleme hinsichtlich Kompatibilität mit älteren Systemen
29%21% 28% 33%34%
knappE BudgEts – durch diE Bank wEg EinE hErausfordErungAuf Grundlage der Sicht der Befragten auf ihre Sicherheitsprozesse und -verfahren ordnet die Studie die Unternehmen in fünf Reifegrade (siehe Abbildung 56) ein und untersucht, inwieweit Faktoren wie Ressourcenausstattung, Branche und Land diese beeinflussen.
Es zeigte sich, dass sich die Herausforderungen bei der Einführung fortschrittlicher Sicherheitsprozesse und -tools über verschiedene Reifegrade hinweg decken. Die Zahlen variieren zwar im Einzelnen, knappe Budgets stehen allerdings durch die Bank an erster Stelle (Abbildung 57).
52
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
abbildung 58: Verhältnis Reifegrad/Infrastruktur nach Branche
TEILEN
abbildung 59: Reifegrade nach Branche
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. Maturity Levels by Industry
Segmentverteilung nach Branche
Reifegrad Niedrig Oberes Mittelfeld HochUnteres Mittelfeld Mittel
Industriechemie 1% 6% 39%21% 33%
Finanzsektor 1% 10% 38%26% 26%
Behörden/Verwaltung 3% 10% 34%28% 25%
Gesundheit 1% 10% 37%30% 22%
Fertigung (nicht Computer-bezogen) 1% 10% 32%34% 22%
Pharma 2% 3% 44%30% 21%
Transport- und Verkehrswesen
1% 5% 46%28% 20%
Versorgung 1% 15% 23%28% 32%
Telekommunikation 2% 11% 33%26% 28%
Figure X. Gauging Security Maturity byInfrastructure and Industry
Versorgung
Fertigung (nicht Computer-bezogen)
Telekommunikation
PharmaAndere
Bergbau Transport- und Verkehrswesen
Gesundheit
Industriechemie
Behörden/Verwaltung
Finanzsektor: Banken und Versicherungen
Quelle: Cisco Security Capabilities Benchmark Study 2015
Mittel Oberes Mittelfeld Hoch
Lauf
end
aktu
alis
iert
, ne
uste
Tec
h.Re
gelm
. Upg
rade
s
Das Diagramm rechts zeigt im Branchenvergleich, wie sich die Qualität der Sicherheitsinfrastruktur im Verhältnis zum Reifegrad verhält. Die Ergebnisse basieren auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse. Bei den Branchen im oberen rechten Quadrant sind die Qualität der Infrastruktur sowie der Reifegrad am höchsten.
Das Diagramm unten zeigt die Verteilung der Reifegrade nach Branche. Gut aufgestellt sind 2015 die Unternehmen aus der Transport- und Pharmabranche. Hier erreichte über die Hälfte der Befragten einen hohen Reifegrad. In den Branchen Telekommunikation und Versorgungswirtschaft sind im Vergleich zum Vorjahr dagegen weniger Unternehmen mit einem hohen Reifegrad vertreten. Die Ergebnisse basieren auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse.
53
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. Maturity Levels by Country
Segmentverteilung nach Land 2014 (n=1637) 2015 (n=2401)
Reifegrad Niedrig2014 Oberes Mittelfeld HochUnteres Mittelfeld Mittel
USA 22%2% 4% 45%27%
Brasilien1% 9% 40%26%
Deutschland1% 12% 39%24%
Italien4% 3% 34%23%
Großbritannien0% 14% 32%22%
Australien1% 5% 29%36%
China0% 6% 32%25%
Indien
24%
36%
32%
29%
37%
21%
34%
1% 4% 40%34%
Japan2% 16% 32%16%
27%3% 10% 44%16%
2% 5% 34%35%
1% 4% 43%25%
1% 23% 38%25%
8% 8% 41%18%
9% 7% 30%35%
0% 3% 36%29%
27%
24%24%
13%
25%
19%
32%
20%
14%
7% 3% 16%
7% 15% 24%40%
20%Mexiko 6% 8% 50%16%
27%Russland 1% 14% 32%26%
35%Frankreich 1% 15% 29%20%
54%
Figure X. Gauging Security Maturity byInfrastructure and Country
Japan
Frankreich
Russland
Deutschland
Mexiko
Italien
China
Brasilien
Indien
USA
Großbritannien
Australien
Quelle: Cisco Security Capabilities Benchmark Study 2015
Mittel Oberes Mittelfeld HochLa
ufen
d ak
tual
isie
rt,
neus
te T
ech.
Rege
lm. U
pgra
des
abbildung 60: Verhältnis Reifegrad/Infrastruktur nach Land
abbildung 61: Reifegrade nach Land
TEILEN
Das Diagramm rechts zeigt im Landesvergleich, wie sich die Qualität der Sicherheitsinfrastruktur im Verhältnis zum Reifegrad verhält. Bei den Ländern im oberen rechten Quadrant sind die Qualität der Infrastruktur sowie der Reifegrad am höchsten. Auch hier basieren die Ergebnisse auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse.
Das Diagramm unten zeigt die Verteilung der Reifegrade nach Land. Die Ergebnisse basieren auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse.
54
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
EmpfEhlung: rEalitätEn anErkEnnEn und angEmEssEn rEagiErEnDie Ergebnisse der Studie zeigen: Sicherheitsverantwortliche sind in der Realität angekommen. So stehen auf der einen Seite zwar schwindendes Vertrauen in die eigene Abwehrstärke, auf der anderen Seite aber auch umfangreichere Schulungsmaßnahmen und Sicherheitsrichtlinien – die groß angelegten Cyberangriffe der jüngeren Vergangenheit hatten also auch positive Effekte. Positiv außerdem: Unternehmen setzen für Bereiche wie Sicherheitsaudis und Incident-Response zunehmend auf die Unterstützung von externen Experten.
Vorkehrungsmaßnahmen wie diese gilt es weiter auszubauen – was aber auch beinhaltet, der Sicherheitsabteilung mehr Spielraum für Investitionen in Technologie und Personal einzuräumen. Denn so aufgestellt wird sie in der Lage sein, Vorfälle nicht nur zu erkennen, sondern auch den Schaden einzudämmen und künftig abzuwenden. Und dann wird auch das Vertrauen wieder steigen.
54
Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report
5555
BranchentrendsCisco 2016 Annual Security Report
Ein blick in die zukunft
56
Ein Blick in die ZukunftCisco 2016 Annual Security Report
Die netzpolitischen Entwicklungen der Zeit nach Edward Snowdens Enthüllungen hinterlassen vor allem eines: Unsicherheit darüber, ob ein freier, grenzübergreifender Informationsfluss auch in Zukunft noch möglich sein wird. Ein Paradebeispiel hierfür ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2016, der nach einer Klage des österreichischen Datenschutzaktivisten Max Schrems gegen den Internetriesen Facebook das „Safe Harbor“-Abkommen zwischen EU und USA für ungültig erklärte.⁷
Für in der EU Geschäftstreibende bedeutet das eine erhebliche Rechtsunsicherheit. Denn die Verfahren, auf die sie sich jetzt bei der Übermittlung von Daten in die USA stützen müssen, werden ihrerseits noch auf ihre datenschutzrechtliche Relevanz geprüft. Internetfirmen vermochten noch immer nicht, die Folgen dieses Urteils vollständig abzuschätzen. Ein Ersatz für Safe Harbor ist derweil schon seit zwei Jahren in Arbeit. Ob sich EU und USA bis Januar 2016 einigen werden – diese Frist hat der EuGH für eine Neuregelung festgesetzt –, ist dabei jedoch keineswegs gesichert. Noch weniger
gesichert ist allerdings, ob das neue Abkommen dann zur Wiederherstellung des Marktvertrauens taugen wird. Denn dazu müsste es die Bedenken des EuGH gegenüber dem Vorgänger auch ausräumen, damit es nicht Gefahr laufen kann, ebenfalls für ungültig erklärt zu werden.⁸
Datenschützer erwarten allerdings, dass das neue Abkommen nicht weniger umstritten sein wird als sein Vorgänger. Und ob es dann einer Klage standhält oder wie schon sein Vorgänger zu Fall gebracht wird, ist fraglich.⁹
Die Debatte rund um End-to-End-Verschlüsselung – ihre Vorteile für Verbraucher und Unternehmen und die Herausforderungen, die sie bei der Strafverfolgung und Terrorismusbekämpfung darstellt – wird Politik und Branche ebenfalls noch stark beschäftigen. So werden vor dem Hintergrund der Anschläge von Paris im November 2015 sicher auch die Rufe einiger Politiker noch lauter werden, Strafverfolgern Einblick in verschlüsselte Kommunikation zu ermöglichen.¹⁰ Und auch in Safe Harbor 2.0 wird sich diese Stimmung sicher niederschlagen, da die Rechte des Einzelnen in Zeiten des Terrors für gewöhnlich eher zweitrangig behandelt werden.
Regulierung des Internets: Geopolitische Entwicklungen schüren Unsicherheit
Ein Blick in die ZukunftLänderübergreifende Datenübermittlung, eine heiße Debatte um verschlüsselte Kommunikation – netzpolitisch kommen einige Veränderungen auf uns zu. Zur gleichen Zeit wächst in den Vorstandsetagen die Sorge um die Cybersicherheit, während auf Seiten von IT-Entscheidern zunehmend die Sicherheit und Vertrauenswürdigkeit ihrer IT-Ausstatter an Bedeutung gewinnt. Viele dieser Herausforderungen kann eine integrierte Architektur bewältigen, mit der Bedrohungen schneller erkannt werden können. Cisco macht in dieser Richtung bereits erhebliche Fortschritte.
⁷ „The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid“, CJEU, 6. Oktober 2015: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf
⁸ „Safe Harbor 2.0 framework begins to capsize as January deadline nears“, Glyn Moody in Ars Technica, 16. November 2015: http://arstechnica.com/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/
⁹ “Safe Harbor 2.0 framework begins to capsize as January deadline nears“, Glyn Moody in Ars Technica, 16. November 2015: http://arstechnica.com/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/
¹⁰ „Paris Attacks Fan Encryption Debate“, Danny Yadron, Alistair Barr und Daisuke Wakabayashi im Wall Street Journal, 19. November 2015: http://www.wsj.com/articles/paris-attacks-fan-encryption-debate-1447987407
57
Ein Blick in die ZukunftCisco 2016 Annual Security Report
abbildung 62: Cybersicherheit stellt Unternehmen vor komplexe Herausforderungen
Quelle: Cisco Security Research
Figure X. Enterprises Face Tough Cybersecurity Challenges
32%
24% 21%
Kein Überblick über kritische
Schwachstellen
Ine�ektive Anwendung der festgelegten
Regelwerke
26%
Unzureichende Investitionen
27%
Keine klaren Kennzahlen zur Bestimmung der E�ektivität
Regelwerke halten Tempo der Veränderungen nicht
stand
Für Unternehmen stellt sich nun die Frage, wie sie sich von ihren transatlantischen Partnern einen rechtlich korrekten Umgang mit ihren Kundendaten zusichern lassen sollten. Kurzfristig blieben dafür nur die EU-Standardvertragsklauseln oder die „Binding Corporate Rules“. Auf Safe Harbor allein wäre für Datenübermittlungen außerhalb der EU jedenfalls kein Verlass.
