Neue Forschungsergebnisse zu Cybervorfällen zeichnen ein bedrohliches Bild: Angriffe werden schneller und ausgefeilter. Ferner zielen sie verstärkt darauf ab, den Unternehmen nicht nur Daten zu stehlen, sondern sie auch operativ lahmzulegen. So fasst der Anbieter Palo Alto Networks die Analyse von über 500 schwerwiegenden Sicherheitsvorfällen zusammen.

Laut dem "Global Incident Response Report" von Palo Alto können Unternehmen aber schon selbst viel tun, um sich besser vor Cyberangriffen zu schützen. Drei Beispiele führen die Experten an: Reduktion von Komplexität in der Überwachung, Schaffen einer transparenten Infrastruktur und das Beschränken von Zugriffsrechten auf ein Minimum.

Bei 75% der Vorfälle fanden die Threat-Spezialisten Spuren der Angriffe in den Protokollen der Security-Appliances. Doch aufgrund der Komplexität der Systeme waren diese Informationen nicht ohne Weiteres zugänglich oder nicht nutzbar. So konnten die Angreifer die Lücken unbemerkt ausnutzen.

Gemäss den Experten sei es nötig, Daten aus mehreren Quellen zu nutzen, um Angriffe wirksam erkennen und auf sie reagieren zu können. Denn 85% der Vorfälle erforderten die Korrelation von Daten aus mehreren Quellen, um den Umfang und die Auswirkungen einer Attacke zu verstehen. Nahezu die Hälfte (46%) erforderte die Korrelation von Daten aus vier oder mehr Quellen. Wenn diese Systeme nicht miteinander kommunizieren, bleiben wichtige Hinweise verborgen, bis es zu spät ist.

Nicht verwaltete und nicht überwachte Systeme – ob Endgeräte, Anwendungen oder Schatten-IT – bieten Angreifern einfache Einstiegspunkte in die Infrastruktur. In einem Unternehmen beobachtete Palo Alto, dass die Mitarbeitenden selbständig 300 neue Cloud-Dienste pro Monat einrichteten. Ohne eine angemessene Laufzeittransparenz konnte das Security-Team dort weder Gefährdungen noch Angriffe erkennen.

So waren gemäss Palo Alto Probleme mit den Sicherheitstools und -management in fast 40% ein kritischer Faktor. Diese Lücken ermöglichten es Angreifern, in die Infrastrukturen einzudringen, sich dort frei zu bewegen und ihre Privilegien zu erweitern, ohne entdeckt zu werden.

Bei 41% der Vorfälle waren fehlerhaft oder nachlässig konfigurierte Lösungen für das Identitäts- und Zugriffsmanagement die Ursache für einen Datenabfluss. Manche Userinnen und User besassen Konten und Rollen mit zu vielen Rechten. Wurde ein solcher Account kompromittiert, hatten die Hacker freie Hand.

Palo Alto berichtet von einem Fall, in dem die Angreifer allzu freizügige Administratorkonten ausnützten, um ihre Privilegien zu erhöhen. So erlangten sie problemlos die Berechtigung, Ransomware auf 700 ESXi-Servern zu installieren, womit sie letztendlich über 9000 Systeme lahmlegten.