DAS ZEITALTER DER CISOS

Kapitel 3: Die Angriffsfläche

Vorwort

Den Chief Information Security Officers (CISOs) zufolge mussten ihre Teams in den vergangenen 18 Monaten ein größeres Angriffsvolumen abwehren. Sie sagten aber auch, dass die Anzahl der Vorfälle in etwa gleich geblieben sei. Diese Beobachtungen könnten darauf schließen lassen, dass die Security-Teams besser in der Abwehr werden oder die Kriminellen eher verschwenderisch vorgehen und weniger effektiv sind – oder beides zugleich.

Den Befragten ist klar, dass sie es mit einer kriminellen Industrie zu tun haben, nicht nur mit Einzelnen oder Banden. Einige der raffinierteren Hacker, die abgelegte bzw. gestohlene Tools staatlicher Akteure und anderer Bedrohungsgruppen verwenden, bereiten ihnen echte Kopfschmerzen. Zugleich halten andere Gruppen an ihren bewährten (und jetzt leichter abzuwehrenden) Taktiken fest – sie sind für viele Teams nur mehr ein Hintergrundgeräusch.

Die Mitarbeiter sind nach wie vor der beliebteste und effektivste Angriffsvektor. Daher sind sie für die CISOs ein ständiger Grund zur Sorge, vor allem weil bei den Angreifern in letzter Zeit weitaus komplexere und raffinierte Vorgehensweisen zu beobachten sind. Zunehmend bringen auch Lösegeldzahlungen neue Risiken mit sich, nicht zuletzt dann, wenn Unternehmen vor dem Dilemma stehen, dass sie gegen gesetzliche Bestimmungen verstoßen, wenn sie, um den laufenden Betrieb wiederherzustellen, Gruppen Geld zukommen lassen, die internationalen oder nationalen Wirtschaftssanktionen unterliegen.

Anstatt sich weiterhin in erster Linie auf die Endpunktsicherheit zu konzentrieren, wechseln die CISOs im Umgang mit der Angriffsfläche und den Angriffsvektoren zu einem ganzheitlicheren, architekturweiten Ansatz. Sie erklären damit ihre Bereitschaft, im Falle von Verstößen mehr Verantwortung zu übernehmen. 

Frage #1

Mussten Sie in den letzten 12 bis 18 Monaten auf eine größere Anzahl einzelner Cybervorfälle reagieren? Was sind die Top-3-Bedrohungen?

Ein Cyberangriff ist der Versuch eines geschickten (oder ungeschickten) Gegners, die Sicherheitsmaßnahmen eines Systems zu überwinden, um dessen Integrität oder Verfügbarkeit zu beeinträchtigen, und/oder der unberechtigte/versuchte Zugriff auf ein System oder auf Systeme. 

Ein Cybervorfall ist eine Verletzung der Sicherheitsmaßnahmen eines Systems durch einen fähigen (oder nicht fähigen) Angreifer mit dem Ziel die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen, und/oder der unberechtigte/ versuchte Zugriff auf ein System oder auf Systeme. 

Die obigen Definitionen sind offenbar nicht identisch. Darüber hinaus zeigte sich die überwiegende Mehrheit der CISOs verärgert angesichts der endlosen Folge von ungenauen und schlampig recherchierten Nachrichten über Angriffe und Vorfälle, bei denen nach Gutdünken neu definiert wird, damit sich reißerische Schlagzeilen ergeben. So etwas wird dann von Security-Anbietern eifrig kolportiert.

Weil Cyberkriminelle immer neue und elaboriertere Angriffsvektoren wählen, sind die CISOs derzeit um eine Neudefinition von „Cybervorfall“ bemüht – eine, die den Unterschied zwischen einem „wichtigen Cybervorfall“ und einem normalen „Cybervorfall“ klärt.

Bei 44% der CISOs liegen die Antworten auf der Skala zwischen 1 und 5 – diese Gruppe sagt, dass die Menge der wahrgenommenen Cybervorfälle in den letzten zwölf Monaten nicht zugenommen hat. Das heißt nicht, dass die Anzahl von Cyberangriffen und Cybervorfällen ausgeglichen ist. Die übrigen 56 % haben durchaus einen Anstieg der Vorfälle beobachtet – und auch dass die Vielfalt der Angriffsvektoren zugenommen hat. Ein Befragter hat eine Zunahme der Angriffe um 400% festgestellt, aber keinen erkennbaren Anstieg der Vorfälle. Manche Befragte konstatieren bei Cybervorfällen über bestimmte Vektoren sogar einen Rückgang. 

„Die Angriffe nehmen zu. Phishing, Phishing und Phishing. Ich sehe das ständig. Aber es sind immer dieselben Methoden und Angriffsvektoren.“ 

- Ian Dudley, IT Director, DriveTech

Wenn die Sicherheitsteams auf einen Cybervorfall reagieren müssen, geht es nie um die Quantität der Primärangriffe, außer dort, wo – wie bei DDoS-Attacken – das Volumen selbst der Hebel ist. Es geht jetzt um die Qualität des Angriffs. Dazu gehören auch Ausweich- und Umgehungstechniken, maschinelles Lernen und der (simultane) Versuch über diverse Angriffsvektoren. 

„Wir schärfen unsere Tools und suchen nach mehr Vorfällen. Und das bedeutet, dass wir auch mehr Angriffe finden.“ 

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

Größere Aufmerksamkeit, bessere Sicherheitstools, Threat Intelligence und MITRE-ATT&CK-Frameworks bedeuten, dass viele Sicherheitsteams proaktiv nach Lücken und blinden Flecken in ihren Architekturen und Betriebsumgebungen suchen, um die besonderen Angriffe zu identifizieren, die zu einem Cybervorfall führen könnten; eine Zunahme der Cyberangriffe auf Basis von Bedrohungserkenntnissen war also zu erwarten. 

„Das Bedrohungslevel liegt höher, aber die Zahl der Vorfälle ist gesunken.“ 

- Marc Ashworth, SVP, CISO, First Bank

Viele der CISOs geben an, dass sie mit einer wachsenden Menge möglicher Cybervorfälle konfrontiert sind. Die damit verbundenen Geschäftsrisiken werden vor dem Hintergrund einer Arbeitswelt, in der die Büros mobiler und flexibler geworden sind, so beschrieben:

  1. Ein kontaminierter Computer gelangt von außen in das Firmennetzwerk und wirkt wie ein Trojaner, der andere im Netzwerk infiziert, sodass eventuell Tausende argloser Anwender Malware verbreiten.
  2. In hybriden Arbeitswelten birgt das ständige Hin und Her zwischen Geschäftlich und Privat große Risiken.
  3. Computer, die von zu Hause aus legitim auf Firmenkommunikation und sensible Dateien zugreifen, können auch für Social-Engineering-Angriffe missbraucht werden. 
  4.  

