Cisco 2016 Annual Security Report · Aktivitäten schlagen. Und auch die Verfahren, mit denen sie das Ausschleusen von Daten und geistigem Eigentum verschleiern, sind immer ausgefeilter

Cisco 2016Annual Security Report

2

Zusammenfassung

Security-Technologien und Abwehrstrategien werden immer ausgereifter. Doch auch auf Seiten der Angreifer wird laufend aufgerüstet und optimiert: Immer leistungsfähiger sind die Backend-Infrastrukturen, über die sie ihre Kampagnen fahren. Immer raffinierter sind zudem die Techniken, mit denen die Kriminellen Profit aus ihren Aktivitäten schlagen. Und auch die Verfahren, mit denen sie das Ausschleusen von Daten und geistigem Eigentum verschleiern, sind immer ausgefeilter.

Der Cisco Annual Security Report 2016 untersucht aktuelle Herausforderungen beim Aufspüren und Abwehren der bestens ausgestatteten und hochdynamischen Angreifer von heute. Grundlage für diese Analyse bilden neben den Erkenntnissen von Cisco Security Research auch Untersuchungen von unabhängigen Experten wie den Threat Research Labs von Level 3.

Die von uns erfassten Daten werden im Zeitverlauf ausgewertet und auf dieser Basis Empfehlungen abgegeben, wie Sicherheitsverantwortliche auf diese Entwicklungen in der Bedrohungslandschaft reagieren sollten.

Der Report ist in die folgenden Themenkomplexe gegliedert:EntwicklungEn im BEdrohungsumfEldNeben den wichtigsten Trends im Bereich der Cybersicherheit geht dieser Abschnitt auf aktuelle Entwicklungen rund um internetseitige Angriffsvektoren und -methoden sowie Sicherheitslücken ein. Ein besonderer Fokus liegt zudem auf Schadprogrammen wie Ransomware, die derzeit ganz besonderer Aufmerksamkeit bedürfen. Den hier skizzierten Trends liegt ein umfangreicher Satz von Telemetriedaten zugrunde, die Cisco weltweit erfasst, analysiert und auswertet.

BranchEntrEndsIn diesem Abschnitt werden Trends rund um die IT-Sicherheit beleuchtet, die sich auf das heutige Unternehmensumfeld auswirken, etwa der zunehmende Einsatz von verschlüsselten Verbindungen und die damit verbundenen Risiken. Untersucht werden außerdem die Schwachstellen im Netzwerkschutz kleiner und mittelständischer Unternehmen sowie die Gefahren, die veraltete oder nicht mehr von den Herstellern aktualisierte bzw. durch technischen Support abgedeckte Software darstellt.

ErgEBnissE dEr sEcurity capaBilitiEs BEnchmark studyIm Rahmen dieser Studie hat Cisco Sicherheitsverantwortliche zu ihren Sicherheitsressourcen und -verfahren befragt, um zu ermitteln, wie diese den aktuellen Sicherheitsstatus ihres Unternehmens einschätzen. Verglichen mit der erstmalig im Jahr 2014 durchgeführten Studie sind die 2015 Befragten Leiter der Sicherheitsabteilung (Chief Security Officer, CSO) und die ihnen unterstellten Sicherheitsteams (Security Operations Manager, SecOps) weniger überzeugt, dass ihre Sicherheitsinfrastruktur auf dem neuesten Stand oder in der Lage ist, Angriffe zuverlässig abzuwehren. Gleichzeitig ist aber auch festzustellen, dass Unternehmen ihre Schulungsprogramme und anderen Prozesse zur Stärkung der IT- und Netzwerksicherheit ausweiten. Die Ergebnisse der Studie finden Sie exklusiv im Cisco Annual Security Report 2016.

Ein Blick in diE ZukunftIn diesem Abschnitt werden geopolitische Entwicklungen und deren Auswirkungen auf das Security-Umfeld beleuchtet sowie die Ergebnisse zweier Studien von Cisco erläutert – eine zu den Ansichten von Führungskräften bezüglich der Cybersicherheit, die andere zu den Einschätzungen von IT-Entscheidungsträgern bezüglich Sicherheitsrisiken und der Vertrauenswürdigkeit von IT-Anbietern. Ebenfalls thematisiert werden die Fortschritte von Cisco bei der Verkürzung der Bedrohungs-Erkennungszeit sowie die Bedeutung einer integrierten Architektur zum Schutz vor Bedrohungen.

ZusammenfassungNeue Strategien sind gefragt.

Cisco 2016 Annual Security Report

3

Inhalt

ZusammEnfassung ................................................. 2

wichtigstE EntwicklungEn und ErkEnntnissE ........................................................... 4

dEn profit immEr im augE: cyBErkriminEllEn gEht Es hEutE EinZig ums gEld ........................... 7

EntwicklungEn im BEdrohungsumfEld .......... 9fokusthemen ..............................................................................10

Koordinierte Aktion der Branche bringt groß angelegte, hochprofitable Exploit-Kit- und Ransomware-Kampagne zum Erliegen .......................................................................................10

Branche formiert Allianz gegen eines der größten je dokumentierten DDoS-Botnets ...................................................14

Kaum beachtet, weit verbreitet: Datenlecks durch infizierte Browser ............................................16

Command-and-Control: Botnets weltweit ...................................17

Unter dem Radar: DNS als Startrampe für Command-and-Control .........................................................19

threat-intelligence-analyse .....................................................20

Web-Angriffsvektoren .................................................................20

Web-Angriffsmethoden ...............................................................21

Bedrohungen aktuell ...................................................................23

Malware-Auftrittsrisiko im Branchenvergleich ..............................25

Blockierung von Web-Angriffen: Geografischer Überblick ...........27

BranchEntrEnds .................................................29Verschlüsselung auf dem Vormarsch – eine Herausforderung für Sicherheitsteams ...................................... 30

WordPress-Server im Visier von Cyberkriminellen .................... 33

Veraltete Infrastruktur: Ein jahrelang verschlepptes Problem ..... 35

Kleinbetriebe und der Mittelstand – sind sie ein schwaches Glied in der Sicherheitskette? ................................................... 37

ErgEBnissE dEr cisco sEcurity capaBilitiEs BEnchmark study .......................41Unternehmen sehen Handlungsbedarf bei Sicherheitsvorkehrungen ........................................................... 42

Ein Blick in diE Zukunft .....................................55Regulierung des Internets: Geopolitische Entwicklungen schüren Unsicherheit ......................................... 56

Cybersicherheit bereitet Führungskräften Sorgen ..................... 57

Vertrauenswürdige Anbieter: Studie beleuchtet Risiken und Herausforderungen für Unternehmen ..................... 58

Bedrohungs-Erkennungszeit: Ein ständiger Wettlauf ................. 60

Die sechs Säulen der integrierten Bedrohungsabwehr .............. 62

Stärken bündeln gegen einen gemeinsamen Feind ................... 63

ÜBEr cisco .............................................................64Mitwirkende .............................................................................. 65

Mitwirkender Cisco Partner ....................................................... 67

anhang ...................................................................... 68

Inhalt


4

Cisco 2016 Annual Security Report Entwicklungen im Bedrohungsumfeld

Wichtigste Entwicklungen und Erkenntnisse

5

Wichtigste Entwicklungen und Erkenntnisse

• Cisco und die Threat Research Labs von Level 3 konnten in Zusammenarbeit mit dem Hosting-Provider Limestone Networks eine der größten Angler-Operationen der USA aufspüren und zum Erliegen bringen. Mithilfe des Exploit-Kits hatten die Drahtzieher bis zu 90.000 Nutzer pro Tag angegriffen und jedes Jahr Gewinne in zweistelliger Millionenhöhe eingefahren.

• In Zusammenarbeit mit den Threat Research Labs von Level 3 gelang Cisco ein wichtiger Schlag gegen die SSHPsychos-Gruppe (auch bekannt unter dem Namen Group 93), die für eines der größten DDoS-Botnets (Distributed-Denial-of-Service) zeichnet, das je von Cisco untersucht wurde. Wie bereits im o. g. Fall von Angler wird auch hier deutlich, wie wichtig eine enge Zusammenarbeit der Branche im Kampf gegen Cyberkriminelle ist.

• Schädliche Browser-Erweiterungen können erhebliche Datenlecks verursachen und sind weit verbreitetes Problem – schätzungsweise 85 Prozent der von uns untersuchten Unternehmen sind davon betroffen.

• Bei der Untersuchung einer Gruppe von Unternehmen im Juli 2015 konnten wir mehrheitlich Command-and-Control-Aktivitäten feststellen, die von den weithin bekannten Botnets Bedep, Gamarue und Miuref ausgingen.

• Die Mehrheit der als „bekannt“ eingestuften Malware (91,3 Prozent) fährt Kampagnen über den Domain Name Service (DNS). Mittels retrospektiver Analyse der DNS-Abfragen konnte Cisco „schädliche“ DNS-Resolver in den Netzwerken seiner Kunden aufspüren, die Mitarbeiter dort als Teil der DNS-Infrastruktur unbemerkt verwendeten.

• Das Ausnutzen von Sicherheitslücken in Adobe Flash steht auch weiterhin hoch im Kurs bei Cyberkriminellen. Um Benutzer besser vor Flash-Exploits zu schützen, unternehmen Softwareanbieter jedoch bereits verschiedene Anstrengungen.

• Wie die Datenverkehrstrends 2015 zeigen, ist HTTPS-Verschlüsselung auf dem Vormarsch und wird schon Bald das Gros des Datenverkehrs im Internet bilden. Verschlüsselung stärkt zwar die Datensicherheit, kann gleichzeitig aber auch die Effektivität von Security-Produkten einschränken, da sie die Nachverfolgung von Bedrohungen deutlich erschwert. Hinzu kommt, dass einige Malware-Typen verschlüsselte Kommunikationskanäle über eine Vielzahl von Ports initiieren.

• Kompromittierte Websites, die über das gängige Web-Entwicklungstool WordPress erstellt wurden, werden zunehmend als Plattform genutzt, um Zugang zu Serverressourcen zu erlangen und kriminelle Aktivitäten zu verschleiern.

Wichtigste Entwicklungen und ErkenntnisseCyberkriminelle optimieren ihre Backend-Infrastrukturen auf größere Effizienz und mehr Profit


6

• Immer häufiger ist veraltete Infrastruktur in Unternehmen im Einsatz – und macht sie zunehmend angreifbar. Eine Analyse von 115.000 mit dem Internet verbundenen Cisco Geräten ergab: Auf 92 Prozent der Geräte wurde Software mit bekannten Sicherheitslücken ausgeführt. Bei 31 Prozent der Geräte handelte es sich zudem um „End-of-Sale“-, bei 8 Prozent um „End-of-Life“-Modelle.

• Im Vergleich zu 2014 waren die 2015 im Rahmen der Cisco Security Capabilities Benchmark Study befragten Sicherheitsverantwortlichen weniger von ihren Sicherheitstools und -prozessen überzeugt. So gaben 2015 etwa nur noch 59 Prozent an, dass die Sicherheitsinfrastruktur ihres Unternehmens auf dem neusten Stand ist. 2014 galt dies noch für 64 Prozent. Aus Sorge um die Sicherheit sind sie aber auch zunehmend bemüht, ihre Abwehrmechanismen zu stärken.

• Verglichen mit größeren Unternehmen sind Kleinbetriebe und der Mittelstand in Sachen IT-Sicherheit schlechter aufgestellt. So nutzten der Benchmark-Studie zufolge 2015 nur 48 Prozent dieser Unternehmen Tools für Web-Sicherheit. 2014 waren es noch 59 Prozent. Zudem hatten 2015 nur 29 Prozent Patching- und Konfigurationstools im Einsatz, verglichen mit 39 Prozent im Jahr 2014. Diese Unternehmen sind somit potenziell leichter angreifbar – ein Risiko für ihre Geschäftspartner aus Großunternehmen.

• Cisco konnte die Bedrohungs-Erkennungszeit (auch „Time to Detection“, TTD) in seinen Netzwerken auf weniger als einen Tag verkürzen: Im Oktober 2015 lag der TTD-Median nur noch bei 17 Stunden – und damit deutlich unter dem Branchenstandard von derzeit 100 bis 200 Tagen.

Wichtigste Entwicklungen und ErkenntnisseCisco 2016 Annual Security Report

7


Den Profit immer im Auge: Cyberkriminellen geht es heute einzig ums Geld

8

Den Profit immer im Auge

In der Vergangenheit suchten viele Cyberkriminelle noch den Schutz der Tiefen des Internets. Um unerkannt zu bleiben, hielten sie sich nur so kurz wie möglich in Unternehmensnetzwerken auf – gerade so lange, dass sie ihre Exploits starten können. Heute dagegen gehen einige deutlich dreister vor: Sie zapfen seriöse Online-Ressourcen an, verschaffen sich Zugang zu Serverkapazitäten und lesen Daten aus. Oder aber sie verschlüsseln die Daten ihrer Opfer, die erst nach der Zahlung eines „Lösegeldes“ die Codes zur Entschlüsselung erhalten.

Diese Entwicklungen machen deutlich: Der Kampf gegen Cyberkriminelle nimmt an Intensität weiter zu. Denn sie sind immer breiter aufgestellt – und damit auch um ein Vielfaches effektiver.

Wie es ihnen gelingt, derart robuste Infrastrukturen aufzubauen, haben die Experten von Cisco untersucht. So zeigt sich: Die Verfahren der Kriminellen für die Maximierung ihrer Gewinne werden immer effizienter. Und durch das Kapern von Serverressourcen immer leistungsfähiger.

Besonders deutlich wird dies angesichts der rasanten Verbreitung von Ransomware (siehe seite 10), einem Malware-Typ, mit dem die Drahtzieher aus den infizierten Nutzern direkt Profit schlagen können. Und das in beträchtlicher Höhe. Denn mit automatisierten Kampagnen sind sie in der Lage, pro Tag viele Tausend Nutzer gleichzeitig und dabei weitgehend unbehelligt zu kompromittieren. Als Startrampe für diese hochprofitablen Operationen dienen immer häufiger die Ressourcen seriöser Anbieter.

So leiten etwa einige Ransomware-Varianten und andere Exploits ihren Datenverkehr über gehackte WordPress-Websites, die ihnen als Tarnung dienen und gleichzeitig die benötigten Serverressourcen bereitstellen (siehe seite 33). SSHPsychos wiederum, eines der größten je von Cisco untersuchten Botnets, nutzte Standardnetze von Hosting-Providern, um sich ungestört zu verbreiten. Erst durch die Zusammenarbeit der Experten von Cisco und der Threat Research Labs von Level 3 gelang es, den Datenverkehr dieses Botnets zu blockieren.

Den Profit immer im Auge: Cyberkriminellen geht es heute einzig ums Geld


Entwicklungen im Bedrohungsumfeld

10


Angler ist derzeit eines der umfangreichsten und effektivsten Exploit-Kits. Auf diesen Angriffsbaukasten sind nicht nur zahlreiche groß angelegte Malvertising- (bösartige Online-Werbung) und Ransomware-Kampagnen zurückzuführen, er ist auch einer der Hauptfaktoren für die rasante Verbreitung von Ransomware in den letzten Jahren. Ransomware verschlüsselt Dateien auf dem System des infizierten Nutzers. Erst gegen Zahlung eines „Lösegeldes“ – in der Regel zwischen 300 und 500 US-Dollar – erhält der Betroffene die Codes zur Entschlüsselung.

Wie bereits im Cisco Midyear Security Report 2015 ausgeführt, können Kriminelle dank Kryptowährungen wie Bitcoin und anonymen Web-Netzen wie Tor noch schneller und leichter in den Malware-Markt einsteigen und Gewinne einstreichen. Und das insbesondere mit Ransomware. Denn bei minimalem Aufwand wandern die erpressten Gelder via Krypto-Bezahlung direkt in die Taschen der Drahtzieher.

Bei der Untersuchung von Angler- und damit verbundenen Ransomware-Trends stellte Cisco fest, dass eine unverhältnismäßig hohe Zahl der weltweit von Angler-Operationen verwendeten Proxys auf Servern des Hosting-Providers Limestone Networks ausgeführt wurden. Dies ist eine Entwicklung, die unsere Experten mittlerweile immer häufiger beobachten: Cyberkriminelle stützen sich neben illegalen zunehmend auch auf seriöse Ressourcen.

Im vorliegenden Fall war die IP-Infrastruktur, die für Angler genutzt wurde, nicht sonderlich groß. Im Allgemeinen waren zwischen 8 und 12 Systeme aktiv, die meisten davon nur für einen Tag. Abbildung 1 zeigt die Zahl der eindeutigen IP-Adressen, die im Juli 2015 dokumentiert wurden.

Um ihre Aktivitäten zu verbergen und ihre Geldflüsse aufrechtzuerhalten, verwendeten die Drahtzieher im Wesentlichen linear aufsteigende IP-Adressen.

fokusthemen

Koordinierte Aktion der Branche bringt groß angelegte, hochprofitable Exploit-Kit- und Ransomware-Kampagne zum Erliegen

Entwicklungen im BedrohungsumfeldDen Erkenntnissen in diesem Report liegt ein umfangreicher Satz von Telemetriedaten zu Malware-Datenverkehr und anderen Bedrohungen zugrunde, die Cisco weltweit erfasst, analysiert und auswertet. Dies ermöglicht Rückschlüsse auf künftige Aktionen von Cyberkriminellen und kann zur besseren Erkennung beitragen.

Quelle: Cisco Security Research

Figure X.Angler IP Addresses by Date, July 2015

Juli 2015

16

Anzahl der IP-Adressen

Zwischen 8 und 12

12

8

4

311 15 2010

abbildung 1: Anzahl der Angler-IP-Adressen nach Datum, Juli 2015

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9009BpTdd

https://twitter.com/intent/tweet?url=http://cs.co/9004BpTdi&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9008BpTdj&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9003BpTd9

11


Wie Abbildung 2 zeigt, startet Angler zunächst mit einer IP-Adresse (hier 74.63.217.218). Sobald der Host erkennt, dass Nutzer durch dieses System kompromittiert werden, wechselt der Exploit zu einer benachbarten IP-Adresse (74.63.217.219) und durchläuft nach diesem Schema fortlaufend die Blöcke im IP-Bereich des jeweiligen Hosting-Providers.

Über die autonomen Systemnummern (ASN) ließen sich die Provider ermitteln, denen die IP-Adressen zugewiesen waren. Das Ergebnis: Der Großteil des von Angler generierten Datenverkehrs ging von den Servern von zwei legitimen Hosting-Providern aus: Limestone Networks und Hetzner (Abbildung 3) – im Juli sogar fast 75 Prozent des gesamten Datenverkehrs.

Cisco wandte sich zunächst an Limestone Networks, das offenbar das Gros dieser Angler-Operation weltweit hostete. Das Unternehmen begrüßte eine Zusammenarbeit, denn allein durch Kreditkarten-Rückzahlungen musste es jeden Monat bereits Verluste von mehreren Tausend Dollar beklagen – die Hacker hatten seine Server mit gestohlenen Kreditkarten bezahlt.

74.63.217.218

IP-Adressen bei Limestone Networks

Juli 2015

Figure X. Low IP Infrastructure Supporting Angler

74.63.217.219

74.63.217.220

74.63.217.221

74.63.217.222

74.63.237.178

74.63.237.181

74.63.237.179

74.63.237.180

74.63.237.182

2 8


3 4 5 6 7

abbildung 2: Von Angler genutzte IP-Infrastruktur

abbildung 3: Angler-HTTP-Anforderungen nach Anbieter, Juli 2015


Figure X. Angler HTTP Requests by Provider, July 2015

Provider A

Provider B

Provider C

Provider D

Provider E

Provider F

Provider G

Provider H

Provider I

Provider J

Provider K

Provider L

10.0006.000Anzahl der Anforderungen

(Limestone Networks)

(Hetzner)75% des

Gesamt-Tra�cs

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9005BpTdZ

https://twitter.com/intent/tweet?url=http://cs.co/9007BpTdb&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9004BpTdk&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9006BpTdw

12


Diese Transaktionen ließen sich zudem nur schwer eindeutig zurückverfolgen. Denn die Hacker bezahlten die Server immer wieder über unterschiedliche Namen und Kreditkarten: Am einen Tag drei oder vier mit den einen, am nächsten Tag wieder drei oder vier mit den anderen. Flog ein kompromittierter Server auf und wurde offline genommen, konnten sie auf diese Weise einfach von einer IP-Adresse zur nächsten wechseln.

In Zusammenarbeit mit den Threat Research Labs von Level 3 und OpenDNS, einem Cisco Unternehmen, untersuchten wir die Bedrohung genauer. Ihre Ausrichtung sowie ihre Reichweite am Höhepunkt ihrer Aktivitäten konnte mit der Unterstützung der global aufgestellten Experten von Level 3 präziser ermittelt werden. OpenDNS wiederum lieferte wichtige Erkenntnisse dazu, auf welchen Domains die Bedrohung sich bewegte – und damit auch zu den dabei eingesetzten Techniken wie Domain-Shadowing.

Seine Payloads verbreitete Angler über schädliche Werbeanzeigen, die auf Hunderten beliebten Websites zu finden waren – von großen Nachrichten- und Immobilienseiten bis hin zu Seiten der Popkultur. Bemerkenswert dabei: Diese Art von Websites wird von der Security-Community in der Regel als „bekannt unbedenklich“ eingestuft.

Daneben wurden noch unzählige kleine, vermutlich zufällig gewählte Websites gefunden, die den Exploit ebenfalls mittels Malvertising verbreiteten, darunter auch eine Todesanzeige in einer kleinen Lokalzeitung aus den USA. Diese richtete sich sehr wahrscheinlich vorrangig an ältere Menschen – eine Bevölkerungsschicht, die tendenziell häufiger Standard-Webbrowser wie Microsoft Internet Explorer nutzt und u. U. weniger häufig Patches für Sicherheitslücken, etwa in Adobe Flash, installiert.

Die Angler-Operation verwendete zudem eine bemerkenswert hohe Zahl an eindeutigen Referrern, diese jedoch nur für ausgesprochen wenige Nutzer (Abbildung 4): 15.000 Seiten verwiesen auf das Exploit-Kit, 99,8 Prozent davon wurden allerdings nicht öfter als 10 Mal verwendet und bereits nach kurzer Zeit wieder entfernt. Der im Juli 2015 gemessene Höhepunkt der Aktivitäten wurde

zudem von verschiedenen Zero-Day-Exploits (CVE-2015-5119, CVE-2015-5122) begleitet. Diese Exploits waren im gleichen Monat nach einem Angriff auf das Unternehmen Hacking Team bekannt geworden.1

Bei 60 Prozent der Payloads von dieser Angler-Operation handelte es sich um Ransomware, in den meisten Fällen Cryptowall 3.0. Daneben wurde auch die Downloader-Malware Bedep ausgeliefert, die in der Regel Schadcode von Klickbetrug-Kampagnen auf dem betroffenen System installiert (siehe „Kaum beachtet, weit verbreitet: Datenlecks durch infizierte Browser“ auf seite 16). Diese Malware-Typen sind in der Szene sehr beliebt. Denn sie bringen schnelles Geld bei minimalem Aufwand.

abbildung 4: Eindeutige Referrer pro Tag, Juli 2015

Juli 2015

311 15


Figure X. Unique Referers by Day, July 2015

Anza

hl e

inde

utig

er U

RLs

mit

Verw

eis

auf E

xplo

it-Se

rver

Aktivitäts-Höhepunkt begleitet von Zero-Day-Exploits

2K

0

¹ „Adobe Patches Hacking Team’s Flash Player Zero-Day“, Eduard Kovacs in SecurityWeek, 8. Juli 2015: http://www.securityweek.com/adobe-patches-hacking-teams-flash-player-zero-day

http://www.securityweek.com/adobe-patches-hacking-teams-flash-player-zero-day

13


Die Hacker-Gruppe hinter dieser Angler-Kampagne attackierte bis zu 90.000 Nutzer täglich – und erbeutete damit schätzungsweise über 30 Millionen US-Dollar pro Jahr.

Ähnlich erfolgreich war vermutlich auch das Netzwerk, das die Gruppe über die Server von Hetzner aufgebaut hatte. Das bedeutet, dass während der Untersuchung von Cisco rund die Hälfte aller Angler-Aktivitäten weltweit allein auf die Operation zurückging, die die Server von Limestone Networks und Hetzner nutzte. Damit konnte sie pro Jahr Gewinne von bis zu 60 Millionen US-Dollar generieren.

angler: Ein einträgliches geschäft

X90.000Angri�sziele pro

Tag/Server

10%

der Exploits ausgeliefert

62%

Ransomware eingespielt

2,9%

der Lösegelder bezahlt

300 USD

Jeden Tag bezahlen 9.515 Nutzer das Lösegeld

durchschnittliches Lösegeld

147Proxy-Server

pro Monat

34Mio USD

von Ransomware generierter Gewinn pro Kampagne

40%

der Nutzer kompromittiert

=

90Ktargets per server

10%

served exploits

40%

compromised

62%

delivered ransomware

2,9%

of ransoms paid

$300average ransom

4,8redirection servers per day

$95Kper day per campaign

$34Mgross yearly income for

ransomware per campaign

X

X

X

X

X

X

=

TEILEN

Figure X. Angler Revenue


targets per day90K of Angler infections

delivered ransomware

62%unique IP addresseswere served exploitsin a single day

9Kof users being served exploits were compromised

40%

147average ransom

$300gross yearly incomefor ransomware per campaign

$34Mof ransoms paid per day

redirection servers

2.9%X X =

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9000BpTdp

https://twitter.com/intent/tweet?url=http://cs.co/9003BpTdX&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9009BpTdT&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9001BpTdV

14


Die Server, auf die die Nutzer zugriffen, hielten die Malware zudem nicht selbst vor. Sie dienten lediglich als Ausgangspunkt für eine Kette von Weiterleitungen, die den Nutzer via GET-Anforderung an eine Landing-Page des Proxyservers vermittelte. Der Proxy reichte den Traffic dann an einen Exploit-Server weiter, der in einem anderen Land von einem Drittprovider gehostet wurde. Ein einzelner Exploit-Server war dabei für mehrere Proxys verantwortlich (siehe Abbildung 5).

