Cyberangriffe: Warum die Reaktionszeit in Unternehmen viel zu lang ist

Für die zweite Ausgabe des halbjährlichen Reports „Voice of SecOps“ von Deep Instinct, Anbieter eines Deep-Learning-Framework für Cybersicherheit, wurden weltweit Sicherheitsexperten zur aktuellen Cyber-Bedrohungslage befragt. Eines der wichtigen Ergebnisse des Reports ist, dass die Reaktionszeit auf Cyberangriffe im globalen Durchschnitt 20,9 Stunden beträgt. Das entspricht mehr als zwei Arbeitstagen. 92 Prozent der befragten Cybersicherheits-Experten in deutschen Unternehmen geben an, dass sie im Durchschnitt mindestens sechs Stunden brauchen, um auf einen Sicherheitsvorfall zu reagieren.

Bedrohungen der Cybersicherheit von innen

Angesichts der Verzögerung, mit der Sicherheitsteams oft auf einen Angriff reagieren, zeigten sich 87 Prozent der Befragten unsicher, ob es überhaupt möglich sei, die ständigen Angriffswellen von Cyberkriminellen zu verhindern. Darüber hinaus nennen Sicherheitsfachleute Bedrohungen aus den eigenen Reihen als anhaltendes Risiko. 86 Prozent der Befragten befürchten, dass ihre Mitarbeiter auf bösartige Links klicken. Und dadurch einen Angriff oder einen Sicherheitsverstoß verursachen könnten. 44 Prozenten der Experten für Cybersicherheit in deutschen Unternehmen gaben an, dass sie die größten Hindernisse bei der Verhinderung des Eindringens von Schadsoftware in ihre Netze darin sehen, dass nicht genügend geschultes Personal zur Verfügung steht, um mehr Präventionsmaßnahmen durchzuführen.

Die neue Erhebung von Deep Instinct folgt auf den ersten Bericht vom Juli 2021, der ergab, dass sich 83 Prozent der weltweit befragten Cybersicherheitsexperten mit den aktuellen EPP- und EDR-Lösungen unzufrieden zeigten und bessere Lösungen erwarten. Inzwischen planen 42 Prozent der deutschen Unternehmen, ihre Investitionen in Endpoint Detection and Response (EDR)-Technologien zu erhöhen.

Vielfältige Herausforderungen durch Cyberangriffe

Die Gefahr von Ransomware und anderer Malware ist noch lange nicht gebannt. Aber es gibt noch andere wichtige Herausforderungen, denen sich Sicherheitsexperten stellen müssen, so die Erkenntnisse der weltweiten Befragung.

Sorgen, wie sich Cyberangriffe bewältigen lassen:

• 44 Prozent der Sicherheitsexperten sind besorgt über das Fehlen einer spezifischen Bedrohungsabwehr für noch nie zuvor aufgetretene Malware.
• 40 Prozent befürchten eine wachsende Beharrlichkeit von Bedrohungsakteuren, die trotz Unterbrechungen wie Neustarts oder geänderter Anmeldedaten diskret langfristigen Zugänge zu Systemen aufrechterhalten, um groß angelegte Cyberangriffe zu starten.
• 35 Prozent der Befragten beklagen den Mangel an qualifiziertem SecOps-Personal. Dies stellt laut Sicherheitsexperten eine Herausforderung für die Reaktion auf Vorfälle dar. Insbesondere im Gesundheitswesen (52 Prozent) und im öffentlichen Sektor (55 Prozent).

Eine vollständige Sicherheit von Endpunkten kaum erfüllbar:

• 99 Prozent der Befragten glauben, dass nicht jeder Endpunkt in ihrem Unternehmen durch mindestens einen Endpunkt-Agenten geschützt ist.
• 32 Prozent der Befragten ist der Auffassung, dass jeder Endpunkt das gleiche Schutzniveau hat. Eine Mehrheit von 60 Prozent gibt an, dass sie nicht in der Lage seien, Bedrohungen auf allen Endpunkten zu blockieren.