Die drei größten Bedrohungen, denen die Befragten immer wieder begegneten, sind:

  1. Phishing
  2. Ransomware (Wiper-Malware)
  3. CEO Fraud (Business Email Compromise/BEC) 
  4.  

Darüber hinaus wurden die folgenden Cyberangriffe als andauernde Herausforderungen der Sicherheitsteams genannt; sie zeigen die Vielfalt der Angriffsvektoren: Trojaner (eingeschleust über Homeoffice bzw. Telearbeit), Datenlecks (vor allem extern und von Dritten geschlagen), DDoS (zur Ablenkung und auf Anwendungen), MSS/Cloud Hacking (extern), kompromittierte Identitäten/Zugangsdaten/Accounts (durch Social Engineering/Phishing) sowie APT-Malware (von organisierten Gruppen).

Einig sind sich die CISOs darin, dass bei ihren Operations eine Sicherheitsschuld bleibt, und zwar dort, wo neue Sicherheitstools, die frühzeitige Integration von Security in Projekte und die interne Schaffung von Sicherheitsbewusstsein nicht beizeiten priorisiert werden.

Sie wissen auch, dass sie diese Schuld kaum abtragen können, weil das Budget Grenzen setzt, die Ressourcen bereits ausgelastet sind oder andere Geschäftsvorgänge Vorrang haben. Ihnen ist ebenso klar, dass viele der Probleme, von denen man liest, behoben wären, wenn man elementare Security-Prozesse durchsetzen und damit die Probleme mit Legacy-Technik, Patches und unwirksamen Sicherheitstools loswerden könnte. 

„Wir sehen mehr Angriffe, seit wir das Managed SIEM/Log-Management [...] zurück ins Unternehmen geholt haben. Wir sehen jetzt selbst alle Vorfälle. Wir sehen 500+ [Angriffe] pro Quartal und haben mit unseren internen Tools und Fähigkeiten mehr Präzision und eine bessere Identifizierung.“ 

- Leo Cronin, CSO, Cincinnati Bell

Den CISOs ist auch bewusst, dass sie mit der Zunahme des Netzwerkeffekts – der Wert eines Netzwerks ist proportional zum Quadrat der Teilnehmerzahl – durch stärkere Integration digitaler Plattformen auf Cyberattacken von Nationalstaaten gefasst sein müssen, die mithilfe unschuldiger oder böswilliger Insider auf kritische Infrastrukturen, Verteidigungs-, Gesundheits- und Finanzsysteme abzielen. 

Frage #2

Wer ist schneller – Sie oder Ihre Gegenspieler (die Kriminellen)?

Für 72% der CISOs steht außer Zweifel, dass die Cyberangreifer schneller sind. Die Gegner können aus der Ferne agieren, sind beweglicher und haben zunehmend mehr Ressourcen zur Verfügung, sodass sie unvermutet Treffer landen können, die katastrophale Folgen für das Unternehmen haben könnten. 

Anders als legitime Unternehmen, die ein Gleichgewicht zwischen regulatorischen Vorgaben, schwankenden Budgets sowie Sicherheit und operativer Effizienz finden müssen, hält die Gegner nichts davon ab, sich finanziell zu bereichern oder politisch einzumischen. 

„Immer die Kriminellen. Ich habe feste Arbeitszeiten – die nicht!“ 

- Ian Dudley, IT Director, DriveTech

„Wir müssen jeden Tag und jedes Ereignis gewinnen, während der Hacker nur einmal gewinnen muss.“ 

- Mauro Israel, Corporate CISO, ORPEA Group

„Die Gegner. Sie ändern dauernd ihre Angriffe. Der Versuch, mit ihnen Schritt zu halten, ist frustrierend.“ 

- Marc Ashworth, SVP, CISO, First Bank

„Eindeutig die Gegner. Sie sind besser finanziert und haben mehr Zeit zur Verfügung, um Security-Fragen offensiv anzugehen – defensiv ist immer schwieriger.“ 

- Leo Cronin, CSO, Cincinnati Bell

Defensive Sicherheit ist immer die schwierigere Aufgabe, weil man jedes Mal die richtige Spieltheorie finden muss. Der wiederkehrende Refrain war: „Wir müssen jeden Tag und jedes Ereignis gewinnen, während der Hacker nur einmal gewinnen muss.“ Das Bemühen, mit dem Gegner stets gleichzuziehen, wird als erdrückend empfunden.

Die CISOs räumen ein, dass sie in einem kritischen Abhängigkeitsverhältnis zu ihren Sicherheitsanbietern stehen. Weil sie selbst nicht genug skalieren, um eigene Sicherheitstools zu entwickeln, werden sie weiterhin darauf angewiesen sein, dass die Lösungsanbieter ihre Produktversprechen halten. Die Gegner können unterdessen ihren Code ganz ungezwungen schreiben, updaten und integrieren und damit immer wieder neue Angriffe starten.

Wenn die CISOs intern ihre Bedenken vorbringen und darauf bestehen, dass die Geschäftsleitung Mittel bereitstellt oder investiert, um sicherzustellen, dass die elementaren Sicherheitsmechanismen durchgängig gewährleistet sind und auch durchgesetzt werden, dann werden ihnen oft betriebswirtschaftliche Argumente entgegengehalten. Diese Verfahrensweise empfinden die Befragten oft als restriktiv und langweilig, sie sehen in einem solchen Zugang einen Mangel an Meinungsführerschaft (Thought Leadership). 

Insgesamt wissen die CISOs zu schätzen, dass der Hoffnungsschimmer von Cyberanalytik, künstlicher Intelligenz, maschinellem Lernen, SASE (Secure Access Service Edge) und anderen neu aufkommenden Technologien und Architekturen gefühlsmäßig einen gewissen Cyberschutz schaffen kann. Aber alle CISOs bestätigen letztlich, dass sie niemals in der Lage sein werden, zu den Cybergegnern aufzuschließen, wenn die Basics fehlen. 

Zweifel an der Wirksamkeit

Wenn die Befragten kein Blatt vor den Mund nahmen, brachte eine Reihe von CISOs noch einmal deutlich zur Sprache, dass da definitiv etwas nicht stimmt. Man hört, dass die Gewinne mit Sicherheitsprodukten im Billionen-Dollar-Bereich liegen können. Warum also gelingt es den Angreifern – trotz implementierter Sicherheitstools! – immer wieder, die Abwehr mit Angriffsvektoren zu überwinden, die schon seit über einem Jahrzehnt bekannt sind? 

Frage #3

Glauben Sie, dass Cyberkriminelle bei ihren Angriffen jetzt mehr Fähigkeiten mitbringen? Wenn ja, was bereitet Ihnen die größten Sorgen?

Auch kriminelle Cybergruppen wissen, dass sie – wie jedes Geschäft – ihre Leistung durch den Aufbau von Partnerschaften verbessern können. Damit eröffnen sie sich Marktchancen in den verschiedensten Branchen, ohne dass sie ihre eigenen „Qualitätsstandards“ aufgeben müssten.