Darüber hinaus war ein Statusserver hinzugeschaltet, der die Proxys überwachte. Jedem dieser Proxys waren zwei eindeutige URLs zugeordnet. Über die eine gab der Statusserver beim Aufruf den HTTP-Statuscode „204“ zurück. So konnten die Angreifer jeden Proxy eindeutig identifizieren und zudem verifizieren, dass der jeweilige Proxy unbeeinträchtigt arbeitete. Die andere URL übermittelte die Logfiles der Proxys, über die die Angreifer prüfen konnten, wie effizient ihr Netzwerk arbeitete.

Entscheidend für den Erfolg dieser Untersuchung war die Kooperation zwischen den genannten Branchenakteuren. Denn erst dadurch gelang es, die Angler-Proxys beim US-Service-Provider auszuschalten und die Machenschaften einer hochgradig professionellen Bande aufzudecken, die jeden Tag Tausende Webnutzer attackierte.

Neue Angler-Server, die bei Limestone online gingen, konnte Cisco zudem sofort aufspüren und aus dem Verkehr ziehen. So ebbte die Angler-Aktivität bei Limestone allmählich ab – und ging daraufhin auch weltweit deutlich zurück.

Branche formiert Allianz gegen eines der größten je dokumentierten DDoS-BotnetsIn vielen Fällen können integrierte Abwehrsysteme den Schaden von groß angelegten Cyberangriffen frühzeitig abwenden. Nicht selten gelingt der entscheidende Durchbruch jedoch erst, wenn Service-Provider, Security-Anbieter und andere Branchenvertreter koordiniert gegen die Akteure vorgehen.

Im Kampf gegen die Malware-Kampagnen von heute braucht es starke Allianzen in der Branche. Denn immer größer sind die Gewinne, die Verbrecherkombinate damit einstreichen. So auch die SSHPsychos-Gruppe, die für eines der größten DDoS-Botnets zeichnet, das je von Cisco untersucht wurde. In Zusammenarbeit mit den Threat Research Labs von Level 3 gelang jedoch ein wichtiger Schlag gegen die auch unter dem Namen Group 93 bekannten Angreifer.

abbildung 5: Backend-Infrastruktur von Angler

Nutzer StatusserverProxyserver

Exploit-Server

Ö�net Seite

Weiterleitung an Proxy

Proxyserver erhält Daten vom Exploit-Server (Port 81)

Exploit-Server sendet HTTP-Anforderungen an Statusserver

Übermittelt Protokolle an Master-Server

Statusserver überwacht HTTP-Anforderungen/Status

Figure X. Angler: Back–End Infrastructure


Master-Server

Mehr über diesen bedeutenden Schlag gegen das weltweit florierende Geschäft mit Angler finden Sie im Blog „threat spotlight: cisco talos thwarts access to massive international Exploit kit generating $60m annually from ransomware alone“ von Cisco Security.

TEILEN

http://blogs.cisco.com/security/talos/angler-exposed




https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9006BpTdu

https://twitter.com/intent/tweet?url=http://cs.co/9008BpTdr&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9005BpTdP&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9007BpTdR

15


BEdrohung von BEispiEllosEm ausmass Das SSHPsychos DDoS-Netzwerk ist in vielerlei Hinsicht einzigartig. So verteilt es etwa seine DDoS-Angriffe auf Tausende weit im Internet verstreute Systeme und macht ein Vorgehen gegen Einzelsysteme damit nutzlos. Im vorliegenden Fall wurde das Botnet mittels Brute-Force-Angriffen über Secure Shell (SSH) aufgezogen (Abbildung 6), einem Protokoll für sichere Kommunikation, das häufig für die Systemverwaltung per Fernzugriff verwendet wird. Während der Analyse von Cisco und Level 3 gingen zeitweise mehr als 35 Prozent des weltweiten SSH-Verkehrs auf SSHPsychos zurück (Abbildung 7).

Die Gruppe operiert in zwei Ländern. Von einem Hosting-Provider in China ging ein Brute-Force-Angriff mit etwa 300.000 unterschiedlichen Passwörtern aus, der eingestellt wurde, sobald ein gültiges Passwort erraten wurde. Erst 24 Stunden später loggten sich die Angreifer dann über eine IP-Adresse in den USA auf dem betroffenen System ein und installierten ein DDoS-Rootkit darauf – eine raffinierte Taktik, denn so bleibt die Aktion unauffällig. Die Ziele des Botnets waren unterschiedlich, in vielen Fällen jedoch große Internet Service Provider (ISP).

Scanner schließen erfolgreiche Logins ab

Malware-Host

SSH-Brute-Force-Versuche (300.000 unterschiedliche Passwörter) Zielnetzwerk


abbildung 6: SSHPsychos setzt auf Brute-Force-Angriffe

abbildung 7: Am Höhepunkt seiner Aktivitäten verursachte SSHPsychos 35 Prozent des weltweiten Internet-Traffics

50.000

100.000

150.000

Brute-Force-Versuche

Feb. Mrz. Apr.

SSHPsychos 103.41.125.0/23 SSHPsychos 43.255.190.0/23SSHPsychos 103.41.124.0/23


TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9001BpTdz

https://twitter.com/intent/tweet?url=http://cs.co/9004BpTdO&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9000BpTdK&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9002BpTdM

16


sichErhEitsExpErtEn startEn gEmEinsamE aktionGegen ein DDoS-Netz dieser Größe brauchte es die Unterstützung eines Unternehmens, das die Quellen der Brute-Force-Angriffe effektiv aus dem Internet entfernen konnte. Backbone-Provider filtern die Inhalte ihrer Kunden jedoch nur äußerst ungern.

So wandte Cisco sich an die Threat Research Labs von Level 3, die den Datenverkehr innerhalb des Adressbereichs analysierten, in dem das Botnet vermutet wurde (103.41.124.0/23). Da von dieser Adresse keinerlei legitimer Verkehr ausging oder darauf einging, leitete Level 3 ihn in seinen eigenen Netzwerken auf eine Null-Route und veranlasste, dass die Service-Provider die betroffenen Domains blockierten.

Wie Abbildung 8 zeigt, kam das ursprüngliche Botnet dadurch praktisch sofort zum Erliegen. Im Adressbereich 43.255.190.0/23 wurde daraufhin jedoch starke SSH-Brute-Force-Aktivität eines neuen Botnets registriert, das sich genauso verhielt wie SSHPsychos. Cisco und Level 3 gingen daher neben 103.41.124.0/23 auch umgehend gegen den neuen Adressbereich 43.255.190.0/23 vor.

Das DDoS-Netz wurde durch die Aktion zwar nicht dauerhaft ausgeschaltet. Sie konnte die SSHPsychos-Gruppe aber zumindest ausbremsen und – wenigstens vorübergehend – die Infektion neuer Systeme verhindern.

Wie der Fall von SSHPsychos zeigt, bauen kriminelle Gruppen immer ausgedehntere Netzwerke auf. Dagegen müssen Anbieter von Top-Level-Domains, ISPs, Hosting-Provider, DNS-Resolver und die Security-Branche gemeinsam vorgehen. Sie müssen unterbinden, dass sie ihre Exploits über legitime Netzwerke, also quasi direkt vor unseren Augen, fahren können. Es geht also darum, diese „legitimen Einfallstore“ zu stopfen.

Kaum beachtet, weit verbreitet: Datenlecks durch infizierte BrowserBrowser-Add-ons gelten bei Sicherheitsteams tendenziell eher als unbedenklich. Sie wären allerdings gut beraten, diesen Angriffsvektor genauer zu überwachen, um im Falle einer Infektion schnell dagegen vorgehen zu können.

Denn wie sich zeigt, sind Infektionen dieser Art weit verbreitet. Eine Untersuchung von 26 Typen von schädlichen Browser-Add-ons zwischen Januar und Oktober 2015 (Abbildung 9) ergab zwar, dass die Zahl der Infektionen insgesamt zurückging.

0

180.000

Brute-Force-VersucheBlockierung durch Cisco und Level 3

120.000

60.000

Juni Juli

Figure X. SSHPsychos Tra c DropsDramatically After Intervention


abbildung 8: SSHPsychos-Traffic geht nach Aktion deutlich zurück

Näheres zur gemeinsamen Aktion von Cisco und den Threat Research Labs von Level 3 gegen SS-HPsychos können Sie im Blog „threat spotlight: sshpsychos“ von Cisco Security nachlesen.

abbildung 9: Browser-Infektionen, Januar bis Oktober 2015

Jan.

0,5%

Anteil

0,3%

0

Registrierte Browser-Infektionen

Jul.Apr.

2015

Okt.


Figure X. Increased Encryption MakesIOC Detection More Dicult

40%

http://blogs.cisco.com/security/talos/sshpsychos

http://blogs.cisco.com/security/talos/sshpsychos

17


Doch diese Zahlen sind mit Vorsicht zu genießen. Denn in diesen Monaten waren die URL-Informationen deutlich häufiger via HTTPS verschlüsselt, was eine Erkennung von Indicators-of-Compromise unmöglich macht. Im Abschnitt „Verschlüsselung auf dem Vormarsch – eine Herausforderung für Sicherheitsteams“ auf seite 30 wird diese Problematik näher erläutert.

Schädliche Browser-Add-ons erzeugen zum Teil erhebliche Datenlecks. Denn bei jedem Aufruf einer neuen Website über den kompromittierten Browser lesen sie Daten aus. Dabei jedoch nicht nur unbedeutende Informationen darüber, welche internen oder externen Seiten der Nutzer aufruft. Aus der URL können sie auch hochgradig sensible Informationen herauslesen, etwa Anmelde- und Kundendaten sowie Details über interne APIs und Infrastruktur eines Unternehmens.

Einige Browser-Erweiterungen, in der Regel installiert über Softwarepakete oder Adware, warten zudem mit noch vielseitigere Methoden zur Gewinngenerierung für die Hintermänner auf. So verleiten sie infizierte Nutzer etwa dazu, auf bösartige Werbeanzeigen oder Pop-ups zu klicken. Oder sie verteilen Malware über kompromittierte Links oder liefern Schadcode über vermeintlich nützliche Downloads aus. Möglich ist auch, dass sie die Browser-Anfragen des Nutzers auslesen und darüber bösartige Webseiten in dessen Suchergebnisse einbetten.

Von den 45 untersuchten Unternehmen waren jeden Monat 85 Prozent von bösartigen Browser-Add-ons betroffen. Das macht die enorme Verbreitung dieser Bedrohung deutlich. Bedrohungen durch browserseitige Infektionen werden häufig unterschätzt und bleiben daher in vielen Fällen unentdeckt. Umso länger können die Drahtzieher Kampagnen dieser Art ungestört durchführen (siehe „Bedrohungs-Erkennungszeit: Ein ständiger Wettlauf“ auf seite 60).

Sicherheitsteams sollten diesen Bereich daher stärker überwachen und ihre Prozesse zur Priorisierung von Bedrohungen verstärkt automatisieren.

Command-and-Control: Botnets weltweit Botnets sind Netzwerke aus mit Malware infizierten Computern, die, gesteuert als Gruppe, bestimmte Aufgaben ausführen, etwa das Senden von Spam oder Starten eines DDoS-Angriffs. Botnets haben in Zahl und Größe in den letzten Jahren dramatisch zugenommen. Um das globale Ausmaß dieser Bedrohung zu ermitteln, haben wir zwischen April und Oktober 2015 die Netzwerke von 121 Unternehmen auf Anzeichen für mindestens eines von acht weit verbreiteten Botnets untersucht. Die dabei erfassten Daten wurden normalisiert, um einen allgemeinen Überblick über die Aktivitäten zu gewinnen (Abbildung 10).

Am häufigsten wurde im Analysezeitraum Command-and-Control-Aktivität von Gamarue registriert, einem modularen Mehrzweck-Datendieb, der schon seit vielen Jahren in Umlauf ist.

Um

fang

der

Bot

net-

Akt

ivitä

t

400

0Apr. Mai Jun. Jul. Aug. Sep. Okt.

2015

Miuref

Andere

Gamarue

Vawtrak

Bedep

Cryptowall

Figure X. Growth of Individual Threats (Ratio of Infected Users)


abbildung 10: Wachstumstrend der jeweiligen Bedrohung (gemessen an infizierten Benutzern)

18


Der Ausschlag bei Infektionen mit der Ransomware Cryptowall 3.0 ist größtenteils auf das Angler-Exploit-Kit zurückzuführen, einem der bekanntesten Auslieferer der Cryptowall-Payload. Wie bereits aus dem Cisco Midyear Security Report 2015 hervorging, nutzen die Autoren von Angler und anderen Exploit-Kits „Patching-Lücken“ – also den Zeitraum zwischen der Veröffentlichung eines Software-Updates durch den Hersteller und dem Zeitpunkt, an dem ein Nutzer es tatsächlich installiert – insbesondere bei Adobe Flash sehr schnell aus.² Die Aktivitätsspitze im Juli 2015 geht sehr wahrscheinlich auf den Zero-Day Flash-Exploit CVE-2015-5119 zurück, der als Teil des Hacking-Team-Leaks bekannt wurde.³

Das Angler-Exploit-Kit verbreitet zudem die Bedep-Payload. Bei diesem für Klickbetrug genutzten Trojaner wurde im Juli ebenfalls ein leichter Ausschlag verzeichnet (Abbildung 11).

Insgesamt waren bei den von uns analysierten Nutzern mehr als 65 Prozent der Command-and-Control-Aktivitäten auf die Botnets Bedep, Gamarue und Miuref (ein weiterer Trojaner, der Browser infiziert und für Klickbetrug genutzt wird) zurückzuführen.

Der Anteil der Bedep-Infektionen blieb im Analysezeitraum relativ konstant. Bei Infektionen mit Miuref dagegen wurde ein Rückgang verzeichnet, vermutlich aufgrund der Zunahme von HTTPS-Traffic, aus dem Indicators-of-Compromise dieses Trojaners nicht erkannt werden können.

Abbildung 12 zeigt die Botnet-Typen, auf die im Analysezeitraum die meisten Infektionen zurückgingen. Mehrzweck-Botnets wie Gamarue und Sality führen das Feld an, gefolgt von Klickbetrug-Botnets. Den dritten Platz belegen Bank-Trojaner, eine alt bekannte, aber dennoch weit verbreitete Bedrohung.

Vergleichstrend der Botnet-Infektionen

200

0

100

Ausschlag aufgrund von Zero-Day-Exploit

Figure X. Monthly Threat Coverage, Based on Number of Infected Users

Apr. Mai Jun. Jul. Aug. Sep. Okt.

2015

MiurefGamarue

Vawtrak

Bedep

Cryptowall


abbildung 11: Verbreitung der Bedrohungen je Monat (nach Anzahl der infizierten Nutzer)

Figure X. Monthly Threat Coverage, Based on Threat Categories

Apr. Mai Jun.0

100

Jul. Aug. Sep. Okt.

2015

Klickbetrug-Botnets

Ransomware

Mehrzweck-Botnets

Bank-Trojaner


% d

er B

otne

t-Ty

pen

abbildung 12: Verbreitung der Bedrohungen je Monat (nach Kategorie)

² Cisco Midyear Security Report 2015: http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html.³ „Adobe Patches Hacking Team’s Flash Player Zero-Day“, Eduard Kovacs in SecurityWeek, 8. Juli 2015:


TEILEN

http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html


https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9007BpTdH

https://twitter.com/intent/tweet?url=http://cs.co/9009BpTdJ&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9006BpTdG&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9008BpTdy

19


Die Mehrheit der als „bekannt“ eingestuften Malware (91,3 Prozent) nutzte den Domain Name Service (DNS) auf eine der folgenden drei Arten:

• Zum Steuern des Zielsystems via Command-and-Control

• Zum Auslesen von Daten

• Zum Umleiten von Datenverkehr

Dieser Wert ergab sich aus den Verhaltensweisen aller Malware-Stichproben, die wir in unseren diversen Sanboxes analysierten. Malware, die DNS ausschließlich für Internet-„Statusprüfungen“ nutzte, wurde aus der Analyse herausgenommen. Alle anderen Malware-Stichproben verwendeten DNS, um mit Seiten zu kommunizieren, die als bösartig oder verdächtig eingestuft waren.

Obwohl sich immer mehr Malware-Kampagnen auf DNS stützen, überwachen nur wenige Unternehmen den Dienst auf Sicherheitsprobleme. Das macht DNS zum idealen Einfallstor für Angreifer. Wie Abbildung 13 zeigt, überwachen einer aktuellen Cisco Umfrage zufolge 68 Prozent der Sicherheitsverantwortlichen rekursive DNS-Abfragen in keiner Weise (über rekursive DNS-Nameserver kann der Host die IP-Adresse des gewünschten Domain-Namens abfragen).

Die Nachlässigkeit der Unternehmen in Sachen DNS ist in erster Linie darauf zurückzuführen, dass zwischen den Bereichen Security und DNS in der IT-Abteilung üblicherweise kein reger Austausch stattfindet.

Die Überwachung von DNS ist jedoch unerlässlich für das Erkennen und Beseitigen von Malware, die über diesen Dienst operiert. Ausgehend von DNS lassen sich zudem weitere Komponenten bestimmen, mit deren Hilfe die von einem Angriff genutzte Infrastruktur sowie dessen Ursprung genauer untersucht werden kann.

Eine effektive DNS-Überwachung setzt neben der Zusammenarbeit zwischen Sicherheits- und DNS-Teams jedoch auch die für die Korrelationsanalyse erforderliche Abstimmung von Technologie und Know-how voraus. So konnten etwa erst mit Unterstützung von OpenDNS die Domains zu den IP-Adressen ermittelt werden, die das Angler-Exploit-Kit nutzte (mehr hierzu unter „Koordinierte Aktion der Branche bringt groß angelegte, hochprofitable Exploit-Kit- und Ransomware-Kampagne zum Erliegen“ auf seite 10).

rEtrospEktivE dns-analysEDer bei DNS-Abfragen generierte TCP- und UDP-Datenverkehr kann retrospektiv analysiert und so zahlreiche Malware-Quellen zurückverfolgt werden, etwa Command-and-Control-Server, Websites und Verteilungspunkte. Zur Erkennung schädlicher Inhalte kommen hierbei Listen bekannter Bedrohungen, Berichte der Security-Community, Verlaufsdaten zu Kompromittierungen und Informationen zu branchenspezifischen Schwachstellen zum Einsatz.

Anders als mit herkömmlichen Erkennungstechnologien lassen sich so etwa auch die besonders unauffälligen Auslesungsverfahren von Advanced Persistent Threats (APT) aufdecken. Denn Anomalien in der ausgehenden Kommunikation werden aufgrund des enormen dabei generierten Traffic-Volumens leicht übersehen. Auch hier können retrospektive Analysen verhindern, dass potenzielle Datenkompromittierungen und schädliche Aktivitäten im Netzwerk „durchs Raster fallen“.

Figure X.Monitoring Threats via Recursive DNS


der Unternehmen vernachlässigen rekursive DNS-Abfragen

der Malware nutzt DNS

68%91,3%

abbildung 13: Bedrohungen durch rekursive DNS-Abfragen

Unter dem Radar: DNS als Startrampe für Command-and-Control

20


So war es auch möglich, „bösartige“ DNS-Resolver in den Netzwerken unserer Kunden aufzuspüren, die Mitarbeiter dort als Teil der DNS-Infrastruktur unbemerkt verwendeten. Werden DNS-Resolver nicht aktiv verwaltet und überwacht, besteht das Risiko, dass der Dienst für Cache-Poisoning und Traffic-Umleitungen missbraucht wird.

Die retrospektive Analyse förderte in den Netzwerken unserer Kunden jedoch noch weit mehr als nur schädliche DNS-Resolver zutage:

• Adressbereiche in Spam- und Malware-Sperrlisten

• Adressbereiche als Beacon für bekannte Command-and-Control-Server von Zeus und Palevo

• Aktive Malware-Kampagnen wie CTB-Locker, Angler und DarkHotel

• Verdächtige Aktivitäten wie die Nutzung von Tor, automatische E-Mail-Weiterleitungen und Online-Konvertierungen von Dokumenten

• Ständig geöffnete DNS-Tunnel zu in China registrierten Domains

• DNS-„Typosquatting“⁴

• Umgehung von vertrauenswürdiger DNS-Infrastruktur des Kunden durch interne Clients

Bei der Untersuchung ausgewählter Kunden von Cisco Custom Threat Intelligence aus verschiedenen Branchen wurden zudem die folgenden Malware-Typen gefunden (die Zahlen zeigen den Anteil der infizierten Kunden im Vergleich zur Gesamtstichprobe):

threat-intelligence-analyse

Web-AngriffsvektorenadoBE flash: ErstE anZEichEn dEr BEssErung Flash ist bei Exploit-Kit-Entwicklern auch weiterhin beliebt. Denn obwohl Flash-Inhalte im letzten Jahr insgesamt zurückgingen (siehe „content-trends bei adobe flash und pdf“ im nächsten Abschnitt), blieb das das Volumen an Flash-Malware im Jahr 2015 weitestgehend unverändert (Abbildung 14). Insbesondere das Angler-Exploit-Kit zielt nach wie vor sehr aggressiv auf Sicherheitslücken in Flash ab.

Allerdings wird Adobe Flash mittlerweile immer häufiger in Browsern deaktiviert, was insgesamt zu einer Abnahme von Flash-Inhalten im Netz geführt hat (siehe nächster Abschnitt, „content-trends bei adobe flash und pdf“). Diese Entwicklung war in den letzten Jahren bereits bei Java zu beobachten, das in der Folge als Angriffsvektor zunehmend an Bedeutung verlor – Angler zum Beispiel enthält mittlerweile praktisch keine Exploits mehr für Sicherheitslücken in Java. Die Verbreitung von Malware über PDF dagegen blieb im gleichen Zeitraum relativ konstant.

Auch Microsoft Silverlight ist immer seltener das Ziel von Angriffen. Der Grund: Viele Anbieter nutzen für die Browser-Integration ihrer Produkte nicht mehr die Silverlight-API, sondern setzen dafür stattdessen auf HTML5-basierte Technologien. Eine neue Version von Silverlight ist derzeit ebenfalls nicht in Aussicht. Microsoft zufolge sind für die Zukunft derzeit nur Sicherheits-Updates für die aktuelle Version vorgesehen.

Figure X. Types of Malware Numberof Total Customers


4/5

3/5

Angler Exploit-Kit

Cutwail Spam-Botnet

Dyre

Exploit-Kits (allgemein)

Bedep-Trojaner

Ransomware

Onion.city (Darkweb-Suchmaschine) Onion Router-Tra�c

Figure X. Types of Malware Numberof Total Customers


4/5

3/5

Angler Exploit-Kit

Cutwail Spam-Botnet

Dyre

Exploit-Kits (allgemein)

Bedep-Trojaner

Ransomware

Onion.city (Darkweb-Suchmaschine) Onion Router-Tra�c

30

500

20.000

Protokoll-Volumen

Sep. 2013 Sep. 2015

Flash Java PDF

Figure X. Share of Attack Vectors,Two–Year Comparison


abbildung 14: Anteil der Angriffsvektoren im 2-Jahres-Vergleich

⁴ Typosquatting beschreibt die Praxis, Domains auf Namen zu registrieren, die bereits vorhandenen Domain-Namen stark ähneln. Durch Tippfehler bei der URL-Eingabe gelangt der Nutzer dann auf die infizierte Website.

21


contEnt-trEnds BEi adoBE flash und pdfFlash-Inhalte gehen im Internet insgesamt zurück (Abbildung 15), vor allem auch aufgrund der jüngsten Schritte von Amazon, Google und anderen Internetgrößen, die Flash-Werbeanzeigen in ihren Netzwerken jetzt entweder ablehnen oder blockieren.

Das Volumen an PDF-Inhalten ist im letzten Jahr dagegen relativ konstant geblieben. Veränderungen sind hier zwar keine zu erwarten, allerdings sind Angriffe über PDF nun schon seit längerem eher selten.

Kurzfristig ist bei Flash-Inhalten ein noch deutlicherer Rückgang zu erwarten, da Adobe kürzlich die Einstellung des Produkts angekündigt hat.⁵ Bis sie allerdings vollständig aus dem Web verschwinden, wird sehr wahrscheinlich noch einige Zeit vergehen. Denn Flash ist nach wie vor in Browsern wie Google Chrome, Microsoft Internet Explorer und Microsoft Edge integriert und auch bei Gaming-, Video- und anderen Webinhalten noch immer weit verbreitet.

Mit dem Vormarsch von HTML5 und mobilen Plattformen in den kommenden Jahren werden Java, Flash und Silverlight aber zunehmend an Bedeutung verlieren – und damit auch deutlich unattraktiver für Cyberkriminelle werden. Denn diese bevorzugen Angriffsvektoren, über die sie eine deutlich größere Nutzerschaft ins Visier nehmen und damit deutlich schneller Gewinne generieren können.

Web-AngriffsmethodenAbbildung 16 und 17 zeigen die verschiedenen Malware-Typen, die Cyberkriminelle für den Einbruch in Unternehmensnetzwerke einsetzen. Abbildung 16 zeigt die am häufigsten beobachtete Malware: Adware, Spyware, schädliche Redirects, iFrame-Exploits und Phishing.

abbildung 15: Anteil von Flash und PDF am Gesamt-Traffic

Jan.

% des gesamten Internetverkehrs

60%

14%

Nov.


Figure X.Percentage of Total Trac for Flash and PDF

Flash PDF

abbildung 16: Am häufigsten registrierte Malware


Windows-Binärdateien5.070

JavaScript-Download-Trojaner5.858

JavaScript-Download-iFrame8.958

Facebook-Scams33.681

JavaScript31.627

Windows-Download-Trojaner4.911

Phishing3.798

iFrame3.726

JavaScript Obfuscator3.552

Umleitung6.472

3.261 Android-Download-Trojaner

3.228 Windows-Trojaner

Summe (Anzahl Stichproben) x 1.000

⁵ „Adobe News: Flash, HTML5 and Open Web Standards“, Adobe, 30. November 2015: http://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html

http://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html

22


In Abbildung 16 sind die Malware-Typen aufgeführt, die sich als kosteneffizientes Mittel für die Kompromittierung von großen Nutzerzahlen bei minimalem Aufwand bewährt haben. JavaScript-Exploits und Facebook-Scams (Social-Engineering) wurden hier am häufigsten registriert.