Herausforderungen bei der Speicherung in der Cloud und bei bösartigen Dateien:

• In der Cloud gespeicherte Dateien stellen für 80 Prozent der Befragten eine unkontrollierte Sicherheitslücke dar. 
• 68 Prozent der Befragten haben Bedenken, dass andere Mitarbeiter unwissentlich bösartige Dateien hochladen und Umgebungen gefährden könnten.

Cyberangriffe: Neue Hoffnung für Sicherheitsexperten

Doch es gibt Silberstreifen am Horizont für Sicherheitsexperten, insbesondere im Technologie- und Finanzdienstleistungssektor. Befragte aus dem Technologiesektor waren optimistisch, was die Bemühungen zur Bekämpfung von Cyber-Bedrohungen anbelangt. Sie vertraten doppelt so häufig wie die Befragten aus anderen Sektoren die Ansicht, dass eine vollständige Verhinderung von Malware möglich sei.

Die Finanzdienstleistungsbranche steht an der Spitze, wenn es um die Reaktionszeit auf Vorfälle geht. Denn hier wird fast vier Stunden früher auf Vorfälle reagiert als in anderen Wirtschaftszweigen. Zwei Drittel (66 Prozent) aller Befragten glauben, dass es in den nächsten zwei bis fünf Jahren möglich sein wird, das Eindringen von Bedrohungen in das Netzwerk ihres Unternehmens zu verhindern.

Darüber hinaus sind 59 Prozent der Befragten optimistisch, was die Umsetzung von Prävention und Reaktion angeht. Dabei legen Unternehmen zunehmend Wert auf Prävention (57 Prozent) und Erkennung (62 Prozent). Durch die automatische Erkennung und Prävention von Bedrohungen können sich die Sicherheitsteams auf die dringendsten Probleme konzentrieren. Und werden nicht mit ständigen Warnmeldungen überschwemmt.

Zur Methodik der Erhebung: Der Bericht von Deep Instinct analysierte das Feedback von 1.500 leitenden Cybersicherheits-Experten in elf Ländern, die für Unternehmen mit mehr als 1.000 Mitarbeitern und einem Jahresumsatz von mehr als 500 Millionen US-Dollar arbeiten. Die Befragten kommen aus folgenden Branchen: Finanzdienstleistungen, Handel und E-Commerce, Gesundheitswesen, Fertigungsindustrie, öffentlicher Sektor, kritische Infrastruktur und technologiebezogene Unternehmen.

Interview mit mit Ralph Kreter von Deep Instinct

Redakteur Stefan Girschner sprach mit Ralph Kreter, Aerea Vice President Central and Eastern Europe bei Deep Instinct, über die aktuellen Security-Bedrohungen für Unternehmen und mögliche Abwehrmaßnahmen.

Derzeit berichten viele Security-Anbieter von einer starken Zunahme von Ransomware. Wie ist Ihre Einschätzung zur aktuellen Bedrohungslage durch Ransomware für Unternehmen?

Ralph Kreter: Ransomware ist schon seit langem eine wachsende Bedrohung, der viele Unternehmen mit Schrecken entgegenblicken. Zwischen den Jahren 2019 und 2020 hat die Anzahl der Ransomware-Attacken um 435 Prozent zugenommen. Denn nicht nur die Sicherheitstechnologie entwickelt sich rasant weiter, auch die Kriminellen und deren Technologien lernen (insbesondere im KI-Bereich) dazu.

Beispielsweise zeichnet sich ein immer größerer Trend des Modells „Ransomware-as-a-service“ (RaaS) ab. Ähnlich wie bei gängigen Software-as-a-Service-Modelle (SaaS) wie Slack oder Zoom nutzen Kriminelle diese Geschäftsmodell, um Personen, die selbst keine Kenntnisse über die Programmierung von Malware besitzen, schnell und kostengünstig ein RaaS-Kit zu Verfügung stellen. Dadurch können diese umgehend Cyberangriffe per Ransomware starten, was letztlich auch die Verbreitung vereinfacht und beschleunigt.