Die meisten CISOs, mit denen wir gesprochen haben, machen sich keine Illusionen darüber, dass Cyberkriminelle ihre Bedrohungskapazitäten erhöht haben. Fast alle der Befragten (96%) vergaben Werte zwischen 6 und 10 und sehen klar, dass sich die Unterwelt des Cyberraums zu einer gut organisierten kommerziellen Industrie entwickelt hat.

Genauso wie legitime Unternehmen eigene Expertise auf- und ausbauen, damit sie in ihren Märkten effektiv konkurrieren können, teilen sich Cyberkriminelle mit ihren Teams und Allianzen in eine Vielzahl von Disziplinen auf, mit entsprechenden Strukturen von inhabergeführten, kleinen, mittelgroßen und großen Betrieben. Diese Arbeitsteilung umfasst auch geografisch verteilte, mafiaähnlich organisierte kriminelle Gruppen (OCGs) und ist ebenso bei den bestens ausgestatteten, nationalstaatlichen Akteuren wie der Lazarus-Gruppe oder APT 29 erkennbar. 

Cybersecurity befindet sich heutzutage in einem neu definierten Rüstungswettlauf bzw. in der „5. Welle der Kriegsführung“, wie es ein Befragter ausdrückte. CISOs in den USA hielten fest, dass die klassischen Hacker, die schon lange unterwegs sind, weiterhin ihre schwachen Angriffspakete einsetzen – diese Angreifer sind heute nicht mehr als ein Klappern im Hintergrund. 

„Die Bedrohungsakteure werden immer kreativer. Sie schleusen jetzt Daten aus, wenn sie zur Zahlung des Lösegelds auffordern.“ 

- Leo Cronin, CSO, Cincinnati Bell

Die größte Zukunftssorge gilt einer kleinen Teilmenge von Angriffsvektoren, die „zerstörungsförmige Fähigkeiten“ mitbringen. Zum Glück haben viele CISOs noch keinen derartigen Angriff erlebt, aber sie wissen, wie wichtig es ist, dass sie sich auf den Tag vorbereiten, an dem er geschieht. Ein mögliches Szenario beginnt mit einem nationalstaatlichen Angriff. Solche Attacken nehmen normalerweise gezielt Behörden und kritische Infrastrukturen ins Visier, doch die CISOs halten es für wahrscheinlich, dass ihre Unternehmen in Mitleidenschaft gezogen werden und Kollateralschäden erleiden.

Konkreter wird diese Sorge, wenn organisierte kriminelle oder politisch motivierte Gruppen nationalstaatliche Tools, an die sie durch Verbündete oder Feinde gelangt sind (oder andere Methoden, von denen sonst niemand Kenntnis hat), für Zero-Day-Angriffe auf Unternehmen verwenden.

* Zu den möglichen Quellen solcher Mittel und Werkzeuge zählen z. B. die NSA (National Security Agency) in den Vereinigten Staaten, die britischen GCHQ (General Communications Headquarters) sowie DGSI (Direction Générale de la Sécurité Intérieure) und DGSE (Direction Générale de la Sécurité Extérieure) in Frankreich, die chinesische Armee, der israelische Auslandsgeheimdienst Mossad und der russische Militärnachrichtendienst GRU.

Schaden zu verkaufen

Der Vertrieb von Produkten und Dienstleistungen für Cyberangriffe hat seine eigenen Märkte, die oft im Dark Web angesiedelt sind. In der einfachen Verbreitung fortschrittlicher Angriffswerkzeuge sehen die CISOs ein großes Problem, denn damit bekommen Bedrohungsakteure Zugriff auf Phishing-Code, Ransomware, APTs etc. und Kontakt mit Gruppen, die „Cybercrime as a Service“ anbieten, mit Tools, hinter denen Nationalstaaten oder mafiaähnliche Großbanden stehen. Beispiele hierfür wären EternalBlue, das allgemein als ein Cyberangriffstool gilt, das von der NSA entwickelt und dort entwendet wurde, oder Code-Elemente, die von den Gruppen hinter dem Stuxnet-Virus stammen.

Dass derartige Cyberwaffen für Leute mit unlauteren Absichten frei verfügbar sind, gibt der organisierten Cyberkriminalität die Möglichkeit, fortschrittliche Fähigkeiten gegen ihre Ziele einzusetzen und mit ihren klassischen Angriffsvektoren zu kombinieren. Das Dark Web bietet aber nicht nur neue Werkzeuge, sondern ist auch der zentrale Umschlagplatz für gestohlene Daten, insbesondere Zugangsdaten, und geistiges Eigentum, z. B. für Limited Editions von Modedesigns oder Luxusschuhen. Es ist ein One-Stop-Shop für Schadfähigkeiten und erschlichene Erlöse zugleich.

Wo auch immer die Weltwirtschaft Tritt fasst, um den Menschen Dienstleistungen und Produkte anzubieten, sieht auch der Cyberkriminelle eine Chance, sich vom Wettbewerb abzuheben und in seinem eigenen Markt Präsenz, Anteile und Profit zu verbessern. So wissen die CISOs z. B. Cloud-Infrastrukturen zu schätzen, weil das Geschäft aufgrund der Flexibilitäts- und Kostenvorteile damit leichter zu skalieren und effizienter zu gestalten ist. Die Befragten beobachten aber auch, dass Cyberkriminelle die entsprechenden Vorteile von „Dark Clouds“ erkannt haben: schnellerer Aufbau eines Kundenstamms und mehr Angriffsvolumen bei DDoS- Attacken, Malware und Phishing – alles als buchbare Dienstleistungen (Damage as a Service). 

„Die Techniken haben sich definitiv entwickelt und sind professioneller geworden. Meine Bedenken ble ben aber trotzdem bei Ransomware und Wiper-Software; bei BEC geht es nur um Geld, aber diese beiden können das Geschäft killen.“ 

- Andrew Rose, CISO, VocaLink (A Mastercard Company)

Aus dem Feedback geht deutlich hervor, dass Cyberkriminelle es in den Augen der CISOs auf zwei Dinge abgesehen haben: finanzielle Bereicherung und Betriebsunterbrechung, wobei die Störung entweder durch Datenschutzverletzungen oder Eindringen in die Infrastruktur geschieht. Die Bedrohungen, die mit diesen Angriffen verbunden sind und die CISOs am meisten beunruhigen, lassen sich in zwei Kategorien einteilen:

Die eine Kategorie heißt Ransomware und betrifft sowohl Informationstechnologie (IT) als auch Operational Technology (OT). Die Erpresser spielen normalerweise Malware direkt auf oder sie verhindern den Zugang per DDoS. DDoS-Angriffe dienen dazu, direkt Lösegeld zu erpressen, oder sind ein Ablenkungsmanöver in Kombination mit parallel platzierter Malware, die entweder sofort oder erst später in Aktion tritt und eigene Zwecke verfolgt: Datendiebstahl, Web-Umleitungen, C2-Einrichtung (Command and Control) etc.