Abbildung 17 zeigt Malware-Typen, die seltener anzutreffen waren – was jedoch nicht bedeutet, dass diese weniger effektiv sind. Vielmehr kann es sich hierbei um neue Malware oder sehr stark zielgerichtete Kampagnen handeln.

Die häufig besonders raffinierte Techniken anwenden, um größtmöglichen Nutzen für die Hintermänner zu generieren – etwa das Ausschleusen hochsensibler Daten oder das Sperren des Zugriffs auf Daten gegen Zahlung eines Lösegeldes.

Der Malware-Schutz darf daher nicht nur auf die häufigsten Bedrohungen beschränkt sein, sondern muss das gesamte Spektrum berücksichtigen.


Figure X.Sample of Lower-Volume Malware Observed

Summe (Anzahl Stichproben) < 40

Windows-Downloader „Upatre“2

Windows-Backdoor2

Windows-Hoax2

Download-Trojaner3

Verdächtige PDF-Dateien7

Windows-Backdoor „Ace“5

JavaScript „Blackhole“10

Windows-Trojaner9

Windows-Malware „Gampass“15

Windows-Malware „Krap-K“35

Windows-Malware „Sality“44

Windows-Wurm1

Windows-Trojaner „Upatre“1

Windows-Download-Trojaner1

iFrame2

JavaScript-Download-Trojaner1

abbildung 17: Weniger häufig registrierte Malware (Auszug)


abbildung 18: Gesamtzahl der CVEs nach Anbieter

Quelle: Cisco Security Research, National Vulnerability Database

Figure X. Total Number of CVEs by Vendor

Oracle

Micros

oftCisc

o

Adob

eAp

ple IBM

Google

Mozilla

Word

Press

Ubuntu

(Can

onica

l)Deb

ian HPEM

CLin

ux

Red H

atSA

P

Apac

he

Siemen

s

Fedo

ra

Proje

ct

Wire

shark

Novell

Anz

ahl d

er C

VEs

200

0

400

600

Quelle: Cisco Security Research, Metasploit, Exploit-DB

5

0

10

15

20

Adobe Microsoft Apple Cisco Novell Joomla VMware

Anz

ahl ö

�ent

liche

r Ex

ploi

ts

Figure X. Number of Public Exploits Availableby Vendor Vulernability

abbildung 19: Anzahl der für Sicherheitslücken öffentlich verfügbaren Exploits nach Anbieter

Das Diagramm oben zeigt die Gesamtzahl der CVEs, die 2015 für die Produkte der jeweiligen Anbieter veröffentlicht wurden. Hier liegt Adobe nicht ganz vorne. Wie jedoch das Diagramm rechts zeigt, sind für die Sicherheitslücken in Adobe-Produkte die meisten Exploits verfügbar.

Bei den Zahlen für WordPress ist zudem zu beachten: Nur 12 der 2015 veröffentlichten Sicherheitslücken betreffen das Produkt selbst. Die restlichen 240 wurden in Plug-ins und Skripts gefunden, die von Dritten erstellt wurden.

Wie in Abbildung 20 ausgeführt, bieten die Listen von CVEs und zugehörigen Exploits einen Überblick über kritische und häufig ausgenutzte Sicherheitslücken. Sicherheitsexperten können sich bei der Priorisierung von Patches nach dieser Liste richten. Eine ausführliche Auflistung der CVEs nach Anbieter finden Sie unter https://www.cvedetails.com/top-50-products.php.

23

Bedrohungen aktuellflash-sichErhEitslÜckEn fÜhrEn Exploit-ranking an Adobe Flash steht bereits seit mehreren Jahren im Visier von Cyberkriminellen, und immer wieder wird vor neuen, besonders schwerwiegenden Sicherheitslücken gewarnt. Allerdings waren die Anbieter von Produkten, die häufig von diesen Exploits betroffen sind (z. B. Webbrowser), im Jahr 2015 zunehmend bemüht, diese Lücken zu schließen.

Doch auch 2016 werden sich Exploits und Angriffe noch sehr gezielt an Flash-Nutzer richten. Denn für einige dieser Sicherheitslücken sind Exploits entweder frei im Internet verfügbar oder als Teil eines Angriffsbaukastens käuflich zu erwerben. (Wie auf seite 21 ausgeführt, sind Flash-Inhalte zwar insgesamt zurückgegangen, die Plattform ist aber weiterhin einer der beliebtesten Angriffsvektoren.)

Wie in der Vergangenheit bereits bei Java geschehen, wird Flash mittlerweile in vielen Webbrowsern blockiert oder in eine Sandbox überführt, um die Nutzer zu schützen. Dies ist zwar eine positive Entwicklung. Viele Flash-Exploits werden in nächster Zeit aber auch weiterhin Erfolg haben, etwa bei Nutzern, die ihre Browser nicht rechtzeitig aktualisieren.

Insgesamt werden Flash-Angriffe aber allmählich zurückgehen. Denn durch die Schutzmaßnahmen, die mittlerweile in einige weit verbreitete Browser und Betriebssysteme integriert sind, erreichen Flash-Exploits immer weniger Opfer und sind damit nicht mehr lukrativ genug für Kriminelle.

TEILEN

https://www.cvedetails.com/top-50-products.php

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9000BpTj0

https://twitter.com/intent/tweet?url=http://cs.co/9002BpTd8&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9009BpTjL&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9001BpTjF

24

CVE-2015 - 7645556024191671 51225119311331043090035903360311 03130310

Figure 20. Common Vulnerabilities

3105

Flash EK

Hanjuan

NullHole

Sweet Orange

Fiesta

Nuclear

Rig

Neutrino

Nuclear Pack

Magnitude

Angler


Ö�entliche Exploits

Flash-Sicherheitslücken Andere Sicherheitslücken

abbildung 20: Häufigste Sicherheitslücken

Abbildung 20 zeigt Sicherheitslücken, für die Exploit-Kits zum Kauf angeboten werden (siehe Zeile „Flash-EK“) oder Exploits öffentlich verfügbar sind (siehe Zeile „Öffentliche Exploits“). Kritisch sind hierbei insbesondere die funktionsfähigen Exploits.

Sicherheitsexperten können sich bei der Priorisierung von Patching- und Korrekturmaßnahmen an dieser Liste orientieren. Die Verfügbarkeit eines (öffentlichen oder in einem Exploit-Kit integrierten) Exploits für ein bestimmtes Produkt bedeutet jedoch nicht automatisch, dass die jeweilige Sicherheitslücke auch angegriffen wird.


25


Malware-Auftrittsrisiko im BranchenvergleichDas Auftrittsrisiko für webbasierte Malware in einer Branche ermitteln wir, indem wir das relative Volumen des Angriffsverkehrs („Blockierungsrate“) dem „normalen“ bzw. erwarteten Verkehr gegenüberstellen.

Abbildung 21 zeigt die 28 wichtigsten Branchen und deren relevante Blockierungsaktivität als Anteil des normalen Netzwerkverkehrs. Bei einer Rate von 1,0 verhält sich die Anzahl der Blockierungen proportional zum dokumentierten Netzwerkverkehr. Bei einem Wert über 1,0 ist die Blockierungsrate höher als erwartet. Liegt die Rate unter 1,0, ist sie niedriger als erwartet.


1

68

42

1

68

42

1

68

42

1

68

42

Nov.2014

Sept.2015

Nov.2014

Sept.2015

Nov.2014

Sept.2015

Nov.2014

Sept.2015

Nahrungs- und Genussmittel

Transport und Spedition

UnterhaltungHeizungs-, Sanitär- und Klimatechnik

Maschinenbau und Bauwesen

Industrie

Gesundheit Professional ServicesElektronikBehörden

Versorgung

Versicherung

Bildungswesen

IT-Telekom-munikation

Wirtschafts-prüfung

Medien und Verlagswesen Luftfahrt Tourismus

und Freizeit

Wohlfahrtsor-ganisationen und NGOs

Immobilien und Landmanage-ment

Pharma- und Chemieindustrie

Automobil-branche Rechtswesen Einzel- und

Großhandel

Banken und Finanzsektor

Energie-, Öl- und Gasversorger

Fertigung Landwirtschaft und Bergbau

1

42

1

42

1

42

1

42

1

42

1

42 1

21

42

1

42

1

42

1

42

1

42

1

42

1

42

1

42

1

42

12

12

12

12

12

12

12

124

abbildung 21: Monatliche Blockierungsraten nach Branche, November 2014 bis September 2015

26


TEILEN

Wie Abbildung 22 zeigt, variiert die Blockierungsaktivität auch im Zeitverlauf (bei einem Wert von Null blieb die Aktivität unverändert). So wurde zwischen Januar und März 2015 etwa bei Behörden die höchste Aktivität gemessen. Zwischen März und Mai wiederum stand die Elektronikbranche an der Spitze. Im Hochsommer führte die Dienstleistungsbranche das Feld an, wurde dann aber im Herbst 2015 vom Gesundheitswesen abgelöst.

Die hohe Blockierungsaktivität in diesen vier Branchen war 2015 in erster Linie auf Angriffe durch Trojaner zurückzuführen. Im Bereich Behörden wurde zudem eine hohe Zahl an PHP-Injections festgestellt, während in der Dienstleistungsbranche auch häufig iFrame-Angriffe zu verzeichnen waren.

abbildung 22: Relative Blockierungsraten nach Branche, Monatsvergleich


Nov.2014

Sept.2015

Nov.2014

Sept.2015

Nov.2014

Sept.2015

Nov.2014

Sept.2015

Nahrungs- und Genussmittel

Transport und Spedition

UnterhaltungHeizungs-, Sanitär- und Klimatechnik

Maschinenbau und Bauwesen

Industrie

Versorgung

Versicherung

Bildungswesen

IT-Telekom-munikation

Wirtschafts-prüfung

Medien und Verlagswesen Luftfahrt Tourismus

und Freizeit

Wohlfahrtsor-ganisationen und NGOs

Immobilien und Landmanage-ment

Pharma- und Chemieindustrie

Automobil-branche

Rechtswesen Einzel- und Großhandel

Banken und Finanzsektor

Energie-, Öl- und Gasversorger

Fertigung Landwirtschaft und Bergbau

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-2

20

-8

48

0-2

-8

48

0-2

-8

48

0-2

-8

48

0-2

Gesundheit Professional ServicesElektronikBehörden

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9006BpTja

https://twitter.com/intent/tweet?url=http://cs.co/9008BpTjI&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9005BpTjv&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9007BpTjx

27


Polen 1,5

Figure X. Web Blocks by Country or Region

Russland 1Dänemark 1

Japan 1

Kanada 1,5

China 4Frankreich 2USA 1


Hongkong 9

Deutschland 1,5

Blockierungsaktivität = schädlicher Datenverkehr/erwarteter Datenverkehr

abbildung 23: Web-Blockierungsrate nach Land/Region

Blockierung von Web-Angriffen: Geografischer ÜberblickAbbildung 23 zeigt die Malware-bezogenen Blockierungsaktivitäten nach Land bzw. Region. Für die Auswahl der Länder wurde das jeweilige Volumen des Internet-Datenverkehrs zugrunde gelegt. Bei einer Blockierungsrate von 1,0 verhält sich die Anzahl der registrierten Blockierungen proportional zur Netzwerkgröße.

In Ländern und Regionen mit aus unserer Sicht ungewöhnlich hohen Blockierungsraten ist von einer hohen Zahl an Webservern sowie zahlreichen Hosts auszugehen, bei denen Sicherheitslücken noch nicht geschlossen wurden. Für Cyberkriminelle sind Landesgrenzen jedoch unbedeutend. Für sie zählt einzig die Frage, wo sie Malware am effektivsten hosten können.

28


Die Verbreitung von Malware über große, kommerziell nutzbare Netzwerke, die umfangreiche Internet-Datenvolumina verarbeiten, trägt ebenfalls zu einer hohen Blockierungsaktivität bei – wie etwa im Fall von Spitzenreiter Hongkong.

Der Vergleich der Web-Blockierungen nach Land/Region auf Monatsbasis in Abbildung 24 liefert zusätzlichen Kontext zu diesen Einstufungen.

So war die Web-Blockierungsaktivität in Hongkong und Frankreich im Frühjahr 2015 ungewöhnlich hoch. Bei beiden ging die Aktivität seitdem deutlich zurück. Bei Hongkong lag die Aktivität im Frühjahr allerdings so hoch über dem Basiswert, dass zum Ende des Jahres auch nach dem jüngsten Rückgang noch eine deutlich höhere Aktivität verzeichnet wird. In Frankreich ging die Blockierungsaktivität bis zum Hochsommer wieder auf ein normales Niveau zurück.

November 2014–October 2015


Nov.2014

Hongkong

Deutschland

Feb. Apr. Jun. Aug. Okt.Nov.2014

013579

111315

0135

013579

013579

0135

0135

79

111315

171719192121

Frankreich

Australien

Italien

Feb. Apr. Jun. Aug. Okt.

China

2015 2015

abbildung 24: Web-Blockierungsrate nach Land/Region im Monatsvergleich, November 2014 bis Oktober 2015

29


Branchentrends

3030

BranchentrendsCisco 2016 Annual Security Report

Grundsätzlich spricht einiges für den Einsatz von Verschlüsselung, etwa der Schutz von geistigem Eigentum und anderen vertraulichen Daten, die Sicherung der Integrität von Werbeanzeigen und Back-End-Analysen oder die Vertraulichkeit von Kundendaten.

Die Kehrseite ist allerdings, dass sie auch dazu führen kann, dass Unternehmen sich in falscher Sicherheit wiegen. Denn wie sich zeigt, verschlüsseln Unternehmen ihre Daten zwar zunehmend bei der Übertragung, versäumen dies aber häufig bei der Ablage der Daten. Davon zeugen viele der in den letzten Jahren öffentlich gewordenen Cyberangriffe, bei denen die Betroffenen die in ihren Rechenzentren und anderen internen Systemen gespeicherten Daten nicht verschlüsselt hatten – ein Szenario, in dem quasi eine Fracht auf ihrem Weg ins Lager umfassend geschützt wird, das Lager selbst aber für jedermann weit offen steht.

End-to-End-Verschlüsselung kann zudem die Effektivität von Security-Produkten einschränken, da sie auch die Indicators-of-Compromise unkenntlich macht, über die schädliches Verhalten aufgedeckt und nachverfolgt werden kann.

Nichtsdestotrotz ist die Verschlüsselung vertraulicher Daten heute unabdingbar. Sicherheitstools und ihre Betreiber müssen sich daran anpassen, indem sie den Traffic anhand der unverschlüsselten Elemente des Datenstroms (z. B. des Headers) zusammen mit anderen Kontext-Quellen analysieren. Denn bei der Analyse von verschlüsselten Verbindungen sind Tools, die etwa durch vollständige Paketerfassung die Informationen der Payload sichtbar machen, wenig effektiv. Daher sind heute Systeme unerlässlich, die sich auf die Analyse der Metadaten stützen, etwa Cisco NetFlow.

Wie die Datenverkehrstrends 2015 zeigen, ist insbesondere die Verschlüsselung via HTTPS auf dem Vormarsch. Derzeit ist zwar noch die Mehrheit der Web-Transaktionen unverschlüsselt, doch HTTPS wird schon bald das Gros des Datenverkehrs im Internet bilden. Denn im Verlauf unserer Untersuchung lag der Anteil der verschlüsselt übertragenen Byte bereits konstant über 50 Prozent (Abbildung 25). Zurückzuführen ist dieser hohe Wert auf den HTTPS-Overhead und die Tatsache, dass über HTTPS tendenziell umfangreichere Inhalte z. B. an Online-Datenspeicher übertragen werden.

Bei jeder Web-Transaktion wird eine bestimmte Datenmenge versendet (ausgehend) und empfangen (eingehend). Diese ist bei HTTPS größer als bei HTTP-Transaktionen – bei ausgehenden Anforderungen um etwa 2000 Byte. Bei eingehenden Anforderungen ist der Overhead bei HTTPS zwar ebenfalls größer, bildet bei umfangreicheren Antworten aber keinen signifikanten Teil der Gesamtdatenmenge.

BranchentrendsVieles wird unternommen, um Sicherheit besser kontrollierbar zu machen. Manches davon erschwert allerdings auch die Erkennung von Bedrohung und kann sogar die Risiken für Unternehmen und Einzelnutzer erhöhen.

46%

57%

Figure X.SSL Percentages

% HTTPS-Anforderungen

Anteil am Datenverkehr

2015

% Bytes gesamt

Jan. Okt.

60

20

40

24%

33.56%


abbildung 25: Anteil von SSL am Datenverkehr

Verschlüsselung auf dem Vormarsch – eine Herausforderung für Sicherheitsteams

TEILEN

30

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9002BpTjs

https://twitter.com/intent/tweet?url=http://cs.co/9004BpTjQ&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9001BpTjS&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9003BpTjt

3131


% Delta2015

Online-Speicherung und -Backup 50%

Dateiübertragungsdienste 36%

Webseiten-Übersetzung 32%

Fotosuche/Bildmaterial 27%

Glücksspiel 26%

Pornogra�e 25%

Internettelefonie 19%

Video-Streaming 17%

Suchmaschinen und Portale 14%

Persönliche Websites 14%

Verweis 13%

Illegale Downloads 13%

Online-Communitys 12%

Illegale Drogen 11%

Regierung und Recht 10%

Unterwäsche und Bademode 10%

E-Mail-Webservice 10%

Nicht jugendfreie Inhalte 8%

Anzeigen 8%

Mobiltelefone 8%

Figure X. HTTPS Request- Biggest Changesfrom January to September 2015


abbildung 26: HTTPS-Anforderungen: Bereiche mit der stärksten Zunahme (Januar bis September 2015)

Über die Summe der bei einer Web-Transaktion ein- und ausgehend übertragenen Byte lässt sich der Anteil der per HTTPS verschlüsselten Daten an der Gesamtdatenmenge der Transaktion ermitteln. Aufgrund der Zunahme des HTTPS-Datenverkehrs und des größeren Overhead bei diesen Transaktionen ergab sich aus dieser Rechnung, dass im Oktober 2015 57 Prozent des gesamten Internetverkehrs über HTTPS verschlüsselt waren (Abbildung 25). Im Januar waren es noch 46 Prozent.

Eine Web-Traffic-Analyse zeigte beginnend im Januar 2015 zudem eine allmähliche, aber signifikante Zunahme der HTTPS-Anforderungen Wie Abbildung 25 zeigt, wurde bei 24 Prozent der Anforderungen im Januar das HTTPS-Protokoll verwendet, bei den übrigen HTTP.

Im Oktober lag dieser Anteil bereits bei 33,56 Prozent. Und auch bei der eingehend übertragenen Datenmenge war für HTTPS über das gesamte Jahr hinweg eine steigende Tendenz festzustellen. Mit der Zunahme des HTTPS-Traffic steigen auch die Bandbreitenanforderungen – pro Transaktion werden zusätzlich 5 Kbit/s benötigt.

Diesen Wachstumstrend bei verschlüsselten Verbindungen führen wir auf folgende Faktoren zurück:

• Zunahme des Traffics von mobilen Anwendungen, die ihre Daten ausschließlich verschlüsselt übertragen

• Zunahme der Anforderungen zum Herunterladen verschlüsselter Videoinhalte

• Zunehmender Datenverkehr über Storage- und Backup-Server, auf denen vertrauliche – und damit für Angreifer besonders interessante – Daten gespeichert sind

Wie Abbildung 26 zeigt, ging tatsächlich ein besonders großer Teil der HTTPS-Anforderungen auf Online-Storage- und Backup-Ressourcen zurück. Hier war gegenüber Anfang 2015 ein Anstieg von 50 Prozent zu verzeichnen, gefolgt von Dateiübertragungsdiensten, bei denen der Traffic im gleichen Zeitraum um 36 Prozent zunahm.

Insgesamt ist die Tendenz eindeutig: Sowohl die Zahl der verschlüsselten Transaktionen als auch die Menge an verschlüsselten Daten, die bei jeder Transaktion übertragen werden, nehmen stetig zu. Die Vorteile, aber auch die Risiken, sind hierbei jeweils unterschiedlich. Umso wichtiger ist daher eine integrierte Bedrohungsabwehr, die hier die nötige Transparenz schafft.

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9008BpTjo

https://twitter.com/intent/tweet?url=http://cs.co/http://cs.co/9000BpTjq&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9007BpTjW&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9009BpTjU

3232


abbildung 27: Hosts mit dem größten Anteil am HTTPS-Traffic

0-25% 26-50% 51-75% 76-100%% Verschlüsselt

Figure X. Top 100 Hosts


www.google-analytics.com

crl.microsoft.com

pagead2.googlesyndication.com

ad4.liverail.com

b.scorecardresearch.com

ads.adaptv.advertising.com

ping.chartbeat.net

v4.moatads.com

au.download.windowsupdate.com

ib.adnxs.com

c2s-openrtb.liverail.com

http.00.s.sophosxl.net

platform.twitter.compixel.adsafeprotected.com

ads.yahoo.com

Hosts mit 76-100% (Auszug)

Hosts mit 51-75% (Auszug)

Hosts mit 26-50% (Auszug) Hosts mit 0-25% (Auszug)

maps.googleapis.com

www.google.com googleads.g.doubleclick.net

ad.doubleclick.net0.2mdn.net

hangouts.google.com

www.facebook.commail.google.com

0-25% Verschlüsselt

44 Hosts


12 Hosts

26–50%Verschlüsselt

12 Hosts


32 Hosts

⁶ Entropie: In der Informatik beschreibt die Entropie den Grad der Beliebigkeit oder Nicht-Vorhersagbarkeit, nach dem ein Betriebssystem oder eine Anwendung die für die Kryptographie oder andere Anwendungsfälle benötigten Zufallsdaten erfasst.

Abbildung 27 zeigt die Domains mit den meisten Anforderungen. Hier ist festzuhalten, dass bei Google und Facebook viele der Hauptseiten verschlüsselt sind, dagegen aber in der Regel nur 10 Prozent des Datenverkehrs, der über diese Domains durch Werbung generiert wird.

Unabhängig von den damit verbundenen Herausforderungen ist Datenverschlüsselung ein unbedingtes Muss. Denn Cyberkriminelle sind heute zu versiert in der Umgehung von Zugriffskontrollen, als dass die Nutzer kritische Informationen in irgendeiner Stufe der Speicherung oder Übertragung ungeschützt lassen dürften.

Um ausschließen zu können, dass die HTTPS-Anforderungen von verdächtigen Standorten ausgehen bzw. darauf eingehen, müssen Sicherheitsteams daher unbedingt die Datenverkehrsmuster überwachen – dabei allerdings keinesfalls nur auf einen bestimmten Port-Bereich beschränkt. Denn wie der nächste Abschnitt zeigt, kann Malware verschlüsselte Kommunikationskanäle über eine Vielzahl unterschiedlicher Ports initiieren.

dEr EntropiE-faktor Verschlüsselte oder komprimierte Dateiübertragungen und Kommunikationen sind gut an ihrer hohen Entropie erkennen.⁶ Der Vorteil für Sicherheitsteams dabei: Die Entropie kann auch ohne Kenntnisse der zugrunde liegenden Verschlüsselungsprotokolle überwacht werden.

Über einen Zeitraum von drei Monaten ab 1. Juni 2015 untersuchten unsere Experten 7.480.178 Datenflüsse aus 598.138 Malware-Stichproben mit dem Schweregrad 100. In diesem Zeitraum wiesen 958.851 Datenflüsse (12,82 Prozent) eine hohe Entropie auf.

Daneben wurde bei 917.052 Datenflüssen (12,26 Prozent) das TLS-Protokoll (Transport Layer Security) verwendet, von denen 8419 nicht über Port 443, dem Standardport für sichere HTTP-Übertragungen, erfolgten. Stattdessen kommunizierte die beobachtete Malware über die Ports 21, 53, 80 und 500.

Zur Erkennung von potenziellen Bedrohungen aus dem zunehmend verschlüsselten Internetverkehr werden integrierte Architekturen immer wichtiger (siehe „Die sechs Säulen der integrierten Bedrohungsabwehr“ auf seite 62). Denn Einzellösungen sind hierbei wenig effektiv, da sie nicht die nötige Transparenz liefern, um verdächtige Datenverkehrsmuster und Aktivitäten schnell und einfach zu erkennen.

3333


abbildung 28: Anzahl der für Malware-Aktivitäten genutzten WordPress-Domains

Figure X. WordPress Domains Usedby Malware Creators


Feb.73

Apr.82

Jun.114

Aug.171

Sep.212

Mrz.83

Mai123

Jul.181

Jan.128

235

Okt.

Lancope, ein Cisco Unternehmen, untersuchte anhand von Vertretern aus drei Branchen (zwei Universitäten, eine Klinik und ein großer ISP, alle aus den USA), in welchem Umfang diese ihren internen und Internet-Datenverkehr verschlüsseln.

So nutzte die eine der beiden Universitäten für ihren internen Datenverkehr fast ausschließlich verschlüsselte Verbindungen (zu 82 Prozent), allerdings nur für 53 Prozent ihres Internet-Datenverkehrs – Werte, die auch die Trends widerspiegeln, die Lancope in anderen Branchen ermitteln konnte.

Bei der Klinik dagegen war nur 36 Prozent des internen Datenverkehrs verschlüsselt, dafür aber mehr als die Hälfte des Internetverkehrs (52 Prozent).

Der ISP wiederum verschlüsselte 70 Prozent des internen Datenverkehrs sowie 50 Prozent der Internetverbindungen.

