Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

30.10.2013
von: Exclusive Networks

Cybercrime: Firmen zahlen einen hohen Preis

So mancher Vertriebsmitarbeiter eines IT-Security-Unternehmens oder eines seiner Reseller würde vermutlich eine Flasche Schampus (oder mehrere) köpfen, wenn er einen Abschluss in Höhe von 5,7 Millionen Euro gelandet hätte. Doch leider sind solche "Deals" eher selten. Denn seit die goldenen Zeiten der IT vorbei sind und die Kaufleute das Ruder – und damit die Herrschaft über die IT-Budgets – übernommen haben, heißt es sparen. Das gilt leider in vielen Unternehmen auch für Anschaffungen, Beratungsleistungen und Trainings im Bereich IT-Sicherheit.

Sparen ist ja an sich nichts Schlechtes, aber bitte nicht an der falschen Stelle. Denn exakt 5,7 Millionen Euro muss ein Unternehmen aus dem deutschsprachigen Raum pro Jahr aufwenden, um die Folgen von Cybercrime-Angriffen zu beseitigen. Das ergab eine Studie, die das amerikanische Marktforschungsinstitut Ponemon Institute im Auftrag von HP durchführte. Nur Unternehmen in den USA müssen noch mehr Geld in die Hand nehmen, nämlich 8,7 Millionen Euro, um die Folgen von Attacken auf IT-Systeme und Datenbestände zu kompensieren.

Attacken durch Insider, Denial of Service und Phishing am teuersten
Am teuersten kommen laut der Studie Firmen und Behörden Angriffe durch Insider, sowie Denial-of-Service- und Phishing-Attacken. Alleine auf diese drei Angriffsarten entfallen 50 Prozent der Kosten. Die Schäden durch Insider, seien es illoyale Beschäftigte oder die Mitarbeiter von IT-Dienstleistern, verursachten 2013 im Schnitt einen Schaden von durchschnittlich 201.000 Euro. Denial-of-Service-Attacken schlugen immerhin noch mit 152.500 Euro zu Buche. Das sind stolze Summen.

Geradezu bescheiden nehmen sich vor diesem Hintergrund die Schäden durch Phishing aus: ganze 75.000 Euro. Apropos Kosten: Am teuersten sind für Unternehmen und Behörden Datenverluste, gefolgt von Umsatzeinbußen, weil Cyber-Angriffe IT-Systeme blockieren oder dazu führen, dass solche Komponenten von Schadsoftware befreit oder gar neu installiert werden müssen.

Kleine Firmen härter betroffen
Wenn wir schon bei Horror-Zahlen sind: Laut der Umfrage von Ponemon und HP dauert es im Durchschnitt 22 Tage, bis die Folgen eines Angriffs beseitigt sind. Und das vor dem Hintergrund, dass pro Woche 1,3 erfolgreiche Attacken auf IT-Systeme und Firmennetzwerke durchgeführt werden. Solche Angriffe treffen beileibe nicht nur Großkonzerne: Pro Mitarbeiter müssen kleinere Firmen mit Folgekosten von 974 Euro durch Cyber-Attacken rechnen, große Unternehmen nur mit 251 Euro.

Warum "Kleine" stärker betroffen sind, sagt die Studie nicht. Vermutlich liegt es daran, dass Großunternehmen über bessere Sicherungsmechanismen verfügen, etwa das Replizieren von Daten in mehreren Rechenzentren, eine stringentere Backup-Politik und umfangreichere IT-Security-Maßnahmen.

Angriffe auf Firmen in der Schweiz häufen sich
Dass sich Cyber-Kriminelle nicht alleine auf Ziele in den Nachbarländern Österreich und Deutschland konzentrieren, sondern auch Firmen in der Schweiz in Visier nehmen, belegt der Bericht für das erste Halbjahr 2013 der Melde- und Analysestelle Informationssicherung MELANI. Demnach wurden bei Cyber-Attacken auf hiesige Unternehmen mehrfach Social-Engineering-Techniken eingesetzt. In einem Fall wurde der Finanzchef in einer E-Mail, die angeblich vom CEO stammte, aufgefordert, für eine Firmenakquisition in China eine entsprechende Summe auf ein bestimmtes Konto zu überweisen. Die Angreifer hatten im Vorfeld nicht nur Namen, Position und E-Mail-Adressen der Führungskräfte ermittelt, sondern zudem eine perfekt nachgeahmte E-Mail-Vorlage (Template) verwendet.

In einem anderen Fall wurde die Mitarbeiterin eines mittelständischen Unternehmens in der Schweiz von einem Anrufer kontaktiert. Dieser gab an, es stehe noch eine Rechnung aus. Er erbot sich der Mitarbeitern nochmals die eingescannte Rechnung per E-Mail zu senden. Statt der Rechnung enthielt die Nachricht jedoch ein ausführbares Windows-Programm, über das der Angreifer einen Remote-Zugang zum Firmennetz einrichten wollte.

Dabei gibt es sie doch – die guten Dinge ...
Eigentlich müssten IT-Leiter und Security-Fachleute den "Kaufleuten" in ihrer Firma solche Zahlen um die Ohren hauen, wenn die wieder einmal mit "Sparen, Sparen, Sparen" daher kommen. Denn ein Großteil der Cyber-Angriffe lässt sich abwehren. Aber das erfordert den Einsatz entsprechender Lösungen. Doch die gibt es, und nicht nur von einem Hersteller.