Genau beobachten sollten Unternehmen zudem die geopolitischen Entwicklungen in Bezug auf Software-Schwachstellen und Zero-Day-Exploits bzw. den wachsenden Markt für diese sogenannte „Weaponized Software“. Einige Länder beobachten dies mit großer Sorge. Für Sicherheitsforscher sind dies jedoch wichtige Werkzeuge auf der Suche nach Wegen zur besseren Absicherung der globalen Netze. In den falschen Händen, insbesondere von repressiven Regimes, können sie allerdings genau für das Gegenteil eingesetzt werden, etwa für den Angriff auf Finanzinstitutionen, das Ausspähen von Staats- und Unternehmensgeheimnissen, die Unterdrückung politischer Gegner oder das Lahmlegen kritischer Infrastrukturen.
Das zu verhindern, ohne dabei die Sicherheitsforschung auszubremsen, ist eine der großen Herausforderungen, die die Politik in den kommenden Monaten und Jahren angehen muss – behutsam und unter genauer Prüfung der Auswirkungen jeder Entscheidung. Denn erst in einem Umfeld, das den Austausch von Informationen zu unveröffentlichten Sicherheitslücken klar regelt, kann die Sicherheitsforschung optimal gefördert und wirksamer verhindert werden, dass Lücken dieser Art öffentlich bekannt werden, bevor sie die Hersteller schließen können. Um das zu erreichen, braucht es ein international anwendbares Regelwerk, das jegliche Unsicherheiten diesbezüglich ausräumt.
Cybersicherheit bereitet Führungskräften SorgenEine tiefgreifende Sicherheitsstrategie ist nicht nur für die Vorbeugung empfindlicher Sicherheitsvorfälle und die Abwehr groß angelegter Angriffe, sondern auch aus geschäftlicher Sicht von entscheidender Bedeutung, etwa in Bezug auf die Digitalisierung von Prozessen. Und wie eine Cisco Studie unter Finanz- und Business-Führungskräften vom Oktober 2015 zeigt, erkennen auch Unternehmen zunehmend, welche entscheidende Rolle Cybersicherheit für den Erfolg oder Misserfolg gerade auch in der zunehmend digitalisierten Welt von heute spielt.
So wächst auch die Sorge um die eigenen Fähigkeiten, eine Sicherheitsverletzung abwenden zu können. Starke oder gewisse Zweifel äußerten diesbezüglich 48 bzw. 39 Prozent der Befragten, bei 41 bzw. 42 Prozent waren die Zweifel diesbezüglich zudem deutlich oder zumindest etwas größer als noch vor drei Jahren.
Führungskräfte erwarten in Zukunft auch ähnliche Kontrollen für Sicherheitsprozesse, so wie auch in anderen Geschäftsbereichen üblich. So gehen 92 Prozent der Befragten davon aus, dass Aufsichtsbehörden und Investoren künftig mehr Transparenz bezüglich ihres Sicherheitsstatus verlangen werden.
Gerade in Bezug auf ihren Sicherheitsstatus sehen sie aber auch große Herausforderungen. Viele können etwa ihre Regelwerke bezüglich der Cybersicherheit nicht schnell genug an neue Geschäftsanforderungen anpassen, oder es fehlt an geeigneten Kennzahlen zur Messung der Effektivität der Security-Infrastruktur (Abbildung 62).
58
Ein Blick in die ZukunftCisco 2016 Annual Security Report
abbildung 63: Sorge um die Sicherheit kritischer Daten
Quelle: Cisco Security Research
Kundendaten(Transaktionsdaten)
VertraulicheFinanzdaten
VertraulicheGeschäftsdaten
(operative Daten)
32% 31%30%
Figure X. Executives Concerned AboutSecuring Critical Data
abbildung 64: Risikobewertung
Von Unternehmen genannte Hochrisiko-Bereiche ihrer Infrastruktur:
50%Mobility Cloud
42%
sehen Gefahren für Ihr Unternehmen
65%
IT-Security43%
Quelle: Security Risk and Trustworthiness Study, Cisco
Figure X. Perceptions of Security Risk
Mehr als ein Drittel ist zudem um den Schutz wichtiger Daten in ihrem Unternehmen besorgt, insbesondere in Bezug auf vertrauliche Finanzdaten (32 Prozent), Kundendaten und vertrauliche Geschäftsdaten (siehe Abbildung 63).
Vertrauenswürdige Anbieter: Studie beleuchtet Risiken und Herausforderungen für UnternehmenFür einen effektiven Schutz von Systemen, Daten, Geschäftspartnern, Kunden und Bürgern vor den immer ausgedehnteren Cyberangriffen von heute ist die Vertrauenswürdigkeit von IT- und Netzwerkinfrastrukturprodukten eine grundlegende Voraussetzung. Immer mehr Unternehmen verlangen daher, dass die Hersteller ihrer Wahl die Sicherheit ihrer Produkte über den gesamten Lebenszyklus nachvollziehbar belegen.
Im Oktober 2015 befragte Cisco IT-Entscheidungsträger zu diesen Themen. So ging es neben der Bedeutung der Vertrauenswürdigkeit bei der Herstellerwahl auch darum, in welchen Bereichen sie die größten Herausforderungen und Risiken in Bezug auf die Sicherheit ihres Unternehmens sehen. Befragt wurden dazu Entscheidungsträger verschiedener Unternehmen, die sowohl im Bereich Security als auch in anderen IT-Bereichen der IT tätig waren. (Näheres zu den Ergebnissen sowie zur Methodik der Studie finden Sie im anhang.)
nachfolgEnd Ein ausZug dEr ErgEBnissE:65 Prozent der Befragten sehen erhebliche Risiken für ihr Unternehmen, insbesondere ausgehend von den Bereichen Mobility, IT-Security und Cloud (Abbildung 64).
TEILEN
59
Ein Blick in die ZukunftCisco 2016 Annual Security Report
abbildung 65: Unternehmensexterne Risiken (Befragte gesamt)
Quelle: Security Risk and Trustworthiness Study, Cisco
Figure X.External Challenges Faced (Total Respondents)
Keine der Genannten
Advanced Persistent Threats 43%
Denial-of-Service-Angri�e 38%
Brute-Force-Angri�e 35%
Zero-Day-Angri�e 35%
3%
Phishing 54%
Malware 68%
abbildung 66: Unternehmensinterne Sicherheitsrisiken (Befragte gesamt)
Quelle: Security Risk and Trustworthiness Study, Cisco
Figure X.Internal Challenges Faced (Total Respondents)
54%Downloads schädlicher Software
Sicherheitsverletzungen durch Mitarbeiter 47%
46%Schwachstellen in Hardware oder Software
Nutzung privater Geräte/Software/Cloud-Anwendungen für geschäftliche Aufgaben
43%
Unzureichend aufgeklärte Mitarbeiter 39%
Nicht angemessen geschulte Security-Teams 26%
Keine der Genannten 5%
abbildung 67: Mehrheit der Großunternehmen stellt für Security ein spezielles Team auf
92%Eigens für Securityzuständiges Team
StandardisiertePrüfrichtlinien
und -verfahren
59%UnternehmensweiteSecurity-Strategie
88%
Quelle: Security Risk and Trustworthiness Study, Cisco
Figure X. Most Large Enterprises Have a Dedicated Security Team In-House
In Bezug auf externe Risiken wurde am häufigsten Malware genannt (68 Prozent), gefolgt von Phishing und Advanced Persistent Threats mit 54 bzw. 43 Prozent (siehe Abbildung 65).
Auf unternehmensinterner Seite sehen die Befragten ebenfalls diverse Risiken. Mehr als die Hälfte nannte hier etwa Downloads schädlicher Software (54 Prozent). Ebenfalls häufig genannt wurden zudem Sicherheitsverletzungen durch Mitarbeiter (47 Prozent) sowie Sicherheitslücken in Hard- und Software (46 Prozent).
Unternehmen sind allerdings auch bemüht, diese Risiken unter Kontrolle zu halten. So hat die überwiegende Mehrheit (92 Prozent) ein eigens für Security zuständiges Team aufgestellt, während 88 Prozent der Befragten ihre unternehmensweite Security-Strategie in einem formellen, regelmäßig aktualisierten Regelwerk festhalten. Standardisierte Prüfrichtlinien und -verfahren zum Nachweis der Vertrauenswürdigkeit von IT-Anbietern bestehen dagegen nur bei 59 Prozent der Befragten (siehe Abbildung 67).
Etwa die Hälfte (49 Prozent) der großen Unternehmen installiert zudem stets die neuesten Sicherheitstechnologien, und auch die meisten anderen Unternehmen aktualisieren ihre Infrastruktur regelmäßig. Nur die wenigsten schieben Upgrades so lange auf, bis ihre Technologien veraltet sind.
59
TEILEN
60
Ein Blick in die ZukunftCisco 2016 Annual Security Report
IT-Anbieter müssen heute die Vertrauenswürdigkeit ihrer Prozesse, Richtlinien, Technologien und Mitarbeiter für ihre Kunden nachvollziehbar belegen, um eine langfristige Geschäftsbeziehung aufbauen zu können.
Entscheidend hierbei:
• Integration von Sicherheit in jeden Aspekt der Wertschöpfungskette
• Konsistente Anwendung von Richtlinien und Verfahren, die zur Reduzierung von Risiken bestehen
• Vollständige Integration von Sicherheit in die Unternehmenskultur
• Schnelle, transparente Reaktionen auf Sicherheitsverletzungen
• Schnelle und dezidierte Behebung von Vorfällen
vertrauenswürdigkeit nachweisen – so müssen it-anbieter vorgehen
abbildung 68: Bedrohungs-Erkennungszeit, Dezember 2014 bis Oktober 2015
Quelle: Cisco Security Research
Dezember 2014 Oktober 2015
Figure X. Time to Detection, December 2014 – November 2015
112.766 112.664 96.106
197.158286.457
379.366
205.601 192.975150.480 154.353
20,417,5
50,3 46,4 44,5 44,4 49,341,4
34,3 32,827,0TTD-Median
20
40
60
Stunden
Retrospektiven
185.539
Regelmäßige Upgrades der Infrastruktur bilden die Grundlage für starken Schutz. Unternehmen aller Größen benötigen vertrauenswürdige Technologien, die Sicherheit in alle Bereiche des Netzwerks integrieren. Ebenso wichtig ist jedoch, dass Sicherheit vollständig in die Unternehmenskultur integriert wird.
Dazu müssen Sicherheitsrichtlinien und -verfahren allgemeingültig festgelegt und konsistent sowohl unternehmensintern als auch gegenüber allen Kunden, Partnern und Zulieferern angewendet und ein Umfeld geschaffen werden, in dem Transparenz und Vertrauen jeden Aspekt des Handelns prägen.
Bedrohungs-Erkennungszeit: Ein ständiger WettlaufDie „Bedrohungs-Erkennungszeit“ (auch „Time to Detection“, TTD) beschreibt die Zeitspanne von der erstmaligen Beobachtung einer unbekannten Datei bis zu ihrer Erkennung als Bedrohung. Für die Ermittlung dieser Zeitspanne ziehen wir die Sicherheitstelemetrie heran, die von Cisco Security-Produkten weltweit erfasst werden.
Unter der Kategorie „Retrospektiven“ in Abbildung 68 wird die Anzahl der Dateien angegeben, die wir zunächst als „unbekannt“, später aber als „bekannt schädlich“ eingestuft haben.
Wie bereits im Cisco Midyear Security Report 2015 ausgeführt, lag der TTD-Median zunächst bei ca. zwei Tagen (50 Stunden).