Die Studie von Lancope zeigt: Bei der Übertragung von Daten setzen Unternehmen zunehmend auf Verschlüsselung. Ebenso wichtig wäre dies aber auch bei Daten in der Ablage. Denn erst dadurch wird der Schaden bei Sicherheitsverletzungen wirksam begrenzt.

trends beim Einsatz von verschlüsselung – fallstudie

WordPress-Server im Visier von Cyberkriminellen

Figure X. The Move Toward Encryption Case Data

Internet DataInterne Daten

Quelle: Lancope Threat Research Labs

Klinik

36%52%

Universität 2

82%

53%

Universität 1

14%

37%

70%

50%

ISP

Wie bereits eingangs in diesem Report erläutert, suchen Cyberkriminelle laufend nach neuen Wegen, wie sie effizienter, kostensparender und unauffälliger operieren können. Websites, die mit dem gängigen Web- und Blog-Entwicklungstool WordPress erstellt wurden, erweisen sich dabei als effizienter und äußerst ergiebiger Zugang zu Serverressourcen, über die sie Infrastrukturen für Ransomware-, Bankbetrug- und Phishing-Kampagnen aufziehen können. Denn das Internet wimmelt von aufgegebenen WordPress-Seiten, die nicht mehr vom Webmaster gesichert werden – ein willkommenes Vehikel für kriminelle Aktivitäten.

Und ein immer häufiger genutztes. Denn wie sich zeigte, verlagern Cyberkriminelle die für Ransomware und andere Schadprogramme genutzten Systeme zunehmend auf kompromittierte WordPress-Server. Zwischen Februar und Oktober 2015 stieg die Zahl dieser Domains um 221 Prozent (siehe Abbildung 28).

Diese Verlagerung lässt sich wie folgt erklären: Überträgt Ransomware Verschlüsselungsschlüssel und andere Command-and-Control-Informationen über ein anderes

Tool, kann diese Kommunikation erkannt und blockiert werden, bevor die Verschlüsselung abgeschlossen ist. Größere Erfolgschancen verspricht dagegen eine Umleitung über kompromittierte WordPress-Server, die die Kommunikation kaschiert – die WordPress-Seiten fungieren somit als Relais für die Übertragung der Verschlüsselungscodes.

3434


abbildung 29: Verlauf der Kompromittierung über WordPress-WebsitesFigure X. How Cryptowall Ransomware uses hacked WordPress servers for Command and Control

Cryptowall C&C-Server

Nutzer ö�net Webseite mit Bannerwerbung

Cryptowall-Binärdatei wird von WordPress-Server heruntergeladen

Cryptowall ruft Zahlungsanweisung ab und stellt Link zur Begleichung bereit

Cryptowall fordert Verschlüsselungsschlüssel vom C&C-Server an

Cryptowall verschlüsselt Dokumente

!

!

!


3

4

5

6

1 Flash-Exploit2 TEILEN

Durch das Hosten von Malware-Payloads und Command-and-Control-Servern auf WordPress-Seiten kompensieren die Cyberkriminellen die Nachteile anderer Technologien. Denn diese Strategie bietet ihnen zahlreiche Vorteile, etwa die große Zahl an aufgegebenen Seiten, die nur schwach geschützt und leicht zu kompromittieren sind.

Bei Malware-Operationen auf kompromittierten Systemen besteht prinzipiell das Risiko, dass einer der gehackten Server erkannt und offline genommen wird. Geschieht dies inmitten einer Kampagne, kann der Malware-Downloader seine Payload möglicherweise nicht abrufen oder die Kommunikation zwischen Malware und Command-and-Control-Servern reißt ab. Dieses Problem umgangen die Kriminellen jedoch, indem sie die Operation auf mehrere WordPress-Server verteilten und auf Filesharing-Websites wie Pastebin Listen der kompromittierten Server ablegten.

Beim Ausfall eines kompromittierten Servers konnte die Malware anhand dieser Listen einfach auf einen funktionsfähigen Command-and-Control-Server ausweichen. Auf einigen Malware-Downloadern fanden unsere Experten zudem Listen von WordPress-Servern, die als Ausweichstandort die Payloads zurückhielten.

Die kompromittierten Websites liefen häufig nicht auf der neuesten Version von WordPress, waren nur durch schwache Admin-Passwörter geschützt und verwendeten Plug-ins, bei denen Sicherheitspatches fehlten.

Über diese Schwachstellen gelang es den Angreifern, die Server zu kapern und als Malware-Infrastruktur nutzen (siehe Abbildung 29).

Folgende Software- und Dateitypen waren am häufigsten auf den kompromittierten WordPress-Websites zu finden:

• Ausführbare Dateien, die als Payload von Exploit-Kits ausgeliefert werden

• Konfigurationsdateien für Malware, z. B. Dridex und Dyre • Proxy-Code, der die Command-and-Control-

Kommunikation umleitet, um die C&C-Infrastruktur zu kaschieren

• Phishing-Seiten zum Abgreifen von Benutzernamen und Passwörtern

• HTML-Skripte, die Datenverkehr an Exploit-Kit-Server weiterleiten

Darüber hinaus nutzten diverse Malware-Familien kompromittierte WordPress-Websites als Infrastruktur:

• Dridex Infostealer • Pony Password Stealer • TeslaCrypt Ransomware • Cryptowall 3.0 Ransomware • TorrentLocker Ransomware • Andromeda Spam Botnet • Bartallex Trojan Dropper • Necurs Infostealer • Fingierte Anmeldeseiten

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9004BpTjY

https://twitter.com/intent/tweet?url=http://cs.co/9006BpTjm&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9003BpTjc&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9005BpTjl

3535


0

1

2

3

4

5

6

Jahre

Figure X. Average Software Age in Years

Luftfa

hrt

Komm.

Pharm

a

Großu

nter-

nehm

en

Finan

zsek

tor

Gesun

dheit

Versi

cheru

ng

Servic

e-

Prov

ider

Einze

lhand

el

Telek

omm.


abbildung 30: Durchschnittliches Alter der eingesetz-ten Software (in Jahren)

2

Versicherung

1

Großunter-nehmen

0,6

Einzelhandel

10

Service-Provider

16,3

Gesundheit

15,7

Telekomm.

15

Finanzsektor

19,9

Figure X. Percentage of LDoS forInfrastructure Devices


Pharma

4,8

Luftfahrt

5

Komm.

abbildung 31: Einsatz von Infrastrukturkomponenten mit erreichtem Support-Ende (in %)

Blog-Beiträge von cisco security zu diesem thema:

„it security: when maturity is overrated“

„Evolution of attacks on cisco ios devices“

„synful knock: detecting and mitigating cisco ios software attacks“

Zum Schutz vor Bedrohungen aus gehackten WordPress-Websites ist Web-Security-Technologie erforderlich, die Inhalte aus mit diesem Tool erstellten Seiten überprüfen kann. Als Anzeichen für ungewöhnlichen Traffic von diesen Websites können Programmdateien gewertet werden, die zusätzlich zu Seiteninhalten und Bildmaterial heruntergeladen werden (ebenso gut können aber auch seriöse Programme auf WordPress-Websites gehostet sein).

Veraltete Infrastruktur: Ein jahrelang verschlepptes ProblemInformations- und Betriebstechnik sind in der umfassend vernetzten und digitalisierten Welt von heute nicht mehr wegzudenken. Starke IT-Sicherheit ist daher von grundlegender Bedeutung. Dennoch haben viele Unternehmen noch immer veraltete Komponenten und anfällige Betriebssysteme im Einsatz, die ihre Netzwerkinfrastruktur angreifbar machen.

Um die Risiken veralteter Infrastruktur und nicht behobener Sicherheitslücken besser aufzuzeigen, untersuchten wir 115.000 an das Internet angebundene oder in den Umgebungen unserer Kunden betriebene Cisco Geräte.

Mittels Internet-Scan identifizierten wir die 115.000 Geräte aus dieser eintägigen Stichprobe und untersuchten diese mit Blick von „außen nach innen“ (vom Internet aus und in das Unternehmen hinein). 106.000 dieser Geräte liefen auf Software mit bekannten Sicherheitslücken, d. h., 92 Prozent der mit dem Internet verbundenen Cisco Geräte aus dieser Stichprobe waren über diese Lücken angreifbar.

Im Schnitt wiesen die Softwareversionen auf diesen Geräten 26 Sicherheitslücken auf. Viele Unternehmen hatten zudem veraltete Software in ihrer Infrastruktur

im Einsatz (Abbildung 30) – im Finanzsektor, dem Gesundheitswesen und dem Einzelhandel war die Software teilweise älter als 6 Jahre.

Zahlreiche Infrastrukturkomponenten hatten zudem bereits

das Support-Ende erreicht (Abbildung 31). Geräte also, die weder sicherheitsseitig aktualisiert werden können, noch Patches für bekannte Sicherheitslücken – und damit Informationen zu neuen Bedrohungen – erhalten. Die betreffenden Kunden wurden informiert.

35

http://blogs.cisco.com/security/it-security-when-maturity-is-overrated

http://blogs.cisco.com/security/evolution-of-attacks-on-cisco-ios-devices

http://blogs.cisco.com/security/synful-knock

http://blogs.cisco.com/security/synful-knock

3636


Unternehmen, die veraltete Infrastrukturen nutzen, lassen Sicherheitslücken ungeschlossen – und öffnen damit Tür und Tor für Angreifer. Beim Schließen von Sicherheitslücken engagierter zeigt sich dagegen die Technologiebranche, wie die Zunahme der veröffentlichten Warnungen zu Produktsicherheitslücken in Open-Source- und proprietären Lösungen nahelegt.

So ist die kumulative Gesamtzahl der Warnmeldungen 2015 gegenüber dem Vorjahr um 21 Prozent gestiegen, dabei besonders deutlich im Zeitraum von Juli bis September 2015. Ein großer Teil geht dabei auf die Veröffentlichung neuer Versionen der Software etwa von Microsoft und Apple zurück, da sich in der Folge solcher Updates häufig neue Sicherheitslücken auftun.

Viele der namhaften Softwarehersteller veröffentlichen mittlerweile häufiger Patches und Upgrades und zeigen sich transparenter bezüglich Sicherheitslücken in ihren Produkten. Davon können Unternehmen profitieren, indem sie Security-Intelligence- und Management-Plattformen nutzen, die anhand dieser Informationen die Verwaltung von System- und Softwarebestand, die Priorisierung von Sicherheitslücken und die Erfassung von Threat-Intelligence stärker automatisieren. Diese Systeme sind flexibel über APIs anpassbar und ermöglichen es Unternehmen jeder Größe, ihre Sicherheitsverfahren effizienter, schneller und effektiver zu gestalten.

meldewillige hersteller: sicherheitswarnungen werden zahlreicher

abbildung 32: Kumulative Gesamtzahl der Warnungen/Jahr

TEILEN

Jan. Dez.Okt.


0

8K

Warnungen gesamt

Figure 32. Cumulative Annual Alert Totals

21% von 2014 bis 2015

2013

2014

8 Prozent der 115.000 Geräte aus der Stichprobe hatte zudem den „End-of-Life“-Status erreicht. Bei weiteren 31 Prozent handelte es sich um Modelle, für die in ein bis vier Jahren der Support eingestellt wird.

Alternde und überalterte IT-Infrastruktur birgt Risiken für Unternehmen. Denn mit der immer weiter voranschreitenden Entwicklung hin zum Internet of Things (IoT) und Internet of Everything (IoE) sind Netzwerkinfrastrukturen, die Datenströme und Kommunikation zuverlässig absichern, entscheidend für den Erfolg.

Viele unserer Kunden haben ihre Netzwerke vor ca. zehn Jahren installiert – zu einer Zeit, in der viele noch nicht damit gerechnet hatten, dass sie künftig vollständig auf diese Infrastruktur angewiesen sein würden. Ebenso wenig damit, dass diese einmal im Visier von Kriminellen stehen würde.

Unternehmen möchten Infrastrukturaktualisierungen tendenziell eher vermeiden, da diese kostspielig und mit Ausfallzeiten des Netzwerks verbunden sind. Bei einigen ist es mit einer einfachen Aktualisierung jedoch nicht getan. Denn bei ihnen sind teilweise Produkte im Einsatz, bei denen Upgrades zur Integration aktueller Sicherheitslösungen schon gar nicht mehr möglich sind.

Diese Fakten machen bereits deutlich, wie wichtig die Pflege der Infrastruktur ist – und wie wichtig sorgfältig geplante, regelmäßige Upgrades sind. Unternehmen müssen verstehen, dass sie die Kontrolle über ihre kritische Infrastruktur proaktiv in die Hand nehmen müssen – bevor ihnen kriminelle Kräfte zuvorkommen.

36

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9000BpTjg

https://twitter.com/intent/tweet?url=http://cs.co/9002BpTji&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9009BpTj5&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9001BpTj9

3737


abbildung 33: Anzahl der allgemein bekannten Sicherheitslücken nach Kategorie

In der Kategorie „Cross-Site Scripting (XSS)“ ging die Zahl der allgemein bekannten Sicherheitslücken 2015 gegenüber dem Vorjahr um 47 Prozent zurück, was auf umfangreichere Produktsicherheitstests seitens der Hersteller hindeutet. Denn insbesondere Angreifbarkeiten über diese Sicherheitslücken beheben viele Hersteller mittlerweile bereits in der Produktentwicklung.

Mit einem Rückgang von 15 Prozent in der Kategorie „Information Leak/Disclosure“ wurden 2015 zudem weniger Sicherheitslücken verzeichnet, die durch Daten-Leaks ungewollt an Außenstehende durchsickern. Hierauf achten die Hersteller mittlerweile genauer und richten entsprechend stärkere interne Kontrollen für den Zugriff auf solche Daten ein.

allgemein bekannte sicherheitslücken: weniger pufferfehler und undichte stellen

Kleinbetriebe und der Mittelstand – sind sie ein schwaches Glied in der Sicherheitskette?


Figure X. Common Vulnerabliity Categories

2014 2015

CWE-119: Bu�er Errors

861 681

CWE-22: Path Traversal

42 22

CWE-94: Code Injection

76 37

CWE-264: Permissions, Privileges, and Access Control

270 220

CWE-89: SQL Injection

35 20

CWE-287: Authentication Issues

50 27

CWE-200: Information Leak/Disclosure

269 191

CWE-352: Cross-Site Request Forgery (CSRF)

36 45

CWE-59: Link Following

12 4

(Zunahme)

CWE-79: Cross-Site Scripting (XSS)

201 120

CWE-16: Con�guration

4 10

CWE-78: OS Command Injections

42 26

(Zunahme)

Kleinbetriebe und der Mittelstand sind ein tragendes Element jeder Volkswirtschaft. Zugleich tragen sie aber auch eine große Verantwortung: Den Schutz der Daten ihrer Kunden vor dem Zugriff durch Cyberkriminelle. Den Ergebnissen der Cisco Security Capabilities Benchmark Study 2015 (siehe seite 41) zufolge werden ihre Abwehrmaßnahmen diesen Herausforderungen jedoch nicht gerecht. Damit erhöhen sie auch das Risiko für ihre Geschäftspartner aus Großunternehmen, denn über ihre schwächer geschützten Netzwerke könnten Angreifer auch einen Weg in die Systeme ihrer Partner finden.

Verglichen mit den Ergebnissen der Cisco Security Capabilities Benchmark Study vom Vorjahr setzten kleine und mittelständische Unternehmen 2015 weniger Tools und Prozesse zur Analyse von Kompromittierungen und zum Schutz vor Bedrohungen ein. So nutzten 2015 etwa nur 48 Prozent Tools für Web-Sicherheit. 2014 waren es noch 59 Prozent. Zudem hatten 2015 nur 29 Prozent Patching- und Konfigurationstools im Einsatz, verglichen mit 39 Prozent im Jahr 2014.

Hinzu kommt, dass in vielen kleinen und mittelständischen Unternehmen keine Führungskraft direkt mit dem Bereich Sicherheit betraut ist. Fast ein Viertel der Befragten sahen zudem keine bedeutende Gefährdung für das eigene Unternehmen – und überschätzen damit entweder ihre Fähigkeiten zur Abwehr der raffinierten Cyberangriffe von heute, oder gehen vielmehr gar nicht erst von einem Angriff auf ihr Unternehmen aus.

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9006BpTjj

https://twitter.com/intent/tweet?url=http://cs.co/9008BpTje&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9005BpTjb&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9007BpTjd

3838


abbildung 35: Einsatz von Sicherheitsverfahren bei kleinen und mittelständischen Unternehmen geringer als bei großen Unternehmen

Quelle: Cisco Security Capabilities Benchmark Study 2015

Figure X. SMBs Use Fewer Security Processes than Large Enterprises

Von Unternehmen eingesetzte Verfahren zur Analyse kompromittierter Systeme

Von Unternehmen eingesetzte Verfahren zur Wiederherstellung betro�ener Systeme

Speicherforensik

Analyse der Netzwerkstatistik

Analyse von Systemprotokollen

Externe Teams (oder Drittanbieter) zur Reaktion auf/Analyse von Vorfällen

Analyse von Ereignissen/Protokollen

Analyse der Registry

IOC-Erkennung

Implementierung zusätzlicher/neuer Erkennungsmethoden und Kontrollen

Unternehmensgröße

Patching und Aktualisierung von potenziell angreifbaren Anwendungen

30%

43%

47%

30%

34%

43%

31%

49%

250-499

51%

34%

47%

51%

32%

34%

43%

34%

55%

500-999

53%

34%

52%

55%

34%

40%

49%

37%

57%

1000-9999

57%

37%

53%

59%

39%

42%

52%

36%

61%

10.000+

60%


Figure X. SMB Biggest Obstacles

Größte Hindernisse bei der Einführung von fortschrittlichen Sicherheitsprozessen und -technologien

Unternehmensgröße 250-499 500-999 1000-9999

Knappe Budgets 40% 39% 39% 41%

Nicht kompatible Altsysteme 32% 30% 32% 34%

Konkurrierende Prioritäten 25% 25% 24% 24%

10.000+

abbildung 34: Größte Hindernisse für kleine und mittelständische Unternehmen

abbildung 36: Einsatz von Sicherheitsverfahren geht 2015 bei kleinen und mittelständischen Unternehmen zurück


Figure X. SMB Defenses Decrease in 2015

Von Unternehmen eingesetzte Sicherheitsverfahren2014 2015

Mobile Sicherheit 52% 42%51%Sicherer Wireless-Zugri 41%

Schwachstellen-Scans 48% 40%

VPN 46% 36%

Security Information and Event Management (SIEM) 42% 35%

Netzwerkforensik 41% 29%

39% 29%

Endpunktforensik

Patching und Kon�gurationsmanagement

31% 23%

Penetrationstests 38% 32%

incidEnt-rEsponsE-tEams nicht diE rEgElDer Einsatz von Teams für Incident-Response und Threat-Intelligence ist in kleinen und mittelständischen Unternehmen im Vergleich zu Großunternehmen weniger verbreitet. Zurückführen lässt sich dies etwa auf knappe Budgets, die viele der Befragten als größtes Hindernis bei der Einführung von fortschrittlichen Sicherheitsprozessen und -technologien nannten. Bei 72 Prozent der Großunternehmen (mehr als 1000 Mitarbeiter) ist für beide Bereiche jeweils ein eigenes Team aufgestellt, bei Unternehmen mit weniger als 500 Mitarbeitern gilt dies für 67 Prozent.

Daneben haben kleine und mittelständische Unternehmen auch weniger Prozesse zur Analyse von Kompromittierungen, zur Beseitigung der Ursachen von Vorfällen und zur Wiederherstellung betroffener Systeme im Einsatz (Abbildung 35). So ziehen etwa nur 43 Prozent der

Unternehmen mit weniger als 500 Mitarbeitern bei der Analyse von kompromittierten Systemen die Netzwerkstatistik heran, verglichen mit 53 Prozent der Unternehmen mit über 10.000 Mitarbeitern. 60 Prozent der Großunternehmen führen zudem Patches und Aktualisierungen von potenziell angreifbaren Anwendungen durch, verglichen mit 51 Prozent der Unternehmen mit weniger als 500 Mitarbeitern.

Der Einsatz von Sicherheitsverfahren geht bei kleinen und mittelständischen Unternehmen ebenfalls zurück, etwa bei mobiler Sicherheit. Hier waren es 2014 noch 52 Prozent, 2015 dagegen nur noch 42 Prozent. Gleiches gilt für Schwachstellenscans, die gegenüber den 48 Prozent vom Vorjahr im Jahr 2015 nur noch 40 Prozent nutzten (siehe Abbildung 36).

3939


Unternehmen sieht sich nicht als gefährdet und betraut daher keine Führungskraft mit dem Bereich Sicherheit.


Figure X.SMBs Do Not Perceive Themselves as High-Value Targets

Führungskraft ist direkt mit dem Bereich Sicherheit betraut.

250-499

Unternehmensgröße Unternehmensgröße

89%

500-999

93%

1000-9999

92%

10.000+

92%

22% 17%13%26%

74%78% 87% 83%

NeinJaNeinJa

250-499 500-999 1000-9999 10.000+

11% 7% 8% 8%

abbildung 38: Kleine und mittelständische Unternehmen sehen nur geringe Gefahr für sich

Großunternehmen (mehr als 10.000 Mitarbeiter)

Ö�entlich gewordener Sicherheitsvorfall

39%52%

Kleine und mittelständische Unternehmen (250-499 Mitarbeiter)

Figure X. SMBs Report Fewer Public Breaches; Less Likely than Enterprises to Initiate Changes in Response


abbildung 37: Öffentlich gewordene Sicherheitsvorfälle bei kleinen und mittelständischen Unternehmen seltener





250-499


89%

500-999

93%

1000-9999

92%

10.000+

92%

22% 17%13%26%

74%78% 87% 83%

NeinJaNeinJa

250-499 500-999 1000-9999 10.000+

11% 7% 8% 8%





250-499


89%

500-999

93%

1000-9999

92%

10.000+

92%

22% 17%13%26%

74%78% 87% 83%

NeinJaNeinJa

250-499 500-999 1000-9999 10.000+

11% 7% 8% 8%

Kleinbetriebe und der Mittelstand sind also schwächer aufgestellt als große Unternehmen. Doch warum ist das von Bedeutung? Mit einem unzureichend geschützten Netzwerk werden sie angesichts der immer raffinierteren Angriffs- und Tarnungsstrategien der Cyberkriminellen zu einem leichten Ziel. Zudem sollten auch sie keine Prozesse ungenutzt lassen, mit deren Hilfe sie die Ursache von Vorfällen ausmachen und beseitigen können.

Ihnen muss außerdem klar sein, dass ihre eigene Angreifbarkeit zum Risiko für ihre Kunden aus Großunternehmen werden kann. Denn für den Einstieg in die Netze von lukrativeren Zielen nutzen die Cyberkriminellen von heute häufig Netzwerke wie ihre als Ausgangspunkt.

vorfällE gEratEn sEltEnEr in dEn fokus dEr ÖffEntlichkEitSicherheitsvorfälle bei kleinen und mittelständischen Unternehmen erregen – vermutlich aufgrund der aus Sicht der Netzwerkgröße geringeren Tragweite – seltener öffentliches Aufsehen als bei großen Unternehmen. So waren bei Unternehmen mit mehr als 10.000 Mitarbeitern bereits 52 Prozent von einem solchen Vorfall betroffen, bei Unternehmen mit weniger als 500 Mitarbeitern dagegen nur 39 Prozent.

Vorfälle dieser Art können erheblichen geschäftlichen Schaden anrichten, gleichzeitig haben sie aber auch häufig zur Folge, dass die betroffenen Unternehmen ihre Sicherheitsmaßnahmen prüfen und stärken. So bauen große Unternehmen unserer Studie zufolge ihre Sicherheitstechnologie und -prozesse nach einem solchen Vorfall erheblich aus (siehe seite 74).

Kleine und mittelständische Unternehmen unterschätzen offenbar auch das Gefahrenpotenzial der aktuellen Bedrohungslandschaft. Denn wie Abbildung 38 zeigt, betrauen nur 22 Prozent der Unternehmen mit weniger als 500 Mitarbeitern eine Führungskraft direkt mit dem Bereich Sicherheit, da sie das eigene Unternehmen als nicht außerordentlich gefährdet ansehen.

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9002BpT9E

https://twitter.com/intent/tweet?url=http://cs.co/9004BpT9G&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9001BpT9D&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9003BpT91

4040


sEcurity-outsourcing 2015 im aufwind


Figure X. More SMBs Outsource in 2015

Unternehmensgröße

Beratung

Überwachung

Entwicklungen im Bedrohungsumfeld

Incident-Response

Audits

Behebung von Vorfällen

250-499

46%

45%42%39%35%33%

51%

46%46%44%37%38%

54%

42%46%44%42%36%

55%

44%56%40%41%36%

Keine 18% 12% 11% 10%

Von kleinen und mittelständischen Unternehmen (250-499 Mitarbeiter) genannte Gründe für das Outsourcing dieser Services

Fachkräftemangel

31%51%

Mangel an internen Ressourcen (Software, Personal)

30%

Objektive Sicherheitsbewertung durch externe StelleHöhere Kostene�zienz

45%

Schnellere Reaktion auf Vorfälle

45%

1000-9999500-999 10.000+

Von Unternehmen teilweise oder vollständig an Drittanbieter ausgelagerte Services

abbildung 39: Kleine und mittelständische Unternehmen setzen 2015 stärker auf Security-Outsourcing

TEILEN

Kleinbetriebe und der Mittelstand lagern zwar zunehmend Sicherheitsbereiche an externe Anbieter aus, tendenziell aber in geringerem Umfang als große Unternehmen. Beratungsleistungen etwa bezogen 55 Prozent der großen Unternehmen durch Outsourcing, verglichen mit 46 Prozent der Unternehmen mit weniger als 500 Mitarbeitern. Und auch Sicherheitsaudits lagerten große Unternehmen mit 56 Prozent häufiger aus als Unternehmen mit weniger als 500 Mitarbeitern (42 Prozent) (siehe Abbildung 39).