Ransomware ist eine grassierende Plage. Diese Angriffe beeinträchtigen den normalen Geschäftsbetrieb ebenso wie die Services für bestehende Kunden bzw. Verbraucher, und sie behindern die Neukundengewinnung. Die fortgeschrittene Ransomware, die CISOs am meisten fürchten, setzt Wiper-Code ein, der irreparablen Schaden anrichtet.

Hinzu kommen für die CISOs unbekannte Risiken, z. B. ob die Cyberkriminellen ihre Drohungen wahr machen, wenn das Lösegeld nicht gezahlt wird, ob sie tatsächlich die Überflutung der Netzwerke stoppen oder sogar die versprochenen Keys zur Entschlüsselung liefern, sobald das Lösegeld gezahlt ist, oder ob der Bedrohungsakteur Daten ausgeschleust hat, die er dann an den Meistbietenden verkauft oder verwendet, um einzelne Kunden zu erpressen, oder einfach allesamt öffentlich macht. Größere Unternehmen sind nach der Zahlung von Lösegeld eher in der Lage, den Betrieb wieder aufzunehmen, weil sie den Verlust von Kapital und Service eher verkraften können. Aber wenn so ein Schlag kleinere oder Kleinstunternehmen trifft, sind sie aus dem Geschäft – und zwar schnell. 

Die andere Kategorie könnte den Titel „Unter falschem Namen“ tragen. Beim Identitätsdiebstahl haben es die Kriminellen ganz gezielt auf den Menschen abgesehen, das schwächste Glied in der Kette der Cybersicherheit. CISOs erleben derzeit, wie die klassischen Formen von Social Engineering mit KI- und ML-Technologien geschärft und mit „weichen“ Erkenntnissen aus Psychologie, NLP (Neuro-Linguistischem Programmieren) und Verhaltenswissenschaften unterfüttert werden. Sind dann Zugang und Rechte erst einmal kompromittiert, eröffnet sich den Identitätsdieben ein noch weiteres Feld von Social Engineering, Phishing, CEO Fraud, Whaling etc., wobei sie gelernt haben, menschlichen Reaktionen auszuweichen, und die funktionale Polymorphie auf eine ganz neue Stufe heben. Diese Verschleierungstechniken könnten in Kombination mit KI und ML in einer nicht allzu fernen Zukunft viele Sicherheitstools obsolet machen.

Von der technologischen Entwicklung profitieren beide Seiten

Ebenso wie die Unternehmen unserer Befragten die Früchte des technologischen Wandels ernten, so tun dies auch die Angreifer. Fortschritte in der Automatisierung und neue Möglichkeiten der Fremdwertschöpfung, z. B. durch Missbrauch von Infrastruktur zu Kryptomining, machen ihre Raubzüge noch profitabler. Unsere Interviewpartner vermuten, dass fortschrittliche Bedrohungsakteure aufmerksam verfolgen, wie die Industrie 4.0, Smart Homes und moderne Büros allesamt IoT-, Mobil- und Next-Generation-Geräte einsetzen. Sie mutmaßen, dass hoch entwickelte OCGs bereits in der Lage sind, Machine Learning zu manipulieren und in die Steuerung automatisierter Fertigungsabläufe einzugreifen. Oder dass sie massenhaft Bots in die Welt setzen, wie es mit dem Mirai-Botnetzen aus Privat- und Bürogeräten möglich ist, damit Unternehmen angreifen und so letztlich die erhofften Vorteile der Digitalisierung wieder zunichtemachen. 

„Sie werden sich mehr mit KI/ML befassen und ihre Prozesse verbessern, um es den Leuten leichter zu machen, Angriffe zu starten. Mit einem Cloud-Modell für kriminelle Unternehmen (Damage as a Service usw.).“ 

- Marc Ashworth, SVP, CISO, First Bank

Schließlich bereitet auch Quantencomputing einigen CISOs ernsthafte Sorgen. Quantencomputer würden die Zeit, die erforderlich ist, um die Rechenaufgaben hinter der derzeitigen Kryptografie zu lösen, gewaltig reduzieren. Sobald dies möglich wird, ließe sich nach Ansicht der CISOs jede beliebige Organisation aushebeln, und alle bisherigen Bemühungen um Cybersecurity wären hinfällig. 

Frage #4

Hat die Menge der Angriffe, die direkt/ indirekt auf Mitarbeiter abzielen, zugenommen?

Für Cyberakteure sind die Beschäftigten immer noch der primäre Angriffsvektor

Für fast drei Viertel (71%) der CISOs ist der Angriffsvektor Mensch nach wie vor eine der größten Sorgen. 

„Ständig unter Beschuss; 95% der Angriffe sind Phishing und Tricksereien mit Anwendern.“ 

- Ian Dudley, IT Director, DriveTech

Die Befragten räumen ein, dass Cyberkriminellen eine viel größere Angriffsfläche zur Verfügung steht. Sie berichteten von ausgefeilteren Angriffen auf Mitarbeiter über soziale Kanäle, wo persönliche Daten öffentlich zugänglich sind. Dass so viele Personen blind dafür sind, dass Cyberkriminelle das soziale/persönliche Leben eines Mitarbeiters in den sozialen Medien mit seiner geschäftlichen Rolle in Verbindung bringen können, erscheint den CISOs weiterhin erstaunlich. 

„Die Angreifer finden über die sozialen Medien heraus, wer wo im Unternehmen arbeitet.“ 

- Leo Cronin, CSO, Cincinnati Bell

Bei Social-Engineering und Phishing-Attacken nehmen die Angreifer mit den Mitarbeitern Kontakt auf und verleiten sie dazu, auf einen täuschenden, aber vertraut wirkenden Weblink zu klicken – und schon ist der Angriffsvektor aktiviert. Und niemand ist davor gefeit. Selbst CISOs aus der Finanzbranche berichten von einer größeren Anzahl von CEO-Fraud-/BEC-Versuchen, die Mitarbeiter dazu bringen sollten, falsche Rechnungen zu zahlen oder Überweisungen auszuführen, die scheinbar vom CFO oder vom Einkaufsleiter stammen. Auch hier widerlegen die CISOs aber die These, dass es in den letzten zwölf Monaten mehr Cybervorfälle gegeben habe: Die Mehrheit der Massen-Phishings vom Typ Gießkanne – bei einem der Befragten legte diese Angriffsform um 400% zu – wird weiterhin von E-Mail-Schutz und Anti-Phishing-Sicherheitsprodukten abgefangen.