61
Ein Blick in die ZukunftCisco 2016 Annual Security Report
Figure X. Tag Cloud for 100 Days
Quelle: Cisco Security Research
CrossRider
PennyBee
Con
vert
Ad
Waj
am
NetFilterElex
OptimizerPro
Sta
rtPa
ge
Systweak
YotoonMyPCBackup
BitC
ockt
ail
Add
Lyric
s
SupTab
Compete Downloader
Esprot
Gen
erik
GigaClicks
Kranet
Mul
tiPlu
g
Linkury
MyWebSearch
Ope
nCan
dyInstallCore
Visicom
Spigot
SpeedingUpMyPC
RuKometa
Sha
rik Dagava
Browse Fox
abbildung 70: Bedrohungen mit TTD von bis zu 100 Tagen
Cisco konnte die Bedrohungs-Erkennungszeit in diesem Zeitraum erheblich verkürzen. Im Oktober lag der TTD-Median mit ca. 17 Stunden sogar unter einem Tag – und damit deutlich unter dem Branchendurchschnitt von derzeit 100 bis 200 Tagen. Der schnelle Austausch von Informationen bezüglich der Beseitigung kurzlebiger Infektionen war hierbei entscheidend.
abbildung 69: Bedrohungs-Erkennungszeit im Vergleich, Dezember 2014 bis Oktober 2015
Figure X. Time to Detection Comparison,June vs September 2015
Quelle: Cisco Security Research
vs. 17,5 Stunden
Okt. (Median)
35,3 Stunden
Juni (Median)
Von Januar bis März wurde mit 44 bis 46 Stunden ein relativ konstanter TTD-Median mit leichter Tendenz nach unten verzeichnet, der dann aber mit 49 Stunden im April leicht anzog. Bis Ende Mai allerdings konnte Cisco die TTD auf ca. 41 Stunden verkürzen.
Zurückzuführen ist die Verkürzung der TTD teilweise auf die „Industrialisierung von Hackerangriffen“, also die großflächige Nutzung von Standard-Malware durch eine große Zahl von Angreifern, da weiter verbreitete Bedrohungen leichter aufzuspüren sind.
Einen weitaus nachhaltigeren Effekt hatten hierbei jedoch die enge Zusammenarbeit erfahrener Experten sowie der Einsatz fortschrittlicher Technologien.
So lässt sich die in Abbildung 69 dargestellte Reduzierung des TTD-Medians von 35,3 auf 17,5 Stunden zwischen Juni und Oktober 2015 zwar teilweise auf die schnellere Erkennung von Standard-Malware wie Cryptowall 3.0, Upatre oder Dyre zurückführen. Eine nicht unwesentliche Rolle spielte im gleichen Zeitraum jedoch auch die Einführung neuer Technologien wie Cisco ThreatGRID.
Einige Bedrohungen sind jedoch nach wie vor schwerer zu erkennen als andere. So werden etwa Downloader, die auf Microsoft Word abzielen, in der Regel bereits nach unter 20 Stunden erkannt, Adware- und Browser-Injections dagegen noch immer erst nach bis zu 200 Stunden.
Ein Grund für die in vielen Fällen erst späte Erkennung dieser Bedrohungen: Viele Sicherheitsteams konzentrieren sich in erster Linie auf die Abwehr von Zero-Day-Angriffen und übersehen dabei häufig die Gefahren, die von Bedrohungen dieser Art ausgehen (siehe „Kaum beachtet, weit verbreitet: Datenlecks durch infizierte Browser“ auf seite 16).
Die Übersicht in Abbildung 70 zeigt die Bedrohungen, die in der Regel erst nach bis zu 100 Tagen erkannt werden.
TEILEN
62
Ein Blick in die ZukunftCisco 2016 Annual Security Report
Die sechs Säulen der integrierten BedrohungsabwehrDer Cisco Midyear Security Report 2015 wies bereits darauf hin: In der Security-Branche sind auf dem Weg zu anpassungsfähigen Lösungen in den kommenden fünf Jahren tiefgreifende Veränderungen gefragt. Aus einer umfassenden Konsolidierung des Marktes muss eine integrierte Architektur hervorgehen, die über verschiedenste Lösungen hinweg mehr Transparenz, Kontrolle, Intelligenz und Kontext bietet.
Denn um bekannte ebenso wie neue Bedrohungen künftig schneller erkennen und darauf reagieren zu können, braucht es ein umfassendes Framework. Dessen zentrales Element muss eine transparente, vollständig kontextbezogene Plattform bilden, die laufend durch lokale und globale Threat-Intelligence aktualisiert und optimiert wird und allen Security-Anbietern offen steht. Das Ziel: Mehr Transparenz und Kontrolle – und damit eine effektivere Abwehr von Angriffen aus verschiedensten Bedrohungsvektoren.
Die Vorteile und Ziele dieser integrierten Architektur lassen sich anhand von sechs Prinzipien zusammenfassen:
1. angesichts zunehmend komplexer Bedrohungen braucht es heute eine umfassende netzwerk- und security-architektur:
Der seit etwa 25 Jahren gängige Ansatz besteht darin, jedes neu auftretende Sicherheitsproblem mit einem weiteren Einzelprodukt zu adressieren. Daraus entsteht jedoch ein Flickenteppich aus Technologien verschiedenster Anbieter, die nicht effektiv miteinander kommunizieren: Ihre Funktionalität geht nicht über die Integration von sicherheitsrelevanten Informationen in eine Event-Plattform hinaus, auf der sie durch Sicherheitsteams analysiert werden können.
In einer integrierten Architektur werden dagegen umfangreiche Informationen aus der gesamten Infrastruktur anhand eines effizienten, automatisierten Frameworks erfasst und analysiert, das eine intelligente Reaktion ermöglicht. Denn Sicherheitsteams werden nicht nur auf verdächtige Ereignisse und Verstöße gegen Richtlinien hingewiesen, sondern erhalten einen umfassenden Überblick über alle Aktivitäten im Netzwerk, um je nach Fall die optimalen Maßnahmen einzuleiten.
2. sogenannte „erstklassige“ technologien erhöhen häufig nur die komplexität, nicht jedoch den schutz des netzwerks:
Bei vielen prominenten Sicherheitsvorfällen des letzten Jahres hatten die betroffenen Unternehmen unterschiedlichste Technologien im Einsatz, die sich letztlich als nutzlos erwiesen.
Der Einsatz zahlreicher unterschiedlicher Technologien allein ist also wenig effektiv. Denn die wenigsten Anbieter führen einen grundlegend neuen Sicherheitsansatz ins Feld, sondern unterscheiden sich nur marginal von ihren Konkurrenzprodukten.
3. angesichts der immer häufiger verschlüsselten verbindungen bringen Einzelprodukte zur analyse dieses traffics keinen wirksamen schutz:
Wie in diesem Report bereits ausgeführt, bringt die Verschlüsselung des Web-Datenverkehrs zwar Vorteile, erschwert aber auch die Erkennung von Bedrohungen.
Dies können Sicherheitsteams jedoch kompensieren, indem sie die Aktivitäten auf Geräten und Netzwerken genauer analysieren. Möglich wird dies mithilfe von integrierten Sicherheitsplattformen.
4. die umsetzung einer integrierten Bedrohungsabwehr setzt offene apis voraus:
In Multivendor-Umgebungen müssen Transparenz, Kontext und Kontrolle in einer gemeinsamen Plattform zusammengeführt werden. Dies erfordert eine Front-End-Integrationsplattform, die die Infrastruktur automatisiert und die Daten der unterschiedlichen Sicherheitsprodukte konsolidiert.
5. in einer integrierten Bedrohungsabwehr wird weniger hard- und software benötigt:
Je mehr Funktionen die Security-Branche in einer Plattform integriert, desto weniger komplex und fragmentiert gestaltet sich die Umgebung – und entsprechend schwieriger wird es für Angreifer, sich unerkannt Zugriff auf Systeme zu verschaffen und von dort aus verdeckt zu operieren.
63
Ein Blick in die ZukunftCisco 2016 Annual Security Report
6. in einer integrierten Bedrohungsabwehr werden Erkennung, Eingrenzung und Beseitigung von Bedrohungen durch besser koordinierte, automatisierte maßnahmen beschleunigt:
Da es seltener zu Fehlalarmen kommt, können Sicherheitsteams stärker zielgerichtet vorgehen. Möglich wird dies durch kontextbezogene Analysen, die sofort zeigen, in welchen Fällen sofort reagiert werden muss. Anhand dieser Informationen lassen sich zudem zahlreiche Abwehrmaßnahmen automatisieren.
Stärken bündeln gegen einen gemeinsamen FeindEine enge Zusammenarbeit der Branche ist heute von entscheidender Bedeutung. Erst dann wird sie in der Lage sein, die zuvor skizzierte Bedrohungsabwehr zu schaffen, die mit dem enormen Innovationstempo der Cyberkriminellen Schritt halten kann. Denn wie sich zeigt, sind diese bestens organisiert, hochprofitabel und immer schwerer aufzuspüren, da sie mittlerweile häufig auch im Tarnmantel legitimer Ressourcen operieren.
Vor diesem Hintergrund sind die Ergebnisse der Cisco Security Capabilities Benchmark Study 2015 wenig überraschend. Die Branche kann jedoch dazu beitragen, das Vertrauen der Unternehmen in ihre IT-Sicherheit wieder zu stärken, indem sie eng zusammenarbeitet und proaktiv vorgeht. Denn dann kann sie Cyberkriminellen nicht nur finanziell schaden, sondern auch zukünftigen Angriffen besser vorbeugen.
Mehr als deutlich machen dies etwa die erfolgreichen Schläge gegen eine hochprofitable globale Angler-Operation oder auch gegen SSHPsychos, eines der größten je analysierten Botnets, die erst durch gemeinsame Aktionen des Cisco Collective Security Intelligence (CSI) Ecosystem, einem Cisco Partner und einer Reihe von Service-Providern möglich wurden (siehe „Fokusthemen“ ab seite 10).
63
Ein Blick in die ZukunftCisco 2016 Annual Security Report
6464
BranchentrendsCisco 2016 Annual Security Report
Über Cisco
65
Über CiscoCisco 2016 Annual Security Report Über Cisco
Die Forschungsgruppe des Collective Security Intelligence (CSI) Ecosystem ermittelt Entwicklungen in der Bedrohungslandschaft anhand von Telemetriedaten aus zahllosen Geräten und Sensoren, öffentlichen Feeds sowie der Open-Source-Community von Cisco. Dazu werden jeden Tag mehrere Milliarden Internetanfragen sowie Millionen von E-Mails, Malware-Stichproben und Netzwerk-Zugriffsversuche analysiert.
Eine hochmoderne Infrastruktur, unterstützt durch branchenführende Systeme, wertet die Telemetriedaten aus. Dies ermöglicht maschinelles Lernen, es können Bedrohungen für Netzwerke, Rechenzentren, Endpunkte, Mobilgeräte, virtuelle Systeme, das Internet, den E-Mail-Verkehr und die Cloud nachverfolgt sowie Ursachen ermittelt und Outbreaks analysiert werden. Die so gewonnenen Informationen fließen direkt in den Echtzeitschutz der Produkte und Services ein, die bei Cisco Kunden weltweit im Einsatz sind.
Weitere Informationen zum bedrohungsorientierten Sicherheitsansatz von Cisco finden Sie unter www.cisco.com/go/security.