Dennoch lagerten kleine und mittelständische Unternehmen 2015 insgesamt mehr Security-Services aus. So hatten 2014 noch 24 Prozent der Unternehmen mit weniger als 499 Mitarbeitern angegeben, dass sie keinerlei Services von Outsourcing-Anbietern nutzten, 2015 nur noch 18 Prozent.

Dieser Trend ist positiv zu bewerten, denn er zeigt, dass diese Unternehmen zunehmend auf flexible Tools setzen, mit denen sie ihre Netzwerke auch bei geringerem Personal- und Geldeinsatz wirksam schützen können. Gleichzeitig dürfen sie aber nicht annehmen, dass allein durch Security-Outsourcing bereits das Risiko eines Vorfalls minimiert wird oder die Sicherheit ihrer IT dadurch allein in den Händen ihrer Outsourcing-Partner liegt. Denn erst ein vollständig integriertes Abwehrsystem – eines, mit dem Angriffe nicht nur untersucht und eingedämmt, sondern auch verhindert werden können – kann ihnen den Schutz bieten, von dem auch große Unternehmen profitieren.

40

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9008BpT96

https://twitter.com/intent/tweet?url=http://cs.co/9000BpT98&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9007BpTgh&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9009BpT9B

4141


Ergebnisse der Cisco Security Capabilities Benchmark Study

42

Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report

Mit der zunehmenden Komplexität der Bedrohungen von heute sinkt das Vertrauen der Unternehmen in die Sicherheit ihrer IT. Getrieben von dieser Sorge verstärken Sicherheitsverantwortliche aber gleichzeitig auch ihre Schutzmaßnahmen. So weiten sie etwa ihre Schulungsprogramme aus, formulieren umfangreichere Sicherheitsrichtlinien und beauftragen externe Experten mit Sicherheitsaudits, Beratungsleistungen oder Incident-Response. Kurzum: Sicherheitsverantwortliche intensivieren ihre Vorkehrungen zum Schutz vor Bedrohungen.

Umfangreichere Schulungsprogramme und Security-Outsourcing sind bereits Schritte in die richtige Richtung. Noch stärker als bisher muss die Branche aber auf Tools und Prozesse setzen, mit denen Bedrohungen effektiver aufgespürt, eingedämmt und unschädlich gemacht werden können. Angesichts knapper Budgets und Kompatibilitätsbarrieren braucht es zudem effektive Lösungen für eine integrierte Bedrohungsabwehr. Wichtig sind daneben auch Zusammenarbeit und Wissensaustausch innerhalb der Branche, um wie im Fall des SSHPsychos-Botnet (siehe seite 14) wirksam gegen groß angelegte Cyberangriffe vorgehen und diese künftig verhindern zu können.

Cisco hat die Leiter der Sicherheitsabteilung (Chief Security Officer, CSO) und die ihnen unterstellten Sicherheitsteams (Security Operations Manager, SecOps) aus Unternehmen verschiedener Länder und Größen zu ihrer Sicht auf den Sicherheitsstatus ihres Unternehmens befragt. Die Studie beleuchtet die aktuell in Unternehmen eingesetzten Sicherheitsressourcen und -verfahren und vergleicht die Ergebnisse mit der erstmalig im Jahr 2014 durchgeführten Erhebung.

Ergebnisse der Cisco Security Capabilities Benchmark Study

Unternehmen sehen Handlungsbedarf bei Sicherheitsvorkehrungen

43


abbildung 40: Nutzung von Outsourcing-Diensten

Beratung

Audits

Überwachung

Incident-Response

Threat-Intelligence

Behebung

Keine/Intern

51%

41%

42%

35%

34%

21%

–

52%

47%

44%

42%

36%

12%

39%

Höhere Kostene�zienz

Objektive Sicherheitsbewertung durch externe Stelle

Schnellere Reaktion auf Vorfälle

Fachkräftemangel

Mangel an internen Ressourcen

53%

49%

46%

31%

31%

Gründe für das Outsourcing dieser Services † 2015 (n=1129)

Outsourcing von Security-Bereichen

2014 (n=1738) 2015 (n=2432)

Figure X.Outsourced Services Seen as Cost E�ective

Quelle: Cisco 2015 Security Capabilities Benchmark Study

† Befragte, die Security-Services auslagern (2015; n=2129)

abbildung 41: Zunahme bei externem Hosting

Hosting am Standort noch die Regel, jedoch Zunahme bei externem Hosting gegenüber Vorjahr

Figure X. O�-Premise Hosting on the Rise

2014 (n=2417) 2015 (n=2417)

Am Standort als Teil einer Private-Cloud 50% 51%

Externe Public-Cloud 8% 10%

Externe Private-Cloud 18% 20%

Am Standort, verwaltet über externen Dienstleister 23% 24%

Am Standort 54% 48%


rEssourcEn: outsourcing macht schulESicherheitsverantwortliche erkennen angesichts zunehmender Bedrohungen immer häufiger den Wert von Outsourcing-Diensten als effiziente Lösung für unterschiedliche Sicherheitsbereiche. Für Sicherheitsaudits etwa beauftragten 2015 47 Prozent der Unternehmen einen externen Anbieter, verglichen mit 41 Prozent im Vorjahr. 42 Prozent der Unternehmen griffen 2015 zudem im Bereich Incident-Response auf Outsourcing zurück. 2014 waren es noch 35 Prozent (Abbildung 40).

Gleichzeitig ging auch die Zahl der Unternehmen deutlich zurück, die vollständig auf Outsourcing verzichten. So galt dies 2014 noch für 21 Prozent, 2015 nur noch für 12 Prozent. Für die Nutzung von Outsourcing-Diensten sprach für 53 Prozent ihre höhere Kosteneffizienz, 49 Prozent begrüßten sie als Möglichkeit für eine objektive Sicherheitsbewertung durch externe Stellen.

Als Mittel zur Stärkung der Netzwerk- und Datensicherheit stehen Sicherheitsverantwortliche mittlerweile auch Konzepten für externes Hosting von Netzwerken etwas offener gegenüber, bevorzugen aber weiterhin interne Lösungen. So konnten externe Private-Cloud-Lösungen 2015 mit 20 Prozent gegenüber den 18 Prozent vom Vorjahr leicht zulegen (Abbildung 41).

44


Figure X. Budget Constraints Are the Major Barrier to Security Upgrades

2015 (n=2432)Größte Hindernisse bei der Einführung fortschrittlicher Sicherheitstools Prozesse und Technologie

Führungsebene nicht überzeugt 20%

Tools noch nicht bewährt 22%

Fachkräftemangel 22%

Unternehmenskultur 23%

Unzureichendes Know-how 23%

Derzeit zu hohe Arbeitsbelastung 24%

Konkurrierende Prioritäten 24%

Zerti�zierungsanforderungen 25%

Kompatibilitätsbarrieren 32%

Knappe Budgets 39%$


abbildung 42: Knappe Budgets bilden größtes Hindernis für Sicherheitsinitiativen

FIgure X.Budget Constraints as Biggest Obstacles to Adopting Advanced Security Processesand Technology

HochOberes MittelfeldMittelUnteres Mittelfeld

38%38%39%

48%

43%

Niedrig

Befragte, die knappe Budgets als wichtigstes Hindernis nannten (in %) (n=2432)


abbildung 43: Knappe Budgets besonders bei weniger ausgereiftem Sicherheitsansatz ein Hindernis

Separater Posten Nur über IT-BudgetTeilweise über IT-Budget

6% 9% 33% 33% 61% 58%

$$

A Minority of Organizations Still Have Security Budgets that Are Completely Separate From it, but Incidence Has Increased.

Wird Security als von der IT separater Posten budgetiert?

Figure X. Slight Increases in Organizations with Separate Security Budgets

2014 (n=1720) 2015 (n=2417)


abbildung 44: Leichte Tendenz in Richtung separate Budgetierung von Security

TEILEN

Sicherheitsverantwortliche stehen bei der Umsetzung ihrer Pläne zur effektiveren Sicherung ihrer Netzwerke allerdings auch vor Herausforderungen. So wurden knappe Budgets mit 39 Prozent am häufigsten als Hindernis für die Einführung neuer Security-Services und -Tools genannt, gefolgt von Kompatibilitätsproblemen mit 32 Prozent (siehe Abbildung 42). Wie Abbildung 43 zeigt, sind knappe Budgets besonders bei Unternehmen mit weniger ausgereiften Sicherheitsprozessen eine Herausforderung. So hatten an dem o. g. Gesamtwert von 39 Prozent die Unternehmen mit einem niedrigen Reifegrad einen Anteil von 43 Prozent, weitere 48 Prozent fielen auf Unternehmen aus dem unteren Mittelfeld.

Inwieweit sich Unternehmen mit ihren Sicherheitsressourcen auseinandersetzen lässt sich daran erkennen, wie sie ihre Security-Budgets strukturieren. So führten in der aktuellen Studie etwas mehr Unternehmen den Bereich Security als separaten Posten vom IT-Budget: 2014 galt dies für 6 Prozent, 2015 bereits für 9 Prozent (siehe Abbildung 44).

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9004BpTgA

https://twitter.com/intent/tweet?url=http://cs.co/9006BpTgC&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9003BpTgf&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9005BpTg7

45

Ergebnisse der Security Capabilities Benchmark StudyCisco 2016 Annual Security Report Figure X. Majority of Organizations Are Certied or Seeking Certication

Vorbereitung auf Zertizierung

Zertizierungsverfahren im Gange

Unternehmen legt Sicherheitsstandards zugrunde (2015 n=1265)

63% Industriechemie58% Fertigung (nicht Computer-bezogen)57% Transport46% Land- und Forstwirtschaft/Fischerei44% Pharma36% Bergbau

70% Finanzsektor70% Telekommunikation67% Gesundheit65% Behörden64% Versorgung63% Andere Branche

Zertizierung bereits erworben

63%31%

7%


abbildung 45: Mehrheit der Unternehmen bereits zertifiziert oder auf dem Weg dorthin

abbildung 46: Firewalls und Data-Loss-Prevention am weitesten verbreitet

Maßnahmen zur Bedrohungsabwehr

In der Cloud verwaltet (Befragte, die Bedrohungsabwehr einsetzen)

2014 (n=1738) 2014 (n=1646) 2015 (n=2268)2015 (n=2432)

Netzwerk, Sicherheit, Firewalls und Intrusion-Prevention* 60% N/A 35%

E-Mail-/Messaging-Sicherheit 56% 52% 37% 34%

Verschlüsselung/Datensicherheit 53% 53%

Data-Loss-Prevention 55% 56%

Authenti�zierung 52% 53%

Firewall* – 65% 31%

Websicherheit 59% 51% 37% 31%

*Firewall und Intrusion Prevention waren 2014 zusammengefasst: „Netzwerksicherheit, Firewalls und Intrusion-Prevention“

Figure X. Firewalls and Data Loss Prevention Are Most Commonly Used Security Tools


Unternehmen, die ihre Prozesse an offiziellen Sicherheitsstandards ausrichten und sich nach diesen zertifizieren lassen, unterstreichen ihr Engagement im Bereich Sicherheit. Bei fast zwei Drittel der Befragten war dies bereits der Fall oder sie hatten entsprechende

Initiativen bereits auf den Weg gebracht (Abbildung 45) – eine positive Entwicklung, die zeigt, dass Unternehmen ihr Know-how und ihre Reaktionsfähigkeit rund um die Abwehr von Bedrohungen stärker ausbauen.

Firewalls sind mit 65 Prozent die am häufigsten eingesetzten Sicherheitstools, gefolgt von Data-Loss-Prevention- und Authentifizierungstools mit 56 bzw. 53 Prozent (siehe Abbildung 46). Cloud-basierte Tools waren 2015 etwas weniger populär.

Sicherheitsverantwortliche setzen zwar insgesamt mehr auf Security-Outsourcing (siehe seite 43), belassen ihre Tools aber tendenziell eher innerhalb der eigenen Infrastruktur (vollständige Liste auf seite 71).

46


abbildung 48: Vertrauen in eigene IT-Sicherheit geringer als im Vorjahr

TEILEN

abbildung 47: Sicherheitsrichtlinien werden vermehrt in formellen Regelwerken festgelegt


Figure X. O�-Premise Hosting on the Rise

2014 (n=1738)Sicherheitsstandards 2015 (n=2432)

Formelles, regelmäßig aktualisiertes Regelwerk zur unternehmens-weiten Security-Strategie

66%

Keine der Genannten 1% 1%

Grundlage bilden Sicherheitsstandards wie ISO 27001

59%

52% 52%

54% 38%

Formelle Festlegung besonderer Risikomanagement- und Schutzrichtlinien von entweder geschäftskritischen oder gesetzlich regulierten Ressourcen

Figure X. Con�dence is Lower in 2015

2014 (n=1738) 2015 (n=2432)

In 2015, Companies are Less Con�dent that Their Security Infrastructure is Up-to-Date; Budget is the Top Barrier to Upgrades.

Unsere Sicherheitsinfrastruktur wird laufend aktualisiert und regelmäßig durch die besten am Markt verfügbaren Technologien ergänzt.

Wir ersetzen oder aktualisieren unsere Sicherheitstechnologien regelmäßig, sind jedoch nicht mit den allerneuesten Tools ausgestattet.

Wir erneuern oder aktualisieren unsere Sicherheitstechnologien nur, wenn die bestehenden ihren Zweck nicht mehr erfüllen/veraltet sind oder wenn neue Anforderungen ein Upgrade erfordern.

64% 59%

33% 37%

3% 5%

Wie würden Sie Ihre Sicherheitsinfrastruktur beschreiben?


wEnigEr vErtrauEn in diE EigEnEn fähigkEitEnIm Vergleich zum Vorjahr waren Sicherheitsverantwortliche 2015 weniger davon überzeugt, dass ihre Sicherheitsinfrastruktur den aktuellen Herausforderungen gewachsen ist – eine angesichts der immer häufigeren Großangriffe auf bedeutende Konzerne, dem Ausmaß der dabei entstandenen Datenverlusten und Rufschädigungen nachvollziehbare Entwicklung.

Gleichzeitig gibt diese Entwicklung aber auch der Einführung stärkerer Sicherheitsvorkehrungen Auftrieb. So hielten 2015 bereits 66 Prozent der Unternehmen ihre Security-Strategie in einem formellen Regelwerk fest, im Vorjahr dagegen nur 59 Prozent (Abbildung 47).

Etwas nach unten ging das Vertrauen der Befragten etwa in die bei ihnen eingesetzten Technologien. So gaben 2014 noch 64 Prozent an, dass ihre Sicherheitsinfrastruktur auf dem neuesten Stand ist und laufend aktualisiert wird, 2015 dagegen nur noch 59 Prozent (Abbildung 48). Zudem beklagten 2014 noch 33 Prozent der Befragten, dass ihr Unternehmen nicht mit den neuesten Sicherheitstools ausgestattet sei, 2015 dagegen bereits 37 Prozent.

CSO zeigen sich insgesamt etwas optimistischer als ihre Kollegen aus den SecOps-Teams. Von ihnen befanden 65 Prozent, dass ihre Sicherheitsinfrastruktur auf dem neuesten Stand ist, von den SecOps-Teams dagegen nur 54 Prozent – mit dem täglichen Umgang mit Sicherheitsvorfällen fällt somit offenbar auch die Sicht auf den eigenen Sicherheitsstatus weniger positiv aus.

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9000BpTg2

https://twitter.com/intent/tweet?url=http://cs.co/9002BpTg4&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9009BpTgF&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9001BpTgN

47


abbildung 49: Gemischtes Bild beim Vertrauen in die Effektivität von Erkennungssystemen

TEILEN

Figure X. Mixed Con�dence in Ability to Detect Compromises

Unsere Sicherheitsinfrastruktur wird laufend aktualisiert und regelmäßig durch die besten am Markt verfüg-baren Technologien ergänzt.


Ausmaß eines Vorfalls kann bestimmt und der Schaden behoben werden (Anteil der Befragten)

451 8 46

(2015 n=2432)

Schwachstellen können frühzeitig ausgemacht und so schwerwiegende Vorfälle verhindert werden (Anteil der Befragten)

511 4 45

Stimme überhaupt nicht zu Stimme vollkommen zuStimme nicht zu Stimme zu

Wie würden Sie Ihre Sicherheitsinfrastruktur beschreiben?

59%

abbildung 50: Weniger Vertrauen in Maßnahmen zur Integration von Sicherheit auf Systemebene

Figure X. Lower Con�dence in Ability to Build Security into Systems


Sicherheitsaspekte sind bei uns gut in Systeme und Anwendungen integriert (%)

93

582 5 35

96

541 4 42

2015n=2432

2014n=1738

Stimme überhaupt nicht zu Stimme vollkommen zuStimme nicht zu Stimme zuSicherheitsrichtlinien

Ein gemischtes Bild zeigt das Vertrauen der Sicherheitsverantwortlichen gegenüber ihren Fähigkeiten zur Abwehr von Angriffen. So waren nur 51 Prozent davon überzeugt davon, Schwachstellen frühzeitig ausmachen und so schwerwiegende Vorfälle verhindern zu können. Zudem vertrauten nur 45 Prozent auf ihre Fähigkeiten, das Ausmaß eines Vorfalls in ihrem Netzwerk bestimmen und den Schaden beheben zu kommen (siehe Abbildung 49).

Sinkendes Vertrauen zeigen die Befragten gegenüber ihren Maßnahmen zur Stärkung der Abwehr von Angriffen. So waren 2015 etwa nur noch 54 Prozent davon überzeugt, dass ihre Verfahren für die Systembeschaffung, -entwicklung und -wartung durch angemessene Sicherheitsrichtlinien geschützt sind, verglichen mit 58 Prozent im Vorjahr (siehe Abbildung 50) (vollständige Liste auf seite 76).

47

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9006BpTgI

https://twitter.com/intent/tweet?url=http://cs.co/9008BpTg0&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9005BpTgx&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9007BpTgL

48


abbildung 51: Vertrauen in Sicherheitskontrollen

Figure X.Enterprises Believe They Have GoodSecurity Controls

Mit unseren Systemen können wir zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist


Sicherheitskontrollen

92

541 6 38

95

541 5 412015n=2432

2014n=1738


Sicherheitsverfahren werden bei uns regelmäßig nach formellen und strategischen Gesichtspunkten geprüft und optimiert


94

561 4 38

96

561 4 40

2015n=2432

2014n=1738

Sicherheitstechnologien sind bei uns gut miteinander integriert und arbeiten e�ektiv zusammen

94

562 5 38

95

521 4 43

2015n=2432

2014n=1738

Das Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden

89

462 9 43

91

451 8 46

2015n=2432

2014n=1738

Sicherheitsimplementierung

Figure X. Enterprises Lack Con�dence in Ability to Contain Compromises


abbildung 52: Vertrauen in Fähigkeiten zur Eindämmung von Vorfällen zeigt gemischtes Bild

TEILEN

In einigen Bereichen ist der Vertrauensrückgang besonders deutlich. So waren 2015 etwa nur 54 Prozent der Befragten davon überzeugt, Sicherheitsvorfälle mit den bei ihnen eingesetzten Systemen zuverlässig erkennen zu können (siehe Abbildung 51) (vollständige Liste auf seite 77).

Ein ebenfalls gemischtes Bild zeigt das Vertrauen in die Fähigkeiten ihrer Systeme, das Ausmaß solcher Vorfälle bestimmen und den Schaden eindämmen zu können. So werden Sicherheitsverfahren bei nur 56 Prozent der Befragten regelmäßig nach formellen und strategischen Gesichtspunkten geprüft und optimiert, und nur 52 Prozent befinden, dass ihre Sicherheitstechnologien gut miteinander integriert sind und effektiv zusammenarbeiten (siehe Abbildung 52) (vollständige Liste auf seite 79).

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9002BpTgQ

https://twitter.com/intent/tweet?url=http://cs.co/9004BpTga&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9001BpTgt&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9003BpTgv

49


Figure X. One-Fourth of Enterprises Believe Security Tools Are Only Somewhat E�ective

Überhaupt nicht ÄußerstWenig Etwas e�ektiv SehrE�ektivität von Sicherheitstools

Ähnlich wie im letzten Jahr bewertete über ein Viertel die eigenen Sicherheitstools lediglich nur als „etwas“ statt „sehr“ oder „äußerst“ e�ektiv.

Blockierung bekannter Bedrohungen 73

230 3 24 50

75

240 2 5123

2015n=2432

2014n=1738

Erkennung von Netzwerkanomalien und Abwehr dynamischer Bedrohungen

70

210 4 27 49

70

210 2 4928

2015n=2432

2014n=1738

Durchsetzung von Sicherheitsrichtlinien 71

201 3 27 51

70

200 2 5028

2015n=2432

2014n=1738

Bewertung potenzieller Sicherheitsrisiken 70

221 4 26 48

69

190 2 5029

2015n=2432

2014n=1738

Bestimmung des Ausmaßes eines Vorfalls Eingrenzung des Vorfalls und Beseitigung weiterer Exploits

67

190 3 30 48

68

190 2 4930

2015n=2432

2014n=1738


abbildung 53: Ein Viertel bewertet eigene Sicherheitstools nur als „etwas effektiv“

Ähnlich wie im Vorjahr bewerten auch 2015 über ein Viertel der Befragten ihre Sicherheitstools nur als „etwas effektiv“ (Abbildung 53).

50


abbildung 54: Öffentlich gewordene Vorfälle bewirken häufig eine Stärkung der Sicherheitsvorkehrungen

Ist ein Sicherheitsvorfall in Ihrem Unternehmen schon einmal an die Ö�entlichkeit gelangt?

Figure X. Public Breaches Can Improve Security

(n=1701) (n=1347)

48% Ja

53% Ja

vs.

20152014

Inwieweit reagierte Ihr Unternehmen auf diesen Vorfall mit Verbesserungen bei Sicherheitsrichtlinien, -verfahren oder -technologien? (n=1134)

Überhaupt nicht UmfangreichEtwasKaum

10%1% 42% 47%


abbildung 55: Schulungsmaßnahmen werden intensiviert

Figure X.More Organizations Conduct Security Training

43%Quelle: Cisco 2015 Security Capabilities Benchmark Study

43 Prozent der Befragten weiteten 2015 ihre Schulungsmaßnahmen nach einem ö�entlich gewordenen Sicherheitsvorfall aus.

Sicherheitsvorfälle, die an die Öffentlichkeit gelangen, sind für die betroffenen Unternehmen der häufig der Moment, an dem sie ihren bisherigen Maßnahmen überdenken und sich um stärkere Sicherheitsvorkehrungen bemühen. Mit 48 Prozent hatten 2015 allerdings weniger der Befragten mit einem solchen Vorfall zu tun als im Vorjahr – 2014 waren es noch 53 Prozent (siehe Abbildung 54).

Ein solcher Vorfall kann sich also auch positiv auf das Sicherheitsbewusstsein des betroffenen Unternehmens auswirken – eine Ansicht, die auch die befragten Sicherheitsverantwortlichen teilen. Und ein Effekt, den nicht wenige der Befragten aus diesen Unternehmen bestätigten: Bei 47 Prozent wurden daraufhin die Sicherheitsrichtlinien und -verfahren überarbeitet und verbessert, bei 43 Prozent reagierte man mit umfangreicheren Schulungsprogrammen sowie bei weiteren 42 Prozent mit höheren Investitionen in Sicherheitstechnologien.

Insgesamt ist festzuhalten, dass Unternehmen Vorfälle dieser Art zunehmend ernst nehmen und entsprechend darauf reagieren. So ist bei 97 Prozent der im Jahr 2015 Befragten jetzt mindestens einmal pro Jahr eine Sicherheitsschulung vorgesehen, ein erheblicher Anstieg gegenüber den 82 Prozent vom Vorjahr (siehe Abbildung 90 auf seite 82).

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9008BpTgq

https://twitter.com/intent/tweet?url=http://cs.co/9000BpTgs&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9007BpTgU&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9009BpTgS

51


abbildung 57: Kein direkter Zusammenhang zwischen Reifegrad und Herausforderungen

abbildung 56: Bestimmung des Reifegrads auf Grundlage der Sicherheitsprozesse

Figure X. Maturity Model Ranks OrganizationsBased on Secuirty Processes

Cisco prüfte verschiedene Segmentierungsansätze und entschied sich dann – basierend auf einer Reihe von Fragen zu den Sicherheits-prozessen – für die Aufteilung in fünf Segmente. Diese Lösung deckt sich weitestgehend mit dem Capability Maturity Model Integration (CMMI).

Niedrig

Oberes Mittelfeld

Unteres Mittelfeld

Hoch

Mittel

5 Segmente

Optimierung

Quantitativ verwaltet

Deniert

Reproduzierbar

Reaktiv

Fokus liegt auf Prozessoptimierung

Prozesse werden quantitativ gemessen und kontrolliert

Auf das Unternehmen zugeschnittene Prozesse; häug proaktiv

Auf Projekte zugeschnittene Prozesse; häug reaktiv

Ad-hoc-Prozesse; nicht planbar

1

2

3

4

5

Stufe



Größte Hindernisse bei der Einführung von fortschrittlichen Sicherheitsprozessen und -technologien?

Reifegrad Niedrig Oberes Mittelfeld HochUnteres Mittelfeld Mittel

Knappe Budgets

Konkurrierende Prioritäten

39%43% 48% 38%38%

Führungsebene nicht überzeugt

20%14% 20% 19%22%

Fachkräftemangel

26%19% 27% 22%26%

Zerti�zierungsanforderungen 26%14% 17% 25%27%

22%21% 27% 23%19%

Unzureichendes Know-how bezüglich fortschrittlicher Sicherheitsprozesse und -technologie

25%31% 20% 22%23%

Tools noch nicht am Markt bewährt

Zu hohe Arbeitsbelastung lässt derzeit keine neuen Aufgaben zu

24%12% 25% 19%25%

Unternehmenskultur bezüglich Sicherheit 23%31% 23% 21%22%

36% 23% 22%25%25%

Probleme hinsichtlich Kompatibilität mit älteren Systemen

29%21% 28% 33%34%

knappE BudgEts – durch diE Bank wEg EinE hErausfordErungAuf Grundlage der Sicht der Befragten auf ihre Sicherheitsprozesse und -verfahren ordnet die Studie die Unternehmen in fünf Reifegrade (siehe Abbildung 56) ein und untersucht, inwieweit Faktoren wie Ressourcenausstattung, Branche und Land diese beeinflussen.

