Twitter, Facebook, Evernote: Sie alle waren im vergangenen Jahr Opfer von Hacker-Angriffen. Die Tech-Unternehmen sind bei weitem nicht die einzigen. Laut einer Studie der Sicherheitsabteilung des amerikanischen Telekomriesen Verizon war 2013 das Jahr, in dem Datendiebe am aktivsten waren. Wie gravierend die Situation wirklich ist, erklärt uns Candid Wüest, Sicherheitsexperte von Symantec Schweiz (Entwickler des Norton-Anti-Virenschutzes).
War 2013 wirklich das Jahr mit den meisten Angriffen?
Candid Wüest: Das Jahr 2013 war das Jahr der grossen Data Breaches (Datendiebstähle, Anm. d. Red.). Wir protokollierten 62 Prozent mehr Data Breaches als in 2012, darunter waren acht Vorfälle, bei denen mehr als zehn Millionen Identitäten in die falschen Hände gerieten. Auch andere Attacken sind angestiegen. So blockte Symantec in 2013 pro Tag 568‘700 Attacken von infizierten Webseiten, sogenannte Driveby Downloads. Das ist eine Zunahme von 23 Prozent gegenüber dem Vorjahr.
Wie stark ist die Schweiz im Vergleich zum Ausland betroffen?
Die Schweiz hat sich in allen Bereichen gegenüber dem Vorjahr verbessert, es gab zum Beispiel weniger Malware-Vorfälle. Trotzdem gibt es auch bei uns Fälle von Data Breaches, Industriespionage oder geplünderten Online-Banking-Konten. Weil die Schweiz ein kleineres Land ist, gibt es quantitativ weniger Vorfälle. Der internationale Vergleich ist schwierig, da einzelne Branchen wie beispielsweise der Finanzsektor oder die Pharmazie sehr viel für ihren Schutz tun, andere Bereiche hingegen eher unter dem Durchschnitt liegen.
Warum nimmt die Zahl der Angriffe scheinbar ständig zu?
Es gibt mehrere mögliche Gründe hierfür. Zum einen verlagert sich immer mehr in das Internet. Es gibt also mehr Daten, die potenziell an- beziehungsweise abgegriffen werden können. Ein weiterer Grund ist die grosse Verbreitung von Programmen, die Attacken automatisieren: Diese ermöglichen es, auch mit wenig Kenntnissen unauthorisiert an Daten heranzukommen. Und zu guter Letzt werden solche Vorfälle heutzutage wohl häufiger entdeckt und gemeldet als früher. Je nach Branche und Land ist man verpflichtet, die betroffenen Kunden zu informieren – dadurch kommen letztlich mehr Attacken ans Licht.
In der Verizon-Studie heisst es, dass bei den über 1300 Einbrüchen meistens eine von neun Methoden eingesetzt wurde? Warum werden immer die gleichen verwendet?
Die gleichen Methoden werden häufig angewendet, weil sich diese bewährt haben und gut funktionieren. Es gibt nur eine beschränkte Anzahl von Angriffsmethoden, somit ist es nicht erstaunlich, dass SQL Injection, Buffer Overflows in Applikationen oder schwache Passwörter immer wieder ausgenutzt werden.
Kann man sich dagegen nicht wehren?
Gegen die meisten, weit verbreiteten Angriffe kann man sich schützen. Der Schutz zum Beispiel vor SQL-Injection-Attacken ist seit Jahren bekannt, trotzdem wird er leider häufig vernachlässigt.
Die meisten Vorfälle hätten mit dem richtigen Einsatz von aktuellen Schutzverfahren verhindert werden können.
Gibt es viele Insider-Jobs?
Häufig werden Insider-Jobs gar nie aufgedeckt. Daher ist es schwierig, eine genau Statistik zu führen. Unsere Untersuchung hat ergeben, dass im Jahr 2013 circa sechs Prozent der Data Breaches auf Insider-Jobs zurückzuführen sind. Viel häufiger sind aber immer noch Vorfälle wie verlorene oder gestohlene Computer (27 Prozent) und Konfigurationsfehler (29 Prozent).
Wieso spürt man trotz der steigenden Vorfälle praktisch nichts? Kaum jemandem wird wirklich Geld entwendet oder die Identität geklaut, scheint es.
Der Bund berichtet immer wieder über erfolgreiche Angriffe in der Schweiz. Ein Teil der Attacken, wie zum Beispiel Fälle von Industriespionage, betreffen den Endkunden meist nicht direkt. In der Regel greifen interne Fraud-Prevention-Regeln bei den Finanzinstituten, bevor ein Schaden entsteht – oder der Schaden wird übernommen. Geklaute Passwörter für Online-E-Mail-Konten, die für Spam-Mails verwendet werden, fallen den meisten Benutzern nicht auf. Es gibt aber andere Arten von Angriffen wie die Cryptolocker-Malware, die lokale Daten verschlüsselt und (vorgeblich) nur gegen Bezahlung wieder freigibt. In der Regel bleiben die Daten aber auch nach der Bezahlung verschlüsselt. Von solchen Angriffen sind natürlich auch die Benutzer in der Schweiz betroffen.
Heartbleed gilt als einer der schlimmsten Sicherheitslücken überhaupt, aber selbst davon spürt man nichts. Wie entsteht diese Diskrepanz zwischen Meldungen über Datenklau und tatsächlicher
Betroffenheit?
Es ist immer schwer vorauszusagen, wofür die gestohlenen Daten missbraucht werden. Es gibt viele mögliche Szenarien, aber das bedeutet nicht, dass sie auch alle eintreffen. Man sollte hier zwischen Endanwendern und Unternehmen unterscheiden: Reagiert das betroffene Unternehmen schnell und korrekt, können die Daten möglicherweise nicht mehr missbraucht werden. Einige Unternehmen verwenden zusätzlich eine Zwei-Faktor-Authentifizierung, durch welche die gestohlenen Passwörter weniger wertvoll sind. Wie stark Endanwender von einem Datenverlust betroffen sind, ist schwer zu sagen. Meistens wird dies wohl keine direkten negativen Auswirkungen haben.
Für Unternehmen aber kann ein Datenverlust, der von der Konkurrenz ausgenutzt wird, massive und langfristige Auswirkungen haben.
Hierzu haben wir eine Studie in Auftrag gegeben, leider ohne Schweizer Daten, welche die Kosten eines Datenvorfalls analysiert.
Welches war der grösste Datendiebstahl vom letzten Jahr international und welcher der grösste in der Schweiz?
Der Grösste Vorfall war Adobe DataBreach mit 152 Mio. Datensätzen (http://datalossdb.org/). Für die Schweiz weiss ich leider nicht, was der grösste Vorfall war.