Mitwirkende talos sEcurity intElligEncE & rEsEarch group Talos ist die Threat-Intelligence-Organisation von Cisco. Die Talos Forschungsgruppe ermittelt unter Einsatz hochmoderner Systeme wichtige Daten aus der Bedrohungslandschaft, die es den Produkten von Cisco ermöglichen, bekannte und neue Bedrohungen zu erkennen, zu analysieren und abzuwehren. Das Team von Talos aktualisiert die offiziellen Regelsätze von Snort.org, ClamAV, SenderBase.org und SpamCop und liefert seine Forschungsergebnisse an das Cisco CSI Ecosystem.
advancEd cloud & it transformation and optimiZation sErvicEsDas Team von Cisco Advanced Services steht weltweit führenden Service-Providern und Unternehmen bei der Optimierung ihrer Netzwerke, Rechenzentren und Cloud-Lösungen zur Seite. Diese Beratungsleistungen mit Fokus auf der Maximierung von Verfügbarkeit, Performance und Sicherheit für geschäftskritische Lösungen werden von mehr als 75 Prozent der Fortune 500-Unternehmen genutzt.
Über CiscoCisco bietet intelligente Lösungen für die IT-Sicherheit und verfügt über das branchenweit umfangreichste Portfolio an Systemen für eine fortschrittliche Bedrohungsabwehr, die unterschiedlichste Angriffsvektoren abdecken. Durch seinen bedrohungsorientierten und operationalisierten Ansatz verringert Cisco die Komplexität und verhindert die Fragmentierung von Sicherheitstools. Dies ermöglicht ein hohes Maß an Transparenz, konsistente Kontrollen und einen intelligenten Bedrohungsschutz vor, während und nach einem Angriff.
66
Über CiscoCisco 2016 Annual Security Report
activE thrEat analytics tEam Das Team von Cisco Active Threat Analytics (ATA) unterstützt Unternehmen unter Einsatz fortschrittlicher Big-Data-Technologien bei der Abwehr von bekannten Bedrohungen, Zero-Day-Angriffen und Advanced Persistent Threats. Dieser Managed-Komplettservice wird durch unsere Experten sowie unser weltweites Netzwerk von Security Operations Centers bereitgestellt und bietet Netzwerküberwachung und On-Demand-Analysen rund um die Uhr an sieben Tagen die Woche.
cisco thought lEadErship organiZationDie Cisco Thought Leadership Organization beleuchtet die Auswirkungen globaler Markttrends und neuer Lösungen auf Unternehmen, Branchen und Gesellschaft. Anhand prädiktiver Analysen und Feldforschung untersucht das Team dabei die Chancen und Herausforderungen der zunehmend digitalisierten Welt von heute und zeigt auf, wie Unternehmen physische und virtuelle Umgebungen sicher und nahtlos zusammenführen können, um Innovation zu beschleunigen und sich stark für die Zukunft aufzustellen.
cognitivE thrEat analytics Cisco Cognitive Threat Analytics ist ein Cloud-basierter Dienst, der Sicherheitsverletzungen, Aktivitäten von Malware in geschützten Netzwerken und andere Bedrohungen mittels statistischer Analysen des Netzwerkdatenverkehrs erkennt. Der Dienst identifiziert die Symptome von Malware-Infektionen oder Datenschutzverletzungen anhand von Verhaltensanalysen und Anomalie-Erkennung und schließt so die Lücken von Abwehrsystemen am Perimeter. Neben fortschrittlichen statistischen Modellen bringt Cognitive Threat Analytics maschinelles Lernen zum Einsatz. So können neue Bedrohungen selbständig erkannt und der Schutz laufend optimiert werden.
gloBal govErnmEnt affairsCisco engagiert sich auf verschiedenen Regierungsebenen für die Gestaltung von wachstums- und innovationsfreundlichen Regelwerken, die Wirtschaft, Politik und Zivilgesellschaft voranbringen. Im engen Austausch mit Interessenvertretern und Branchengruppen
ist Cisco dabei auf globaler und nationaler ebenso wie auf regionaler Ebene tätig. Das Team von Global Government Affairs vereint die umfangreiche Erfahrung von ehemaligen Mandatsträgern, Parlamentariern, Behördenvorständen, Beamten der US-Regierung und anderen Experten für wirtschafts- und gesellschaftspolitische Belange, die auf ein gemeinsames Ziel hinarbeiten: Die Förderung von Wohlstand durch die sichere Nutzung von Technologie.
intEllishiEld tEam Das IntelliShield Team analysiert das Gefahrenpotenzial von Sicherheitslücken und korreliert seine Ergebnisse mit Daten der Cisco Security Research & Operations und von externen Quellen. Diese Informationen integriert das Team im IntelliShield Security Intelligence Service, der in zahlreichen Produkten und Services von Cisco zum Einsatz kommt.
lancopELancope, ein Cisco Unternehmen, bietet führende Netzwerk- und Security-Intelligence zum Schutz vor den komplexen Bedrohungen von heute. Das Lancope StealthWatch® System untersucht NetFlow, IPFIX und andere Arten von Netzwerk-Telemetrie anhand kontextbezogener Sicherheitsanalysen, mit deren Hilfe APTs und DDoS-Angriffe ebenso wie Zero-Day-Malware und Insider-Bedrohungen schnell und zuverlässig erkannt werden können. Durch die Überwachung lateraler Bewegungen von Benutzern, Geräten und Anwendungen ermöglicht Lancope dabei eine schnelle Reaktion auf Vorfälle, liefert präzise Forensik und reduziert die Risiken für Unternehmen.
opEndnsOpenDNS, ein Cisco Unternehmen, ist die umfangreichste Cloud-basierte Sicherheitsplattform der Welt – 65 Millionen Benutzer aus mehr als 160 Ländern nutzen jeden Tag den Dienst. Das Team der OpenDNS Labs verwaltet die Plattform. Weitere Informationen finden Sie unter www.opendns.com oder https://labs.opendns.com.
67
Über CiscoCisco 2016 Annual Security Report
sEcurity and trust organiZationDie Security and Trust Organization zeichnet für den Schutz der Kunden von Cisco aus dem öffentlichen und privaten Sektor verantwortlich. Der Fokus liegt dabei nicht nur auf der konsistenten Anwendung der Grundsätze der Cisco Secure Development Lifecycle and Trustworthy Systems über das gesamte Cisco Produkt- und Serviceportfolio hinweg, sondern auch auf dem Schutz von Cisco vor den komplexen Bedrohungen von heute. Sicherheit und Vertrauen schließen bei Cisco Menschen und Richtlinien ebenso wie Prozesse und Technologien ein. Denn erst auf dieser Basis können Informationssicherheit, vertrauenswürdige Technik, Datenschutz und Privatsphäre, Cloud-Sicherheit, Transparenz und Nachvollziehbarkeit sowie Zuverlässigkeit gegenüber Kunden umfassend sichergestellt werden. Weitere Informationen finden Sie unter http://trust.cisco.com.
sEcurity rEsEarch and opErations (sr&o)Die Security Research & Operations (SR&O) zeichnen für das Bedrohungs-und Schwachstellenmanagement der Produkte und Services von Cisco verantwortlich und koordinieren die Aktivitäten des branchenführenden Product Security Incident Response Team (PSIRT). Auf Veranstaltungen wie Cisco Live und Black Hat bieten die SR&O in Zusammenarbeit mit Cisco Partnern und anderen Branchenvertretern eine Anlaufstelle bei Fragen bezüglich aktueller Entwicklungen in der Bedrohungslandschaft. Daneben sind die SR&O an der Entwicklung und Bereitstellung von innovativen Services wie Cisco Custom Threat Intelligence (CTI) beteiligt, mit der Indicators-of-Compromise erkannt werden können, die anderen Sicherheitsinfrastrukturen entgangen sind.
Mitwirkender Cisco PartnerlEvEl 3 thrEat rEsEarch laBsLevel 3 Communications mit Sitz in Broomfield, Colorado, ist ein führender Anbieter von Kommunikationsdienstleistungen für Unternehmen, öffentliche Auftraggeber und Netzbetreiber. Das umfangreiche Glasfasernetz des Unternehmens verbindet drei Kontinente über unterseeische Leitungen, die stadtbezogene und Langstreckenservices für mehr als 500 Märkte in über 60 Ländern ermöglichen. Diese enorme Reichweite bietet Level 3 einen umfassenden Einblick in die weltweite Bedrohungslandschaft.
Die Experten der Threat Research Labs von Level 3 korrelieren diese umfangreichen Informationen mit internen und externen Quellen und sorgen so für einen besseren Schutz seiner Kunden, seines Netzwerks und dem öffentlichen Internet. Auf regelmäßiger Basis arbeitet das Team zudem mit Cisco Talos und anderen führenden Vertretern der Security-Branche zusammen, um Bedrohungen zu untersuchen und abzuwehren.
6868
BranchentrendsCisco 2016 Annual Security Report
Anhang
69
AnhangCisco 2016 Annual Security Report
Anhang
Figure X. Respondent Pro�les
Teilnehmerpro�l
Quelle: Cisco Security Capabilities Benchmark Study 2015
Festlegen einer übergreifenden Vision und Strategie 75%
76%Abschließende Empfehlungen zur Markenauswahl beim Lösungskauf
Recherche und Auswertung von Lösungen 75%
Implementierung und Verwaltung von Lösungen 73%
De�nition von Anforderungen 71%
Genehmigung von Budgets 57%
83%
81%
78%
79%
76%
66%
Einbindung in Sicherheitsprozesse 2014 2015
20152014 (n=1738) (n=2432)
Gesundheit
Fertigung (nichtComputer-bezogen)
Versorgung
Finanzsektor: Bankenund Versicherungen
Bergbau
Behörden/Verwaltung
Pharma
Telekommunikation
Land- und Forstwirtschaft/Fischerei
Industriechemie
Sonstige
Transport- und Verkehrswesen
54%Mittelstand
K/AGroßunternehmen
46%
Mittlere bis großeUnternehmen
49% 13%38%
CSO vs. SecOps Unternehmensgröße
46%56%
2014
55%45%
2015
CSO SecOps 20152014
6% 4%
14% 15%
7%
15%
1%
9%12%
3%
6% 8%
2% 1%
7%
21%27%
8%14%
3%3% 3%
5% 5%
abbildung 71: Teilnehmerprofil
Cisco Security Capabilities Benchmark Study 2015: Teilnehmerprofil und Ressourcen
70
AnhangCisco 2016 Annual Security Report
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X.Although only 9% have a security budget that’s separate from the IT budget, this hasincreased signi�cantly since 2014
Wird Security als von der IT separater Posten budgetiert? (Mitarbeiter der IT-Abteilung)
2014 (n=1720) 2015 (n=2412)
Nur überIT-Budget
Teilweise überIT-Budget
Separater Posten
Nur überIT-Budget
Teilweise überIT-Budget
Separater Posten
61%33%
6%
58%33%
9%
abbildung 72: Nur 9% budgetieren Security als einen vom IT-Budget separaten Posten – gegenüber 2014 aber dennoch eine deutliche Erhöhung
abbildung 73: Positionen: Teilnehmer und deren Vorgesetzte
Figure X. Job Titles: Respondents and Their Managers
Mitarbeiter der IT-Abteilung
98%97% vs.20152014
Chief Security O�cer 22% Chief Executive O�cer 34%
Chief Technology O�cer 18% Geschäftsführer/Inhaber 18%
IT-Leitung 16% Chief Security O�cer 16%
Chief Information O�cer 13% Chief Information O�cer 6%Leitung des Fachbereichs Sicherheit 7% Chief Technology O�cer 6%
VP IT-Sicherheit 5% IT-Leitung 4%
Risiko- und Compliance-Beauftragter 4% VP IT-Sicherheit 4%
Security Operations Manager 4% VP IT 2%
Security-Architect 4% Vorstand 2%
VP IT 3% Chief Operations O�cer 1%
Chief Operations O�cer 3% Chief Financial O�cer 1%
Andere Position 2% Andere Position 0%
Position Position des Vorgesetzten
Mit Sicherheit betraute(s) Abteilung/Team
Mitarbeiter eines Sicherheitsteams
2014 2015(n=1738) (n=2432)
2014 2015(n=1706) (n=2382)
98% 98%
97% 94%
Quelle: Cisco Security Capabilities Benchmark Study 2015
71
AnhangCisco 2016 Annual Security Report
Quelle: Cisco Security Capabilities Benchmark Study 2015
Maßnahmen zur Bedrohungsabwehr
In der Cloud verwaltet (Befragte, die Bedrohungsabwehr einsetzen)
2014 (n=1738) 2014 (n=1646) 2015 (n=2268)2015 (n=2432)
Netzwerk, Sicherheit, Firewalls und Intrusion-Prevention* 60% N/A 35%
Keine der Genannten 1% 1% 11%13%
E-Mail-/Messaging-Sicherheit 56% 52% 37% 34%
Verschlüsselung/Datensicherheit 53% 53%
Data-Loss-Prevention 55% 56%
Authenti�zierung 52% 53%
Firewall* – 65% 31%
Intrusion-Prevention* – 44% 20%
Identity-Administration/User-Provisioning 45% 45%
Zugangskontrolle/Autorisierung 53% 48%
Endpunktsicherheit/Malwareschutz 49% 49% 25% 25%
Websicherheit 59% 51% 37% 31%
Security Information and Event Management 43% 38%
VPN 48% 40% 26% 21%
Schwachstellenscans 48% 41% 25% 21%
Sicherer Wireless-Zugri� 50% 41% 26% 19%
Mobile Sicherheit 51% 44% 28% 24%
Endpunktforensik 31% 26%
Netzwerkforensik 42% 31%
Patching- und Kon�gurationsmanagement 39% 32%
Penetrationstests 38% 34% 20% 17%
DDoS-Abwehr 36% 37%
*Netzwerksicherheit, Firewalls und Intrusion-Prevention**Firewall und Intrusion-Prevention waren 2014 zusammengefasst:
Figure X. Firewalls and Data Loss Prevention Are Most Commonly Used Security Tools
abbildung 74: Firewalls sind die am häufigsten eingesetzten Sicherheitstools; Cloud-basierte Services sind 2015 weniger populär als im Jahr 2014
72
AnhangCisco 2016 Annual Security Report
Outsourcing
Figure X. Advice and consulting still top most security services outsourced
Vorbereitung auf Zerti�zierung
Zerti�zierungsverfahren im Gange
63% Industriechemie58% Fertigung (nicht Computer-bezogen)57% Transport46% Land- und Forstwirtschaft/Fischerei44% Pharma36% Bergbau
70% Finanzsektor70% Telekommunikation67% Gesundheit65% Behörden64% Versorgung63% Andere Branche
Zerti�zierung bereits erworben
63%31%
7%
Outsourcing von Sicherheitsaudits und Incident-Response nimmt deutlich zu – Services gelten als kostene�zienter.