Es zeigte sich, dass sich die Herausforderungen bei der Einführung fortschrittlicher Sicherheitsprozesse und -tools über verschiedene Reifegrade hinweg decken. Die Zahlen variieren zwar im Einzelnen, knappe Budgets stehen allerdings durch die Bank an erster Stelle (Abbildung 57).

52


abbildung 58: Verhältnis Reifegrad/Infrastruktur nach Branche

TEILEN

abbildung 59: Reifegrade nach Branche


Figure X. Maturity Levels by Industry

Segmentverteilung nach Branche

Reifegrad Niedrig Oberes Mittelfeld HochUnteres Mittelfeld Mittel

Industriechemie 1% 6% 39%21% 33%

Finanzsektor 1% 10% 38%26% 26%

Behörden/Verwaltung 3% 10% 34%28% 25%

Gesundheit 1% 10% 37%30% 22%

Fertigung (nicht Computer-bezogen) 1% 10% 32%34% 22%

Pharma 2% 3% 44%30% 21%

Transport- und Verkehrswesen

1% 5% 46%28% 20%

Versorgung 1% 15% 23%28% 32%

Telekommunikation 2% 11% 33%26% 28%

Figure X. Gauging Security Maturity byInfrastructure and Industry

Versorgung

Fertigung (nicht Computer-bezogen)

Telekommunikation

PharmaAndere

Bergbau Transport- und Verkehrswesen

Gesundheit

Industriechemie

Behörden/Verwaltung

Finanzsektor: Banken und Versicherungen


Mittel Oberes Mittelfeld Hoch

Lauf

end

aktu

alis

iert

, ne

uste

Tec

h.Re

gelm

. Upg

rade

s

Das Diagramm rechts zeigt im Branchenvergleich, wie sich die Qualität der Sicherheitsinfrastruktur im Verhältnis zum Reifegrad verhält. Die Ergebnisse basieren auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse. Bei den Branchen im oberen rechten Quadrant sind die Qualität der Infrastruktur sowie der Reifegrad am höchsten.

Das Diagramm unten zeigt die Verteilung der Reifegrade nach Branche. Gut aufgestellt sind 2015 die Unternehmen aus der Transport- und Pharmabranche. Hier erreichte über die Hälfte der Befragten einen hohen Reifegrad. In den Branchen Telekommunikation und Versorgungswirtschaft sind im Vergleich zum Vorjahr dagegen weniger Unternehmen mit einem hohen Reifegrad vertreten. Die Ergebnisse basieren auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse.

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9004BpTgm

https://twitter.com/intent/tweet?url=http://cs.co/9006BpTgo&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9003BpTgl&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9005BpTgW

53



Figure X. Maturity Levels by Country

Segmentverteilung nach Land 2014 (n=1637) 2015 (n=2401)

Reifegrad Niedrig2014 Oberes Mittelfeld HochUnteres Mittelfeld Mittel

USA 22%2% 4% 45%27%

Brasilien1% 9% 40%26%

Deutschland1% 12% 39%24%

Italien4% 3% 34%23%

Großbritannien0% 14% 32%22%

Australien1% 5% 29%36%

China0% 6% 32%25%

Indien

24%

36%

32%

29%

37%

21%

34%

1% 4% 40%34%

Japan2% 16% 32%16%

27%3% 10% 44%16%

2% 5% 34%35%

1% 4% 43%25%

1% 23% 38%25%

8% 8% 41%18%

9% 7% 30%35%

0% 3% 36%29%

27%

24%24%

13%

25%

19%

32%

20%

14%

7% 3% 16%

7% 15% 24%40%

20%Mexiko 6% 8% 50%16%

27%Russland 1% 14% 32%26%

35%Frankreich 1% 15% 29%20%

54%

Figure X. Gauging Security Maturity byInfrastructure and Country

Japan

Frankreich

Russland

Deutschland

Mexiko

Italien

China

Brasilien

Indien

USA

Großbritannien

Australien


Mittel Oberes Mittelfeld HochLa

ufen

d ak

tual

isie

rt,

neus

te T

ech.

Rege

lm. U

pgra

des

abbildung 60: Verhältnis Reifegrad/Infrastruktur nach Land

abbildung 61: Reifegrade nach Land

TEILEN

Das Diagramm rechts zeigt im Landesvergleich, wie sich die Qualität der Sicherheitsinfrastruktur im Verhältnis zum Reifegrad verhält. Bei den Ländern im oberen rechten Quadrant sind die Qualität der Infrastruktur sowie der Reifegrad am höchsten. Auch hier basieren die Ergebnisse auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse.

Das Diagramm unten zeigt die Verteilung der Reifegrade nach Land. Die Ergebnisse basieren auf der Bewertung der Befragten bezüglich ihrer Sicherheitsprozesse.

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9000BpTgi

https://twitter.com/intent/tweet?url=http://cs.co/9002BpTgY&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9009BpTg9&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9001BpTgc

54


EmpfEhlung: rEalitätEn anErkEnnEn und angEmEssEn rEagiErEnDie Ergebnisse der Studie zeigen: Sicherheitsverantwortliche sind in der Realität angekommen. So stehen auf der einen Seite zwar schwindendes Vertrauen in die eigene Abwehrstärke, auf der anderen Seite aber auch umfangreichere Schulungsmaßnahmen und Sicherheitsrichtlinien – die groß angelegten Cyberangriffe der jüngeren Vergangenheit hatten also auch positive Effekte. Positiv außerdem: Unternehmen setzen für Bereiche wie Sicherheitsaudis und Incident-Response zunehmend auf die Unterstützung von externen Experten.

Vorkehrungsmaßnahmen wie diese gilt es weiter auszubauen – was aber auch beinhaltet, der Sicherheitsabteilung mehr Spielraum für Investitionen in Technologie und Personal einzuräumen. Denn so aufgestellt wird sie in der Lage sein, Vorfälle nicht nur zu erkennen, sondern auch den Schaden einzudämmen und künftig abzuwenden. Und dann wird auch das Vertrauen wieder steigen.

54


5555


Ein blick in die zukunft

56

Ein Blick in die ZukunftCisco 2016 Annual Security Report

Die netzpolitischen Entwicklungen der Zeit nach Edward Snowdens Enthüllungen hinterlassen vor allem eines: Unsicherheit darüber, ob ein freier, grenzübergreifender Informationsfluss auch in Zukunft noch möglich sein wird. Ein Paradebeispiel hierfür ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2016, der nach einer Klage des österreichischen Datenschutzaktivisten Max Schrems gegen den Internetriesen Facebook das „Safe Harbor“-Abkommen zwischen EU und USA für ungültig erklärte.⁷

Für in der EU Geschäftstreibende bedeutet das eine erhebliche Rechtsunsicherheit. Denn die Verfahren, auf die sie sich jetzt bei der Übermittlung von Daten in die USA stützen müssen, werden ihrerseits noch auf ihre datenschutzrechtliche Relevanz geprüft. Internetfirmen vermochten noch immer nicht, die Folgen dieses Urteils vollständig abzuschätzen. Ein Ersatz für Safe Harbor ist derweil schon seit zwei Jahren in Arbeit. Ob sich EU und USA bis Januar 2016 einigen werden – diese Frist hat der EuGH für eine Neuregelung festgesetzt –, ist dabei jedoch keineswegs gesichert. Noch weniger

gesichert ist allerdings, ob das neue Abkommen dann zur Wiederherstellung des Marktvertrauens taugen wird. Denn dazu müsste es die Bedenken des EuGH gegenüber dem Vorgänger auch ausräumen, damit es nicht Gefahr laufen kann, ebenfalls für ungültig erklärt zu werden.⁸

Datenschützer erwarten allerdings, dass das neue Abkommen nicht weniger umstritten sein wird als sein Vorgänger. Und ob es dann einer Klage standhält oder wie schon sein Vorgänger zu Fall gebracht wird, ist fraglich.⁹

Die Debatte rund um End-to-End-Verschlüsselung – ihre Vorteile für Verbraucher und Unternehmen und die Herausforderungen, die sie bei der Strafverfolgung und Terrorismusbekämpfung darstellt – wird Politik und Branche ebenfalls noch stark beschäftigen. So werden vor dem Hintergrund der Anschläge von Paris im November 2015 sicher auch die Rufe einiger Politiker noch lauter werden, Strafverfolgern Einblick in verschlüsselte Kommunikation zu ermöglichen.¹⁰ Und auch in Safe Harbor 2.0 wird sich diese Stimmung sicher niederschlagen, da die Rechte des Einzelnen in Zeiten des Terrors für gewöhnlich eher zweitrangig behandelt werden.

Regulierung des Internets: Geopolitische Entwicklungen schüren Unsicherheit

Ein Blick in die ZukunftLänderübergreifende Datenübermittlung, eine heiße Debatte um verschlüsselte Kommunikation – netzpolitisch kommen einige Veränderungen auf uns zu. Zur gleichen Zeit wächst in den Vorstandsetagen die Sorge um die Cybersicherheit, während auf Seiten von IT-Entscheidern zunehmend die Sicherheit und Vertrauenswürdigkeit ihrer IT-Ausstatter an Bedeutung gewinnt. Viele dieser Herausforderungen kann eine integrierte Architektur bewältigen, mit der Bedrohungen schneller erkannt werden können. Cisco macht in dieser Richtung bereits erhebliche Fortschritte.

⁷ „The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid“, CJEU, 6. Oktober 2015: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf

⁸ „Safe Harbor 2.0 framework begins to capsize as January deadline nears“, Glyn Moody in Ars Technica, 16. November 2015: http://arstechnica.com/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/

⁹ “Safe Harbor 2.0 framework begins to capsize as January deadline nears“, Glyn Moody in Ars Technica, 16. November 2015: http://arstechnica.com/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/

¹⁰ „Paris Attacks Fan Encryption Debate“, Danny Yadron, Alistair Barr und Daisuke Wakabayashi im Wall Street Journal, 19. November 2015: http://www.wsj.com/articles/paris-attacks-fan-encryption-debate-1447987407

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf

http://arstechnica.com/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/

http://arstechnica.com/tech-policy/2015/11/safe-harbour-2-0-framework-begins-to-capsize-as-january-deadline-nears/

http://www.wsj.com/articles/paris-attacks-fan-encryption-debate-1447987407

57


abbildung 62: Cybersicherheit stellt Unternehmen vor komplexe Herausforderungen


Figure X. Enterprises Face Tough Cybersecurity Challenges

32%

24% 21%

Kein Überblick über kritische

Schwachstellen

Ine�ektive Anwendung der festgelegten

Regelwerke

26%

Unzureichende Investitionen

27%

Keine klaren Kennzahlen zur Bestimmung der E�ektivität

Regelwerke halten Tempo der Veränderungen nicht

stand

Für Unternehmen stellt sich nun die Frage, wie sie sich von ihren transatlantischen Partnern einen rechtlich korrekten Umgang mit ihren Kundendaten zusichern lassen sollten. Kurzfristig blieben dafür nur die EU-Standardvertragsklauseln oder die „Binding Corporate Rules“. Auf Safe Harbor allein wäre für Datenübermittlungen außerhalb der EU jedenfalls kein Verlass.

Genau beobachten sollten Unternehmen zudem die geopolitischen Entwicklungen in Bezug auf Software-Schwachstellen und Zero-Day-Exploits bzw. den wachsenden Markt für diese sogenannte „Weaponized Software“. Einige Länder beobachten dies mit großer Sorge. Für Sicherheitsforscher sind dies jedoch wichtige Werkzeuge auf der Suche nach Wegen zur besseren Absicherung der globalen Netze. In den falschen Händen, insbesondere von repressiven Regimes, können sie allerdings genau für das Gegenteil eingesetzt werden, etwa für den Angriff auf Finanzinstitutionen, das Ausspähen von Staats- und Unternehmensgeheimnissen, die Unterdrückung politischer Gegner oder das Lahmlegen kritischer Infrastrukturen.

Das zu verhindern, ohne dabei die Sicherheitsforschung auszubremsen, ist eine der großen Herausforderungen, die die Politik in den kommenden Monaten und Jahren angehen muss – behutsam und unter genauer Prüfung der Auswirkungen jeder Entscheidung. Denn erst in einem Umfeld, das den Austausch von Informationen zu unveröffentlichten Sicherheitslücken klar regelt, kann die Sicherheitsforschung optimal gefördert und wirksamer verhindert werden, dass Lücken dieser Art öffentlich bekannt werden, bevor sie die Hersteller schließen können. Um das zu erreichen, braucht es ein international anwendbares Regelwerk, das jegliche Unsicherheiten diesbezüglich ausräumt.

Cybersicherheit bereitet Führungskräften SorgenEine tiefgreifende Sicherheitsstrategie ist nicht nur für die Vorbeugung empfindlicher Sicherheitsvorfälle und die Abwehr groß angelegter Angriffe, sondern auch aus geschäftlicher Sicht von entscheidender Bedeutung, etwa in Bezug auf die Digitalisierung von Prozessen. Und wie eine Cisco Studie unter Finanz- und Business-Führungskräften vom Oktober 2015 zeigt, erkennen auch Unternehmen zunehmend, welche entscheidende Rolle Cybersicherheit für den Erfolg oder Misserfolg gerade auch in der zunehmend digitalisierten Welt von heute spielt.

So wächst auch die Sorge um die eigenen Fähigkeiten, eine Sicherheitsverletzung abwenden zu können. Starke oder gewisse Zweifel äußerten diesbezüglich 48 bzw. 39 Prozent der Befragten, bei 41 bzw. 42 Prozent waren die Zweifel diesbezüglich zudem deutlich oder zumindest etwas größer als noch vor drei Jahren.

Führungskräfte erwarten in Zukunft auch ähnliche Kontrollen für Sicherheitsprozesse, so wie auch in anderen Geschäftsbereichen üblich. So gehen 92 Prozent der Befragten davon aus, dass Aufsichtsbehörden und Investoren künftig mehr Transparenz bezüglich ihres Sicherheitsstatus verlangen werden.

Gerade in Bezug auf ihren Sicherheitsstatus sehen sie aber auch große Herausforderungen. Viele können etwa ihre Regelwerke bezüglich der Cybersicherheit nicht schnell genug an neue Geschäftsanforderungen anpassen, oder es fehlt an geeigneten Kennzahlen zur Messung der Effektivität der Security-Infrastruktur (Abbildung 62).

58


abbildung 63: Sorge um die Sicherheit kritischer Daten


Kundendaten(Transaktionsdaten)

VertraulicheFinanzdaten

VertraulicheGeschäftsdaten

(operative Daten)

32% 31%30%

Figure X. Executives Concerned AboutSecuring Critical Data

abbildung 64: Risikobewertung

Von Unternehmen genannte Hochrisiko-Bereiche ihrer Infrastruktur:

50%Mobility Cloud

42%

sehen Gefahren für Ihr Unternehmen

65%

IT-Security43%

Quelle: Security Risk and Trustworthiness Study, Cisco

Figure X. Perceptions of Security Risk

Mehr als ein Drittel ist zudem um den Schutz wichtiger Daten in ihrem Unternehmen besorgt, insbesondere in Bezug auf vertrauliche Finanzdaten (32 Prozent), Kundendaten und vertrauliche Geschäftsdaten (siehe Abbildung 63).

Vertrauenswürdige Anbieter: Studie beleuchtet Risiken und Herausforderungen für UnternehmenFür einen effektiven Schutz von Systemen, Daten, Geschäftspartnern, Kunden und Bürgern vor den immer ausgedehnteren Cyberangriffen von heute ist die Vertrauenswürdigkeit von IT- und Netzwerkinfrastrukturprodukten eine grundlegende Voraussetzung. Immer mehr Unternehmen verlangen daher, dass die Hersteller ihrer Wahl die Sicherheit ihrer Produkte über den gesamten Lebenszyklus nachvollziehbar belegen.

Im Oktober 2015 befragte Cisco IT-Entscheidungsträger zu diesen Themen. So ging es neben der Bedeutung der Vertrauenswürdigkeit bei der Herstellerwahl auch darum, in welchen Bereichen sie die größten Herausforderungen und Risiken in Bezug auf die Sicherheit ihres Unternehmens sehen. Befragt wurden dazu Entscheidungsträger verschiedener Unternehmen, die sowohl im Bereich Security als auch in anderen IT-Bereichen der IT tätig waren. (Näheres zu den Ergebnissen sowie zur Methodik der Studie finden Sie im anhang.)

nachfolgEnd Ein ausZug dEr ErgEBnissE:65 Prozent der Befragten sehen erhebliche Risiken für ihr Unternehmen, insbesondere ausgehend von den Bereichen Mobility, IT-Security und Cloud (Abbildung 64).

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9006BpTge

https://twitter.com/intent/tweet?url=http://cs.co/9008BpTgg&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9004BpTgj&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9007BpTg5

59


abbildung 65: Unternehmensexterne Risiken (Befragte gesamt)


Figure X.External Challenges Faced (Total Respondents)

Keine der Genannten

Advanced Persistent Threats 43%

Denial-of-Service-Angri�e 38%

Brute-Force-Angri�e 35%

Zero-Day-Angri�e 35%

3%

Phishing 54%

Malware 68%

abbildung 66: Unternehmensinterne Sicherheitsrisiken (Befragte gesamt)


Figure X.Internal Challenges Faced (Total Respondents)

54%Downloads schädlicher Software

Sicherheitsverletzungen durch Mitarbeiter 47%

46%Schwachstellen in Hardware oder Software

Nutzung privater Geräte/Software/Cloud-Anwendungen für geschäftliche Aufgaben

43%

Unzureichend aufgeklärte Mitarbeiter 39%

Nicht angemessen geschulte Security-Teams 26%

Keine der Genannten 5%

abbildung 67: Mehrheit der Großunternehmen stellt für Security ein spezielles Team auf

92%Eigens für Securityzuständiges Team

StandardisiertePrüfrichtlinien

und -verfahren

59%UnternehmensweiteSecurity-Strategie

88%


Figure X. Most Large Enterprises Have a Dedicated Security Team In-House

In Bezug auf externe Risiken wurde am häufigsten Malware genannt (68 Prozent), gefolgt von Phishing und Advanced Persistent Threats mit 54 bzw. 43 Prozent (siehe Abbildung 65).

Auf unternehmensinterner Seite sehen die Befragten ebenfalls diverse Risiken. Mehr als die Hälfte nannte hier etwa Downloads schädlicher Software (54 Prozent). Ebenfalls häufig genannt wurden zudem Sicherheitsverletzungen durch Mitarbeiter (47 Prozent) sowie Sicherheitslücken in Hard- und Software (46 Prozent).

Unternehmen sind allerdings auch bemüht, diese Risiken unter Kontrolle zu halten. So hat die überwiegende Mehrheit (92 Prozent) ein eigens für Security zuständiges Team aufgestellt, während 88 Prozent der Befragten ihre unternehmensweite Security-Strategie in einem formellen, regelmäßig aktualisierten Regelwerk festhalten. Standardisierte Prüfrichtlinien und -verfahren zum Nachweis der Vertrauenswürdigkeit von IT-Anbietern bestehen dagegen nur bei 59 Prozent der Befragten (siehe Abbildung 67).

Etwa die Hälfte (49 Prozent) der großen Unternehmen installiert zudem stets die neuesten Sicherheitstechnologien, und auch die meisten anderen Unternehmen aktualisieren ihre Infrastruktur regelmäßig. Nur die wenigsten schieben Upgrades so lange auf, bis ihre Technologien veraltet sind.

59

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9003BpTgR

https://twitter.com/intent/tweet?url=http://cs.co/9000BpTgk&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9002BpTgu&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9004BpTgr

60


IT-Anbieter müssen heute die Vertrauenswürdigkeit ihrer Prozesse, Richtlinien, Technologien und Mitarbeiter für ihre Kunden nachvollziehbar belegen, um eine langfristige Geschäftsbeziehung aufbauen zu können.

Entscheidend hierbei:

• Integration von Sicherheit in jeden Aspekt der Wertschöpfungskette

• Konsistente Anwendung von Richtlinien und Verfahren, die zur Reduzierung von Risiken bestehen

• Vollständige Integration von Sicherheit in die Unternehmenskultur

• Schnelle, transparente Reaktionen auf Sicherheitsverletzungen

• Schnelle und dezidierte Behebung von Vorfällen

vertrauenswürdigkeit nachweisen – so müssen it-anbieter vorgehen

abbildung 68: Bedrohungs-Erkennungszeit, Dezember 2014 bis Oktober 2015


Dezember 2014 Oktober 2015

Figure X. Time to Detection, December 2014 – November 2015

112.766 112.664 96.106

197.158286.457

379.366

205.601 192.975150.480 154.353

20,417,5

50,3 46,4 44,5 44,4 49,341,4

34,3 32,827,0TTD-Median

20

40

60

Stunden

Retrospektiven

185.539

Regelmäßige Upgrades der Infrastruktur bilden die Grundlage für starken Schutz. Unternehmen aller Größen benötigen vertrauenswürdige Technologien, die Sicherheit in alle Bereiche des Netzwerks integrieren. Ebenso wichtig ist jedoch, dass Sicherheit vollständig in die Unternehmenskultur integriert wird.

Dazu müssen Sicherheitsrichtlinien und -verfahren allgemeingültig festgelegt und konsistent sowohl unternehmensintern als auch gegenüber allen Kunden, Partnern und Zulieferern angewendet und ein Umfeld geschaffen werden, in dem Transparenz und Vertrauen jeden Aspekt des Handelns prägen.

Bedrohungs-Erkennungszeit: Ein ständiger WettlaufDie „Bedrohungs-Erkennungszeit“ (auch „Time to Detection“, TTD) beschreibt die Zeitspanne von der erstmaligen Beobachtung einer unbekannten Datei bis zu ihrer Erkennung als Bedrohung. Für die Ermittlung dieser Zeitspanne ziehen wir die Sicherheitstelemetrie heran, die von Cisco Security-Produkten weltweit erfasst werden.

Unter der Kategorie „Retrospektiven“ in Abbildung 68 wird die Anzahl der Dateien angegeben, die wir zunächst als „unbekannt“, später aber als „bekannt schädlich“ eingestuft haben.

Wie bereits im Cisco Midyear Security Report 2015 ausgeführt, lag der TTD-Median zunächst bei ca. zwei Tagen (50 Stunden).

61


Figure X. Tag Cloud for 100 Days


CrossRider

PennyBee

Con

vert

Ad

Waj

am

NetFilterElex

OptimizerPro

Sta

rtPa

ge

Systweak

YotoonMyPCBackup

BitC

ockt

ail

Add

Lyric

s

SupTab

Compete Downloader

Esprot

Gen

erik

GigaClicks

Kranet

Mul

tiPlu

g

Linkury

MyWebSearch

Ope

nCan

dyInstallCore

Visicom

Spigot

SpeedingUpMyPC

RuKometa

Sha

rik Dagava

Browse Fox

abbildung 70: Bedrohungen mit TTD von bis zu 100 Tagen

Cisco konnte die Bedrohungs-Erkennungszeit in diesem Zeitraum erheblich verkürzen. Im Oktober lag der TTD-Median mit ca. 17 Stunden sogar unter einem Tag – und damit deutlich unter dem Branchendurchschnitt von derzeit 100 bis 200 Tagen. Der schnelle Austausch von Informationen bezüglich der Beseitigung kurzlebiger Infektionen war hierbei entscheidend.

abbildung 69: Bedrohungs-Erkennungszeit im Vergleich, Dezember 2014 bis Oktober 2015

Figure X. Time to Detection Comparison,June vs September 2015


vs. 17,5 Stunden

Okt. (Median)

35,3 Stunden

Juni (Median)

Von Januar bis März wurde mit 44 bis 46 Stunden ein relativ konstanter TTD-Median mit leichter Tendenz nach unten verzeichnet, der dann aber mit 49 Stunden im April leicht anzog. Bis Ende Mai allerdings konnte Cisco die TTD auf ca. 41 Stunden verkürzen.

Zurückzuführen ist die Verkürzung der TTD teilweise auf die „Industrialisierung von Hackerangriffen“, also die großflächige Nutzung von Standard-Malware durch eine große Zahl von Angreifern, da weiter verbreitete Bedrohungen leichter aufzuspüren sind.

Einen weitaus nachhaltigeren Effekt hatten hierbei jedoch die enge Zusammenarbeit erfahrener Experten sowie der Einsatz fortschrittlicher Technologien.

So lässt sich die in Abbildung 69 dargestellte Reduzierung des TTD-Medians von 35,3 auf 17,5 Stunden zwischen Juni und Oktober 2015 zwar teilweise auf die schnellere Erkennung von Standard-Malware wie Cryptowall 3.0, Upatre oder Dyre zurückführen. Eine nicht unwesentliche Rolle spielte im gleichen Zeitraum jedoch auch die Einführung neuer Technologien wie Cisco ThreatGRID.

Einige Bedrohungen sind jedoch nach wie vor schwerer zu erkennen als andere. So werden etwa Downloader, die auf Microsoft Word abzielen, in der Regel bereits nach unter 20 Stunden erkannt, Adware- und Browser-Injections dagegen noch immer erst nach bis zu 200 Stunden.

Ein Grund für die in vielen Fällen erst späte Erkennung dieser Bedrohungen: Viele Sicherheitsteams konzentrieren sich in erster Linie auf die Abwehr von Zero-Day-Angriffen und übersehen dabei häufig die Gefahren, die von Bedrohungen dieser Art ausgehen (siehe „Kaum beachtet, weit verbreitet: Datenlecks durch infizierte Browser“ auf seite 16).

Die Übersicht in Abbildung 70 zeigt die Bedrohungen, die in der Regel erst nach bis zu 100 Tagen erkannt werden.

