In diesem Bericht geht es um Datensicherheit - darum, wie sie sich verändert hat, was wir heute darunter verstehen und wie Unternehmen damit umgehen. In dem Bericht geht es auch um die richtige Perspektive. Es geht um den Unterschied zwischen weit verbreiteten Ansichten und dem, was aktuell tatsächlich passiert.

Rubrik Zero Labs hat es sich zur Aufgabe gemacht, verwertbare, herstellerunabhängige Erkenntnisse zu liefern, um Datensicherheitsrisiken zu reduzieren. Wir haben Erkenntnisse aus unterschiedlichen Quellen einbezogen, die den Zeitraum vom 1. Januar bis zum 31. Dezember 2022 abdecken.

 

5000+

Kunden

22

Branchen

> 19 Mrd.

sensible Datensätze

 

Wir verwenden Telemetriedaten von Rubrik, um der Alltagsrealität in Unternehmen nahezukommen und gleichzeitig etwaige systeminhärente Verzerrungen erkennbar zu machen.

 

22

Branchen

5000+

Kunden

3

Regionen

57

Länder

 


 

Gesamtvolumen der gesicherten Daten:

28

logischer Speicher

659

28 EB gegenüber 659 BEPB

Oder auch „An alle Nerds!!!“

 

Wenn die meisten Menschen das Wort „Daten“ hören, denken sie an logischen Speicher, auch „Frontend-Speicher“ genannt. Diejenigen von uns, die in der Datenbranche arbeiten, legen den Fokus auf den Backend-Speicher.

 

Rubrik wendet eine Reihe verschiedener Techniken auf die Gesamtheit der Daten eines Unternehmens an - einschließlich Deduplizierung und Komprimierung -, um die Datenmenge im Backend-Speicher zu reduzieren. Deshalb legen wir den Fokus im Rest dieses Berichts auf den Backend-Speicher.

 

Ein Vergleich:

Es gibt Schätzungen, die besagen, dass jedes Wort, das jemals in der Geschichte der Menschheit in allen Sprachen gesprochen wurde, 5 EB entspricht. Das sind nur 18 % des Datenvolumens, das Rubrik im Jahr 2022 geschützt hat.1234

 


 

Sensible Daten in:

 

Sensible Daten

8,7+

Milliarden Dateien

Sensible Daten

19+

Milliarden sensibler Datensätze innerhalb der Dateien

 

1 von 38 Dateien enthält sensible Daten

 


 

Fallstudie:

 

Wir haben auch einen Angriff auf eines der in den Telemetriedaten von Rubrik enthaltenen Unternehmen genauer unter die Lupe genommen. Der Name des Unternehmens wurde aus Datenschutzgründen geändert.

 

Rubrik-Telemetriedaten =   RT

 

(1) https://www.space.com/18383-how-far-away-is-jupiter.html (2) https://www.sizes.com/tools/filing_cabinets.htm (3) https://www.zmescience.com/science/how-big-data-can-get/ (4) https://www.backblaze.com/blog/what-is-an-exabyte/

 

1600+

IT- und Sicherheitsverantwortliche

10

Länder

49 %

CIOs und CISOs

 

Wir haben eine Umfrage bei Wakefield Research in Auftrag gegeben, um unsere Rubrik-Telemetriedaten durch einen umfassenderen Blick auf die Datensicherheitslandschaft zu ergänzen. Wir haben IT- und Sicherheitsverantwortliche befragt, um die Unterschiede in ihren Standpunkten zu untersuchen.

 

1600+

Verantwortliche

 

49 % CIOs und CISOs

CIOs und CISOs

16 % VPs

VPs

38 % leitende Direktoren oder Vorstandsmitglieder

Vorstandsmitglieder

 


 

In drei Regionen:

AMER

EMEA

APAC

und 10 Ländern:

USA
Vereinigtes Königreich
Frankreich
Deutschland
Italien

Niederlande
Japan
Australien
Singapur
Indien

 

Daten von Wakefield Research =   WR

 

Wir haben angesehene Cybersicherheitsorganisationen hinzugezogen, um einen ganzheitlicheren Überblick über die Datensicherheitslandschaft zu erhalten. Wir bedanken uns dafür, dass wir ihre Erkenntnisse nutzen durften.

Palo Alto Networks Unit 42

Mandiant

Expel

Permiso

 

Wir haben angesehene Cybersicherheitsorganisationen hinzugezogen, um einen ganzheitlicheren Überblick über die Datensicherheitslandschaft zu erhalten. Wir bedanken uns dafür, dass wir ihre Erkenntnisse nutzen durften.

 

Palo Alto Networks Unit 42

Lösegeldforderungen im Jahr 2022 aus dem Bericht 2023 von Unit 42 zu Ransomware und Lösegeldforderungen

Mandiant

Mittlere globale Verweilzeiten und Ransomware-Untersuchungsquoten aus M-Trends 2023

 

Expel

Ransomware-Vorläuferaktivitäten und Zunahme von Angriffen auf Public Clouds aus Great Expeltations 2022

Permiso

Unerlaubte Nutzung von Zugangsdaten bei Angriffen auf Clouds und Zugriffsebenen aus Permiso 2022 - End of Year Observations

 

Daten zur Reaktion auf Vorfälle =   ER

 

Das Datenmeer

Unternehmen schwimmen auf einem Meer an Daten. Auf der Oberfläche sieht dieses Meer riesig, aber ruhig aus.