Etwa die Hälfte (52%) legt Sicherheitsstandards wie ISO 27001 (wie auch im Vorjahr) zugrunde. Die überwiegende Mehrheit davon ist bereits zerti�ziert oder auf dem Weg dorthin.
Orientierung an SicherheitsstandardsUnternehmen legt Sicherheitsstandards zugrunde (2015: n=1265)
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 75: Outsourcing von Beratungsleistungen nach wie vor am weitesten verbreitet
Figure X.
audits and advice and consulting
10%40%44%56%55%
11%42%46%54%
14%46%45%49%
Quelle: Cisco Security Capabilities Benchmark Study 2015
Beratung Audits ÜberwachungIncident-Response
Threat-Intelligence Behebung
Keine/Alle intern
44%
42%
41%
42%
36%
36%
37%
36%
Outsourcing von Security-Bereichen
Mittelstand (n=1189)
Mittlere bis große Unter-nehmen (n=924)
Großunter-nehmen (n=319)
abbildung 76: Outsourcing-Dienste nach Unternehmensgröße: Sicherheitsaudits und Beratungsleistungen insbesondere bei Großunternehmen verbreitet
73
AnhangCisco 2016 Annual Security Report
abbildung 77: Outsourcing-Dienste im Landesvergleich: Beratungsleistungen insbesondere in Japan verbreitet
Figure X.
Outsourcing von Security-Bereichen
52% 52%
50%
48%
46%
42%
34%
18%
47%
44%
42%
39%
36%
12%
GESAMT USA
51%
55%
49%
39%
40%
32%
9%
Brasilien
49%
38%
32%
32%
37%
38%
18%
Deutschland
51%
48%
39%
38%
46%
34%
13%
Italien
44%
50%
41%
43%
36%
31%
19%
Großbri-tannien
54%
36%
52%
53%
16%
47%
4%
Australien
52%
33%
31%
34%
36%
37%
19%
China
54%
51%
51%
49%
48%
41%
12%
Indien
58%
63%
49%
45%
44%
21%
3%
Mexiko
41%
40%
37%
27%
42%
41%
16%
Russland
55%
59%
50%
54%
39%
41%
4%
Frankreich
64%
41%
51%
53%
47%
40%
10%
Japan
Quelle: Cisco Security Capabilities Benchmark Study 2015
Beratung
Audits
Überwachung
Incident-Response
Threat-Intelligence
Behebung
Keine/Alle intern
abbildung 78: Hosting am Standort noch die Regel, jedoch Zunahme bei externem Hosting gegenüber Vorjahr
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X.On-premise hosting of the organization’s networks is still the most common; however,
Hosting von Netzwerken
Am Standort
20152014 (n=1727) (n=2417)
50%
Mit Private-Cloud
51%54%
Komplett am Standort
48%
23%
Von Dienstleister verwaltet
24% 18%
Private-Cloud
20%8%
Public-Cloud
10%
Extern
74
AnhangCisco 2016 Annual Security Report
Öffentliches Aufsehen durch Sicherheitsvorfall
Quelle: Cisco Security Capabilities Benchmark Study 2015
2015 gelangten im Vergleich zum Vorjahr weniger Sicherheitsvorfällean die Ö entlichkeit.
Sicherheitsvorfälle bewirken Verbesserungen der Sicherheitsvorkehrungen:
Figure X.Fewer organizations in 2015 report having had to manage public scrutiny of security breaches,compared to 2014
Umfangreichere Schulungsprogramme zum Thema Sicherheit
43%
Erhöhung der Investitionen in Sicherheitstechnologien
Intensivierung von Schulungsmaßnahmen zum Thema Sicherheit
42%
Einführung formeller Regelwerke zu Sicherheitsrichtlinien und -verfahren41%
Verstärker Fokus auf Einhaltung von Datensicherheitsvorschriften
Umfangreichere Schulung von Sicherheitsteams
40%
40%
Bei 41 Prozent wurden daraufhin formelle Regelwerke zu Sicherheitsrichtlinien und -verfahren eingeführt.
41%
43%
43 Prozent der im Jahr 2015 Befragten intensivierten ihre Schulungsmaßnahmen nach einer ö entlich gewordenen Sicherheitsverletzung.
48%53% vs.20152014
5 häu�gste Antworten der einem Vorfall Betro enen (2015 n=1109)
Quelle: Cisco Security Capabilities Benchmark Study 2015
2015 gelangten im Vergleich zum Vorjahr weniger Sicherheitsvorfällean die Ö entlichkeit.
Sicherheitsvorfälle bewirken Verbesserungen der Sicherheitsvorkehrungen:
Figure X.Fewer organizations in 2015 report having had to manage public scrutiny of security breaches,compared to 2014
Umfangreichere Schulungsprogramme zum Thema Sicherheit
43%
Erhöhung der Investitionen in Sicherheitstechnologien
Intensivierung von Schulungsmaßnahmen zum Thema Sicherheit
42%
Einführung formeller Regelwerke zu Sicherheitsrichtlinien und -verfahren41%
Verstärker Fokus auf Einhaltung von Datensicherheitsvorschriften
Umfangreichere Schulung von Sicherheitsteams
40%
40%
Bei 41 Prozent wurden daraufhin formelle Regelwerke zu Sicherheitsrichtlinien und -verfahren eingeführt.
41%
43%
43 Prozent der im Jahr 2015 Befragten intensivierten ihre Schulungsmaßnahmen nach einer ö entlich gewordenen Sicherheitsverletzung.
48%53% vs.20152014
5 häu�gste Antworten der einem Vorfall Betro enen (2015 n=1109)
abbildung 79: 2015 gelangten weniger Sicherheitsvorfälle an die Öffentlichkeit
CSO sehen nach Sicherheitsvorfällen umfangreichere Verbesserungen als SecOps-Manager.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Inwieweit reagierte Ihr Unternehmen auf diesen Vorfall mit Verbesserungen bei Sicherheitsrichtlinien, -verfahren oder -technologien? (n=1134)
Überhaupt nicht Kaum Etwas Umfangreich
10%1% 42% 47%
Has Your Organization Ever Had to Manage Public Scrutiny of a Security Breach?abbildung 80: Öffentlich gewordene Vorfälle bewirken häufig eine Stärkung der Sicherheitsvorkehrungen
75
AnhangCisco 2016 Annual Security Report
Sicherheitsbewusstsein auf Führungsebene und Reifegrad von SicherheitsprozessenFigure X. 5-segment model tracks closely to Security Capability Maturity Model (CMM)
Die Reifegrade bezüglich des Sicherheitsbewusstseins und der daraus resultierenden Prozesse und Verfahren sind ähnlich verteilt wie im Vorjahr.
2014 (n=1637)
2015 (n=2401)
Niedrig Oberes Mittelfeld HochUnteres
Mittelfeld Mittelfeld
Segmentgröße28%2% 9% 36%25%
26%4% 8% 39%23%
Quelle: Cisco Security Capabilities Benchmark Study 2015
einzuordnen. Dies gilt sowohl im Landes- als auch im Branchenvergleich für den Großteil der Teilnehmer.
60% oder mehr sind in den oberen bzw. obersten Segmenten
abbildung 81: 5-Segment-Modell weitestgehend orientiert an Capability Maturity Model Integration (CMMI)
Figure X.As in 2014, nearly all agree or strongly agree that executive leadership considers security a high priority
In der Pharmaindustrie wird die E�ektivität des Sicherheitsprogramms deutlich häu ger auf Grundlage eindeutiger Kennzahlen gemessen als in anderen Branchen.
CSO sind in Sachen Sicherheit weitaus mehr vom Engagement der Führungsebene überzeugt als SecOps-Manager.