„600% mehr Angriffe, könnte noch mehr sein ... wir haben einen Anstieg von 400% bei den Angriffen auf Mitarbeiter erlebt.“ 

- March Ashworth, SVP, CISO, First Bank

Aber es genügt nicht, zweifelhafte E-Mails in die Quarantäne zu leiten. CISOs müssen darauf vertrauen können, dass E-Mail-Sicherheitstools verdächtige E-Mails sofort in eine Sandbox-Umgebung verschieben, in der anomale Links oder ausführbare Dateien (die versteckte Malware enthalten) erkannt werden können. Ohne Sandboxing müssen Unternehmen harte Quarantäneregeln noch besser implementieren, damit die Anwender potenzielle Schadlinks gar nicht erst zu Gesicht bekommen, sonst bleibt das Risiko bestehen. 

Frage #5

Hat die Anzahl der Angriffe zugenommen, die darauf abzielen, den Geschäftsbetrieb zu stören?

Ein Drittel (32%) der befragten CISOs vergab Werte von 5 bis 10 und konstatierte damit eine Zunahme der direkten Angriffe auf ihre Geschäftsabläufe.

Die am deutlichsten erkennbaren Angriffe zielen auf Anwendungen, die über das Internet erreichbar sind, sowie auf die Netzwerke selbst. Weil digitale Kanäle immer wichtiger werden – ob zum Wissenserwerb oder zum Einkauf –, haben auch auf Online-Portalen die kriminellen Aktivitäten zugenommen, die Mitarbeiter ins Visier nehmen. So müssen CISOs gegen Nachahmungen ihrer Webportale vorgehen, mit denen Kriminelle die Benutzer umleiten, um dann Passwörter, persönliche Informationen und Finanzdaten abzugreifen. 

Die zunehmende Implementierung mehrschichtiger Verteidigungsmaßnahmen (Defense in Depth) hat zu einer Steigerung der Effektivität der Sicherheitsinfrastruktur geführt, wovon alle übrigen Bereiche des Geschäfts profitieren. Dies stützt die Beobachtung, dass es zwar andauernd Angriffe auf das Unternehmen gibt, dass aber nur sehr wenige davon tatsächlich zu Vorfällen werden. Insofern unterscheiden sie sich von den Angriffen gegen Personen, welche aus Sicht der Angreifer als leichtere Ziele dastehen. 

„Die Ablenkung durch Sicherheitsvorfälle kann man gar nicht ernst genug nehmen, vor allem weil die geopolitischen Spannungen zunehmen. Wir gehen davon aus, dass es mehr Angriffe auf den Geschäftsbetrieb geben wird.“ 

- Matt Stamper, CISO, Evotek

Alle derartigen Cyberangriffe, inklusive derjenigen, die zu tatsächlichen Vorfällen führen, konzentrieren sich auf Websites, Online-Portale oder das Unternehmensnetzwerk, das die kritische Infrastruktur für Kommunikation und Datenfluss darstellt. Sonstige gezielte Angriffe auf das Unternehmen sind in erster Linie auf Datendiebstahl oder finanzielle Vorteile gerichtet. Diese Attacken können dem Unternehmen schaden, aber nicht den Betrieb zum Stillstand bringen.

Diejenigen CISOs, die Angriffe auf den laufenden Betrieb und entsprechende Vorfälle erlebt haben, nennen ein breites DDoS-Spektrum als primären Hebel. Solche Angriffe zielen darauf ab, die effiziente Nutzung von Internet-Diensten vorübergehend unmöglich zu machen, die interne Kommunikation zu behindern und den Datenfluss zu unterbrechen. Die CISOs berichten auch von DDoS-Scheinangriffen, mit denen die Sicherheits- und Netzwerkteams von anderen Malware- oder Ransomware-Infektionen abgelenkt werden sollen. 

„Ransomware unterbricht den Geschäftsbetrieb, genau wie DDoS-Angriffe, die zunehmend ein Problem darstellen. Aber wir müssen besser verstehen, ob es sich um einen echten Angriff oder um ein IT-Problem (Bug) handelt.“ 

- Mauro Israel, Corporate CISO, ORPEA Group

Viele CISOs sind der Überzeugung, dass sie bei einer weiteren Zunahme der geopolitischen Spannungen mehr Angriffe erleben werden, die sich direkt auf den laufenden Geschäftsbetrieb richten und darauf abzielen, die wirtschaftliche Leistungsfähigkeit des betreffenden Landes zu schwächen. Die CISOs heben hervor, dass die Absicht hinter einem Sicherheitsvorfall niemals unterschätzt werden sollte. Viele Befragte glauben, dass sie mit ihrer Sicherheitsarchitektur der kriminellen Absicht, den Geschäftsbetrieb lahmzulegen, effizient begegnen können. Allerdings bleibt den CISOs in den meisten Fällen der „letzte Grund“ für die Handlungen der Cyberakteure doch verborgen. 

„DDoS mit flankierenden Angriffen zielt auf totale Zerstörung.“ 

- David Lello, CISO, Burning Tree

Frage #6

Waren Sie schon von Angriffen betroffen, die indirekt über Geschäftspartner kamen?

Was Angriffe über Geschäftspartner betrifft, ergibt sich bei den CISOs kein einheitliches Meinungsbild.

So sagten nur 28% der Befragten, die Werte zwischen
7 und 10 vergaben, dass sie irgendwelche erkennbaren Schäden durch Angriffe über externe Geschäftspartner davongetragen hätten; zugleich gaben 64% der CISOs Punktzahlen zwischen 1 und 4 als Antwort, was darauf schließen lässt, dass sie zwar sporadische Angriffe erlebt haben (bei denen Geschäftspartner als Quelle ausgemacht wurden), dass davon aufgrund der eingesetzten Sicherheitstools aber nur sehr wenige erfolgreich waren. 

„Wir sind verstärkt gegen Social Engineering und Spoof-E-Mails vorgegangen, bei denen ein Angreifer sich als vertrauenswürdige Instanz ausgibt.“ 

- Nathan Reisdorff, CIO, New England Law

Es überrascht kaum, dass die Mehrheit der Angriffe als Mittel der Wahl die E-Mail-Accounts von Geschäftspartnern oder Kunden nutzt: Über ein kompromittiertes Konto, das dem Unternehmen als vertrauenswürdig gilt, werden Social-Engineering-Angriffe mit Phishing und Spoofing lanciert. Manche CISOs berichten auch von BEC-/CEO-Fraud-Versuchen über Geschäftspartner. Dann sind die Partner meist zu Cloud-Anwendungen migriert und haben es versäumt, alle erforderlichen Sicherheitskontrollen zu implementieren, sodass Verbindungen zu anderen Unternehmen offen und ungesichert blieben.