Aber jeder, der in seine Tiefen eintaucht, weiß, dass es dort von Leben wimmelt.

Die Sicht ist begrenzt, aber je mehr man sucht, desto mehr Daten findet man - in Höhlen, unter Steinen, fast überall. Die Strömung ist schnell. Man sieht die gleiche Szene nie zweimal.

about-7

Daten wachsen schneller und an mehr Orten, als man denkt RT

 

 

 

45 %

sichern ihre Daten in einer Mischung aus lokalen, Cloud- und SaaS-Lösungen.

36 %

nutzen mehrere Cloud-Anbieter gleichzeitig.

Für jede Datensicherheitslösung gibt es schon bald neue Herausforderungen. WR

 

Die letzte Verteidigungslinie während einer Krise sind die Daten-Backup- und Wiederherstellungssysteme und die damit verbundenen Prozesse. Unternehmen stellen jedoch fest, dass es nicht ausreicht, einfach nur eine Backup-Lösung zu haben.

 

 

Jeder „tut etwas“ für die Datensicherheit, aber die Ansätze sind sehr uneinheitlich. WR

 

56%

aller Unternehmen haben mindestens eine Zero-Trust-Initiative angewendet.

54%

haben Backup- und Wiederherstellungsoptionen getestet.

 

56%

haben einen Vorfallreaktionsplan aufgestellt oder überarbeitet.

52%

haben ihre Datenwiederherstellung orchestriert oder ihre Orchestrierung optimiert.

Diese Auswirkungen und Ungewissheiten nagen an unserem Unterbewusstsein, bis diese Befürchtungen …

eines Tages unverhofft

zur Realität werden.

Eine in den USA ansässige Bildungseinrichtung hat die harte Realität der Datensicherheit selbst erlebt. Anhand dieser Geschichte werden wir untersuchen, wie verbreitet ihre Erfahrung tatsächlich ist.

 

stoke

 

Die Fakten in dieser Fallstudie sind wahr, aber der tatsächliche Name der Organisation wurde anonymisiert, um Kundendaten zu schützen.

 

 

2,9

PB an logischem Speicher

64

BETB an physisch gespeicherten


stoke

Daten in zwei getrennten Umgebungen

stoke

155% Datenwachstum im gesamten Jahr 2022

 

Tag 1 bis 3

Der Angriff

Angreifer verschafften sich Zugriff auf das System der Stone University mittels einer
Log4j-
Sicherheitslücke, die bewirkte, dass der Server des Helpdesk-Ticketsystems anfällig war.
Tag1-1

Durch den Zugriff auf diesen Server gelang es den Angreifern, die Sicherheitsmaßnahmen an den Grenzen der Infrastruktur zu umgehen.

Die Angreifer setzten eine Mischung aus legitimen Tools und Prozessen ein, um illegale Zugangsdaten zu erstellen, ihren Zugriff zu erweitern, sich in der gesamten Umgebung weitere Standbeine zu schaffen und Active Directory zu kompromittieren.

Tag1-1-2

Die Cyberkriminellen bewegten sich durch die gesamte Stone University und verschafften sich Zugang zu fünf verschiedenen Rechnern in der VMware-Umgebung der Universität. Dabei sammelten sie wichtige Informationen -

ohne dass die Stone University dies bemerkte.

Was der Stone University passiert ist, ist zwar besorgniserregend, aber wenn man sich an dem orientiert, was viele andere Unternehmen im letzten Jahr erlebt haben, ist es keineswegs außergewöhnlich.

99%

der IT- und Sicherheitsverantwortlichen wurden im Jahr 2022 auf einen Cyberangriff auf ihr Unternehmen aufmerksam gemacht. Im Durchschnitt

mussten sich Verantwortliche im Jahr 2022 52-mal mit Angriffen auseinandersetzen.

61%

dieser Angriffe betrafen SaaS-Anwendungen, die Plattform/Umgebung, die am häufigsten das Ziel eines Angriffs ist.

 

Alle Arten von Umgebungen waren von böswilligen Aktivitäten betroffen, zu folgenden Anteilen: RT

 

61%

SaaS

60%

Cloud

52%

lokal

 

Nach Angaben von Expel stieg die Anzahl der bösartigen Vorfälle in den drei großen Public Clouds um: ER

Tag1-2

70%

Hinweis: Die drei genannten Public Clouds sind Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure (Azure). 1


Nachdem sich die Cyberkriminellen über die Sicherheitslücke Zugang zur Umgebung der Stone University verschafft hatten, gingen sie schnell dazu über, Anmeldedaten böswillig einzusetzen. ER

Permiso meldet, dass

100%

der Cloud-Eingriffe, die von ihnen erkannt wurden und auf die sie reagiert haben, das Ergebnis von kompromittierten Zugangsdaten waren. 2

Außerdem gewährten diese Zugangsdaten zu mehr als

90%

viel zu hohe Berechtigungen, d. h. in der Regel wurden nur 5 bis 10 % der zugewiesenen Berechtigungen tatsächlich genutzt. 3


Die meisten Unternehmen haben wenig bis gar keinen Einblick in die Nutzung ihrer IDs ... Diese werden weder überwacht noch überprüft und es ist nicht leicht zu erkennen, wenn sie kompromittiert werden. Mit dem Wachstum von API-gesteuerten Ökosystemen wie CI/CD-Pipelines, Microservices und serverlosen Architekturen werden diese geheimen Daten in rasantem Tempo weitergegeben und verbreitet, wodurch die Anzahl der kompromittierten Schlüssel, Tokens und Zertifikate drastisch ansteigt.

