Phishing & Social Engineering sind Top-Themen für Black-Hat-Teilnehmer

Share with your network!

Phishing&SocialEngineeringTopConcernsForBlackHatAttendees.jpg

Black Hat USA 2017 beginnt am 22. Juli in Las Vegas und wird wieder einige der erfahrensten IT-Sicherheitsexperten der Welt anziehen. Anfang dieses Monats veröffentlichten die Black-Hat-Organisatoren in ihrem Bericht Portrait of an Imminent Cybersecurity Threat die Ergebnisse ihrer dritten jährlichen Umfrage unter den Teilnehmern. Im Folgenden beleuchten wir einige der wichtigsten Ergebnisse des diesjährigen Berichts und vergleichen sie mit den Ergebnissen von 2016.

Die Black-Hat-Umfrage besagt... 

Bei der Black-Hat-Teilnehmerumfrage 2017 wurden die Antworten von 580 IT-Sicherheitsexperten (einschließlich Management und Personal) ausgewertet, von denen 66% für Unternehmen mit 1.000 oder mehr Mitarbeitern arbeiten. Die diesjährige Umfrage hatte mehr als doppelt so viele Befragte wie 2016 und deckte auch neue Bereiche ab, einschließlich Überlegungen zu Risiken für kritische Infrastrukturen in den USA, nationalstaatliche Bedrohungen der Cybersicherheit und Risiken für Durchschnittsverbraucher. Wie es auf der Titelseite des Berichts heißt: „In den meisten Fällen sind die Angegriffenen nicht vorbereitet.“

Sind Sie auf dem Weg zu Black Hat USA 2017? Kommen Sie vorbei und besuchen Sie uns am Stand #1660! Lesen Sie vorher die Ratschläge unserer Cybersicherheitsexperten und erfahren Sie, wie Sie Ihre Daten und Geräte während der Messe sicher aufbewahren können.

 

Erwartete Verstöße; Budgets, Personal und Fähigkeiten fehlen weiterhin

Die Infosec-Fachleute haben eine relativ düstere Perspektive, wenn es um Verstöße, Budgets, Personal und Fähigkeiten geht:

  • 67% der Befragten gaben an, dass sie sich in den 12 Monaten nach der Umfrage wahrscheinlich mit einer „größeren Sicherheitsverletzung“ auseinandersetzen müssen, wobei 13% sagten, es bestehe „kein Zweifel“, dass sie mit den Folgen einer größeren Sicherheitsverletzung konfrontiert sein würden. Dies waren minimale Verringerungen im Vergleich zu 2016 (72% bzw. 15%).
  • 60% stimmen zu, dass es innerhalb der nächsten zwei Jahre einen erfolgreichen Cyberangriff auf kritische Infrastrukturen in den USA geben wird; nur 2% waren der festen Überzeugung, dass dies nicht geschehen würde. (Diese Frage wurde 2016 nicht gestellt).
  • 58% gaben an, dass ihre Abteilungen nicht über ausreichend Budget verfügen, um den aktuellen Bedrohungen zu begegnen (gegenüber 63% im Jahr 2016).
  • 20% gaben an, dass sie durch Budgetrestriktionen „stark behindert“ werden (knapp unter den 21% von 2016).
  • 71% der Befragten gaben an, dass ihr Unternehmen nicht über genügend Personal verfügt, um sich gegen aktuelle Bedrohungen zu verteidigen (gegenüber 74% im Jahr 2016).
  • 61% (gegenüber 57% im Jahr 2016) gaben an, dass sie zwar die meisten Aufgaben bewältigen können, sie jedoch mehr Schulungen benötigen, um mit aktuellen Bedrohungen umzugehen und alle erforderlichen Aufgaben zu erfüllen.

Die Ausrichtung der Ziele bleibt ein Problem

Wie im letzten Jahr gaben die meisten Befragten an, dass der Mangel an qualifizierten, gut ausgebildeten Mitarbeitern der Hauptgrund für das Scheitern von IT-Strategien und -Technologien in Unternehmen ist (der Prozentsatz sank jedoch auf 31% gegenüber 37% in 2016). Und es ist wahrscheinlich keine Überraschung, dass die Befragten sagten, anfällige und nachlässige Endnutzer seien das „schwächste Glied in der heutigen Verteidigung von IT-Unternehmen“, wobei dieser Wert von 28% im Jahr 2016 auf 38% in der diesjährigen Umfrage stieg.