Wenn die Anzahl der Netzwerkverbindungen zu Partnern zunimmt, bürdet dies den CISOs eine erhebliche Verantwortung auf. Es braucht dann im Vorfeld der Zusammenarbeit mehr einvernehmliche Due Diligence zwischen den Parteien, damit sichergestellt ist, dass die Basics eingehalten werden. Das bedeutet verpflichtende Vereinbarungen zu Sicherheitsaudits, Penetrationstests, Multifaktor-Authentisierung und Echtzeittests auf häufige Schwachstellen und Anfälligkeiten (CVE). Regelmäßige wechselseitige Kommunikation und sogar parteiübergreifende Audits sind unerlässlich, um sicherzustellen, dass alle Seiten zur Zufriedenheit der jeweiligen CISOs angemessen sicherheitsgehärtet sind. 

"Eine große Sorge ist, dass viele Geschäftspartner nicht gut genug geschützt sind. Ordnen Sie Due-Diligence-Prüfungen für alles an, was von IT-Firmen gekauft wird, bestehen Sie auf Security-Audits für alle Partner.“ 

- Mauro Israel, Corporate CISO, ORPEA Group

Frage #7

Wo würden Sie die Motive von Cyberkriminellen in Bezug auf Ihr Unternehmen verorten?

Jeder CISO weiß, dass das erste Ziel von Kriminellen die finanzielle Bereicherung ist

Unsere CISOs haben allerdings erkannt, dass der Erstangriff nicht unbedingt zur finanziellen Motivation passen muss. Zwar sind alle Unternehmen auf Daten angewiesen, doch den Wert dieser Daten schätzen Cyberkriminelle bei jeder Branche anders ein. Das Feedback der Befragten ist hier geteilt: 77% der CISOs sehen unmittelbaren Geldgewinn als Motivation der Angreifer. Die übrigen 23% liegen deutlich niedriger als der Punktedurchschnitt von 7,4, was darauf hindeutet, dass sie die Motivation der Täter eher im Datendiebstahl sehen.

Heutzutage sind Cyberkriminelle auf Sofortgewinn aus. Sie wählen direktere Angriffsvektoren wie DDoS und Ransomware und fordern unverzügliche Zahlung. Der Effekt ist hier direkter, verglichen mit dem klassischer Methoden der Finanzkriminalität, bei denen Daten gestohlen oder im Dark Web veröffentlicht werden und die Erpresser mit Konsequenzen drohen, falls das Unternehmen kein Lösegeld zahlt oder sich anderweitig als willfährig erweist (Websites vom Netz nimmt, die Zusammenarbeit mit Behörden beendet usw.).

Wenn Systeme und Verbraucher betroffen sind, ist der sofortige und direkte Einsatz sowohl von Sicherheitstools als auch von Spezialisten geboten, damit der Schaden möglichst gering bleibt und das Unternehmen nicht noch weiter entblößt wird. Die Erfahrung hat gezeigt, dass die Cyberakteure auch nach Zahlung keineswegs immer die Netzwerke freigeben oder die Entschlüsselung ermöglichen. Jeder Angriff ist kriminell, und skrupellose Cybergangster halten sich an keinen Ehrenkodex, sobald sie erreicht haben, was sie wollten. 

„Ich sehe zwei Motive: 1. Geld, ob 100 Dollar oder 30.000 Dollar; 2. Botnets aufziehen und andere Unternehmen angreifen.“ 

- Nathan Reisdorff, CIO, New England Law

Teuer für den Schaden bezahlt

Möglichst direkte Zahlungen hat auch ein anderer, offenbar verstärkt genutzter Angriffsvektor zum Ziel, bei dem Überweisungen unmittelbar ausgelöst oder umgeleitet werden: BEC bzw. CEO Fraud. In der Regel läuft das als Betrug per Social Engineering. Weitere Fälle, von denen berichtet wird, nutzen illegal erlangtes Insiderwissen, mit dem Cyberakteure dann vor angekündigten oder beabsichtigten Fusionen bzw. Übernahmen den Unternehmenswert manipulieren.

Wenn Cyberkriminelle bezahlt werden, dann sorgt das für zusätzlichen Stress bei den CISOs, weil sie wissen, dass ihr Unternehmen, ihre Versicherungspartner und Vermittler sich jetzt auf einem schmalen Grat bewegen. Da immer mehr Regierungen Warnungen vor Ransomware-Zahlungen an Personen und Organisationen aussprechen, die Sanktionen unterliegen, riskiert das Unternehmen dreifachen Schaden: durch den Umsatzverlust beim Angriff, durch die Lösegeldzahlung an die Kriminellen und durch eine Geldstrafe wegen Sanktionsverletzung. Unwissenheit, wer genau mit Sanktionen belegt ist und wer nicht, ist keine gute Ausrede. 

Frage #8

Hat sich Ihre Vorstellung von guter Security in den letzten beiden Jahren geändert?

Wohlgesicherte Unternehmen sind als solche definiert, deren Sicherheitsmaßnahmen an ihrer Risikotoleranz ausgerichtet sind.

Die 71% der CISOs, die den Durchschnittswert von 5,8 oder mehr Punkte vergaben, sagen damit, dass sich ihre Vorstellung von guter Sicherheit teilweise oder grundsätzlich verändert hat. Wenn die CISOs ihre Bewertungen jedoch im Zusammenhang erläutern, zeigen sich zwei gegensätzliche Fraktionen. 

„Früher waren Sicherheitstools, -verfahren und -initiativen ziemlich spezifisch. Aber jetzt geht es mehr um grundlegende Praktiken, die sich ins gesamte Unternehmen integrieren und skalieren lassen.“ 

- Simon Goldsmith, APAC Information Security Officer, Adidas

Die eine Fraktion besteht aus 29%, die der Ansicht sind, dass gute Sicherheit im Grunde immer noch dasselbe wie immer ist: konzentriert auf eine risikobasierte Abwägung und nicht ausschließlich auf Technologie fixiert. Diese Gruppe findet, dass man seine Umgebungen vernünftig im Auge behalten und starke Sicherheitsgrundlagen setzen bzw. die Cyberhygiene forcieren muss, wenn man Security mit gesundem Menschenverstand angeht und akzeptiert, dass der Mensch immer das schwächste Glied in der Sicherheitskette bleiben wird. 

„Keine wirkliche Veränderung; ich habe schon immer an den Secure-by-Design-Ansatz geglaubt, und der ist weiterhin hilfreich.“ 

- Chani Simms, CISO, SHe CISO Exec

Die CISOs kamen dabei immer wieder auf das menschliche Element zurück und betonten, wie wichtig es sei, dass Mitarbeiter und Verbraucher mehr persönliche Verantwortung für ihr Handeln übernehmen. 