Ian Ahl, VP und Head of P0 Labs, Permiso

stoke

(1) https://expel.com/blog/2023-great-expeltations-report-top-six-findings/ (2) https://permiso.io/blog/s/permiso-2022-end-of-year-observations/ (3) https://permiso.io/blog/s/permiso-2022-end-of-year-observations/

Tag 4

Vorbereitung der Ransomware

 

Unternehmen wissen oft erst, dass sie angegriffen werden, wenn der Angreifer es ihnen mitteilt

 

Die noch immer unentdeckten Angreifer der Stone University bereiteten sich darauf vor, ihre Anwesenheit bekannt zu machen. Sie sorgten dafür, dass sie über mehrere Zugangspunkte zu den Systemen der Stone University verfügen, damit ...

Tag4-2

Sie verschafften sich auch Zugang zu einem alten Daten-Backup-Server, um die Reaktion der Stone University zu beobachten.

 

Ironischerweise war die Stone University zuvor zu einem anderen Backup-Anbieter und einer anderen Backup-Technologie gewechselt, hatte diesen Server aber beibehalten, obwohl er nicht mehr gebraucht wurde.

Zuletzt exfiltrierten die Cyberkriminellen acht Gigabyte (GB) an Daten aus der gesamten Stone University.

Wie häufig sind Ransomware-Ereignisse?

40% WR

40% der befragten externen Unternehmen meldeten ein erfolgreiches Ransomware-Ereignis.

11% ER

Expel berichtete, dass 11% aller bösartigen Vorfälle, auf die das SOC gestoßen ist, mit Ransomware-Aktivitäten in Zusammenhang stehen. 1

18 % ER

Mandiant meldete, dass 18% seiner Einsätze Ransomware-Ereignisse betrafen. 2

 

 

Arten von Angriffen auf Unternehmen im Jahr 2022: WR

 

59%

Datenschutzverletzung

54%

Kompromittierung von Geschäfts-E-Mails oder betrügerischer Datentransfer

41%

durch Insider ausgelöste Vorfälle

40%

Ransomware


Die Handlungsweise der Angreifer der Stone University entsprechen Mandiants Daten zu mittleren globalen Verweilzeiten von Angreifern: ER

16 TAGE

Alle Untersuchungen (Spionage, finanzieller Gewinn, unbekannter Ausgang usw.)

9 TAGE

Ransomware-Untersuchungen (18% aller Mandiant-Untersuchungen)

Die Verweildauer bei Ransomware-Untersuchungen ist in der Regel kürzer, da der Angreifer sich selbst zu erkennen gibt, indem er die Lösegeldforderung sendet oder eine Umgebung verschlüsselt. 1


(1) https://www.mandiant.com/m-trends

 

 

(1) https://expel.com/blog/2023-great-expeltations-report-top-six-findings (2) https://www.mandiant.com/m-trends

Tag 5

Aktivierung der Ransomware

 

Die Angreifer der Stone University begannen am Sonntagabend gegen 21 Uhr mit der Lösegeldphase ihres Angriffs.

 

 

Sie verwendeten
AvosLocker,

AvosLocker,

„AvosLocker“ bezeichnet sowohl eine Malware-Familie als auch eine Bedrohungsgruppe. Es handelt sich hierbei um „Ransomware-as-a-Service“ als „Geschäftsmodell“, bei dem Partner einen Service zum Installieren von Ransomware und zum Fordern von Lösegeld abonnieren. Im Fall von AvosLocker umfasst das Abonnement die direkte Abwicklung von Lösegeldverhandlungen, die Veröffentlichung exfiltrierter Daten von Opfern sowie den tatsächlichen Einsatz eines speziellen Ransomware-Tools. 1

1 CISA. „FBI and FinCEN Release Advisory on AvosLocker Ransomware | CISA.“ US-CERT, CISA, 22. März 2022 Abgerufen am 8. November 2022.

um Dateien innerhalb der VMware ESXi-Infrastruktur auf 150 VMs zu verschlüsseln, darunter auch die ersten fünf für den Angriff verwendeten VMs.

 

AvosLocker fuhr außerdem die Tools zum Verwalten der virtuellen Maschinen kurz vor dem Verschlüsseln der Dateien herunter, um zu verhindern, dass die Stone University effektiv reagieren konnte.

 

Zuletzt …

machten die Angreifer Ihre Forderung bekannt:

Ransomware schlägt in der

MITTE

der Geschichte zu, nicht am Anfang oder am Ende.