Aber die ganze Schuld kann nicht auf die derzeitigen Mitarbeiter (oder deren Fehler) geschoben werden. Besorgniserregend sind auch die 19% der Befragten, die angaben, dass „mangelndes Engagement und mangelnde Unterstützung seitens des Top-Managements“ der Hauptgrund dafür ist, dass es Unternehmen nicht gelingt, eine kohärente, erfolgreiche Cybersicherheitsstrategie zu entwickeln. Obwohl es im Vergleich zu den Ergebnissen des letzten Jahres Verbesserungen gibt, haben die Infosec-Teams immer noch Mühe, unternehmensweite Unterstützung zu erreichen:

  • 42% der Befragten (im Vergleich zu 35% im Jahr 2016) gaben an, dass Nicht-Sicherheitsexperten in ihrem Unternehmen die IT-Sicherheitsbedrohungen verstehen, denen das Unternehmen ausgesetzt ist.
  • 33% sagen, dass diejenigen, die dies verstehen, die Sicherheitsbemühungen unterstützen. Im letzten Jahr lag dieser Wert bei 25%.
  • 13% der Befragten gaben an, dass diejenigen, die außerhalb ihrer Abteilung tätig sind, meist „ahnungslos“ sind (gegenüber 17% im Jahr 2016).

 

Die vielleicht interessantesten Ergebnisse ergeben sich bei der Auswertung der Antworten auf drei verschiedene, aber verwandte Fragen:

  1. Welche der folgenden Bedrohungen und Herausforderungen bereiten Ihnen die größten Sorgen?
  2. Welche beanspruchen an einem durchschnittlichen Tag den größten Teil Ihrer Zeit?
  3. Welche sind für die obersten Führungskräfte oder das Management von größter Bedeutung?

Die folgende Tabelle zeigt die acht häufigsten Antworten auf jede dieser Fragen in der Umfrage von 2017 sowie Vergleichsdaten aus dem Jahr 2016. (Hinweis: Bei jeder Frage waren maximal drei Antworten erlaubt).

Größte Sorge der Befragten
(2017, 2016)?

Zeitaufwendigste Aktivität pro Tag (2017, 2016)?

Größte Sorge der Führungskräfte/Management (2017, 2016)?

Phishing, Ausnutzung sozialer Netzwerke oder andere Formen des Social Engineering (50%, 46%)

Phishing, Ausnutzung sozialer Netzwerke oder andere Formen des Social Engineering (35%, 25%) 

Raffinierte Angriffe, die sich direkt gegen das Unternehmen richten (34%, 33%)

Raffinierte Angriffe, die sich direkt gegen das Unternehmen richten (45%, 43%)

Das Bemühen, die Sicherheitshaltung und/oder das Risiko meines Unternehmens genau zu messen (35%, 35%) 

Das Bemühen, mein Unternehmen in Übereinstimmung mit den Sicherheitsrichtlinien und Vorschriften der Industrie zu halten (30%, 28%)

Versehentliche Datenlecks durch Endbenutzer, die sich nicht an die Sicherheitsrichtlinien halten (21%, 15%) 

Das Bemühen, mein Unternehmen in Übereinstimmung mit den Sicherheitsrichtlinien und Vorschriften der Industrie zu halten (32%, 32%) 

Phishing, Ausnutzung sozialer Netzwerke oder andere Formen des Social Engineering (28%, 24%)

Polymorphe Malware, die sich signaturbasierten Abwehrmechanismen entzieht (21%, 15%) 

Von meinem eigenen Entwicklungsteam eingeführte Sicherheitslücken (26%, 27%) 

Datendiebstahl oder Sabotage durch böswillige Insider im Unternehmen (17%, 29%) 

Ransomware oder andere Formen der Erpressung durch Außenstehende (17%, 15%) 

Sicherheitsschwachstellen, die durch den Kauf von Anwendungen oder Systemen von der Stange eingeführt wurden (21%, 21%)

Ransomware oder andere Formen der Erpressung durch Außenstehende (18%, 10%) 

Datendiebstahl oder Sabotage durch böswillige Insider im Unternehmen (19%, 17%)

Interne Fehler oder externe Angriffe, die dazu führen, dass mein Unternehmen die Branchen- oder behördlichen Vorschriften nicht mehr einhält (21%, 19%)

Das Bemühen, die Sicherheitshaltung und/oder das Risiko meines Unternehmens genau zu messen (18%, 19%)

Angriffe oder Ausnutzung von Cloud-Diensten, Anwendungen oder Speichersystemen, die von meinem Unternehmen verwendet werden (15%, 11%)

Versehentliche Datenlecks durch Endbenutzer, die sich nicht an die Sicherheitsrichtlinien halten (18%, 19%)

Versehentliche Datenlecks durch Endbenutzer, die sich nicht an die Sicherheitsrichtlinien halten (18%, 20%) 

Von meinem eigenen Entwicklungsteam eingeführte Sicherheitslücken (15%, 20%)

Raffinierte Angriffe, die sich direkt gegen das Unternehmen richten (16%, 11%)

