ISACA: Organisationen noch nicht für APT-Attacken gerüstet

Auf der Cybersecurity Konferenz CSX 2015 legten Vertreter des internationalen Berufsverbands ISACA, der die unterschiedlichsten IT-Berufe in sich vereint, die Ergebnisse einer Umfrage über die Bedrohung durch APT vor. Wie sich zeigte, waren im laufenden Jahr mehr als ein Viertel (28%) der Befragten einem Angriff dieser Kategorie ausgesetzt. An der ISACA-Umfrage nahmen mehr als 660 Experten aus dem Bereich IT-Sicherheit aus verschiedenen Unternehmen teil.

„Andauernde Angriffe auf hohem technischen Niveau werden die Norm“, stellt Christos Dimitriadis, Internationaler Präsident von ISACA, fest. „Der Einsatz von APT-Tools und –Methoden hat einer Vielzahl von denkwürdigen Hacks zum Erfolg verholfen. Daher ist es heute wichtiger denn je, dass sowohl die Führungskräfte als auch das Fachpersonal im Bereich Cybersicherheit ein umfassenden Wissen über diese Bedrohungen haben und darauf vorbereitet sind, schnell und effizient darauf zu reagieren.“

Wie die Umfrage gezeigt hat, sehen 49% der IT-Sicherheitsexperten APT als eine besondere Variante von Cyberattacken an, die anderen betrachten sie als traditionelle Bedrohungen. Dabei räumte mehr als die Hälfte der Befragten ein, dass die Wahrscheinlichkeit eines APT-Angriffs auf ihre Organisation hoch sei, und zwar 22% – was sehr hoch ist.

Alle Umfrageteilnehmer waren sich einig, dass das Social Engineering ein Schlüsselelement der meisten APT-Attacken ist. Um in ein Unternehmensnetzwerk einzudringen und sich dort festzusetzen, müssen die Hacker einen Eintrittspunkt finden, das schwache Glied in der Kette, und zu diesem Zweck setzen sie zielgerichtete Phishing-Versendungen ein, das so genannte Spear Phishing. Bei der Personalisierung der gefälschten Mails ist den Cyberkriminellen die Unmenge an Informationen eine große Hilfe, die die Anwender mitunter gedankenlos im Internet hinterlassen, insbesondere in sozialen Netzwerken.

Das Risiko wird noch erhöht durch die zunehmende Popularität von BYOD (bring your own device). Sowohl Angestellte als auch Führungskräfte haben den Komfort und die Produktivität der Arbeit mit mobilen Geräten schnell schätzen gelernt, doch wie die Umfrage von ISACA gezeigt hat, lässt der Schutz der „mobilisierten“ Infrastruktur in vielen Organisationen bis heute noch sehr zu wünschen übrig.

Umfassende Datenverluste, derer es im laufenden Jahr nicht wenige gegeben hat, haben einen weiteren Schwachpunkt in der Cyberverteidigung offenbart, und zwar Drittorganisationen, die auf vertraglicher oder partnerschaftlicher Basis mit dem Zielunternehmen verbunden sind und häufig Zugriff auf dessen interne Ressourcen haben. Drei Viertel der von der ISACA Befragten, erklärten, dass ihre Unternehmen Drittvereinbarungen nicht aktualisiert, und den Schutz vor APT somit nicht verbessert hätten.

Insgesamt zeigen die Umfrageergebnisse anschaulich, dass die Geschäftsstrukturen bis zum heutigen Tag in erster Linie noch immer auf technische Schutzmittel setzen und dabei so wichtige Dinge wie Aufklärung und Schulungen vergessen.

Auf der Positivseite hatten die Vertreter von ISACA besonders die deutlich verbesserte Einbeziehung der Führungsebene zu verbuchen: spektakuläre Cybervorfälle haben die Führungskräfte von Unternehmen wohl oder übel dazu gezwungen, sich mit der Frage der IT-Sicherheit auseinanderzusetzen. Fast zwei Drittel der Befragten erklärte, dass die Führungsebene nun auch an den Maßnahmen teilnimmt, die auf die Stärkung der Cybersicherheit abzielen; 80% spürten die wachsende Unterstützung seitens der höchsten Führungsebene.

Quelle: ISACA

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.