Die andere Fraktion ist der Überzeugung, dass sich die Vorstellungen von guter Security intern zum Positiven verändert hat, weil mehr Kollegen und Mitarbeiter einsehen, wie wichtig Cybersicherheit ist. Vieles davon ist durch Schulungen auf dem richtigen Niveau erreicht worden – und durch ein geschärftes Bewusstsein dafür, was an Sicherheitsvorfällen alles möglich ist. Von Vorteil sind ein starker Ansatz bei Menschen, Prozessen und Technologien sowie das Prinzip „Secure by Design“. Diese Gruppe von CISOs findet sich gut aufgestellt und ist überzeugt, dass sie sich kontinuierlich mit Angriffen und Vorfällen auseinanderzusetzen kann, ohne sich durch flüchtige Trends und Hypes ablenken zu lassen. 

„Meine Überzeugung hat sich grundlegend geändert. Es ist jetzt der Endpunkt, der entscheidend ist. In der Vergangenheit war es der Perimeter.“ 

- Mauro Israel, Corporate CISO, ORPEA Group

Eine starke Botschaft aller CISOs kam aus der Überzeugung, dass sie und ihre Teams mehr Verantwortung für alle Cybervorfälle übernehmen müssen, die das Unternehmen betreffen, und dass sie akzeptieren, dass ein Mitverschulden beim Sicherheitsteam liegen kann. Im Mittelpunkt steht dabei die Einsicht, dass es bei guter Sicherheit darum geht, auf welche Art und Weise man etwas tut, und weniger darum, was man tut.

Die allgemein gestiegene Wertschätzung und der größere Einfluss von Cybersicherheit hat dazu geführt, dass CISOs heute mit einer größeren Bandbreite von Abteilungen, Partnern und externen Stellen (z. B. Regulierungsbehörden) interagieren und dass insgesamt mehr auf dem Spiel steht, wenn es darum geht, für Sicherheit zu sorgen. In der Vergangenheit gab es nur ganz wenige Spezialisten, die sich mit Sicherheit befassten, aber nicht zum Security-Kernteam gehörten; jetzt gibt es viele neue Disziplinen, die es zu berücksichtigen gilt, darunter DevSecOps, App-Sicherheit, Cloud-Sicherheit oder IoT-Sicherheit. 

„Es geht um den guten alten gesunden Menschenverstand. Wenn Sie sich ein gesundes Bewusstsein für Ihre Umgebung bewahren, müssen Sie nicht auf Kontodaten-E-Mails etc. reagieren.“ 

- Todd Gordon, Director, Information Security, EisnerAmper LLC

Die Grenzen der Informationssysteme haben sich verschoben und sich durch die Auslagerung der Abläufe in die Cloud ganz aufgelöst. In solchen Systemen ohne Perimeter kommen die Bedrohungen „aus dem Inneren“ des neuen Netzwerks. Cloud-Services, mobile Arbeit und neue Digitalisierungsprojekte haben dazu geführt, dass Sicherheit jetzt quer durchs Unternehmen in ganz neuen Dimensionen bewältigt werden muss. 

„Die Grenzen der Informationssysteme haben sich durch die Cloud-Auslagerung verschoben, sodass die Bedrohung ‚im Inneren‘ des Netzwerks zugenommen hat. Wir müssen die ‚Kerninfrastruktur‘ schützen: Active Directory, Hypervisoren, Backups usw.“ 

- Florent Cottey, Operational CISO

Die CISOs heben außerdem die größere Bedeutung der Endpunkte hervor – im Gegensatz zum klassischen Perimeter-Fokus auf den Netzwerkrand. Diese Befragten blicken auch über den Tellerrand der Gegenwart hinaus und überlegen sich, was gute Sicherheit in der Zukunft leisten muss. Ihnen ist klar, dass gute Sicherheit die Latte höher legen muss, seit stärker entwickelte Bedrohungen und staatliche Akteure bzw. Terroristen mitmischen, die fähig sind, ein Unternehmen komplett zu zerstören. Hinzu kommt, dass ausgereiftere Sicherheitstools und -fähigkeiten, die kürzere Reaktionszeiten und eine proaktive Abwehr von Cyberangriffen verheißen, leichter zugänglich sind, z. B. Bedrohungsanalysen, Isolationstechniken oder biometrische Kontrollen.

Seit CISOs Cybersicherheit nicht mehr nur aus technologischer Perspektive sehen und sich die Einstellung gegenüber Security-Frameworks wie MITRE ATT&CK geändert hat, ist das Vorgehen strukturierter geworden und macht Lücken in der Sicherheitsaufstellung sichtbar, die Kriminelle ausnutzen könnten. Dies ermutigt die Sicherheitsteams, die Effektivität von Cybersicherheit unter den Aspekten sowohl von Technologie als auch von übergreifend-gemeinschaftlichen Best Practices zu betrachten. 

Aus der Sicht von F-Secure Countercept

Wenn es so etwas wie ein Cybercrime-Ökosystem gibt, dann blüht und gedeiht es. Es ist heute viel von einem Dienstleistungssektor für Cyberkriminalität die Rede – und es gibt mehr als genug Beweise dafür, dass es ihn gibt.

Neue und alte Bedrohungsakteure sind durch Servicemodelle und Verbindungen untereinander operativ effektiver geworden; sie sind nun in der Lage, ausgereifte Angriffswerkzeuge und Offensivwissen gemeinsam zu nutzen. Ein weiterer Anreiz ist das schnelle Geld: Der sichtbare Erfolg von Ransomware-Attacken und Erpressungen hat dazu geführt, dass mehr Kriminelle ihre Aufmerksamkeit auf diesen Bereich richten und sich von anderen Formen der Internetkriminalität abwenden.

Wer sich als Verteidiger auf ein teures Wettrüsten einlässt, bleibt vermutlich auf der Höhe der Technik. Gleichwohl sind wir der Ansicht, dass eine engere Zusammenarbeit von Unternehmen bei der Bekämpfung gemeinsamer Bedrohungen auf längere Sicht das beste Preis-Leistungs-Verhältnis ergibt. 

Der Stand der Dinge

Wir gehen davon aus, dass Phishing bei den Bedrohungsakteuren beliebt und auch ertragreich bleiben wird. Social Engineering funktioniert, weil die menschliche Natur so ist, wie sie ist; Phishing macht damit Beute. Auf schädliche E-Mail-Inhalte wird letztlich immer jemand hereinfallen.