TEILEN

https://www.facebook.com/sharer/sharer.php?u=http://cs.co/9009BpTg3

https://twitter.com/intent/tweet?url=http://cs.co/9001BpTgP&text=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

https://www.linkedin.com/shareArticle?mini=true&url=http://cs.co/9008BpTgM&title=Holen%20Sie%20sich%20den%20Cisco%20Annual%20Security%20Report%202016

mailto:?Subject=Cisco%20Annual%20Security%20Report%C2%A02016&Body=Laden%20Sie%20Ihr%20pers%C3%B6nliches%20Exemplar%20des%20Cisco%20Annual%20Security%20Report%202016%20herunter%0Ahttp%3A%2F%2Fcs.co%2F9000BpTgO

62


Die sechs Säulen der integrierten BedrohungsabwehrDer Cisco Midyear Security Report 2015 wies bereits darauf hin: In der Security-Branche sind auf dem Weg zu anpassungsfähigen Lösungen in den kommenden fünf Jahren tiefgreifende Veränderungen gefragt. Aus einer umfassenden Konsolidierung des Marktes muss eine integrierte Architektur hervorgehen, die über verschiedenste Lösungen hinweg mehr Transparenz, Kontrolle, Intelligenz und Kontext bietet.

Denn um bekannte ebenso wie neue Bedrohungen künftig schneller erkennen und darauf reagieren zu können, braucht es ein umfassendes Framework. Dessen zentrales Element muss eine transparente, vollständig kontextbezogene Plattform bilden, die laufend durch lokale und globale Threat-Intelligence aktualisiert und optimiert wird und allen Security-Anbietern offen steht. Das Ziel: Mehr Transparenz und Kontrolle – und damit eine effektivere Abwehr von Angriffen aus verschiedensten Bedrohungsvektoren.

Die Vorteile und Ziele dieser integrierten Architektur lassen sich anhand von sechs Prinzipien zusammenfassen:

1. angesichts zunehmend komplexer Bedrohungen braucht es heute eine umfassende netzwerk- und security-architektur:

Der seit etwa 25 Jahren gängige Ansatz besteht darin, jedes neu auftretende Sicherheitsproblem mit einem weiteren Einzelprodukt zu adressieren. Daraus entsteht jedoch ein Flickenteppich aus Technologien verschiedenster Anbieter, die nicht effektiv miteinander kommunizieren: Ihre Funktionalität geht nicht über die Integration von sicherheitsrelevanten Informationen in eine Event-Plattform hinaus, auf der sie durch Sicherheitsteams analysiert werden können.

In einer integrierten Architektur werden dagegen umfangreiche Informationen aus der gesamten Infrastruktur anhand eines effizienten, automatisierten Frameworks erfasst und analysiert, das eine intelligente Reaktion ermöglicht. Denn Sicherheitsteams werden nicht nur auf verdächtige Ereignisse und Verstöße gegen Richtlinien hingewiesen, sondern erhalten einen umfassenden Überblick über alle Aktivitäten im Netzwerk, um je nach Fall die optimalen Maßnahmen einzuleiten.

2. sogenannte „erstklassige“ technologien erhöhen häufig nur die komplexität, nicht jedoch den schutz des netzwerks:

Bei vielen prominenten Sicherheitsvorfällen des letzten Jahres hatten die betroffenen Unternehmen unterschiedlichste Technologien im Einsatz, die sich letztlich als nutzlos erwiesen.

Der Einsatz zahlreicher unterschiedlicher Technologien allein ist also wenig effektiv. Denn die wenigsten Anbieter führen einen grundlegend neuen Sicherheitsansatz ins Feld, sondern unterscheiden sich nur marginal von ihren Konkurrenzprodukten.

3. angesichts der immer häufiger verschlüsselten verbindungen bringen Einzelprodukte zur analyse dieses traffics keinen wirksamen schutz:

Wie in diesem Report bereits ausgeführt, bringt die Verschlüsselung des Web-Datenverkehrs zwar Vorteile, erschwert aber auch die Erkennung von Bedrohungen.

Dies können Sicherheitsteams jedoch kompensieren, indem sie die Aktivitäten auf Geräten und Netzwerken genauer analysieren. Möglich wird dies mithilfe von integrierten Sicherheitsplattformen.

4. die umsetzung einer integrierten Bedrohungsabwehr setzt offene apis voraus:

In Multivendor-Umgebungen müssen Transparenz, Kontext und Kontrolle in einer gemeinsamen Plattform zusammengeführt werden. Dies erfordert eine Front-End-Integrationsplattform, die die Infrastruktur automatisiert und die Daten der unterschiedlichen Sicherheitsprodukte konsolidiert.

5. in einer integrierten Bedrohungsabwehr wird weniger hard- und software benötigt:

Je mehr Funktionen die Security-Branche in einer Plattform integriert, desto weniger komplex und fragmentiert gestaltet sich die Umgebung – und entsprechend schwieriger wird es für Angreifer, sich unerkannt Zugriff auf Systeme zu verschaffen und von dort aus verdeckt zu operieren.

63


6. in einer integrierten Bedrohungsabwehr werden Erkennung, Eingrenzung und Beseitigung von Bedrohungen durch besser koordinierte, automatisierte maßnahmen beschleunigt:

Da es seltener zu Fehlalarmen kommt, können Sicherheitsteams stärker zielgerichtet vorgehen. Möglich wird dies durch kontextbezogene Analysen, die sofort zeigen, in welchen Fällen sofort reagiert werden muss. Anhand dieser Informationen lassen sich zudem zahlreiche Abwehrmaßnahmen automatisieren.

Stärken bündeln gegen einen gemeinsamen FeindEine enge Zusammenarbeit der Branche ist heute von entscheidender Bedeutung. Erst dann wird sie in der Lage sein, die zuvor skizzierte Bedrohungsabwehr zu schaffen, die mit dem enormen Innovationstempo der Cyberkriminellen Schritt halten kann. Denn wie sich zeigt, sind diese bestens organisiert, hochprofitabel und immer schwerer aufzuspüren, da sie mittlerweile häufig auch im Tarnmantel legitimer Ressourcen operieren.

Vor diesem Hintergrund sind die Ergebnisse der Cisco Security Capabilities Benchmark Study 2015 wenig überraschend. Die Branche kann jedoch dazu beitragen, das Vertrauen der Unternehmen in ihre IT-Sicherheit wieder zu stärken, indem sie eng zusammenarbeitet und proaktiv vorgeht. Denn dann kann sie Cyberkriminellen nicht nur finanziell schaden, sondern auch zukünftigen Angriffen besser vorbeugen.

Mehr als deutlich machen dies etwa die erfolgreichen Schläge gegen eine hochprofitable globale Angler-Operation oder auch gegen SSHPsychos, eines der größten je analysierten Botnets, die erst durch gemeinsame Aktionen des Cisco Collective Security Intelligence (CSI) Ecosystem, einem Cisco Partner und einer Reihe von Service-Providern möglich wurden (siehe „Fokusthemen“ ab seite 10).

63


6464


Über Cisco

65

Über CiscoCisco 2016 Annual Security Report Über Cisco

Die Forschungsgruppe des Collective Security Intelligence (CSI) Ecosystem ermittelt Entwicklungen in der Bedrohungslandschaft anhand von Telemetriedaten aus zahllosen Geräten und Sensoren, öffentlichen Feeds sowie der Open-Source-Community von Cisco. Dazu werden jeden Tag mehrere Milliarden Internetanfragen sowie Millionen von E-Mails, Malware-Stichproben und Netzwerk-Zugriffsversuche analysiert.

Eine hochmoderne Infrastruktur, unterstützt durch branchenführende Systeme, wertet die Telemetriedaten aus. Dies ermöglicht maschinelles Lernen, es können Bedrohungen für Netzwerke, Rechenzentren, Endpunkte, Mobilgeräte, virtuelle Systeme, das Internet, den E-Mail-Verkehr und die Cloud nachverfolgt sowie Ursachen ermittelt und Outbreaks analysiert werden. Die so gewonnenen Informationen fließen direkt in den Echtzeitschutz der Produkte und Services ein, die bei Cisco Kunden weltweit im Einsatz sind.

Weitere Informationen zum bedrohungsorientierten Sicherheitsansatz von Cisco finden Sie unter www.cisco.com/go/security.

Mitwirkende talos sEcurity intElligEncE & rEsEarch group Talos ist die Threat-Intelligence-Organisation von Cisco. Die Talos Forschungsgruppe ermittelt unter Einsatz hochmoderner Systeme wichtige Daten aus der Bedrohungslandschaft, die es den Produkten von Cisco ermöglichen, bekannte und neue Bedrohungen zu erkennen, zu analysieren und abzuwehren. Das Team von Talos aktualisiert die offiziellen Regelsätze von Snort.org, ClamAV, SenderBase.org und SpamCop und liefert seine Forschungsergebnisse an das Cisco CSI Ecosystem.

advancEd cloud & it transformation and optimiZation sErvicEsDas Team von Cisco Advanced Services steht weltweit führenden Service-Providern und Unternehmen bei der Optimierung ihrer Netzwerke, Rechenzentren und Cloud-Lösungen zur Seite. Diese Beratungsleistungen mit Fokus auf der Maximierung von Verfügbarkeit, Performance und Sicherheit für geschäftskritische Lösungen werden von mehr als 75 Prozent der Fortune 500-Unternehmen genutzt.

Über CiscoCisco bietet intelligente Lösungen für die IT-Sicherheit und verfügt über das branchenweit umfangreichste Portfolio an Systemen für eine fortschrittliche Bedrohungsabwehr, die unterschiedlichste Angriffsvektoren abdecken. Durch seinen bedrohungsorientierten und operationalisierten Ansatz verringert Cisco die Komplexität und verhindert die Fragmentierung von Sicherheitstools. Dies ermöglicht ein hohes Maß an Transparenz, konsistente Kontrollen und einen intelligenten Bedrohungsschutz vor, während und nach einem Angriff.

www.cisco.com/go/security

66

Über CiscoCisco 2016 Annual Security Report

activE thrEat analytics tEam Das Team von Cisco Active Threat Analytics (ATA) unterstützt Unternehmen unter Einsatz fortschrittlicher Big-Data-Technologien bei der Abwehr von bekannten Bedrohungen, Zero-Day-Angriffen und Advanced Persistent Threats. Dieser Managed-Komplettservice wird durch unsere Experten sowie unser weltweites Netzwerk von Security Operations Centers bereitgestellt und bietet Netzwerküberwachung und On-Demand-Analysen rund um die Uhr an sieben Tagen die Woche.

cisco thought lEadErship organiZationDie Cisco Thought Leadership Organization beleuchtet die Auswirkungen globaler Markttrends und neuer Lösungen auf Unternehmen, Branchen und Gesellschaft. Anhand prädiktiver Analysen und Feldforschung untersucht das Team dabei die Chancen und Herausforderungen der zunehmend digitalisierten Welt von heute und zeigt auf, wie Unternehmen physische und virtuelle Umgebungen sicher und nahtlos zusammenführen können, um Innovation zu beschleunigen und sich stark für die Zukunft aufzustellen.

cognitivE thrEat analytics Cisco Cognitive Threat Analytics ist ein Cloud-basierter Dienst, der Sicherheitsverletzungen, Aktivitäten von Malware in geschützten Netzwerken und andere Bedrohungen mittels statistischer Analysen des Netzwerkdatenverkehrs erkennt. Der Dienst identifiziert die Symptome von Malware-Infektionen oder Datenschutzverletzungen anhand von Verhaltensanalysen und Anomalie-Erkennung und schließt so die Lücken von Abwehrsystemen am Perimeter. Neben fortschrittlichen statistischen Modellen bringt Cognitive Threat Analytics maschinelles Lernen zum Einsatz. So können neue Bedrohungen selbständig erkannt und der Schutz laufend optimiert werden.

gloBal govErnmEnt affairsCisco engagiert sich auf verschiedenen Regierungsebenen für die Gestaltung von wachstums- und innovationsfreundlichen Regelwerken, die Wirtschaft, Politik und Zivilgesellschaft voranbringen. Im engen Austausch mit Interessenvertretern und Branchengruppen

ist Cisco dabei auf globaler und nationaler ebenso wie auf regionaler Ebene tätig. Das Team von Global Government Affairs vereint die umfangreiche Erfahrung von ehemaligen Mandatsträgern, Parlamentariern, Behördenvorständen, Beamten der US-Regierung und anderen Experten für wirtschafts- und gesellschaftspolitische Belange, die auf ein gemeinsames Ziel hinarbeiten: Die Förderung von Wohlstand durch die sichere Nutzung von Technologie.

intEllishiEld tEam Das IntelliShield Team analysiert das Gefahrenpotenzial von Sicherheitslücken und korreliert seine Ergebnisse mit Daten der Cisco Security Research & Operations und von externen Quellen. Diese Informationen integriert das Team im IntelliShield Security Intelligence Service, der in zahlreichen Produkten und Services von Cisco zum Einsatz kommt.

lancopELancope, ein Cisco Unternehmen, bietet führende Netzwerk- und Security-Intelligence zum Schutz vor den komplexen Bedrohungen von heute. Das Lancope StealthWatch® System untersucht NetFlow, IPFIX und andere Arten von Netzwerk-Telemetrie anhand kontextbezogener Sicherheitsanalysen, mit deren Hilfe APTs und DDoS-Angriffe ebenso wie Zero-Day-Malware und Insider-Bedrohungen schnell und zuverlässig erkannt werden können. Durch die Überwachung lateraler Bewegungen von Benutzern, Geräten und Anwendungen ermöglicht Lancope dabei eine schnelle Reaktion auf Vorfälle, liefert präzise Forensik und reduziert die Risiken für Unternehmen.

opEndnsOpenDNS, ein Cisco Unternehmen, ist die umfangreichste Cloud-basierte Sicherheitsplattform der Welt – 65 Millionen Benutzer aus mehr als 160 Ländern nutzen jeden Tag den Dienst. Das Team der OpenDNS Labs verwaltet die Plattform. Weitere Informationen finden Sie unter www.opendns.com oder https://labs.opendns.com.

http://www.opendns.com

https://labs.opendns.com

67

Über CiscoCisco 2016 Annual Security Report

sEcurity and trust organiZationDie Security and Trust Organization zeichnet für den Schutz der Kunden von Cisco aus dem öffentlichen und privaten Sektor verantwortlich. Der Fokus liegt dabei nicht nur auf der konsistenten Anwendung der Grundsätze der Cisco Secure Development Lifecycle and Trustworthy Systems über das gesamte Cisco Produkt- und Serviceportfolio hinweg, sondern auch auf dem Schutz von Cisco vor den komplexen Bedrohungen von heute. Sicherheit und Vertrauen schließen bei Cisco Menschen und Richtlinien ebenso wie Prozesse und Technologien ein. Denn erst auf dieser Basis können Informationssicherheit, vertrauenswürdige Technik, Datenschutz und Privatsphäre, Cloud-Sicherheit, Transparenz und Nachvollziehbarkeit sowie Zuverlässigkeit gegenüber Kunden umfassend sichergestellt werden. Weitere Informationen finden Sie unter http://trust.cisco.com.

sEcurity rEsEarch and opErations (sr&o)Die Security Research & Operations (SR&O) zeichnen für das Bedrohungs-und Schwachstellenmanagement der Produkte und Services von Cisco verantwortlich und koordinieren die Aktivitäten des branchenführenden Product Security Incident Response Team (PSIRT). Auf Veranstaltungen wie Cisco Live und Black Hat bieten die SR&O in Zusammenarbeit mit Cisco Partnern und anderen Branchenvertretern eine Anlaufstelle bei Fragen bezüglich aktueller Entwicklungen in der Bedrohungslandschaft. Daneben sind die SR&O an der Entwicklung und Bereitstellung von innovativen Services wie Cisco Custom Threat Intelligence (CTI) beteiligt, mit der Indicators-of-Compromise erkannt werden können, die anderen Sicherheitsinfrastrukturen entgangen sind.

Mitwirkender Cisco PartnerlEvEl 3 thrEat rEsEarch laBsLevel 3 Communications mit Sitz in Broomfield, Colorado, ist ein führender Anbieter von Kommunikationsdienstleistungen für Unternehmen, öffentliche Auftraggeber und Netzbetreiber. Das umfangreiche Glasfasernetz des Unternehmens verbindet drei Kontinente über unterseeische Leitungen, die stadtbezogene und Langstreckenservices für mehr als 500 Märkte in über 60 Ländern ermöglichen. Diese enorme Reichweite bietet Level 3 einen umfassenden Einblick in die weltweite Bedrohungslandschaft.

Die Experten der Threat Research Labs von Level 3 korrelieren diese umfangreichen Informationen mit internen und externen Quellen und sorgen so für einen besseren Schutz seiner Kunden, seines Netzwerks und dem öffentlichen Internet. Auf regelmäßiger Basis arbeitet das Team zudem mit Cisco Talos und anderen führenden Vertretern der Security-Branche zusammen, um Bedrohungen zu untersuchen und abzuwehren.

http://trust.cisco.com

6868


Anhang

69

AnhangCisco 2016 Annual Security Report

Anhang

Figure X. Respondent Pro�les

Teilnehmerpro�l


Festlegen einer übergreifenden Vision und Strategie 75%

76%Abschließende Empfehlungen zur Markenauswahl beim Lösungskauf

Recherche und Auswertung von Lösungen 75%

Implementierung und Verwaltung von Lösungen 73%

De�nition von Anforderungen 71%

Genehmigung von Budgets 57%

83%

81%

78%

79%

76%

66%

Einbindung in Sicherheitsprozesse 2014 2015

20152014 (n=1738) (n=2432)

Gesundheit

Fertigung (nichtComputer-bezogen)

Versorgung

Finanzsektor: Bankenund Versicherungen

Bergbau

Behörden/Verwaltung

Pharma

Telekommunikation

Land- und Forstwirtschaft/Fischerei

Industriechemie

Sonstige

Transport- und Verkehrswesen

54%Mittelstand

K/AGroßunternehmen

46%

Mittlere bis großeUnternehmen

49% 13%38%

CSO vs. SecOps Unternehmensgröße

46%56%

2014

55%45%

2015

CSO SecOps 20152014

6% 4%

14% 15%

7%

15%

1%

9%12%

3%

6% 8%

2% 1%

7%

21%27%

8%14%

3%3% 3%

5% 5%

abbildung 71: Teilnehmerprofil

Cisco Security Capabilities Benchmark Study 2015: Teilnehmerprofil und Ressourcen

70



Figure X.Although only 9% have a security budget that’s separate from the IT budget, this hasincreased signi�cantly since 2014

Wird Security als von der IT separater Posten budgetiert? (Mitarbeiter der IT-Abteilung)

2014 (n=1720) 2015 (n=2412)

Nur überIT-Budget

Teilweise überIT-Budget

Separater Posten

Nur überIT-Budget

Teilweise überIT-Budget

Separater Posten

61%33%

6%

58%33%

9%

abbildung 72: Nur 9% budgetieren Security als einen vom IT-Budget separaten Posten – gegenüber 2014 aber dennoch eine deutliche Erhöhung

abbildung 73: Positionen: Teilnehmer und deren Vorgesetzte

Figure X. Job Titles: Respondents and Their Managers

Mitarbeiter der IT-Abteilung

98%97% vs.20152014

Chief Security O�cer 22% Chief Executive O�cer 34%

Chief Technology O�cer 18% Geschäftsführer/Inhaber 18%

IT-Leitung 16% Chief Security O�cer 16%

Chief Information O�cer 13% Chief Information O�cer 6%Leitung des Fachbereichs Sicherheit 7% Chief Technology O�cer 6%

VP IT-Sicherheit 5% IT-Leitung 4%

Risiko- und Compliance-Beauftragter 4% VP IT-Sicherheit 4%

Security Operations Manager 4% VP IT 2%

Security-Architect 4% Vorstand 2%

VP IT 3% Chief Operations O�cer 1%

Chief Operations O�cer 3% Chief Financial O�cer 1%

Andere Position 2% Andere Position 0%

Position Position des Vorgesetzten

Mit Sicherheit betraute(s) Abteilung/Team

Mitarbeiter eines Sicherheitsteams

2014 2015(n=1738) (n=2432)

2014 2015(n=1706) (n=2382)

98% 98%

97% 94%


71



Maßnahmen zur Bedrohungsabwehr

In der Cloud verwaltet (Befragte, die Bedrohungsabwehr einsetzen)

2014 (n=1738) 2014 (n=1646) 2015 (n=2268)2015 (n=2432)

Netzwerk, Sicherheit, Firewalls und Intrusion-Prevention* 60% N/A 35%

Keine der Genannten 1% 1% 11%13%

E-Mail-/Messaging-Sicherheit 56% 52% 37% 34%

Verschlüsselung/Datensicherheit 53% 53%

Data-Loss-Prevention 55% 56%

Authenti�zierung 52% 53%

Firewall* – 65% 31%

Intrusion-Prevention* – 44% 20%

Identity-Administration/User-Provisioning 45% 45%

Zugangskontrolle/Autorisierung 53% 48%

Endpunktsicherheit/Malwareschutz 49% 49% 25% 25%

Websicherheit 59% 51% 37% 31%

Security Information and Event Management 43% 38%

VPN 48% 40% 26% 21%

Schwachstellenscans 48% 41% 25% 21%

Sicherer Wireless-Zugri� 50% 41% 26% 19%

Mobile Sicherheit 51% 44% 28% 24%

Endpunktforensik 31% 26%

Netzwerkforensik 42% 31%

Patching- und Kon�gurationsmanagement 39% 32%

Penetrationstests 38% 34% 20% 17%

DDoS-Abwehr 36% 37%

*Netzwerksicherheit, Firewalls und Intrusion-Prevention**Firewall und Intrusion-Prevention waren 2014 zusammengefasst:

Figure X. Firewalls and Data Loss Prevention Are Most Commonly Used Security Tools

abbildung 74: Firewalls sind die am häufigsten eingesetzten Sicherheitstools; Cloud-basierte Services sind 2015 weniger populär als im Jahr 2014

72


Outsourcing

Figure X. Advice and consulting still top most security services outsourced

Vorbereitung auf Zerti�zierung

Zerti�zierungsverfahren im Gange

63% Industriechemie58% Fertigung (nicht Computer-bezogen)57% Transport46% Land- und Forstwirtschaft/Fischerei44% Pharma36% Bergbau

70% Finanzsektor70% Telekommunikation67% Gesundheit65% Behörden64% Versorgung63% Andere Branche

Zerti�zierung bereits erworben

63%31%

7%

Outsourcing von Sicherheitsaudits und Incident-Response nimmt deutlich zu – Services gelten als kostene�zienter.

Etwa die Hälfte (52%) legt Sicherheitsstandards wie ISO 27001 (wie auch im Vorjahr) zugrunde. Die überwiegende Mehrheit davon ist bereits zerti�ziert oder auf dem Weg dorthin.

Orientierung an SicherheitsstandardsUnternehmen legt Sicherheitsstandards zugrunde (2015: n=1265)


abbildung 75: Outsourcing von Beratungsleistungen nach wie vor am weitesten verbreitet

Figure X.

audits and advice and consulting

10%40%44%56%55%

11%42%46%54%

14%46%45%49%


Beratung Audits ÜberwachungIncident-Response

Threat-Intelligence Behebung

Keine/Alle intern

44%

42%

41%

42%

36%

36%

37%

36%


Mittelstand (n=1189)

Mittlere bis große Unter-nehmen (n=924)

Großunter-nehmen (n=319)

abbildung 76: Outsourcing-Dienste nach Unternehmensgröße: Sicherheitsaudits und Beratungsleistungen insbesondere bei Großunternehmen verbreitet

73


abbildung 77: Outsourcing-Dienste im Landesvergleich: Beratungsleistungen insbesondere in Japan verbreitet

Figure X.


52% 52%

50%

48%

46%

42%

34%

18%

47%

44%

42%

39%

36%

12%

GESAMT USA

51%

55%

49%

39%

40%

32%

9%

Brasilien

49%

38%

32%

32%

37%

38%

18%

Deutschland

51%

48%

39%

38%

46%

34%

13%

Italien

44%

50%

41%

43%

36%

31%

19%

Großbri-tannien

54%

36%

52%

53%

16%

47%

4%

Australien

52%

33%

31%

34%

36%

37%

19%

China

54%

51%

51%

49%

48%

41%

12%

Indien

58%

63%

49%

45%

44%

21%

3%

Mexiko

41%

40%

37%

27%

42%

41%

16%

Russland

55%

59%

50%

54%

39%

41%

4%

Frankreich

64%

41%

51%

53%

47%

40%

10%

Japan


Beratung

Audits

Überwachung

Incident-Response

Threat-Intelligence

Behebung

Keine/Alle intern

abbildung 78: Hosting am Standort noch die Regel, jedoch Zunahme bei externem Hosting gegenüber Vorjahr


Figure X.On-premise hosting of the organization’s networks is still the most common; however,

Hosting von Netzwerken

Am Standort

20152014 (n=1727) (n=2417)

50%

Mit Private-Cloud

51%54%

Komplett am Standort

48%

23%

Von Dienstleister verwaltet

24% 18%

Private-Cloud

20%8%

Public-Cloud

10%

Extern

74


Öffentliches Aufsehen durch Sicherheitsvorfall


2015 gelangten im Vergleich zum Vorjahr weniger Sicherheitsvorfällean die Ö entlichkeit.

Sicherheitsvorfälle bewirken Verbesserungen der Sicherheitsvorkehrungen:

Figure X.Fewer organizations in 2015 report having had to manage public scrutiny of security breaches,compared to 2014

Umfangreichere Schulungsprogramme zum Thema Sicherheit

43%

Erhöhung der Investitionen in Sicherheitstechnologien

Intensivierung von Schulungsmaßnahmen zum Thema Sicherheit

42%

Einführung formeller Regelwerke zu Sicherheitsrichtlinien und -verfahren41%

Verstärker Fokus auf Einhaltung von Datensicherheitsvorschriften

Umfangreichere Schulung von Sicherheitsteams

40%

40%

Bei 41 Prozent wurden daraufhin formelle Regelwerke zu Sicherheitsrichtlinien und -verfahren eingeführt.