Aufgaben und Zuständigkeiten im Bereich Sicherheit sind im Führungsteam klar de niert
Cybersicherheit �ießt standardmäßig in die allgemeine Risikobewertung ein
Führungsteam hat für die Messung der E�ektivität des Sicherheitsprogramms eindeutige Kennzahlen festgelegt
Sicherheit hat auf Führungsebene eine hohe Priorität
93
532 6 402014n=1738
94
531 5 41
2015n=2432
93
572 4 362014n=1738
95
551 4 40
2015n=2432
94
582 5 352014n=1738
95
581 4 36
2015n=2432
94
632 4 322014n=1738
94
611 4 35
2015n=2432
Sicherheitsrichtlinien Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu
Quelle: Cisco Security Capabilities Benchmark Study 2015
abbildung 82: Wie bereits im Jahr 2014 hat Sicherheit im Allgemeinen eine hohe Priorität auf Führungsebene
76
AnhangCisco 2016 Annual Security Report
Prozesse
Quelle: Cisco Security Capabilities Benchmark Study 2015
Geistiges Eigentum wird inventarisiert und deutlich klassi�ziert
93
542 6 39
95
531 5 42
2015n=2432
2014n=1738
Sicherheitsverfahren in Bezug auf die IT-Nutzung durch Mitarbeiter greifen optimal
93
532 5 40
95
511 5 44
2015n=2432
2014n=1738
Verfahren für die Systembescha�ung, -entwicklung und -wartung werden durch angemessene Sicherheitsrichtlinien geschützt
94
562 4 38
97
561 2 41
2015n=2432
2014n=1738
Sicherheit ist auf System- und Anwendungsebene gut integriert
93
582 5 35
96
541 4 42
2015n=2432
2014n=1738
Technische Sicherheitskontrollen in Systemen und Netzwerken werden angemessen verwaltet
95
602 3 35
95
570 4 38
2015n=2432
2014n=1738
Computersysteme des Unternehmens sind angemessen geschützt
93
572 4 36
96
561 4 40
2015n=2432
2014n=1738
Sicherheitsvorkehrungen und -tools werden regelmäßig auf ihre E�ektivität geprüft und ggf. aktualisiert
94
592 5 35
97
601 3 37
2015n=2432
2014n=1738
Die Einhaltung von Zugri�srechten auf Netzwerke, Systeme, Anwendungen, Funktionen und Daten wird angemessen überwacht
94
612 4 33
97
591 3 38
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsrichtlinien
Fewer in 2015 Strongly Agree that They Do a Good Job Building Security Into Systems and Applications
Quelle: Cisco Security Capabilities Benchmark Study 2015
Geistiges Eigentum wird inventarisiert und deutlich klassi�ziert
93
542 6 39
95
531 5 42
2015n=2432
2014n=1738
Sicherheitsverfahren in Bezug auf die IT-Nutzung durch Mitarbeiter greifen optimal
93
532 5 40
95
511 5 44
2015n=2432
2014n=1738
Verfahren für die Systembescha�ung, -entwicklung und -wartung werden durch angemessene Sicherheitsrichtlinien geschützt
94
562 4 38
97
561 2 41
2015n=2432
2014n=1738
Sicherheit ist auf System- und Anwendungsebene gut integriert
93
582 5 35
96
541 4 42
2015n=2432
2014n=1738
Technische Sicherheitskontrollen in Systemen und Netzwerken werden angemessen verwaltet
95
602 3 35
95
570 4 38
2015n=2432
2014n=1738
Computersysteme des Unternehmens sind angemessen geschützt
93
572 4 36
96
561 4 40
2015n=2432
2014n=1738
Sicherheitsvorkehrungen und -tools werden regelmäßig auf ihre E�ektivität geprüft und ggf. aktualisiert
94
592 5 35
97
601 3 37
2015n=2432
2014n=1738
Die Einhaltung von Zugri�srechten auf Netzwerke, Systeme, Anwendungen, Funktionen und Daten wird angemessen überwacht
94
612 4 33
97
591 3 38
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsrichtlinien
Fewer in 2015 Strongly Agree that They Do a Good Job Building Security Into Systems and Applicationsabbildung 83: Gemischtes Bild beim Vertrauen in Maßnahmen zur Integration von Sicherheit auf Systemebene
77
AnhangCisco 2016 Annual Security Report
abbildung 83: Gemischtes Bild beim Vertrauen in Maßnahmen zur Integration von Sicherheit auf Systemebene (Fortsetzung)
Quelle: Cisco Security Capabilities Benchmark Study 2015
Geistiges Eigentum wird inventarisiert und deutlich klassi�ziert
93
542 6 39
95
531 5 42
2015n=2432
2014n=1738
Sicherheitsverfahren in Bezug auf die IT-Nutzung durch Mitarbeiter greifen optimal
93
532 5 40
95
511 5 44
2015n=2432
2014n=1738
Verfahren für die Systembescha�ung, -entwicklung und -wartung werden durch angemessene Sicherheitsrichtlinien geschützt
94
562 4 38
97
561 2 41
2015n=2432
2014n=1738
Sicherheit ist auf System- und Anwendungsebene gut integriert
93
582 5 35
96
541 4 42
2015n=2432
2014n=1738
Technische Sicherheitskontrollen in Systemen und Netzwerken werden angemessen verwaltet
95
602 3 35
95
570 4 38
2015n=2432
2014n=1738
Computersysteme des Unternehmens sind angemessen geschützt
93
572 4 36
96
561 4 40
2015n=2432
2014n=1738
Sicherheitsvorkehrungen und -tools werden regelmäßig auf ihre E�ektivität geprüft und ggf. aktualisiert
94
592 5 35
97
601 3 37
2015n=2432
2014n=1738
Die Einhaltung von Zugri�srechten auf Netzwerke, Systeme, Anwendungen, Funktionen und Daten wird angemessen überwacht
94
612 4 33
97
591 3 38
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsrichtlinien
Fewer in 2015 Strongly Agree that They Do a Good Job Building Security Into Systems and Applications
Quelle: Cisco Security Capabilities Benchmark Study 2015
Geistiges Eigentum wird inventarisiert und deutlich klassi�ziert
93
542 6 39
95
531 5 42
2015n=2432
2014n=1738
Sicherheitsverfahren in Bezug auf die IT-Nutzung durch Mitarbeiter greifen optimal
93
532 5 40
95
511 5 44
2015n=2432
2014n=1738
Verfahren für die Systembescha�ung, -entwicklung und -wartung werden durch angemessene Sicherheitsrichtlinien geschützt
94
562 4 38
97
561 2 41
2015n=2432
2014n=1738
Sicherheit ist auf System- und Anwendungsebene gut integriert
93
582 5 35
96
541 4 42
2015n=2432
2014n=1738
Technische Sicherheitskontrollen in Systemen und Netzwerken werden angemessen verwaltet
95
602 3 35
95
570 4 38
2015n=2432
2014n=1738
Computersysteme des Unternehmens sind angemessen geschützt
93
572 4 36
96
561 4 40
2015n=2432
2014n=1738
Sicherheitsvorkehrungen und -tools werden regelmäßig auf ihre E�ektivität geprüft und ggf. aktualisiert
94
592 5 35
97
601 3 37
2015n=2432
2014n=1738
Die Einhaltung von Zugri�srechten auf Netzwerke, Systeme, Anwendungen, Funktionen und Daten wird angemessen überwacht
94
612 4 33
97
591 3 38
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsrichtlinien
Fewer in 2015 Strongly Agree that They Do a Good Job Building Security Into Systems and Applications
Mit Ausnahme der Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfälle sind CSO insgesamt stärker von ihren Sicherheitskontrollen überzeugt als SecOps-Manager.
Unternehmen aus dem Finanzsektor bewerten ihre Systeme zur Kategorisierung von Informationen zu Vorfällen tendenziell besser als die Vertreter der meisten anderen Branchen.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. Enterprises Believe They Have Good Security Controls
Prozesse und Verfahren zur Reaktion auf und Nachverfolgung von Vorfällen sind klar de�niert und gut dokumentiert
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu
93
562 5 37
95
541 5 41
2015n=2432
2014n=1738
Eingesetzte Systeme können zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist
92
541 6 38
95
541 5 41
2015n=2432
2014n=1738
Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfällen sind e�ektiv
94
512 5 43
95
531 4 42
2015n=2432
2014n=1738
Kategorisierung von Informationen zu Vorfällen erfolgt über ein leistungsfähiges System
94
542 5 40
96
531 4 43
2015n=2432
2014n=1738
Prozesse zur Auswertung und Priorisierung von Vorfällen sowie zu deren Analyse sind e�ektiv
93
512 5 42
95
521 5 43
2015n=2432
2014n=1738
Incident-Response erfolgt auf Grundlage von Standards wie FC2350, ISO/IEC 27035:2011 oder einer U.S.-Zerti�zierung
90
492 8 41
93
491 6 44
2015n=2432
2014n=1738
Sicherheitskontrollen
Most Say They are Comfortable With Their Security Controls
Mit Ausnahme der Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfälle sind CSO insgesamt stärker von ihren Sicherheitskontrollen überzeugt als SecOps-Manager.
Unternehmen aus dem Finanzsektor bewerten ihre Systeme zur Kategorisierung von Informationen zu Vorfällen tendenziell besser als die Vertreter der meisten anderen Branchen.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. Enterprises Believe They Have Good Security Controls
Prozesse und Verfahren zur Reaktion auf und Nachverfolgung von Vorfällen sind klar de�niert und gut dokumentiert
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu
93
562 5 37
95
541 5 41
2015n=2432
2014n=1738
Eingesetzte Systeme können zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist
92
541 6 38
95
541 5 41
2015n=2432
2014n=1738
Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfällen sind e�ektiv
94
512 5 43
95
531 4 42
2015n=2432
2014n=1738
Kategorisierung von Informationen zu Vorfällen erfolgt über ein leistungsfähiges System
94
542 5 40
96
531 4 43
2015n=2432
2014n=1738
Prozesse zur Auswertung und Priorisierung von Vorfällen sowie zu deren Analyse sind e�ektiv
93
512 5 42
95
521 5 43
2015n=2432
2014n=1738
Incident-Response erfolgt auf Grundlage von Standards wie FC2350, ISO/IEC 27035:2011 oder einer U.S.-Zerti�zierung
90
492 8 41
93
491 6 44
2015n=2432
2014n=1738
Sicherheitskontrollen
Most Say They are Comfortable With Their Security Controls
abbildung 84: Vertrauen in Sicherheitskontrollen
78
AnhangCisco 2016 Annual Security Report
Mit Ausnahme der Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfälle sind CSO insgesamt stärker von ihren Sicherheitskontrollen überzeugt als SecOps-Manager.
Unternehmen aus dem Finanzsektor bewerten ihre Systeme zur Kategorisierung von Informationen zu Vorfällen tendenziell besser als die Vertreter der meisten anderen Branchen.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. Enterprises Believe They Have Good Security Controls
Prozesse und Verfahren zur Reaktion auf und Nachverfolgung von Vorfällen sind klar de�niert und gut dokumentiert
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu
93
562 5 37
95
541 5 41
2015n=2432
2014n=1738
Eingesetzte Systeme können zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist
92
541 6 38
95
541 5 41
2015n=2432
2014n=1738
Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfällen sind e�ektiv
94
512 5 43
95
531 4 42
2015n=2432
2014n=1738
Kategorisierung von Informationen zu Vorfällen erfolgt über ein leistungsfähiges System
94
542 5 40
96
531 4 43
2015n=2432
2014n=1738
Prozesse zur Auswertung und Priorisierung von Vorfällen sowie zu deren Analyse sind e�ektiv
93
512 5 42
95
521 5 43
2015n=2432
2014n=1738
Incident-Response erfolgt auf Grundlage von Standards wie FC2350, ISO/IEC 27035:2011 oder einer U.S.-Zerti�zierung
90
492 8 41
93
491 6 44
2015n=2432
2014n=1738
Sicherheitskontrollen
Most Say They are Comfortable With Their Security Controls
Mit Ausnahme der Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfälle sind CSO insgesamt stärker von ihren Sicherheitskontrollen überzeugt als SecOps-Manager.
Unternehmen aus dem Finanzsektor bewerten ihre Systeme zur Kategorisierung von Informationen zu Vorfällen tendenziell besser als die Vertreter der meisten anderen Branchen.