Interne Fehler oder externe Angriffe, die dazu führen, dass mein Unternehmen die Branchen- oder behördlichen Vorschriften nicht mehr einhält (14%, 16%) 

Wie deutlich wird, blieben viele der wichtigsten Anliegen von 2016 bis 2017 unverändert, aber es sind einige interessante Änderungen zu verzeichnen:

  • Phishing- und Social-Engineering-Angriffe sind heute die zeitaufwendigste Aktivität für IT-Fachleute und stehen darüber hinaus an erster Stelle in puncto Besorgnis (gegenüber Platz 4 im Jahr 2016).
  • Im Gegensatz zu 2016 sind Ransomware und andere auf Erpressung basierende Angriffe jetzt ein Hauptanliegen für Führungskräfte und Management-Teams.
  • Die Besorgnis über nationalstaatliche, Spionage- und „hacktivistische“ Aktivitäten ist in diesem Jahr sowohl bei IT-Fachleuten als auch bei Führungskräften zurückgegangen.

     

Beunruhigend ist nach wie vor, dass die größten Bedenken der Infosec-Fachleute im Bereich der Cybersicherheit nicht immer von ihren Managementteams geteilt werden, und auch nicht immer im Mittelpunkt der täglichen Aktivitäten stehen:

  • Die Befragten sind nicht in der Lage, sich täglich in nennenswertem Umfang mit vier ihrer acht wichtigsten Sicherheitsprobleme zu befassen. Dies ist vor allem bei Ransomware eine rote Flagge, die sowohl bei IT-Profis als auch bei Führungskräften die Sorge Nummer 5 ist, aber nicht zu den Top-Aktionspunkten gehört.
  • Die Infosec-Fachleute und ihre leitenden Management-Teams sind im Hinblick auf drängende Bedrohungen nur teilweise einer Meinung. Nur fünf der acht wichtigsten Bedenken der Befragten werden von den Führungskräften ihrer Unternehmen geteilt (dies ist jedoch eine Verbesserung gegenüber 2016, als nur vier von acht Bedenken übereinstimmten).

Wenn Infosec-Teams, Manager und Führungskräfte weiterhin auf unterschiedliche Ziele hinarbeiten, besteht ein erhöhtes Risiko für Unternehmen. Diese Diskrepanz wurde von den Befragten als „Kommentarthema“ zitiert, wobei der Bericht feststellt: „Wie in den vergangenen Jahren sagen die Sicherheitsprofis, dass sie mit Unternehmensführungen zu kämpfen haben, die andere Prioritäten setzen, als sie es tun würden.“

DER DURCHSCHNITTSVERBRAUCHER IST SICH DER GEFAHR NICHT BEWUSST UND UNGESCHÜTZT

In diesem Jahr wurden die Infosec-Fachleute gefragt, was ihrer Meinung nach die größten Probleme für den durchschnittlichen US-Verbraucher sind – ein Thema, das in den vergangenen Jahren nicht behandelt wurde:

  • Ein mangelndes Bewusstsein über Phishing- und Social-Engineering-Angriffe wurde als die größte Bedrohung bezeichnet.
  • Die „ständige Sicherheitsverletzung von Verbraucherinformationen bei Unternehmen, denen diese Daten anvertraut werden“ war die am zweithäufigsten zitierte IT-Herausforderung für Verbraucher.
  • Nur 14% der Befragten sind der Meinung, dass die persönlichen Daten des durchschnittlichen US-Verbrauchers jetzt sicherer sind als im Jahr 2016.

Also... was bedeutet das mangelnde Bewusstsein des Durchschnittsverbrauchers für Unternehmen? Die Realität ist, dass diese Verbraucher im Allgemeinen auch Angestellte sind. Was sie nicht wissen, kann sich auf ihre persönliche Sicherheit auswirken, aber auch auf die Sicherheitshaltung Ihres Unternehmens. Und persönliche Gewohnheiten und mangelndes Wissen übertragen sich durchaus auf den Arbeitsplatz, wie unser vor kurzem veröffentlichter BERICHT ZU BENUTZERRISIKEN belegt.

Daher sollten Unternehmen neben der Implementierung technischer Schutzmaßnahmen (wie Whitelisting, Antiviren-Updates und Schwachstellen-Patches) vorrangig Schulungen für ein gesteigertes Sicherheitsbewusstsein durchführen und Programme zur Sensibilisierung und Aufklärung der Benutzer sowie zur Berichterstattung über und Reaktion auf potenzielle Phishing-Bedrohungen bereitstellen. Unsere Schulungs-Suite für Phishing-Schutz ist eine ideale Option für Unternehmen jeder Größe. Sie umfasst unsere Phishing-Tests ThreatSim®, interaktive Schulungsmodule und PhishAlarm®-E-Mail-Berichtsprodukte in einer umfassenden Lösung für das Risikomanagement von Endnutzern.