Viele Menschen glauben, dass das Verschlüsselungsereignis das Ende der Ransomware-Geschichte ist, aber das ist fast nie der Fall. So hatten die Cyberkriminellen beispielsweise tagelang unbemerkt ungehindert Zugang zu den Systemen der Stone University. Und es wird noch mehrere Tage dauern, bis die Ransomware-Geschichte der Stone University zu Ende erzählt ist.

 

Ransomware ist eine Art von Bedrohung, bei der Dateneigentümern der Zugriff auf ihre Daten unmöglich gemacht wird. Bei einem Angriff mit dem Ziel, Daten unzugänglich zu machen, können Ransomware, Wiper, Datenlöschungen über gültige Zugangsdaten und Dienstverweigerung (Denial of Service) zum Einsatz kommen. Darüber hinaus exfiltrieren Cyberkriminelle routinemäßig Daten für eine ganze Reihe von Zielen vor Verschlüsselungsvorgängen.


Im Jahr 2022 hat das Ransomware Response Team von Rubrik Dutzenden von Organisationen bei der Wiederherstellung von Daten geholfen. Am häufigsten ging es bei diesen Reaktionen um folgende Ransomware-Familien:

  • LOCKBIT2.0
  • BLACKCAT/ALPHV
  • AVOSLOCKER
  • META
  • PLAY
  • HIVE
  • SPARTA
  • BLACK BASTA
  • SPIDER
  • VICE SOCIETY

Tag 5 bis 7

Erstreaktion

 

Ob Sie einen Angriff abwehren können, hängt davon ab, wie schnell Sie reagieren können

 

Tag 6-1

Um dieses Problem zu lösen, stellten sie Daten in forensischen Umgebungen und Testumgebungen wieder her, um sie zu untersuchen und ihre nächsten Maßnahmen zu priorisieren.

Die Stone University analysierte außerdem ihre Offline-Daten-Backups, entdeckte einen mutmaßlich kompromittierten Server und band diesen Server per LiveMount zur Detailanalyse in die forensische Umgebung ein.

 

Sie fanden die Notizen der Angreifer samt ihrem Kompromittierungsplan, den kompromittierten Konten und dem Zeitrahmen. Weitere Untersuchungen ergaben sieben weitere kompromittierte Server und den ursprünglichen Kompromittierungspunkt.

Hoffnungsvoll begann die Stone University schnell, ihre Umgebung in zwei Wellen wieder aufzubauen:

Zuerst wurden die tatsächlich kompromittierten Server aus dem ersten Zugriff wiederhergestellt.

Tag6-3

Das Team der Stone University stellte die acht kompromittierten Server, die sich in fünf VMs befanden, auf einen Zeitpunkt wieder her, der einen Tag vor dem Eindringen der Angreifer lag. Dadurch gingen insgesamt sechs Tage an Daten verloren.

Als Zweites wurden die Server wiederhergestellt, die mit Ransomware verschlüsselt, aber nicht Teil der ursprünglichen Kompromittierung waren.

Tag6-4

Es verblieben 145 VMs. Für diese musste nicht so viel Aufwand betrieben werden, da sie lediglich verschlüsselt worden waren. Diese wurden aus Backups wiederhergestellt, die nur einen Tag vor der Aktivierung der Ransomware erstellt worden waren, wodurch fünf zusätzliche Tage Datenverlust auf diesen 145 VMs vermieden wurden.

Der gesamte Wiederherstellungsvorgang erforderte außerdem neue ESXi-Hosts, ein neues vCenter und einen Neuaufbau von Active Directory.

Von allen möglichen Ergebnissen war dies so ziemlich das Beste, worauf die Stone University hoffen konnte. Optimistisch über ihre Fortschritte, war die Stone University entschlossen, das Lösegeld nicht zu zahlen.

Es kann leicht passieren, dass man die erste große Hürde bei einem Verschlüsselungsereignis übersieht:

Wie kann man etwas, das verschlüsselt ist, diagnostizieren und analysieren? Ist das Zahlen des Lösegelds die Lösung? Wer sich durch das Erstellen sauberer Kopien seiner Daten auf diesen ersten Verschlüsselungsmoment vorbereitet, hat Chancen auf Erfolg. Die Stone University war vorbereitet, aber was gehört dazu, um auf diesen Moment vorbereitet zu sein?

Ist das Zahlen eines Lösegelds die Lösung? WR

46%

Externe Unternehmen, die ein Lösegeld gezahlt haben, konnten mit den von den Angreifern bereitgestellten Entschlüsselungslösungen nur begrenzte Erfolge erzielen: 46% konnten die Hälfte oder weniger ihrer Daten so wiederherstellen.

16%

Nur 16% aller externen Unternehmen konnten ihre Daten mithilfe der Entschlüsselungstools der Angreifer wiederherstellen.