Hinzu kommt, dass die Systeme in Unternehmen immer komplexer werden, was es erschwert für maximale IT-Sicherheit zu garantieren. Dies zeigte auch der kürzlich veröffentlichte Bericht „Global Digital Trust Insights 2022“ von PwC. Hierin betrachten mehr als 80 Prozent der IT-Führungskräfte in Deutschland die Technologie und Betriebsumgebungen in ihren Unternehmen für unnötig komplex. Demnach erwarten 59 Prozent der Befragten einen Anstieg von Ransomware-Angriffen oder generell von Cyberkriminalität (57 Prozent) im Vergleich zu 2021.

Welche weiteren Cyber-Bedrohungen und Sicherheitsrisiken sehen Sie demnächst auf Unternehmen zukommen?

Ralph Kreter: Dank des Open-Source-Prinzips werden Cyberkriminelle weiterhin schnell ihre Taktiken erweitern und ausarbeiten. Es zeigt sich zudem ein klarer Trend, dass auch immer mehr mittelständische Unternehmen ins Visier der Angreifer geraten. Gerade hier haben sich einige Firmen noch nicht genug mit dem Thema Cybersicherheit auseinandergesetzt. Oder sie haben nicht die Ressourcen oder Mitarbeiter, um die nötige Sicherheit zu gewährleisten. Ein weiteres Problem ist, dass die IT-Abteilungen chronisch unterbesetzt sind – speziell im Bereich der IT-Sicherheit.

Hinzu kommt, dass Kriminelle mittlerweile auch verstanden haben, wie man maschinelles Lernen kompromittieren kann. Eine Technologie, die bei einigen Unternehmen als Sicherheitsschutz für ihr Netzwerk eingesetzt wird. Deshalb wird der nächste Schritt zu mehr Netzwerksicherheit für Firmen sein, ihre veraltete Technologie gegen innovativere und zukunftstaugliche Lösungen auszutauschen.

Cyberangriffe: Machine Learning ist leichter zu umgehen als Deep Learning

Unternehmen stehen bei der Umsetzung von Security-Maßnahmen vor einer Vielzahl von Herausforderungen. Hierzu zählen steigende Ausgaben für Lösungen, höhere Komplexität, der Mangel an Security-Experten oder echte Innovationen. Wie können Unternehmen dieses Dilemma überwinden? Wie kann Deep Instinct dabei unterstützen?

Zunächst müssen sich Unternehmen über die potentiellen Schwachstellen in ihrem Netzwerk und den Risiken, gegen die sie sich verteidigen wollen und müssen, bewusst sein. Nur so können letztlich auch die richtigen Lösungen gewählt und die richtigen Sicherheits-Investitionen gemacht werden. 

Ein erster wichtiger Schritt ist unter anderem, den Unternehmen den Unterschied zwischen den verschiedenen Technologien klar zu machen. Machine Learning ist nicht gleichzusetzen mit Deep Learning und nicht alle Produkte, auf denen KI steht, haben auch KI enthalten. Hier wollen wir als Deep Instinct auch unseren Beitrag leisten. Daher legen wir viel Wert in Gesprächen oder Demo-Sessions, diese Unterschiede zu erklären. Es muss Firmen bewusste sein, dass es für Cyberkriminelle einfacher ist, Machine Learning zu umgehen, als Deep Learning, da hier auch der menschliche Zwischenschritt der Dateneinspeisung fehlt.

Eine weitere große Hilfe für kleinere Unternehmen mit knappen Budgets oder wenig Mitarbeitern ist auch hier wieder der Zeitaspekt und die entsprechende Verteilung von Ressourcen (nämlich dahin wo sie gebraucht werden). So genannte False Positives, also fälschlich positiv gemeldeter Alarme, nehmen eine Menge Zeit der Security-Experten in Anspruch, denn es müssen alle Warnungen überprüft werden. Schließlich könnte nur ein einziger richtiger Alarm, der versehentlich übersehen oder nicht geprüft wurde fatal sein, wenn Cyberkriminelle Zugang zu sensiblen Daten bekommen. Diese Zeit fehlt dann an anderer Stelle. Mit einer Deep Learning Lösung wird diese False Positive Rate deutlich verringert, da das System immer weiter lernt und auch unbekannte Malware als solche erkennt.

