Incident Response: Nur jedes fünfte Unternehmen verfügt über Pläne

Das Thema Incident Response beziehungsweise die Vorbereitung auf Cyberangriffe scheint in Unternehmen in Deutschland noch ausbaufähig zu sein, wie die aktuelle Studie „Incident Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“ von Kaspersky zeigt. So haben nur 20,5 Prozent der im DACH-Raum befragten Unternehmen Incident-Response-Pläne griffbereit, die im Falle eines Angriffs das Team anleiten. Dies ist aber für die meisten Cyberversicherungen obligatorisch.

Ebenso haben 29 Prozent ein Incident-Response-Playbook zur Hand. Unternehmen scheint es dabei generell an Vorgaben und präventiven Maßnahmen zu fehlen, wie sie auf Vorfälle reagieren oder ihnen vorbeugen können. Das BKA erfasste im vergangenen Jahr mehr als 130.000 Cybercrime-Fälle in Deutschland. Dabei können Angriffe auf Unternehmen für diese mitunter existenzbedrohend sein. 30,5 Prozent der Unternehmen in Deutschland verfügen laut aktueller Kaspersky-Studie demnach über eine Cyberversicherung, die im Schadensfall zumindest die gröbsten Kosten abdeckt.

Incident Response: Fehlende Vorgaben bei Sicherheitsvorfällen

Kommt es zu einem Angriff oder einer Malware-Infektion weiß auch nur ein Viertel der Unternehmen in Deutschland, was mit den betroffenen Geräten geschehen soll. Denn nur ein Viertel (26,5 Prozent) der Unternehmen in Deutschland hat eine zentral dokumentierte Ablage für kompromittierte Geräte. Diese ist für die Forensik jedoch von Bedeutung, da nur so der Ursprung eines Angriffs identifiziert werden kann. Generell scheint es in Unternehmen in Deutschland an Vorgaben zu fehlen, wie mit Sicherheitsvorfällen umzugehen ist: nur die Hälfte (53,5 Prozent) der Unternehmen hat Richtlinien, wie Sicherheitsvorfälle zu dokumentieren sind und annähernd genauso wenige (53 Prozent) haben eine definierte Stelle für die Meldung von Vorfällen.

Incident Response: Mangel an präventiven Sicherheitsmaßnahmen

Um Cybersicherheitsvorfällen vorzubeugen, haben zu wenige Unternehmen entsprechende Maßnahmen implementiert:

• 47,5 Prozent der Unternehmen nutzt Netzwerksegmentierung, um Geräte voneinander abzuschotten.
• 54 Prozent der Unternehmen verwenden eiine Multi-Faktor-Authentifizierung, um Zugänge zu sichern.
• 34,5 Prozent der Unternehmen führt präventive Audits durch.
• 85,5 Prozent der Unternehmen verzichten zudem auf Simulation und Emulation in Bezug auf Adversaries and Threats (via Table Top Exercise (TTX) oder Adversary Emulations).

Ohne das Testen kritischer Prozesse kann jedoch nicht sichergestellt werden, dass diese im Ernstfall funktionieren und sie unterstützen. Ein ähnliches Bild ergibt sich beim Thema Patch-Management: Nur 35,5 Prozent der Unternehmen haben eine entsprechende Richtlinie dafür. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen zu den häufigsten Angriffsvektoren in Unternehmen.

Incident Response erfordert effizientes Patch-Management

Für Kai Schuricht, Lead Incident Response Specialist bei Kaspersky, liegt das an der Komplexität des Patchens: „Zum einen lassen sich zwar Sicherheitslücken relativ einfach stopfen, zum anderen ist der Vorgang aber meist etwas komplizierter als man denkt. Entscheiden sich Unternehmen, ihre Systeme zu aktualisieren, dauert dies einige Zeit. Denn diese müssen erst getestet, freigegeben und dann verteilt werden. Das dauert und vergrößert natürlich das Zeitfenster, in dem die Systeme verwundbar sind. Auch das Zeitfenster für erfolgreiche Angriffe verlängert sich. Ein entsprechend durchdachtes und damit effizientes Patch-Management kann hier unterstützen und die unterschiedlichen Anforderungen von beispielsweise IT-Sicherheit und Produktion gleichzeitig berücksichtigen.“ 

Malware auf 16 Prozent der ICS-Rechner in Deutschland

 In der ersten Jahreshälfte 2023 wurden auf rund 16 Prozent der ICS-Computer (Rechner für industrielle Kontrollsysteme) in Deutschland schädliche Objekte entdeckt und blockiert, wie aktuelle Analysen des Kaspersky ICS CERT zeigen. Weltweit war jeder dritte ICS-Rechner (34 Prozent) betroffen. Im zweiten Quartal dieses Jahres registrierten die Kaspersky-Experten mit 27 Prozent betroffener ICS-Computer zudem das höchste vierteljährliche Bedrohungsniveau seit dem Jahr 2019.