 

Telemetriedaten von Rubrik offenbarten die Prävalenz von Ransomware-Vorläufern und Verschlüsselungsraten: RT

 

Weniger als 0,004 % der gesicherten Daten waren von einem Verschlüsselungsereignis betroffen

 

Erkennung von anomalem Verhalten

Die Erkennung von anomalem Verhalten ist die erste Phase in einem zweistufigen Prozess zur Identifizierung von Ransomware. Während dieses Prozesses analysiert Rubrik die Metadaten des Dateisystems auf anomales Verhalten, z. B. eine ungewöhnliche Anzahl von Dateien, die hinzugefügt, gelöscht oder repliziert werden. Bei den meisten anomalen Aktivitäten handelt es sich nicht um Ransomware, sie müssen jedoch weiter untersucht werden.

Erkennung verdächtiger Dateien

Die zweite Phase des zweistufigen Ransomware-Erkennungsprozesses ist die Erkennung verdächtiger Dateien. In dieser Phase wird eine Kombination aus künstlicher Intelligenz und maschinellem Lernen verwendet, um die in der Phase zur Erkennung von anomalem Verhalten identifizierten Dateien auf Datenentropie, Dateierweiterungen, Komprimierung, bekannte bösartige Ransomware-Aktivitäten und eine Vielzahl anderer Faktoren zu untersuchen, die auf Ransomware hindeuten.


Snapshot-Analyse

Ein Snapshot ist eine Kopie des Offline-Daten-Backups und erfolgt in der Regel in einem automatisierten, wiederkehrenden Muster oder in Ad-hoc-Aufgaben. Anhand der fertigen Snapshots können dann Analysen durchgeführt werden.

Tag6_2

20.692

Snapshots, das sind 0,07 % aller Snapshots, enthielten anomale Aktivitäten.

1.198

der anomalen Snapshots, also 6 % aller anomalen Aktivitäten, zogen ein Verschlüsselungsereignis nach sich, das die Fertigstellung des Snapshots verhinderte.

Nur bei 0,004 % alle ausgewerteten Snapshots lag ein Verschlüsselungsproblem vor.

ALLE

100 % der Verschlüsselungsvorfälle waren auf eine fehlende Multi-Faktor-Authentifizierung zurückzuführen.

100 %

Alle Verschlüsselungsvorgänge wurden zuvor als anomale Aktivitäten identifiziert.

 

Bei allen Rubrik-Kunden im Jahr 2022 RT

Tag6-10

erforderten weniger als 0,04 % aller gesicherten Daten eine weiterführende Analyse oder wiesen auf Ransomware-Aktivitäten hin.

Dies bietet eine Momentaufnahme davon, wie ein Unternehmen die Kontrolle über seine Bedrohungslage erlangen kann.

Es ist praktisch unmöglich, Ihr Unternehmen aus dem riesigen Schussfeld zu entfernen, aber es ist sehr wahrscheinlich, dass Sie große Teile Ihres Risikobereichs aus diesem Schussfeld nehmen können.

Tag 8

Zweite Lösegeldforderung

 

Verschlüsselung ist nicht die einzige (oder bevorzugte) Waffe der Angreifer

Tag8-1

der ersten Lösegeldforderung schickten die Angreifer eine zweite. Darin drohten sie damit, die 8 GB an exfiltrierten Daten an eine von AVOSLOCKER kontrollierte Leak-Site weiterzuleiten, wenn das Lösegeld nicht innerhalb von vier Tagen gezahlt wurde.

Die Angreifer versuchten auch, weitere Teile der Umgebung der Stone University zu kompromittieren, um die Reaktionsmaßnahmen zu überstehen.

 

Nach einem hoffnungsvollen Start warf diese unerwartete Wendung die Stone University zurück an den Anfang und stellte das Unternehmen vor eine weitere schwierige Entscheidung:

das Lösegeld zu zahlen oder zu erleben, wie interne Daten online veröffentlicht werden.

72 %

der nicht durch Rubrik geschützten Unternehmen meldeten, dass sie auf eine Lösegeldforderung eingegangen sind.

 

Für nicht durch Rubrik geschützte Unternehmen, die ein Lösegeld zahlten, gilt: WR

70 %

gingen wegen Verschlüsselungsereignissen auf eine Lösegeldforderung ein.

37 %

gingen aufgrund der Drohung, dass andernfalls Daten veröffentlicht werden sollten, auf eine Lösegeldforderung ein.


Von Palo Alto Networks Unit 42 Incident Responses im Jahr 2022 beobachtete Lösegeldzahlungen: ER

Höchste Lösegeldforderung

Höchste Lösegeldforderung

Höchstes gezahltes Lösegeld

Höchstes gezahltes Lösegeld 1

Tag 8 bis 11

Angepasste Reaktion

 

 

 

Datentransparenz schafft Entscheidungsmöglichkeiten

 

Die Stone University setzte auf drei verschiedene Maßnahmen, um auf die Lösegeldforderung zu reagieren.

 

Tag9-1 Zunächst wurden Erkennungs- und Reaktionsmaßnahmen durchgeführt, um nachfolgende Angriffsversuche zu erkennen und dagegen anzugehen. Dazu mussten mehrere Server ausgetauscht, mehrere Firewalls ersetzt und andere Absicherungsmaßnahmen ergriffen werden.

Tag9-2 Zweitens wurde der Einsatz zur Datenwiederherstellung fortgesetzt, indem Teile der wiederhergestellten Umgebungen getestet und diese Teile dann in die Produktionsumgebung übernommen wurden.