Es gibt nun auch einen ROI-Rechner auf der DeepI-Instinct-Website, um diesen Wert der Zeitersparnis auch in einen (monetären) Kontext zusetzen. Das bezieht sich auf die False Positives, ebenso wie auf die Zeitersparnis bei der Verwaltung von Endpunktschutzlösungen, der Behebung von Endpunktangriffen oder Kosteneinsparung durch die Abschaffung älterer Lösungen.

Was unterscheidet diese Technologie vom Machine-Learning-Ansatz. Worin liegt der Vorteil im Gegensatz zu herkömmlichen Sicherheitslösungen?

Wir sehen Begriffe wie Deep Learning, künstliche Intelligenz oder Machine Learning immer öfter – in den Medien, aber auch bei Produkt- und Servicebeschreibungen. Leider besteht gerade bei Machine Learning und Deep Learning noch zu großes Unwissen darüber inwieweit sich beide Technologien, die oftmals unter dem Oberbegriff KI zusammengefasst werden, unterscheiden. Das macht es auch für IT-Entscheider und Führungskräfte nicht einfacher, Cyberangriffe und die jeweilige Wirksamkeit der Technologien einschätzen zu können.

Die Grundlage für Deep Learning sind die künstlichen neuronalen Netzwerke, die der Struktur eines menschlichen Gehirns recht ähnlich sind. Sie bestehen aus Hunderttausenden artifiziellen, nicht-linearen Neuronen-Synapsen-Kombinationen, die untereinander verbunden sind. Diese parallele Datenverarbeitung erlaubt es Computern Informationen in kürzester Zeit weiterzuleiten und zu verwerten.

Damit Deep Learning „lernen“ kann, wird es mit Rohdaten „trainiert“. Diese Informationen werden als gutartig oder bösartig gekennzeichnet, damit das System lernt schädliche Codes auch in Zukunft zu erkennen. Je mehr Daten die Basis bilden, desto besser der Lern- und Wiedererkennungserfolg. Dieser Prozess wird von der Deep-Learning-Technologie selbst durchgeführt. Bei Machine Learning muss dieses Wissen noch von Mitarbeitern in das System eingespeist werden und es basiert auf bereits bekannten Sachverhalten. Daher kann diese Technologie schwerer neue Bedrohungen erkennen.

Der Vorteil zu herkömmlichen Systemen liegt darin, dass zum einen weniger Raum für menschliche Fehler oder Manipulation bleibt, da die Daten nicht wie bei Machine Learning eingespeist werden. Zudem können Deep Learning Lösungen Cyber-Bedrohungen durch den ständigen Lernprozess früher erkennen und agieren präventiv, noch bevor Malware das System infiltrieren kann.

Cyberangriffe: Automatisierung hilft, schneller zu regieren

Viele Experten sehen die Automatisierung der Cybersicherheit als einzige Möglichkeit, der Zunahme von Cyberbedrohungen effektiv zu begegnen. Wo liegt der Vorteil des Deep-Learning-Ansatzes von Deep Instinct?

Automatisierung ist tatsächlich ein wichtiger Faktor. Zum einen, weil es bei Cybersicherheit auch um Zeit geht. In nur 15 Sekunden beginnt die schnellste bekannte Ransomware mit der Verschlüsselung. Im Gegensatz dazu benötigen die schnellsten EDR-Lösungen (Endpoint Detection and Response) mindestens ein paar Minuten, wenn nicht sogar Stunden, um eine Bedrohung zu erkennen. Automatisierte Prozesse helfen dabei schneller, auf Cyberangriffe zu reagieren.