Insbesondere finanzstarke Regionen waren mit einem Anstieg von Cyberbedrohungen gegen industriell genutzte Computersysteme konfrontiert. Im ersten Halbjahr 2023 war auf einem Sechstel (circa 16 Prozent) der industriellen Kontrollsysteme in Deutschland von Malware betroffen. Zu den häufigsten Bedrohungen gehörten schädliche Skripte und Phishing-Webseiten (7,0 Prozent), gesperrte Internet-Ressourcen (6,4 Prozent) sowie Spyware, Backdoors und Keylogger (2,6 Prozent).

Steigende Anzahl der Angriffe auf ICS-Systeme

Weltweit blockierten die Sicherheitslösungen von Kaspersky zwischen Januar und Juni dieses Jahres 11.727 verschiedene Malware-Familien auf industriellen Systemen. Hier kam es erneut bei gesperrten Internet-Ressourcen zu einer Zunahme (11 Prozent) der verhinderten Angriffsversuche. Dabei nahm die Anzahl der Angriffe auf ICS-Systeme in Australien, Neuseeland, USA, Kanada, Westeuropa und Nordeuropa zu. Dieser Anstieg ist in erster Linie auf die Blockierung der gesperrten Internet-Ressourcen und schädlicher Skripte zurückzuführen, die meist online und über E-Mails verbreitet werden. Zudem stieg die Spyware-Erkennung in diesen Ländern und Regionen deutlich an. Im weltweiten Vergleich variieren die Bedrohungszahlen im ersten Halbjahr 2023 erheblich. So hatte Afrika mit 40 Prozent die höchste Inzidenz zu verzeichnen, während Nordeuropa mit 15 Prozent den niedrigsten Wert aufwies.

Gebäudeautomation weiterhin die gefährdetste Branche

Die Gebäudeautomation blieb weltweit mit rund 39 Prozent der im Untersuchungszeitraum angegriffenen Industriecomputer die am häufigsten attackierte Branche. Bei Energie- sowie Öl- und Gasindustrien wiederum zeichnen sich seit dem Jahr 2021 gegensätzliche Trends ab. Die Energieindustrie war mit 36 Prozent mehr Bedrohungen konfrontiert. Der Öl- und Gassektor verzeichnete einen Rückgang von 31 Prozent. Darüber hinaus zeigt der aktuelle Kaspersky ICS CERT Report für das erste Halbjahr 2023 insgesamt einen Anstieg schädlicher Objekte in den Bereichen Maschinenbau, ICS-Integration, Fertigung und dem Energiesektor. Cyberkriminelle hatten dabei vor allem den Energiesektor in Nordeuropa im Visier (zu 25 Prozent). In Südeuropa vermehrt die Fertigungsbranche (zu 23 Prozent). Und in westeuropäischen Ländern größtenteils ICS-Computer der Öl- und Gasindustrie (zu 24 Prozent).

Empfehlungen zum Schutz von OT-Computern

• Regelmäßig Sicherheitsbewertungen von OT-Systemen (Operation Technology beziehungsweise Betriebstechnologie) durchführen, um mögliche Cybersicherheitsprobleme zu erkennen und zu beseitigen.
• Kontinuierliche Schwachstellenbewertung als Grundlage für ein effektives Schwachstellenmanagement etablieren. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity [2] können ein effizienter Assistent sein, bieten eine effiziente Hilfestellung und sind eine Quelle einzigartiger, verwertbarer Informationen, die nicht uneingeschränkt öffentlich zugänglich sind.
• Regelmäßig Updates für die Schlüsselkomponenten des OT-Netzwerks des Unternehmens durchführen und Sicherheitsupdates und Patches installieren, sobald dies technisch möglich ist.
• EDR-Lösungen wie Kaspersky Endpoint Detection and Response Expert verwenden, die Bedrohungen frühzeitig erkennen und blockieren können.
• Dedizierte OT-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Personal durchführen, durch die das Team fortgeschrittene Angriffstechniken erkennen und bekämpfen kann.

Lesen Sie auch: Malware: Neue Infektionsmethoden bei Emotet, DarkGate und LokiBot