Tag9-3 Drittens begann die Stone University damit, abzuschätzen, welche Auswirkungen es hätte, sollte der Angreifer die gestohlenen Daten online stellen.

 


 

Aber …

die Stone University konnte die Bedrohung durch das Datenleck in ihrer Produktionsumgebung aufgrund von anhaltenden Verschlüsselungsproblemen nicht bestimmen und auch nicht überprüfen, ob der Angreifer tatsächlich 8 GB an Daten gestohlen hatte oder welche Daten gestohlen wurden.

 


 

Also …

Stattdessen legte man den Fokus bei der Erkennung von Datenauswirkungen auf das letzte Daten-Backup.

 

Die gute Nachricht

Die Stone University fand innerhalb von 24 Stunden Antworten und hatte nun drei Tage Zeit, fundierte Entscheidungen zu treffen.

Die schlechte Nachricht

Die Angreifer hatten 8 GB an Daten mit mehr als 9 Millionen sensiblen Datensätzen von 2013 bis heute gestohlen.

 

Tag9-4

 

Die Veröffentlichung ihrer sensiblen Daten wäre zwar ein schwerer Schlag für die Stone University, aber dafür war man um eine bittere Erkenntnis reicher: Es gibt keine Garantie dafür, dass keine sensiblen Daten veröffentlicht werden, selbst wenn das Lösegeld gezahlt wird.

 

 

Stattdessen nutzte die Stone University die drei Tage, um die betroffenen Personen und Organisationen proaktiv zu informieren.

 

Bis die Daten veröffentlicht wurden, hatte die Stone University alle schweren, aber notwendigen und wichtigen Reaktionsmaßnahmen ergriffen und …

die Regulierungs- und Compliance-Organisationen benachrichtigt

die betroffenen Personen kontaktiert

den Fokus auf langfristige Verbesserungen und andere erforderliche Datenleck-Maßnahmen verlagert

 

Schnell wechselnde und verstreute Daten stellen ein echtes Risiko für Unternehmen dar. RT

 

Ein typisches Unternehmen besitzt

Dateien mit sensiblen Daten

und

sensible Datensätze insgesamt

 

Dateien und sensible Datensätze: Dateien enthalten Datensätze. Manche dieser Datensätze können sensibel sein. So kann beispielsweise eine Tabellenkalkulationsdatei Hunderte von sensiblen Datensätzen enthalten, während andere Dateien möglicherweise keine sensiblen Daten enthalten.

Jedes globale Unternehmen verfügt nicht nur über eine riesige Menge an Daten, sondern einige dieser Daten würden enormen Schaden anrichten, wenn sie plötzlich nicht mehr zur Verfügung stünden oder kompromittiert würden.

 

Ein Beispiel dafür sind sensible Daten. Welche Daten als sensibel gelten, hängt von verschiedenen Industriestandards oder -vorschriften ab, z. B. PII, HIPAA, DSGVO und CPAA. 1234


Bei der Bewertung der Auswirkungen von Daten auf Verbraucher sowie Unternehmen gibt es zahlreiche Herausforderungen. Finanzielle Sanktionen für sensible Daten sind eine Option.567 Hier ein paar Beispiele:

 

DSGVO

Geldstrafe für die Offenlegung sensibler Daten: Bis zu 20 Mio. Euro oder 4% des weltweiten Unternehmensumsatzes bei schweren Verstößen, je nachdem, welcher Betrag höher ist.

In einer typischen Umgebung würde eine Geldstrafe von weniger als zwei Euro pro Datensatz reichen, um auf 20 Mio. Euro zu kommen.

Tag9-8

 

HIPAA

Geldstrafe für die Preisgabe sensibler Daten: 50 bis 50.000 USD pro Verstoß, mit einem Höchstbetrag von 1,5 Mio. USD.

Wenn man nur die typische Datei-Durchschnittsanzahl heranzieht, würde die Gesamtsumme den Höchstbetrag von 1,5 Mio. USD ohne Weiteres übersteigen und bei der niedrigsten Geldstrafe von 50 USD insgesamt 28 Mio. USD betragen.

CPRA

Strafe für die Offenlegung sensibler Daten: Bis zu 2.500 USD pro Verstoß oder bis zu 7.500 USD für jeden vorsätzlichen Verstoß. Die Strafsumme ist nach oben offen.

Schon die Dateianzahl eines typischen Unternehmens würde 1,1 Mrd. USD an Geldbußen nach sich ziehen.

 


 

(1) https://gdpr-info.eu/art-4-gdpr/ (2) https://www.cdc.gov/phlp/publications/topic/hipaa.html (3) https://www.dol.gov/general/ppii (4) https://oag.ca.gov/privacy/ccpa#:~:text=The%20right%20to%20limit%20the,personal%20information%20collected%20about%20them. (5) https://gdpr-info.eu/issues/fines-penalties/#:~:text=83(5)%20GDPR%2C%20the,fiscal%20year%2C%20whichever%20is%20higher. (6) https://resourcehub.bakermckenzie.com/en/resources/data-privacy-security/north-america/united-states/topics/penalties-for-non-compliance (7) https://cppa.ca.gov/

 

Ein typisches Unternehmen verfügt über genügend sensible Daten, um die

MAXIMALE

Geldstrafe zahlen zu müssen

 

Jeder Angriff endet irgendwann. Allerdings sollte man sich dann nicht zurücklehnen. Stellen wir uns stattdessen vor, dass wir von unserem Tauchgang in die Tiefe an die Meeresoberfläche zurückgekehrt sind.