Quelle: Cisco Security Capabilities Benchmark Study 2015
Figure X. Enterprises Believe They Have Good Security Controls
Prozesse und Verfahren zur Reaktion auf und Nachverfolgung von Vorfällen sind klar de�niert und gut dokumentiert
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu
93
562 5 37
95
541 5 41
2015n=2432
2014n=1738
Eingesetzte Systeme können zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist
92
541 6 38
95
541 5 41
2015n=2432
2014n=1738
Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfällen sind e�ektiv
94
512 5 43
95
531 4 42
2015n=2432
2014n=1738
Kategorisierung von Informationen zu Vorfällen erfolgt über ein leistungsfähiges System
94
542 5 40
96
531 4 43
2015n=2432
2014n=1738
Prozesse zur Auswertung und Priorisierung von Vorfällen sowie zu deren Analyse sind e�ektiv
93
512 5 42
95
521 5 43
2015n=2432
2014n=1738
Incident-Response erfolgt auf Grundlage von Standards wie FC2350, ISO/IEC 27035:2011 oder einer U.S.-Zerti�zierung
90
492 8 41
93
491 6 44
2015n=2432
2014n=1738
Sicherheitskontrollen
Most Say They are Comfortable With Their Security Controlsabbildung 84: Vertrauen in Sicherheitskontrollen (Fortsetzung)
abbildung 85: Quarantäne/Entfernen von schädlichen Anwendungen und Ursachenanalysen weiterhin am weitesten verbreitet
Figure X.Quarantine/removal of malicious applications and root cause analysis continue to be the top processes used
Verfahren zur Ursachenbeseitigung nach Sicherheitsvorfällen
97% 94%
Source: Cisco 2015 Security Capabilities Benchmark Study
Im Vergleich zu den meisten anderen Ländern bestehen bei deutlich mehr Befragten aus den USA keinerlei Verfahren zur Ursachenbeseitigung nach Vorfällen.
52% 48%Ausgedehntere Überwachung
58% 55%Quarantäne/Entfernen von schädlichen Anwendungen
53% 53%Unterbinden der Kommunikation von bösartiger Software
55% 55%Ursachenanalyse
45% 41%Systemwiederherstellung
48% 47%Unterbinden der Kommunikation von kompromittierten Anwendungen
47% 40%Entwicklung langfristiger Lösungen
2% 1%Keine der Genannten
20152014 (n=1738) (n=2432)
51% 47%Anpassung von Richtlinien
USA
Sicherheitsvorfälle
79
AnhangCisco 2016 Annual Security Report
Figure X. Enterprises Lack Con�dence in Ability to Contain Compromises
Quelle: Cisco Security Capabilities Benchmark Study 2015
Zur Prüfung von Sicherheitsverfahren und zur Meldung der Ergebnisse stehen entsprechende Tools zur Verfügung
93
531 5 40
96
521 4 44
2015n=2432
2014n=1738
Sicherheitstechnologien sind gut miteinander integriert und arbeiten e�ektiv zusammen
94
562 5 38
95
521 4 43
2015n=2432
2014n=1738
Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden
89
462 9 43
91
451 8 46
2015n=2432
2014n=1738
Systeme zur Erkennung und Blockierung von Angri�en sind stets auf dem neuesten Stand
94
571 5 37
96
561 3 40
2015n=2432
2014n=1738
Sicherheit ist gut in Unternehmensziele und Geschäftsprozesse integriert
94
582 5 36
96
561 4 40
2015n=2432
2014n=1738
Jeder Sicherheitsvorfall wird systematisch untersucht
93
552 5 38
96
561 4 40
2015n=2432
2014n=1738
Sicherheitskontrollen für kritische Ressourcen können bei Bedarf erhöht werden
94
541 5 40
97
561 3 41
2015n=2432
2014n=1738
E�ektivität von Sicherheitsmaßnahmen wird regelmäßig anhand der Verbindungsaktivität im Netzwerk geprüft
94
582 4 36
96
571 3 39
2015n=2432
2014n=1738
Sicherheitsverfahren werden regelmäßig unter formellen und strategischen Gesichtspunkten geprüft
94
561 4 38
96
561 4 40
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsimplementierung
However, Companies Continue to Lack Con�dence in Their Abilities to Scope and Contain Compromises
Figure X. Enterprises Lack Con�dence in Ability to Contain Compromises
Quelle: Cisco Security Capabilities Benchmark Study 2015
Zur Prüfung von Sicherheitsverfahren und zur Meldung der Ergebnisse stehen entsprechende Tools zur Verfügung
93
531 5 40
96
521 4 44
2015n=2432
2014n=1738
Sicherheitstechnologien sind gut miteinander integriert und arbeiten e�ektiv zusammen
94
562 5 38
95
521 4 43
2015n=2432
2014n=1738
Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden
89
462 9 43
91
451 8 46
2015n=2432
2014n=1738
Systeme zur Erkennung und Blockierung von Angri�en sind stets auf dem neuesten Stand
94
571 5 37
96
561 3 40
2015n=2432
2014n=1738
Sicherheit ist gut in Unternehmensziele und Geschäftsprozesse integriert
94
582 5 36
96
561 4 40
2015n=2432
2014n=1738
Jeder Sicherheitsvorfall wird systematisch untersucht
93
552 5 38
96
561 4 40
2015n=2432
2014n=1738
Sicherheitskontrollen für kritische Ressourcen können bei Bedarf erhöht werden
94
541 5 40
97
561 3 41
2015n=2432
2014n=1738
E�ektivität von Sicherheitsmaßnahmen wird regelmäßig anhand der Verbindungsaktivität im Netzwerk geprüft
94
582 4 36
96
571 3 39
2015n=2432
2014n=1738
Sicherheitsverfahren werden regelmäßig unter formellen und strategischen Gesichtspunkten geprüft
94
561 4 38
96
561 4 40
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsimplementierung
However, Companies Continue to Lack Con�dence in Their Abilities to Scope and Contain Compromisesabbildung 86: Vertrauen in Fähigkeiten zur Eindämmung von Vorfällen zeigt gemischtes Bild
80
AnhangCisco 2016 Annual Security Report
abbildung 86: Vertrauen in Fähigkeiten zur Eindämmung von Vorfällen zeigt gemischtes Bild (Fortsetzung)
Figure X. Enterprises Lack Con�dence in Ability to Contain Compromises
Quelle: Cisco Security Capabilities Benchmark Study 2015
Zur Prüfung von Sicherheitsverfahren und zur Meldung der Ergebnisse stehen entsprechende Tools zur Verfügung
93
531 5 40
96
521 4 44
2015n=2432
2014n=1738
Sicherheitstechnologien sind gut miteinander integriert und arbeiten e�ektiv zusammen
94
562 5 38
95
521 4 43
2015n=2432
2014n=1738
Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden
89
462 9 43
91
451 8 46
2015n=2432
2014n=1738
Systeme zur Erkennung und Blockierung von Angri�en sind stets auf dem neuesten Stand
94
571 5 37
96
561 3 40
2015n=2432
2014n=1738
Sicherheit ist gut in Unternehmensziele und Geschäftsprozesse integriert
94
582 5 36
96
561 4 40
2015n=2432
2014n=1738
Jeder Sicherheitsvorfall wird systematisch untersucht
93
552 5 38
96
561 4 40
2015n=2432
2014n=1738
Sicherheitskontrollen für kritische Ressourcen können bei Bedarf erhöht werden
94
541 5 40
97
561 3 41
2015n=2432
2014n=1738
E�ektivität von Sicherheitsmaßnahmen wird regelmäßig anhand der Verbindungsaktivität im Netzwerk geprüft
94
582 4 36
96
571 3 39
2015n=2432
2014n=1738
Sicherheitsverfahren werden regelmäßig unter formellen und strategischen Gesichtspunkten geprüft
94
561 4 38
96
561 4 40
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsimplementierung
However, Companies Continue to Lack Con�dence in Their Abilities to Scope and Contain Compromises
Figure X. Enterprises Lack Con�dence in Ability to Contain Compromises
Quelle: Cisco Security Capabilities Benchmark Study 2015
Zur Prüfung von Sicherheitsverfahren und zur Meldung der Ergebnisse stehen entsprechende Tools zur Verfügung
93
531 5 40
96
521 4 44
2015n=2432
2014n=1738
Sicherheitstechnologien sind gut miteinander integriert und arbeiten e�ektiv zusammen
94
562 5 38
95
521 4 43
2015n=2432
2014n=1738
Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden
89
462 9 43
91
451 8 46
2015n=2432
2014n=1738
Systeme zur Erkennung und Blockierung von Angri�en sind stets auf dem neuesten Stand
94
571 5 37
96
561 3 40
2015n=2432
2014n=1738
Sicherheit ist gut in Unternehmensziele und Geschäftsprozesse integriert
94
582 5 36
96
561 4 40
2015n=2432
2014n=1738
Jeder Sicherheitsvorfall wird systematisch untersucht
93
552 5 38
96
561 4 40
2015n=2432
2014n=1738
Sicherheitskontrollen für kritische Ressourcen können bei Bedarf erhöht werden
94
541 5 40
97
561 3 41
2015n=2432
2014n=1738
E�ektivität von Sicherheitsmaßnahmen wird regelmäßig anhand der Verbindungsaktivität im Netzwerk geprüft
94
582 4 36
96
571 3 39
2015n=2432
2014n=1738
Sicherheitsverfahren werden regelmäßig unter formellen und strategischen Gesichtspunkten geprüft
94
561 4 38
96
561 4 40
2015n=2432
2014n=1738
Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsimplementierung
However, Companies Continue to Lack Con�dence in Their Abilities to Scope and Contain Compromises
abbildung 87: Firewall-Protokolle und Systemprotokollanalyse auch weiterhin am häufigsten eingesetzte Prozesse zur Analyse von kompromittierten Systemen
Mittelstand
Figure X.Firewall logs and system log analysis continue to be the most commonly used processes to analyze compromised systems
Analyse von Systemprotokollen
Firewall-Protokoll
Analyse der Netzwerkstatistik
Analyse der Malware- oder DateiregressionAnalyse der Registry
Full-Packet-Capture-Analyse
Korrelierte Ereignis-/Protokollanalyse
Festplattenforensik
Speicherforensik
IoC-Erkennung
Incident-Response/Analyse durch externe StelleKeine der Genannten 1%
59%
61%
53%
55%
50%
47%
42%
40%
41%
38%
37%
2%
Prozesse zur Analyse kompromittierter Systeme
Quelle: Cisco Security Capabilities Benchmark Study 2015
Größere Unternehmen verwenden tendenziell mehr Prozesse zur Analyse kompromittierter Systeme als der Mittelstand.
2014 2015(n=1738) (n=2432)
Große Unternehmen
53%
57%
49%
48%
47%
38%
37%
36%
34%
35%
33%
81
AnhangCisco 2016 Annual Security Report
abbildung 88: Systemwiederherstellung anhand von Backups auch 2015 am weitesten verbreitet
Figure X.Restoring from a pre-incident backup is the most common process to restore a�ected systems in 2015
57% 59%
60% 56%
60% 55%
56% 51%
35% 35%
2% 1%
Verfahren zur Wiederherstellung betro�ener Systeme
97% 94%
Quelle: Cisco Security Capabilities Benchmark Study 2015
In China werden Patches und Aktualisierungen von potenziell angreifbaren Anwendungen auf breiterer Basis durchgeführt als in anderen Ländern. Implementierung zusätzlicher/neuer
Erkennungsmethoden und Kontrollen nach einem Vorfall als Reaktion auf ermittelte Schwachstellen
Patching und Aktualisierung von angreifbaren Anwendungen
Di�erenzierende Wiederherstellung (Korrigieren der Eingri�e in Systeme)
Systemwiederherstellung anhand von Backups
Gold-Image-Wiederherstellung
Keine der Genannten
2014 2015(n=1738) (n=2432)
ChinaPatch-
Management
Figure X.The CEO or president is most likely to be noti�ed of security incidents, followed by operations and the �nance department
Operations 46% 40%
45%Chief Executive O�cer K/A
K/A
K/A
Finanzabteilung 40%
Technologiepartner 45% 34%
Entwicklung/Technik 38% 33%
Personalabteilung 36% 33%
Rechtsabteilung 36% 32%
Produktion 33% 28%
Public Relations 28% 24%
Alle Mitarbeiter 35% 27%
Geschäftspartner 32% 21%
Externe Stellen 22% 18%
15%Versicherungsgesellschaften
Stellen, die über Vorfälle unterrichtet werden
97% 94%
Quelle: Cisco Security Capabilities Benchmark Study 2015
Deutlich mehr Großunternehmen melden Sicherheitsvorfälle an externe Stellen als mittelständische/mittelgroße Unternehmen.