Zum anderen geht es um Genauigkeit, denn es dürfen keine potentiellen Eindringlinge oder Alarme übersehen werden, trotz einer hohen Anzahl an Alarmen, die die SecOps Team bekommen, von denen jedoch oft einige False Positives dabei sind. Laut einiger Berichte sind sogar knapp ein Viertel der Cybersicherheits-Warnungen Fehlalarme, die ungefährlich sind. Die schiere Anzahl von Fehlalarmen lenkt die Aufmerksamkeit aber von den tatsächlichen Risiken ab. Sicherheitsteams verbringen also mehr Zeit damit, auf vermeintliche Bedrohungen zu reagieren, als proaktiv kritische Umgebungen zu schützen.

Die Technologie von Deep Instinct hilft hierbei insofern, als dass durch den beschriebenen Lernvorgang von Deep Learning Technologie (bei der Daten das neuronale Netzwerk mehrfach auf allen Leveln durchlaufen), das Netzwerk mit jedem Durchlauf besser zwischen gut- und bösartig unterscheiden kann. Das macht Deep Learning akkurater und schneller und vor allem passiert dies automatisch.

Deep Instinct hat es sich mit seiner Lösung auch zur Aufgabe gemacht, Arbeitsabläufe zu optimieren. Unter anderem sorgt das System für deutlich weniger False Positives, sodass sich Sicherheitsteams auf echte Bedrohungen konzentrieren können. Durch den Präventionsansatz kommt es mit dem Einsatz von Deep Instinct generell zu weniger erfolgreichen Angriffen. Das liegt darin, dass die Anwender diese schon vorher erkennen und verhindern können.

Welche Lösungsansätze beziehungsweise Schutzmaßnahmen vor aktuellen Cyberbedrohungen empfehlen Sie Unternehmen?

Unternehmen müssen sich ernsthaft die Frage stellen: „Sind meine wichtigsten und wertvollsten Assets sicher?“. Das sind oftmals Daten, aber eine Ransomware Attacke kann auch schnell ganze Produktionsstätten lahmlegen – ganz zu schweigen vom Reputationsverlust.

Unsere halbjährliche Studie „Voice of SecOps“, in der wir einen Überblick über die globale Cybersecurity-Landschaft und Status der Unternehmen bekommen, hat auch jetzt wieder gezeigt. So glauben mehr als 55 Prozent der 1.500 befragten Experten nicht, dass es aktuell möglich ist, ihr Netzwerk vor jede Art von Malware zu schützen. Eine Mehrheit von 83 Prozent ist außerdem der Meinung, dass sie mehr von ihren AV und Endpoint Detection and Response Lösungen (DER) erwarten können sollten. Was aber am meisten zu denken gibt, ist, dass es aktuell knapp 24 Stunden bis SecOps Teams auf Eindringlinge oder Attacken reagieren, sobald diese erkannt wurden. Das ist einfach zu lang. In dieser Zeit kann die Ransom- oder Malware weit ins Netzwerk vordringen und einen großen Schaden anrichten.

Mehrschichtige Lösungen und ein stärkerer Fokus auf Lösungen, die nicht nur schützen, sondern auch solche Unterbrechungen verhindern, können das Leben der SecOps-Teams erheblich erleichtern. Gerade Firmen, die unterbesetzt sind, eine große Anzahl an Sicherheitsalarmen bekommen und lange Reaktionszeiten verzeichnen, müssen ihre Ressourcen genau planen und ausbalancieren. Daher sollten Investitionen in Lösungen wie Endpoint Protection, SIEM und intelligente Risikoerkennung ebenso auf der Liste stehen wie Erweiterungen bei Malware-Erkennung und Verhinderung. Ebenso ist eine Automatisierung von Cybersicherheit ein effektiver Weg, um den Bedrohungen entgegenzutreten. Die Sicherheitsexperten müssen Zeit und Ressourcen haben, um sich gegen die Cyberangriffe zu rüsten.

Herr Kreter, danke Ihnen für das Gespräch!

Lesen Sie auch: Cloud-Security: Voraussetzungen und Herausforderungen bei der Umsetzung