F-Secure schlägt eine Reihe von Ansätzen zur Risikominimierung vor:

  • Technische Lösungen können offensichtlich schädliche E-Mail-Inhalte herausfiltern, bevor sie die Anwender erreichen, sodass diese nie in Verlegenheit kommen, darauf zu reagieren. Helfen können hier Sandboxing, Reputationsanalysen und eine Reduzierung der Angriffsfläche durch das Blockieren ungewöhnlicher Dateiformate.
  • Mitarbeiterschulungen sind der Dauerbrenner. Eine gut informierte Belegschaft versteht besser, welche Schlüsselrolle sie bei der Sicherheit spielt. Aber die Schulung muss mehr sein als „Nicht auf den Link klicken!“. Sie sollte zeigen, dass es wichtig ist, verdächtige Links zu melden, damit die SecOps-Teams andere Mitarbeiter ausfindig machen können, die den Link ebenfalls erhalten haben, und jede daraus resultierende Kompromittierung eingrenzen können.
  • SaaS- und Endpunkt-Erkennung reduziert die Folgen (und damit die Kosten) jedes Eindringens infolge von schädlichen E-Mail-Inhalten. Die wahren Kosten für das Unternehmen entstehen nicht durch die Interaktion mit dem Schadcontent, sondern danach. 
  • Die CISO-Interviews fanden vor den SolarWinds-/ Solorigate-Vorfällen statt – heute würden die Antworten zum Thema Partner und Supply Chain wohl anders ausfallen. Angriffe auf die Lieferkette werden weiterhin relevant sein, aber höchstwahrscheinlich nur für Unternehmen, die stark unter Beschuss genommen werden, ein spürbares Risiko darstellen.
  • Die Einführung von Cloud- und anderen Technologien hat die Konzepte von „guter Sicherheit“ verändert und wird dies auch weiterhin tun. Ein Prinzip von Technologie – und ihrer Absicherung – ist ständige Veränderung und Entwicklung. Daher ist es wichtig, dass CISOs und Unternehmen sich über die neuesten und besten Orientierungshilfen auf dem Laufenden halten, anstatt auf überholten strategischen Standpunkten zu beharren – dies haben die Befragten in Kapitel 1 betont. Unternehmen, die unter diesen Bedingungen erfolgreich bleiben, sind agil und können auf Veränderungen reagieren. Ihre Chancen stehen besser als die derjenigen, die Schwierigkeiten haben, Branchenentwicklungen zu kommunizieren und danach zu handeln. 
  •  

Vom Beuteschema zum Informationsaustausch

Die Zusammenarbeit, durch die feindliche Akteure ihre Angriffsfähigkeiten verbessern, gibt ein Beispiel – wenn auch ein recht düsteres – dafür, wie Verteidiger vorgehen sollten, um ihre eigenen Technologien, Taktiken und Verfahren zu schärfen. Früher einmal funktionierte vielleicht die Verteidigungsstrategie, bessere Schutzmaßnahmen als der Nachbar zu haben, doch diese Zeiten sind längst vorbei. Solange Cybersecurity eine Übung in Tempo und Ressourcen war, waren nur diejenigen Beute, die nicht mit der Herde mithalten konnten. Das Prinzip „Survival of the Fittest“ (oder zumindest die Kunst, sich in der Herde zu verstecken, wenn die Räuber an den Rändern zuschlugen) gilt nicht mehr, wenn die Angriffe gezielt erfolgen. Dann kann aktive Zusammenarbeit einen gewaltigen positiven Unterschied ausmachen.

Die Zusammenarbeit von Verteidigern ist in diesem Umfeld fast nie ein Nullsummenspiel; es ist auch bemerkenswert, dass Angreifer oft Informationen über Ziele, Techniken und Technologien teilen oder damit handeln. Eine vergleichbare Art des Informationsaustauschs wird z. B. von Finanzinstituten schon praktiziert und hilft der Branche, erfolgreich gegen organisierte Angreifer, Betrüger und Geldwäscher vorzugehen. 

Managed Threat Hunting Service, 24x7, mit F-Secure Countercept

Zur Methodik

Autor dieser von F-Secure publizierten Studie ist Kevin Bailey, Vorgehen unabhängiger Cybersicherheitsanalyst von Synergy Six Degrees im Auftrag von Omnisperience. Finanziert wurde dieser Report von F-Secure, alle Interviewpartner haben aus freien Stücken dazu beigetragen. Die qualitativen Interviews wurden ohne Einfluss von Sponsorseite geführt. Die gesamte redaktionelle Kontrolle lag beim Autor. 

Interviews

Zwischen Juli und September 2020 wurden 28 Interviews geführt, 23 davon als Einzelgespräche, fünf Befragte gaben ihre Antworten auf Fragebögen ab, alle auf vertraulicher Basis. Der Auftraggeber hatte zu keinem Zeitpunkt Kenntnis von der vollständigen Liste der Interviewpartner. Alle Zitate und Zuschreibungen wurden vom Autor nach Abschluss aller Interviews eingeholt. Diese Vorgehensweise wurde gewählt, damit die Befragten freimütig antworten konnten.

Aufbau und Vorgehen bei der Befragung wurden so gestaltet, dass Befangenheiten vermieden wurden, und wo die Gefahr einer solchen bestand, wurde dies im Interview ausdrücklich angesprochen. Nur drei der Befragten waren zum Zeitpunkt der Studie bereits Kunden von F-Secure. Jedes Interview dauerte mindestens eine Stunde, die meisten davon etwa 90 Minuten, viele führten zu Folgegesprächen, in denen die Ergebnisse der Untersuchung diskutiert wurden. 

Kohorte

Die Auswahl der Interviewpartner wurde nach Fachkenntnis getroffen, und zwar so, dass sich ein ausgewogenes Set von Inputs ergab. Der Autor stand in keinerlei geschäftlicher Beziehung zu den Interviewpartnern. Den Teilnehmern wurde versichert, dass der Report ihre Antworten weder direkt noch indirekt so darstellt, als würden sie Sponsorprodukte oder -Services empfehlen oder diskutieren.

Die mit der Kohorte abgedeckten Rollen umfassen CISOs (oder gleichwertige Titel), Heads of Cyber Security, Directors of Information Security und Heads of Threat Intelligence. Finanzdienstleister sind die am stärksten vertretene Teilgruppe. 

Vorgehen

28 qualitative Interviews, gestützt durch ausgewählte quantitative Datenpunkte, um dem Forschungsgegenstand konkreten Realitätsbezug zu sichern. 

    Erhebungszeitraum

    Juli bis September 2020

Geografie
Europa - 14
USA - 14

Branchen

Finanzwesen
Energie
Rohstoffhandel
Dienstleister
Fertigung
Maschinenbau
Gesundheitswesen
Bildungswesen
Digitale Plattformen • Telekommunikation • Cybersicherheit
Buchhaltung
Lebensmittel 

Titel
CISO - Chief Information Security Officer
CSO - Chief Security Officer
CIO - Chief Information Officer
Director of Security & Privacy
Director IM and Security
Director Information Security
IT Director
IT Security Manager

Referenzen

Kapitel #1

Führungsposition Effektive Security

Die wichtigsten Prioritäten der Studienteilnehmer in den letzten 18 Monaten

Jetzt lesen

Kapitel #2

Ein Reality Check

Mehr Anerkennung und Verantwortung sind prima, aber mit dabei ist eine ganze Menge neuer Herausforderungen.

Jetzt lesen

Kapitel #4

Cyber beeinflusst den Wandel

Wie veränderte Bedrohungen Unternehmen und CISO zum Wandel zwingen

Jetzt lesen