41%

43%

43 Prozent der im Jahr 2015 Befragten intensivierten ihre Schulungsmaßnahmen nach einer ö entlich gewordenen Sicherheitsverletzung.

48%53% vs.20152014

5 häu�gste Antworten der einem Vorfall Betro enen (2015 n=1109)






43%



42%




40%

40%


41%

43%


48%53% vs.20152014


abbildung 79: 2015 gelangten weniger Sicherheitsvorfälle an die Öffentlichkeit

CSO sehen nach Sicherheitsvorfällen umfangreichere Verbesserungen als SecOps-Manager.


Inwieweit reagierte Ihr Unternehmen auf diesen Vorfall mit Verbesserungen bei Sicherheitsrichtlinien, -verfahren oder -technologien? (n=1134)

Überhaupt nicht Kaum Etwas Umfangreich

10%1% 42% 47%

Has Your Organization Ever Had to Manage Public Scrutiny of a Security Breach?abbildung 80: Öffentlich gewordene Vorfälle bewirken häufig eine Stärkung der Sicherheitsvorkehrungen

75


Sicherheitsbewusstsein auf Führungsebene und Reifegrad von SicherheitsprozessenFigure X. 5-segment model tracks closely to Security Capability Maturity Model (CMM)

Die Reifegrade bezüglich des Sicherheitsbewusstseins und der daraus resultierenden Prozesse und Verfahren sind ähnlich verteilt wie im Vorjahr.

2014 (n=1637)

2015 (n=2401)

Niedrig Oberes Mittelfeld HochUnteres

Mittelfeld Mittelfeld

Segmentgröße28%2% 9% 36%25%

26%4% 8% 39%23%


einzuordnen. Dies gilt sowohl im Landes- als auch im Branchenvergleich für den Großteil der Teilnehmer.

60% oder mehr sind in den oberen bzw. obersten Segmenten

abbildung 81: 5-Segment-Modell weitestgehend orientiert an Capability Maturity Model Integration (CMMI)

Figure X.As in 2014, nearly all agree or strongly agree that executive leadership considers security a high priority

In der Pharmaindustrie wird die E�ektivität des Sicherheitsprogramms deutlich häu ger auf Grundlage eindeutiger Kennzahlen gemessen als in anderen Branchen.

CSO sind in Sachen Sicherheit weitaus mehr vom Engagement der Führungsebene überzeugt als SecOps-Manager.

Aufgaben und Zuständigkeiten im Bereich Sicherheit sind im Führungsteam klar de niert

Cybersicherheit �ießt standardmäßig in die allgemeine Risikobewertung ein

Führungsteam hat für die Messung der E�ektivität des Sicherheitsprogramms eindeutige Kennzahlen festgelegt

Sicherheit hat auf Führungsebene eine hohe Priorität

93

532 6 402014n=1738

94

531 5 41

2015n=2432

93

572 4 362014n=1738

95

551 4 40

2015n=2432

94

582 5 352014n=1738

95

581 4 36

2015n=2432

94

632 4 322014n=1738

94

611 4 35

2015n=2432

Sicherheitsrichtlinien Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu


abbildung 82: Wie bereits im Jahr 2014 hat Sicherheit im Allgemeinen eine hohe Priorität auf Führungsebene

76


Prozesse


Geistiges Eigentum wird inventarisiert und deutlich klassi�ziert

93

542 6 39

95

531 5 42

2015n=2432

2014n=1738

Sicherheitsverfahren in Bezug auf die IT-Nutzung durch Mitarbeiter greifen optimal

93

532 5 40

95

511 5 44

2015n=2432

2014n=1738

Verfahren für die Systembescha�ung, -entwicklung und -wartung werden durch angemessene Sicherheitsrichtlinien geschützt

94

562 4 38

97

561 2 41

2015n=2432

2014n=1738

Sicherheit ist auf System- und Anwendungsebene gut integriert

93

582 5 35

96

541 4 42

2015n=2432

2014n=1738

Technische Sicherheitskontrollen in Systemen und Netzwerken werden angemessen verwaltet

95

602 3 35

95

570 4 38

2015n=2432

2014n=1738

Computersysteme des Unternehmens sind angemessen geschützt

93

572 4 36

96

561 4 40

2015n=2432

2014n=1738

Sicherheitsvorkehrungen und -tools werden regelmäßig auf ihre E�ektivität geprüft und ggf. aktualisiert

94

592 5 35

97

601 3 37

2015n=2432

2014n=1738

Die Einhaltung von Zugri�srechten auf Netzwerke, Systeme, Anwendungen, Funktionen und Daten wird angemessen überwacht

94

612 4 33

97

591 3 38

2015n=2432

2014n=1738

Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsrichtlinien

Fewer in 2015 Strongly Agree that They Do a Good Job Building Security Into Systems and Applications



93

542 6 39

95

531 5 42

2015n=2432

2014n=1738


93

532 5 40

95

511 5 44

2015n=2432

2014n=1738


94

562 4 38

97

561 2 41

2015n=2432

2014n=1738


93

582 5 35

96

541 4 42

2015n=2432

2014n=1738


95

602 3 35

95

570 4 38

2015n=2432

2014n=1738


93

572 4 36

96

561 4 40

2015n=2432

2014n=1738


94

592 5 35

97

601 3 37

2015n=2432

2014n=1738


94

612 4 33

97

591 3 38

2015n=2432

2014n=1738


Fewer in 2015 Strongly Agree that They Do a Good Job Building Security Into Systems and Applicationsabbildung 83: Gemischtes Bild beim Vertrauen in Maßnahmen zur Integration von Sicherheit auf Systemebene

77


abbildung 83: Gemischtes Bild beim Vertrauen in Maßnahmen zur Integration von Sicherheit auf Systemebene (Fortsetzung)



93

542 6 39

95

531 5 42

2015n=2432

2014n=1738


93

532 5 40

95

511 5 44

2015n=2432

2014n=1738


94

562 4 38

97

561 2 41

2015n=2432

2014n=1738


93

582 5 35

96

541 4 42

2015n=2432

2014n=1738


95

602 3 35

95

570 4 38

2015n=2432

2014n=1738


93

572 4 36

96

561 4 40

2015n=2432

2014n=1738


94

592 5 35

97

601 3 37

2015n=2432

2014n=1738


94

612 4 33

97

591 3 38

2015n=2432

2014n=1738





93

542 6 39

95

531 5 42

2015n=2432

2014n=1738


93

532 5 40

95

511 5 44

2015n=2432

2014n=1738


94

562 4 38

97

561 2 41

2015n=2432

2014n=1738


93

582 5 35

96

541 4 42

2015n=2432

2014n=1738


95

602 3 35

95

570 4 38

2015n=2432

2014n=1738


93

572 4 36

96

561 4 40

2015n=2432

2014n=1738


94

592 5 35

97

601 3 37

2015n=2432

2014n=1738


94

612 4 33

97

591 3 38

2015n=2432

2014n=1738



Mit Ausnahme der Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfälle sind CSO insgesamt stärker von ihren Sicherheitskontrollen überzeugt als SecOps-Manager.

Unternehmen aus dem Finanzsektor bewerten ihre Systeme zur Kategorisierung von Informationen zu Vorfällen tendenziell besser als die Vertreter der meisten anderen Branchen.


Figure X. Enterprises Believe They Have Good Security Controls

Prozesse und Verfahren zur Reaktion auf und Nachverfolgung von Vorfällen sind klar de�niert und gut dokumentiert

Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zu

93

562 5 37

95

541 5 41

2015n=2432

2014n=1738

Eingesetzte Systeme können zuverlässig bestimmen, ob ein Sicherheitsvorfall tatsächlich eingetreten ist

92

541 6 38

95

541 5 41

2015n=2432

2014n=1738

Kommunikationsprozesse und Zusammenarbeit im Hinblick auf Sicherheitsvorfällen sind e�ektiv

94

512 5 43

95

531 4 42

2015n=2432

2014n=1738

Kategorisierung von Informationen zu Vorfällen erfolgt über ein leistungsfähiges System

94

542 5 40

96

531 4 43

2015n=2432

2014n=1738

Prozesse zur Auswertung und Priorisierung von Vorfällen sowie zu deren Analyse sind e�ektiv

93

512 5 42

95

521 5 43

2015n=2432

2014n=1738

Incident-Response erfolgt auf Grundlage von Standards wie FC2350, ISO/IEC 27035:2011 oder einer U.S.-Zerti�zierung

90

492 8 41

93

491 6 44

2015n=2432

2014n=1738


Most Say They are Comfortable With Their Security Controls







93

562 5 37

95

541 5 41

2015n=2432

2014n=1738


92

541 6 38

95

541 5 41

2015n=2432

2014n=1738


94

512 5 43

95

531 4 42

2015n=2432

2014n=1738


94

542 5 40

96

531 4 43

2015n=2432

2014n=1738


93

512 5 42

95

521 5 43

2015n=2432

2014n=1738


90

492 8 41

93

491 6 44

2015n=2432

2014n=1738



abbildung 84: Vertrauen in Sicherheitskontrollen

78








93

562 5 37

95

541 5 41

2015n=2432

2014n=1738


92

541 6 38

95

541 5 41

2015n=2432

2014n=1738


94

512 5 43

95

531 4 42

2015n=2432

2014n=1738


94

542 5 40

96

531 4 43

2015n=2432

2014n=1738


93

512 5 42

95

521 5 43

2015n=2432

2014n=1738


90

492 8 41

93

491 6 44

2015n=2432

2014n=1738









93

562 5 37

95

541 5 41

2015n=2432

2014n=1738


92

541 6 38

95

541 5 41

2015n=2432

2014n=1738


94

512 5 43

95

531 4 42

2015n=2432

2014n=1738


94

542 5 40

96

531 4 43

2015n=2432

2014n=1738


93

512 5 42

95

521 5 43

2015n=2432

2014n=1738


90

492 8 41

93

491 6 44

2015n=2432

2014n=1738


Most Say They are Comfortable With Their Security Controlsabbildung 84: Vertrauen in Sicherheitskontrollen (Fortsetzung)

abbildung 85: Quarantäne/Entfernen von schädlichen Anwendungen und Ursachenanalysen weiterhin am weitesten verbreitet

Figure X.Quarantine/removal of malicious applications and root cause analysis continue to be the top processes used

Verfahren zur Ursachenbeseitigung nach Sicherheitsvorfällen

97% 94%

Source: Cisco 2015 Security Capabilities Benchmark Study

Im Vergleich zu den meisten anderen Ländern bestehen bei deutlich mehr Befragten aus den USA keinerlei Verfahren zur Ursachenbeseitigung nach Vorfällen.

52% 48%Ausgedehntere Überwachung

58% 55%Quarantäne/Entfernen von schädlichen Anwendungen

53% 53%Unterbinden der Kommunikation von bösartiger Software

55% 55%Ursachenanalyse

45% 41%Systemwiederherstellung

48% 47%Unterbinden der Kommunikation von kompromittierten Anwendungen

47% 40%Entwicklung langfristiger Lösungen

2% 1%Keine der Genannten

20152014 (n=1738) (n=2432)

51% 47%Anpassung von Richtlinien

USA

Sicherheitsvorfälle

79




Zur Prüfung von Sicherheitsverfahren und zur Meldung der Ergebnisse stehen entsprechende Tools zur Verfügung

93

531 5 40

96

521 4 44

2015n=2432

2014n=1738

Sicherheitstechnologien sind gut miteinander integriert und arbeiten e�ektiv zusammen

94

562 5 38

95

521 4 43

2015n=2432

2014n=1738

Ausmaß eines Vorfalls kann mühelos bestimmt, der Schaden eingegrenzt und die Infektion beseitigt werden

89

462 9 43

91

451 8 46

2015n=2432

2014n=1738

Systeme zur Erkennung und Blockierung von Angri�en sind stets auf dem neuesten Stand

94

571 5 37

96

561 3 40

2015n=2432

2014n=1738

Sicherheit ist gut in Unternehmensziele und Geschäftsprozesse integriert

94

582 5 36

96

561 4 40

2015n=2432

2014n=1738

Jeder Sicherheitsvorfall wird systematisch untersucht

93

552 5 38

96

561 4 40

2015n=2432

2014n=1738

Sicherheitskontrollen für kritische Ressourcen können bei Bedarf erhöht werden

94

541 5 40

97

561 3 41

2015n=2432

2014n=1738

E�ektivität von Sicherheitsmaßnahmen wird regelmäßig anhand der Verbindungsaktivität im Netzwerk geprüft

94

582 4 36

96

571 3 39

2015n=2432

2014n=1738

Sicherheitsverfahren werden regelmäßig unter formellen und strategischen Gesichtspunkten geprüft

94

561 4 38

96

561 4 40

2015n=2432

2014n=1738

Stimme überhaupt nicht zu Stimme vollständig zuStimme nicht zu Stimme zuSicherheitsimplementierung

However, Companies Continue to Lack Con�dence in Their Abilities to Scope and Contain Compromises




93

531 5 40

96

521 4 44

2015n=2432

2014n=1738


94

562 5 38

95

521 4 43

2015n=2432

2014n=1738


89

462 9 43

91

451 8 46

2015n=2432

2014n=1738


94

571 5 37

96

561 3 40

2015n=2432

2014n=1738


94

582 5 36

96

561 4 40

2015n=2432

2014n=1738


93

552 5 38

96

561 4 40

2015n=2432

2014n=1738


94

541 5 40

97

561 3 41

2015n=2432

2014n=1738


94

582 4 36

96

571 3 39

2015n=2432

2014n=1738


94

561 4 38

96

561 4 40

2015n=2432

2014n=1738


However, Companies Continue to Lack Con�dence in Their Abilities to Scope and Contain Compromisesabbildung 86: Vertrauen in Fähigkeiten zur Eindämmung von Vorfällen zeigt gemischtes Bild

80


abbildung 86: Vertrauen in Fähigkeiten zur Eindämmung von Vorfällen zeigt gemischtes Bild (Fortsetzung)




93

531 5 40

96

521 4 44

2015n=2432

2014n=1738


94

562 5 38

95

521 4 43

2015n=2432

2014n=1738


89

462 9 43

91

451 8 46

2015n=2432

2014n=1738


94

571 5 37

96

561 3 40

2015n=2432

2014n=1738


94

582 5 36

96

561 4 40

2015n=2432

2014n=1738


93

552 5 38

96

561 4 40

2015n=2432

2014n=1738


94

541 5 40

97

561 3 41

2015n=2432

2014n=1738


94

582 4 36

96

571 3 39

2015n=2432

2014n=1738


94

561 4 38

96

561 4 40

2015n=2432

2014n=1738






93

531 5 40

96

521 4 44

2015n=2432

2014n=1738


94

562 5 38

95

521 4 43

2015n=2432

2014n=1738


89

462 9 43

91

451 8 46

2015n=2432

2014n=1738


94

571 5 37

96

561 3 40

2015n=2432

2014n=1738


94

582 5 36

96

561 4 40

2015n=2432

2014n=1738


93

552 5 38

96

561 4 40

2015n=2432

2014n=1738


94

541 5 40

97

561 3 41

2015n=2432

2014n=1738


94

582 4 36

96

571 3 39

2015n=2432

2014n=1738


94

561 4 38

96

561 4 40

2015n=2432

2014n=1738



abbildung 87: Firewall-Protokolle und Systemprotokollanalyse auch weiterhin am häufigsten eingesetzte Prozesse zur Analyse von kompromittierten Systemen

Mittelstand

Figure X.Firewall logs and system log analysis continue to be the most commonly used processes to analyze compromised systems

Analyse von Systemprotokollen

Firewall-Protokoll

Analyse der Netzwerkstatistik

Analyse der Malware- oder DateiregressionAnalyse der Registry

Full-Packet-Capture-Analyse

Korrelierte Ereignis-/Protokollanalyse

Festplattenforensik

Speicherforensik

IoC-Erkennung

Incident-Response/Analyse durch externe StelleKeine der Genannten 1%

59%

61%

53%

55%

50%

47%

42%

40%

41%

38%

37%

2%

Prozesse zur Analyse kompromittierter Systeme


Größere Unternehmen verwenden tendenziell mehr Prozesse zur Analyse kompromittierter Systeme als der Mittelstand.

2014 2015(n=1738) (n=2432)

Große Unternehmen

53%

57%

49%

48%

47%

38%

37%

36%

34%

35%

33%

81


abbildung 88: Systemwiederherstellung anhand von Backups auch 2015 am weitesten verbreitet

Figure X.Restoring from a pre-incident backup is the most common process to restore a�ected systems in 2015

57% 59%

60% 56%

60% 55%

56% 51%

35% 35%

2% 1%

Verfahren zur Wiederherstellung betro�ener Systeme

97% 94%


In China werden Patches und Aktualisierungen von potenziell angreifbaren Anwendungen auf breiterer Basis durchgeführt als in anderen Ländern. Implementierung zusätzlicher/neuer

Erkennungsmethoden und Kontrollen nach einem Vorfall als Reaktion auf ermittelte Schwachstellen

Patching und Aktualisierung von angreifbaren Anwendungen

Di�erenzierende Wiederherstellung (Korrigieren der Eingri�e in Systeme)

Systemwiederherstellung anhand von Backups

Gold-Image-Wiederherstellung

Keine der Genannten

2014 2015(n=1738) (n=2432)

ChinaPatch-

Management

Figure X.The CEO or president is most likely to be noti�ed of security incidents, followed by operations and the �nance department

Operations 46% 40%

45%Chief Executive O�cer K/A

K/A

K/A

Finanzabteilung 40%

Technologiepartner 45% 34%

Entwicklung/Technik 38% 33%

Personalabteilung 36% 33%

Rechtsabteilung 36% 32%

Produktion 33% 28%

Public Relations 28% 24%

Alle Mitarbeiter 35% 27%

Geschäftspartner 32% 21%

Externe Stellen 22% 18%

15%Versicherungsgesellschaften

Stellen, die über Vorfälle unterrichtet werden

97% 94%


Deutlich mehr Großunternehmen melden Sicherheitsvorfälle an externe Stellen als mittelständische/mittelgroße Unternehmen.

2014 2015(n=1738) (n=2432)

Großunternehmen

!

abbildung 89: Am häufigsten werden CEO/Geschäftsführer über Sicherheitsvorfälle unterrichtet, gefolgt von Betriebspersonal und Finanzabteilung

82


Schulungsmaßnahmen

Figure X. Nearly all companies (97%) deliver security training at least once a year

83%96% VS.Kein VorfallVorfall


Sind für das Sicherheitspersonal regelmäßig Schulungs- und Weiterbildungsmaßnahmen vorgesehen? (Befragte mit Zuständigkeit im Bereich Sicherheit)

In welchem Turnus werden Sicherheitsschulungen durchgeführt?(Befragte, bei denen entsprechende Schulungen vorgesehen sind)

96% der Unternehmen, bei denen es zu einem Sicherheitsvorfall kam, halten regelmäßig Sicherheitsschulungen ab, verglichen 83% der Unternehmen, bei denen dies noch nicht der Fall war.

89%

Mittlere bis große Unternehmen

93%Groß-unternehmen

88%Mittelstand

93% der Großunternehmen halten Sicherheitsschulungen ab, verglichen mit 88% der mittelständischen und 89% der mittelgroßen Unternehmen.

2014 (n=1726)

2015 (n=2402)

89% Ja

11% Nein

90% Ja

10% Nein

2015(n=2147)

mehr als zweimal/Jahr≥Einmal/Jahr≤Einmal/2 Jahre<Einmal/2 Jahre

K/A

N/A

3% 39% 58%

97%

2014(n=1560)

1% 17% 82%

(Keine Daten für 2014)

abbildung 90: Bei fast allen Unternehmen (97%) ist mindestens einmal pro Jahr eine Sicherheitsschulung vorgesehen






43%



42%




40%

40%


41%

43%


48%53% vs.20152014


abbildung 91: Sicherheitsbewusstsein steigt: Schulungsprogramme und formelle Regelwerke zur Sicherheit weiter verbreitet als im Vorjahr

83


abbildung 92: Nahezu gleiches Ergebnis wie im Vorjahr: Bei beinahe 90 % nimmt Sicherheitspersonal an Security-Konferenzen oder -Schulungen teil

Figure X.As in 2014, nearly 9 in 10 say their security sta� attend security-focused conferences or training

Nehmen Sicherheitsmitarbeiter an Konferenzen und/oder externen Schulungen teil, um ihre Kenntnisse zu erweitern und zu festigen? (Befragte mit Zuständigkeit im Bereich Sicherheit)

Engagieren sich Mitarbeiter in Branchenverbänden oder Gremien zum Thema Sicherheit? (Befragte mit Zuständigkeit im Bereich Sicherheit)

2014 2015(n=1738) (n=2432)

89%Ja

89%Ja

64%Ja

36%

11% 11%

35% 65%Ja

2014 2015(n=1738) (n=2432)


84


Security Risk and Trustworthiness Study

Figure X. Background & Methodology

Methodik: Quantitativer und qualitativer Ansatz

Research Background and Objectives


Neben den größten Herausforderungen und Risiken, die Unternehmen und Service-Provider in Bezug auf ihre Sicherheit sehen, wurde im Rahmen der Studie die Bedeutung der Vertrauenswürdigkeit bei der Wahl des IT-Anbieters untersucht.

Fokusbereiche der Studie:

Zur Untersuchung dieser Fokusbereiche wurden zwei Methodiken angewandt:(Alle Befragten waren an IT-Kaufentscheidungen beteiligt)

Die Studie wurde in den USA, Großbritannien, Frankreich, Deutschland und in Kanada (nur Interview) durchgeführt

Qualitative Erhebung anhand von ausführlichen Interviews mit

(7 USA, 3 Kanada, 3 Großbritannien, 4 Deutschland, 3 Frankreich)

20 Service-ProvidernQuantitative Erhebung anhand von Web-Umfrage unter

(402 USA, 282 Großbritannien, 197 Deutschland, 169 Frankreich)

1050 IT-Entscheidern in Unternehmen

Daten wurden zwischen August und September 2015 erfasst

Interview45Minuten

Web-Umfrage20Minuten

Bewertung der Risiken ausgehend von unternehmensexterner und -interner Seite

Implementierte Strategien, Richtlinien und Lösungen zur Reduzierung von Sicherheitsrisiken

Bedeutung der Vertrauenswürdigkeit des IT-Anbieters im Hinblick auf Bescha�ungsprozesse für IT-Lösungen

Interesse an Nachweisen von IT-Anbietern bezüglich ihrer Vertrauenswürdigkeit

Vergleich der Risikoeinschätzungen je nach Branche/Befragten und Untersuchung der jeweils angewandten Vorkehrungsmaßnahmen

abbildung 93: Zweck und Methodik

85



Branchen (mit mindestens 5% der Befragten)

11%

Finanzsektor

11%

Gesundheit

10%

Fertigung (nicht Computer-

bezogen)

10%

Einzelhandel

8%

Regierung/Verwaltung

7%

Versicherung

6%

Energie-, Öl- und

Gasversorger

5%

Ingenieurs- und Bauwesen

5%

Telekomm.

29%

Andere

Position

Land Unternehmensgröße

6%Leitender Techniker/Architekt

25%

26%

Führungsebene (CIO, CSO, CTO usw.)

USA

30%Direktor

9%Vice President

2%Rechtsabteilung

Teamleiter

3%Techniker

Recherche und Auswertung von Lösungen

69%

69%

Bestimmung der Strategie

71%

77%

77%

80%

Prüfung der Richtlinienkonformität

53%Genehmigen von Budgets

Implementierung und Verwaltung von Lösungen

Empfehlungen/Abschließende Markenentscheidungen

38%

Großbritannien

27%Frankreich

16%

Deutschland

19%

1000-2499

Nicht-InfoSec

2500-4999

10.000 oder mehr 22% 32%

53%47%

30%16%

5000-9999

InfoSec

abbildung 94: Teilnehmerprofil Unternehmen – Quantitativ

86


Figure X. Service Provider Respondent Pro�le: Qualitative


Marktfokus der Service-Provider

Land Unternehmensgröße

InfoSec-Klassi�zierung

4%

6%

Medien-Services

11%

11%

Anwendungsservices

USA/Kanada

Mobile Telekomm.

Technologie-Services

3%Festnetz-Telekomm.

Position

Leitender Angestellter

7%CIO/CTO/CSO

8%Leitung IT

1%

1%

1%

VP IT

Teamleiter

2%Leitender Techniker/Architekt

Beteiligung am Anscha�ungsprozess

Recherche und Auswertung von Lösungen

Bestimmung der Strategie

Genehmigung größerer Anscha�ungen

Prüfung der Richtlinienkonformität

Genehmigen von Budgets

Implementierung und Verwaltung von Lösungen

Abschließende Markenentscheidungen

10Großbritannien3

Frankreich 34Deutschland

6

14

7 7

6

100-999 5000 or more1000-4900

Nicht-InfoSecInfoSec

80%

70%

95%

100%

75%

85%

60%

abbildung 95: Teilnehmerprofil Service-Provider – Qualitativ

Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern �nden Sie auf der Cisco Website unter www.cisco.com/go/o�ces.

Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber.

Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)

Hauptgeschäftsstelle Nord- und SüdamerikaCisco Systems, Inc. San Jose, CA

Hauptgeschäftsstelle Asien-Pazi�k-RaumCisco Systems (USA) Pte. Ltd.Singapur

Hauptgeschäftsstelle EuropaCisco Systems International BV Amsterdam,Niederlande





Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R) Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern �nden Sie auf der Cisco Website unter www.cisco.com/go/o�ces.

Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber.

Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)








Cisco und das Cisco Logo sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken �nden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begri�s „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (1110R)

Adobe, Acrobat und Flash sind eingetragene Marken bzw. Marken von Adobe Systems Incorporated in den Vereinigten Staaten und/oder anderen Ländern.

© 2016 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.

Erschienen Januar 2016

http://www.cisco.com/go/office

http://www.cisco.com/web/siteassets/legal/trademark.html

Documents

Cisco 2016 Annual Security Report · Aktivitäten schlagen. Und auch die Verfahren, mit denen sie das Ausschleusen von Daten und geistigem Eigentum verschleiern, sind immer ausgefeilter