Was sollten wir aus diesem Fall lernen? Was werden wir in Zukunft anders machen?

Angriffe haben Auswirkungen auf Unternehmen und Menschen

 

Diese Angriffe haben noch lange nach Abschluss der forensischen Untersuchungen und IT-Maßnahmen Auswirkungen auf unsere Unternehmen und auf Menschen. Sie bewirken, dass wir unsere eigene Fähigkeit anzweifeln, im nächsten Jahr richtig zu agieren. WR

 

 

39%

Mehr als ein Drittel der Führungskräfte ist der Ansicht, dass der Vorstand oder die Führungsetage wenig bis gar kein Vertrauen in die Fähigkeit des eigenen Unternehmens hat, kritische Daten und Geschäftsanwendungen im Falle eines Cyberangriffs 2023 wiederherzustellen.

 

der externen Unternehmen werden 2023 wahrscheinlich einer Lösegeldforderung nachgeben

 

 

93% der Unternehmen, die im Jahr 2022 Opfer eines Cyberangriffs wurden, hatten mit negativen Auswirkungen zu kämpfen:

 

49%

Verlust von Kunden

45%

Umsatzeinbußen

44%

negative Schlagzeilen und/oder Rufschädigung

42%

erzwungene Änderungen in der Führungsetage

5%

negative Auswirkungen auf den Aktienkurs


Diese Angriffe belasten Führungskräfte. 98 % der Befragten berichteten, dass Cyberangriffe im vergangenen Jahr erhebliche emotionale und/oder psychologische Auswirkungen auf sie hatten:

 

53%

Vermehrte Angst in Bezug auf die eigenen Aufgaben

46%

Sorgen um den Arbeitsplatz

 

43%

Vertrauensverlust unter Kollegen und Teammitgliedern

41%

Schlaflosigkeit oder Schlafstörungen

Nachwirkungen kommen zu bereits vor dem Angriff bestehenden Problemen hinzu

 

Angriffe sind keine isolierten Ereignisse. Herausforderungen gab es schon vor dem Angriff, und zu diesen bereits bestehenden Problemen kommen nun vorhersehbare Nachwirkungen des Angriffs hinzu.

 

47%

Fast die Hälfte (47 %) der IT- und Sicherheitsverantwortlichen ist der Meinung, dass ihr Cybersicherheitsbudget für 2023 nicht genug notwendige Investitionen ermöglicht.

27%

27% derselben Führungskräfte gehen davon aus, dass ihre Budgets für IT und Cybersicherheit im Jahr 2023 geringer ausfallen werden.

4%

IT- und Sicherheitsverantwortliche müssen daran arbeiten, ihre Teams richtig aufzustellen. Nur 4 % geben an, dass es keine Faktoren gibt, die die Abstimmung von IT- und Sicherheitsteams einschränken und auf die sie 2023 achten müssen.

 

Die fünf wichtigsten Probleme, die zu einer mangelnden Abstimmung zwischen IT- und Sicherheitsteams beim Schutz ihrer Unternehmen vor Cyberangriffen führen, sind: WR

 

52% Verwendung unterschiedlicher Tools

51% Unterschiede in der Transparenz

50% Kollidierende Prioritäten

47% Fehlende formale Planung bzw. fehlende formale Prozesse

45% Schlecht abgestimmte Führungsstrukturen

Angriffe sind auch eine Chance

 

Es gibt jedoch Licht in der Dunkelheit: Ihr Unternehmen kann die unvermeidlichen Bedrohungen überstehen und gestärkt daraus hervorgehen. Gerade diese Angriffe bieten Gelegenheiten für Verbesserungen und Veränderungen. WR

 

99%

der Unternehmen, die 2022 Opfer eines Cyberangriffs wurden, haben neue Maßnahmen ergriffen:

 

48 %

48% sind zu einem anderen Anbieter gewechselt oder andere Partnerschaften eingegangen, um bessere Ergebnisse zu erzielen

54%

54% investieren jetzt mehr in neue Technologien oder Dienstleistungen

43%

43% haben zusätzliche Mitarbeiter eingestellt

Trotz all dieser Herausforderungen wird der Sicherheitsstatus von Unternehmen insgesamt besser RT

 

Es gibt also nicht nur schlechte Neuigkeiten und Veränderungen gehen nicht immer nur auf Cyberangriffe zurück. Wir können Erfolge erzielen, wenn wir bereit sind, die Chancen zu nutzen, die sich aus Krisen sowie aus systematischen Bemühungen um Resilienz ergeben.

 

 

Rubrik Zero Labs hat beobachtet, dass Unternehmen im Laufe des Jahres 2022 Maßnahmen zur Verbesserung der Lage ergriffen haben, und erwartet, dass sich dieser Trend 2023 fortsetzen wird. Diese Verbesserung ist in allen Branchen und Regionen erkennbar.