2014 2015(n=1738) (n=2432)
Großunternehmen
!
abbildung 89: Am häufigsten werden CEO/Geschäftsführer über Sicherheitsvorfälle unterrichtet, gefolgt von Betriebspersonal und Finanzabteilung
82
AnhangCisco 2016 Annual Security Report
Schulungsmaßnahmen
Figure X. Nearly all companies (97%) deliver security training at least once a year
83%96% VS.Kein VorfallVorfall
Quelle: Cisco Security Capabilities Benchmark Study 2015
Sind für das Sicherheitspersonal regelmäßig Schulungs- und Weiterbildungsmaßnahmen vorgesehen? (Befragte mit Zuständigkeit im Bereich Sicherheit)
In welchem Turnus werden Sicherheitsschulungen durchgeführt?(Befragte, bei denen entsprechende Schulungen vorgesehen sind)
96% der Unternehmen, bei denen es zu einem Sicherheitsvorfall kam, halten regelmäßig Sicherheitsschulungen ab, verglichen 83% der Unternehmen, bei denen dies noch nicht der Fall war.
89%
Mittlere bis große Unternehmen
93%Groß-unternehmen
88%Mittelstand
93% der Großunternehmen halten Sicherheitsschulungen ab, verglichen mit 88% der mittelständischen und 89% der mittelgroßen Unternehmen.
2014 (n=1726)
2015 (n=2402)
89% Ja
11% Nein
90% Ja
10% Nein
2015(n=2147)
mehr als zweimal/Jahr≥Einmal/Jahr≤Einmal/2 Jahre<Einmal/2 Jahre
K/A
N/A
3% 39% 58%
97%
2014(n=1560)
1% 17% 82%
(Keine Daten für 2014)
abbildung 90: Bei fast allen Unternehmen (97%) ist mindestens einmal pro Jahr eine Sicherheitsschulung vorgesehen
Quelle: Cisco Security Capabilities Benchmark Study 2015
2015 gelangten im Vergleich zum Vorjahr weniger Sicherheitsvorfällean die Ö entlichkeit.
Sicherheitsvorfälle bewirken Verbesserungen der Sicherheitsvorkehrungen:
Figure X.Fewer organizations in 2015 report having had to manage public scrutiny of security breaches,compared to 2014
Umfangreichere Schulungsprogramme zum Thema Sicherheit
43%
Erhöhung der Investitionen in Sicherheitstechnologien
Intensivierung von Schulungsmaßnahmen zum Thema Sicherheit
42%
Einführung formeller Regelwerke zu Sicherheitsrichtlinien und -verfahren41%
Verstärker Fokus auf Einhaltung von Datensicherheitsvorschriften
Umfangreichere Schulung von Sicherheitsteams
40%
40%
Bei 41 Prozent wurden daraufhin formelle Regelwerke zu Sicherheitsrichtlinien und -verfahren eingeführt.
41%
43%
43 Prozent der im Jahr 2015 Befragten intensivierten ihre Schulungsmaßnahmen nach einer ö entlich gewordenen Sicherheitsverletzung.
48%53% vs.20152014
5 häu�gste Antworten der einem Vorfall Betro enen (2015 n=1109)
abbildung 91: Sicherheitsbewusstsein steigt: Schulungsprogramme und formelle Regelwerke zur Sicherheit weiter verbreitet als im Vorjahr
83
AnhangCisco 2016 Annual Security Report
abbildung 92: Nahezu gleiches Ergebnis wie im Vorjahr: Bei beinahe 90 % nimmt Sicherheitspersonal an Security-Konferenzen oder -Schulungen teil
Figure X.As in 2014, nearly 9 in 10 say their security sta� attend security-focused conferences or training
Nehmen Sicherheitsmitarbeiter an Konferenzen und/oder externen Schulungen teil, um ihre Kenntnisse zu erweitern und zu festigen? (Befragte mit Zuständigkeit im Bereich Sicherheit)
Engagieren sich Mitarbeiter in Branchenverbänden oder Gremien zum Thema Sicherheit? (Befragte mit Zuständigkeit im Bereich Sicherheit)
2014 2015(n=1738) (n=2432)
89%Ja
89%Ja
64%Ja
36%
11% 11%
35% 65%Ja
2014 2015(n=1738) (n=2432)
Quelle: Cisco Security Capabilities Benchmark Study 2015
84
AnhangCisco 2016 Annual Security Report
Security Risk and Trustworthiness Study
Figure X. Background & Methodology
Methodik: Quantitativer und qualitativer Ansatz
Research Background and Objectives
Quelle: Security Risk and Trustworthiness Study, Cisco
Neben den größten Herausforderungen und Risiken, die Unternehmen und Service-Provider in Bezug auf ihre Sicherheit sehen, wurde im Rahmen der Studie die Bedeutung der Vertrauenswürdigkeit bei der Wahl des IT-Anbieters untersucht.
Fokusbereiche der Studie:
Zur Untersuchung dieser Fokusbereiche wurden zwei Methodiken angewandt:(Alle Befragten waren an IT-Kaufentscheidungen beteiligt)
Die Studie wurde in den USA, Großbritannien, Frankreich, Deutschland und in Kanada (nur Interview) durchgeführt
Qualitative Erhebung anhand von ausführlichen Interviews mit
(7 USA, 3 Kanada, 3 Großbritannien, 4 Deutschland, 3 Frankreich)
20 Service-ProvidernQuantitative Erhebung anhand von Web-Umfrage unter
(402 USA, 282 Großbritannien, 197 Deutschland, 169 Frankreich)
1050 IT-Entscheidern in Unternehmen
Daten wurden zwischen August und September 2015 erfasst
Interview45Minuten
Web-Umfrage20Minuten
Bewertung der Risiken ausgehend von unternehmensexterner und -interner Seite
Implementierte Strategien, Richtlinien und Lösungen zur Reduzierung von Sicherheitsrisiken
Bedeutung der Vertrauenswürdigkeit des IT-Anbieters im Hinblick auf Bescha�ungsprozesse für IT-Lösungen
Interesse an Nachweisen von IT-Anbietern bezüglich ihrer Vertrauenswürdigkeit
Vergleich der Risikoeinschätzungen je nach Branche/Befragten und Untersuchung der jeweils angewandten Vorkehrungsmaßnahmen
abbildung 93: Zweck und Methodik
85
AnhangCisco 2016 Annual Security Report
Quelle: Security Risk and Trustworthiness Study, Cisco
Branchen (mit mindestens 5% der Befragten)
11%
Finanzsektor
11%
Gesundheit
10%
Fertigung (nicht Computer-
bezogen)
10%
Einzelhandel
8%
Regierung/Verwaltung
7%
Versicherung
6%
Energie-, Öl- und
Gasversorger
5%
Ingenieurs- und Bauwesen
5%
Telekomm.
29%
Andere
Position
Land Unternehmensgröße
6%Leitender Techniker/Architekt
25%
26%
Führungsebene (CIO, CSO, CTO usw.)
USA
30%Direktor
9%Vice President
2%Rechtsabteilung
Teamleiter
3%Techniker
Recherche und Auswertung von Lösungen
69%
69%
Bestimmung der Strategie
71%
77%
77%
80%
Prüfung der Richtlinienkonformität
53%Genehmigen von Budgets
Implementierung und Verwaltung von Lösungen
Empfehlungen/Abschließende Markenentscheidungen
38%
Großbritannien
27%Frankreich
16%
Deutschland
19%
1000-2499
Nicht-InfoSec
2500-4999
10.000 oder mehr 22% 32%
53%47%
30%16%
5000-9999
InfoSec
abbildung 94: Teilnehmerprofil Unternehmen – Quantitativ
86
AnhangCisco 2016 Annual Security Report
Figure X. Service Provider Respondent Pro�le: Qualitative
Quelle: Security Risk and Trustworthiness Study, Cisco
Marktfokus der Service-Provider
Land Unternehmensgröße
InfoSec-Klassi�zierung
4%
6%
Medien-Services
11%
11%
Anwendungsservices
USA/Kanada
Mobile Telekomm.
Technologie-Services
3%Festnetz-Telekomm.
Position
Leitender Angestellter
7%CIO/CTO/CSO
8%Leitung IT
1%
1%
1%
VP IT
Teamleiter
2%Leitender Techniker/Architekt
Beteiligung am Anscha�ungsprozess
Recherche und Auswertung von Lösungen
Bestimmung der Strategie
Genehmigung größerer Anscha�ungen
Prüfung der Richtlinienkonformität
Genehmigen von Budgets
Implementierung und Verwaltung von Lösungen
Abschließende Markenentscheidungen
10Großbritannien3
Frankreich 34Deutschland
6
14
7 7
6
100-999 5000 or more1000-4900
Nicht-InfoSecInfoSec
80%
70%
95%
100%
75%
85%
60%
abbildung 95: Teilnehmerprofil Service-Provider – Qualitativ
Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern �nden Sie auf der Cisco Website unter www.cisco.com/go/o�ces.
Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber.
Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)
Hauptgeschäftsstelle Nord- und SüdamerikaCisco Systems, Inc. San Jose, CA
Hauptgeschäftsstelle Asien-Pazi�k-RaumCisco Systems (USA) Pte. Ltd.Singapur
Hauptgeschäftsstelle EuropaCisco Systems International BV Amsterdam,Niederlande
Hauptgeschäftsstelle Nord- und SüdamerikaCisco Systems, Inc. San Jose, CA
Hauptgeschäftsstelle Asien-Pazi�k-RaumCisco Systems (USA) Pte. Ltd.Singapur
Hauptgeschäftsstelle EuropaCisco Systems International BV Amsterdam,Niederlande
Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern �nden Sie auf der Cisco Website unter www.cisco.com/go/o�ces.
Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R) Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern �nden Sie auf der Cisco Website unter www.cisco.com/go/o�ces.
Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber.
Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)
Hauptgeschäftsstelle Nord- und SüdamerikaCisco Systems, Inc. San Jose, CA
Hauptgeschäftsstelle Asien-Pazi�k-RaumCisco Systems (USA) Pte. Ltd.Singapur
Hauptgeschäftsstelle EuropaCisco Systems International BV Amsterdam,Niederlande
Hauptgeschäftsstelle Nord- und SüdamerikaCisco Systems, Inc. San Jose, CA
Hauptgeschäftsstelle Asien-Pazi�k-RaumCisco Systems (USA) Pte. Ltd.Singapur
Hauptgeschäftsstelle EuropaCisco Systems International BV Amsterdam,Niederlande
Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern �nden Sie auf der Cisco Website unter www.cisco.com/go/o�ces.
Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)
Adobe, Acrobat und Flash sind eingetragene Marken bzw. Marken von Adobe Systems Incorporated in den Vereinigten Staaten und/oder anderen Ländern.
© 2016 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.
Erschienen Januar 2016