Nehmen wir beispielsweise Insider-Attacken: Sie sind deshalb so gefährlich, weil sie oft von IT-Usern mit privilegierten Zugriffsrechten wie Administratoren lanciert werden. Dagegen hilft eines: eine lückenlose Kontrolle der Aktivitäten solcher Nutzer, verbunden mit einer "Stopp-Funktion", die dubiose Aktionen wie das Einbauen von Backdoors in IT-Sicherheitssystemen sofort unterbindet. Exclusive-Networks-Partner BalaBit hat mit der Shell Control Box eine solche Lösung parat.

Denial-of-Service-Attacken stoppen

In eine ähnliche Richtung, sprich User- und Netzwerk-Monitoring sowie Security Incident and Event Management (SIEM), gehen die Lösungen von LogRhythm. Sie erfassen alle Meldungen von Sicherheitssystemen und werten diese aus. Auf Basis dieser Daten, ermittelt die Software von LogRhythm, ob Insider, externe Angreifer oder schlichtweg unbedarfte User, Stichwort Bedienungsfehler, verdächtige oder schädliche Aktivitäten gestartet haben.

Auch die allseits beliebten Distributed-Denial-of-Service-Angriffe (DDoS) und verdeckte, zielgerichtete Angriffe ("Advanced Persistent Threats", APTs) sind keine Fügung des Schicksals, der Unternehmen und ihre IT-Abteilungen schutzlos ausgeliefert sind. Sicherheitslösungen wie etwa die der Reihe Pravail von Arbor Networks bieten Security-Maßnahmen vor Ort im Unternehmensnetz, kombiniert mit Cloud-gestützten DDoS-Schutzverfahren. Letztere greifen auf Ressourcen von Anbietern von Mangaged Security Services zurück, um neue Bedrohungen schnellstmöglich zu erkennen und abzuwehren.

Dass DDoS-Attacken auch die Schweiz treffen, belegt der bereits angesprochene Report der MELANI. Der weltweit größte DDoS-Angriff, der jemals stattfand, zielte Anfang des Jahres auf die Genf ansässige Non-Profit-Organisation Spamhaus, die sich auf die Abwehr von Cyber-Angriffen und Spam-E-Mails spezialisiert hat. Die Attacke erreichte zeitweise ein Datenvolumen von mehr als 300 Gigabit pro Sekunde und blockierte zeitweise den Zugang zu Spamhaus und dessen Web-Seite. Um den Angriff abzuwehren, erhielt Spamhaus sogar Unterstützung von Firmen, die selbst mehrere Großrechenzentren betreiben wie Google.

"Es ist ja noch jedes Mal gut gegangen ..."
Die obige Aufzählung von Sicherheitslösungen, mit denen sich Unternehmen und öffentliche Einrichtungen gegen Cyber-Angriffe wappnen können, ließe sich um etliche Unternehmen ergänzen, deren Produkte Exclusive Networks seinen Partnern zur Verfügung stellt: Authentifizierungslösungen von PointSharp, Firewalls von Innominate und Palo Alto Networks, Security-Gateways von Juniper Networks, Appliances für Microsoft-Netzwerkumgebungen von SecureGuard oder Threat-Protection-Systeme von FireEye. Und dies sind nur einige der vielen IT-Sicherheitsspezialisten auf dem Markt.

Kurzum: Es gibt genügend Anbieter; es gibt Produkte; es gibt fachkundige Reseller, Systemhäuser und VARs, die ihre Kunden beraten können. Wenn dennoch Cybercrime-Attacken einen derart großen Schaden anrichten, muss dies somit an anderen Faktoren liegen. Also doch an einer "Geiz-ist-geil-Mentalität" in den Chefetagen? Oder schlichtweg daran, dass die Damen und Herren in diesen lichten Höhen schlichtweg nicht wissen, wie teuer sie Sicherheitslücken in ihrer IT in Wirklichkeit zu stehen kommen? Vermutlich ist es eine Mischung aus diesen Faktoren, ergänzt um die klassische Einschätzung "Es ist ja noch immer gut gegangen".

Investitionen in IT-Sicherheit lohnen sich
Vielleicht lassen sich besagte Damen und Herren durch folgende Daten des Ponemon Institute überzeugen. Die Marktforscher haben die Rendite errechnet, die der Einsatz von IT-Sicherheitslösungen bringt: Beim Einsatz von Verschlüsselung liegt sie demnach bei 25 Prozent. Security-Intelligence-Lösungen "rentieren" sich mit 20 Prozent, und bei Produkten wie Firewalls und Systemen für die Absicherung der Randbereiche von Netzwerken sind es immer noch 19 Prozent.

Als Berechnungsgrundlage zogen die Ponemon-Analysten dabei die Aufwendungen für Anschaffung, Inbetriebnahme, Support sowie das Einstellen neuer und die Schulung vorhandener Mitarbeiter heran. Diesen Kosten wurden die Einsparungen gegenüber gestellt, welche die Abwehr von Cyber-Angriffen brachten. Das Resultat: IT-Security lohnt sich, nicht nur für die Vertriebsmannschaft von Herstellern und Resellern, sondern auch für die Unternehmen, die solche Lösungen einsetzen.

Wer ganz auf Nummer Sicher gehen möchte, kann zusätzlich eine Versicherung gegen die finanziellen Folgen von Cyber-Angriffen abschließen. Entsprechende Policen mit einer Deckungssumme von bis zu 50 Millionen Franken bieten beispielsweise Allianz Suisse und die Groupe Mutuel an. Je nach Umfang des Versicherungsschutzes kostet die "Cyber Protect"-Versicherung der Allianz Suisse zwischen 60.000 und 110.000 Franken pro Jahr.


Security-Finder Schweiz: Newsletter