 

16% RT

Diese Veränderungen haben bewirkt, dass typische Unternehmen ihren Sicherheitsstatus im Jahr 2022 um 16 % verbessert haben.

97% ER

Expel merkt an, dass 97% der Ransomware-Angriffe gestoppt wurden, bevor die Ransomware aktiviert wurde. 1

 

 

Abschluss-1

11% ER

aller von Expel im Jahr 2022 beobachteten Vorfälle hätten eine Aktivierung von Ransomware zur Folge haben können.

97% ER

dieser Vorfälle konnten gestoppt werden, bevor die Ransomware aktiviert wurde. Wenn Verteidiger den Angriffszyklus der Ransomware-Akteure erkennen und darauf reagieren können, besteht eine große Chance, ihre bösartigen Ziele zu vereiteln.

 


 

Mit Blick auf die Zukunft muss immer bedacht werden, dass Sicherheit nicht in einem Vakuum existiert. Wenn Unternehmen versuchen, mit weniger Mitteln mehr zu erreichen, ist es oft dringend nötig, sich auf skalierbare, effiziente Technologien wie eine Cloud-Infrastruktur zu stützen. Eine schnelle Einführung, insbesondere für Unternehmen, die nicht von Anfang an Cloud-basiert sind, ist jedoch immer mit einem gewissen Risiko verbunden. Da Unternehmen weiterhin stetig neue Technologien einsetzen, um mit den sich wandelnden Märkten Schritt zu halten, können Sicherheitsteams mit einer Zunahme von Sicherheitsvorfällen rechnen, die in der Regel auf leicht zu übersehende, leicht auszunutzende Fehlkonfigurationen oder ungeschützte Zugangsschlüssel zurückzuführen sind."

Jonathan Hencinski, VP, Security Operations, Expel

Jonathan

 


 

Rubrik bietet seinen Kunden die Berechnung eines kumulativen Data Security Score an und erkennt einen kontinuierlichen, positiven Trend bei der organisatorischen Verbesserung. Der Data Security Score wird alle 24 Stunden basierend auf den folgenden Kategorien berechnet:

 

1

Plattformsicherheit: Misst die Wirksamkeit der Sicherheitsmaßnahmen für die Infrastruktur, in der Daten gespeichert sind, und umfasst Themen wie Benutzerkontrollen, Administrator-Authentifizierung, Prüfprotokolle usw.

2

Datenschutz und Wiederherstellung: Analysiert, wie gut die Backup-Daten gesichert sind, ob eine saubere Kopie des letzten Backups verfügbar ist und andere damit zusammenhängende Faktoren.

3

Ransomware-Untersuchung: Bestimmt die Qualität und Häufigkeit der Überwachung im Hinblick auf Ransomware-Bedrohungen und auch, ob diese Daten nach einem Verschlüsselungsereignis wiederhergestellt werden können.

4

Erkennung sensibler Daten: Misst, wie gut sensible Daten geschützt werden, wie gut die Zugriffskontrollen für diese Daten funktionieren und ob sensible Daten für die Wiederherstellung priorisiert werden.

5

Die Punktzahlen (Scores) sind wie folgt zu lesen:

  • 0 bis 50: Mangelhaft
  • 51 bis 75: Es sind Verbesserungen nötig
  • 76 bis 90: Zufriedenstellend
  • 91+: Ausgezeichnet

 


 

Typischerweise stieg dieser Wert für globale Unternehmen im Jahr 2022 von 51,2 auf 59,47, was einer Steigerung um 16% entspricht. RT

 

59,47 Durchschnittswerte bei der Gesamtbewertung

16,2 % Steigerungsrate im Jahr 2022: 16,2 %

 

Je mehr Organisationen in Mitleidenschaft gezogen werden und je größer die Auswirkungen sind, desto mehr stehen wir als digitale Bürger einander gegenüber in der Verantwortung. Wir können bessere Produkte entwickeln, uns für bewährte Verfahren einsetzen und besser zusammenarbeiten. Je stärker wir miteinander im Austausch stehen, desto bessere Erkenntnisse erhalten wir und desto mehr wissen wir.


 

Daher möchte Rubrik Zero Labs mit derselben Aussage enden, mit der wir begonnen haben: Wir danken den vier Organisationen, die uns erlaubt haben, ihre Daten zu nutzen. Wir danken Wakefield Research für die geleistete Arbeit und Shaped By für deren Einsatz beim Zusammenstellen dieses Berichts. Außerdem möchten wir die Beiträge der folgenden Rubrik-Mitarbeiter mit Dank für ihre direkte Arbeit an diesem Projekt hervorheben: Amanda O'Callaghan, Ajay Kumar Gaddam, Sham Reddy, Kumar Subramanian, Prasath Mani, Linda Nguyen, Lynda Hall, Kelsey Shively, Kelly Cooper sowie die Kreativ- und Entwicklungsteams von Rubrik.

 

Rubrik Zero Labs abonnieren

Um weitere Veröffentlichungen von Rubrik Zero Labs zu lesen, bitte unten anmelden