Gesundheitseinrichtungen geraten im Branchenvergleich verstärkt ins Visier von Cyberkriminellen. Laut einem neuen Report entfallen 16 Prozent der Warnmeldungen der zehn am stärksten von Cyberangriffen betroffenen Branchen auf das Gesundheitswesen. Lediglich das produzierende Gewerbe ist noch stärker betroffen. Kliniken, Krankenhäuser und weitere Gesundheitseinrichtungen sind aufgrund der Speicherung sensibler Daten, häufig veralteter IT-Infrastrukturen, und limitierten Sicherheitsressourcen sowie als Teil kritischer Infrastruktur attraktive Ziele für Cyberattacken. Angreifer erwarten hohe Gewinne, weil die Einrichtungen dazu gezwungen sind, auf Lösegeldforderungen einzugehen, um den Betrieb aufrechtzuerhalten. Mehr als 250 Billionen Sicherheitsereignisse von mehr als 6.500 Unternehmen wurden ausgewertet. Der Report bietet tiefe Einblicke in die moderne Bedrohungslandschaft und teilt Best Practices. So können Unternehmen von der Expertise und Erfahrung eines der weltweit größten Security Operations Center (SOC) profitieren und bessere Sicherheitsergebnisse erzielen.
Hacker haben keinen Feierabend
Die Zahl der Cyberangriffe ist ungebrochen hoch und das, obwohl immer mehr Sicherheitstools eingesetzt werden – leider meist ohne ganzheitliche Präventions- und Detektionsstrategie. Angesichts der Bedrohungslage des letzten Jahres – mit großflächigen IT-Ausfällen, Tausenden neuen kritischen Schwachstellen, maliziösen Aktivitäten staatlicher Bedrohungsakteure und verstärktem KI-Einsatz der Angreifer – stehen viele Unternehmen vor der Herausforderung, ihr Cyber-Risiko effektiv zu managen.
Die Auswertung des Arctic Wolf Security Operations Report 2024 ergab, dass fast die Hälfte aller Sicherheitsvorfälle (45 %) außerhalb der traditionellen Arbeitszeiten zwischen 20 Uhr und 8 Uhr stattfinden. Besonders ist das der Fall bei der finalen Ausführung der Verschlüsselung bei Ransomware. Außerdem wurden bis zu 20 Prozent der Sicherheitsalerts am Wochenende zwischen Freitag, 20 Uhr und Montag, 8 Uhr erfasst. Cyberkriminelle scheinen ganz gezielt die Zeiten zu nutzen, in denen Sicherheitsteams nicht im Einsatz oder dünn besetzt sind, um Schaden anzurichten. In den ersten Angriffsphasen hingegen verstecken sich Angreifer oftmals in den Log-Daten legitimer User. So können sie das Risiko, entdeckt zu werden, verringern, ihre Verweildauer verlängern und die eingeschränkte Reaktionsfähigkeit der Unternehmen auszunutzen. Die breite Einführung von cloudbasierten Anwendungen lässt Unternehmen zusätzlich rund um die Uhr zu einem attraktiven Ziel werden.
„Die Ergebnisse des Reports verdeutlichen die Wichtigkeit einer 24x7x365-Sicherheitsüberwachung“, kommentiert Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Um Systeme zu infiltrieren und sich unbemerkt auszubreiten, bevorzugen Hacker Zeiten mit möglichst vielen aktiven Nutzern. So gelingt es ihnen eher, unter dem Radar zu fliegen. Vor allem dann ist es daher für Sicherheitsverantwortliche entscheidend, jeden eingehenden Alert gewissenhaft zu prüfen, auch wenn das für sie eine Sisyphusarbeit bedeutet. Leiten die Angreifer die eigentliche Schadensausführung ein, ist es für sie von Vorteil, wenn die IT-Teams, aufgrund einer ausgedünnten Besetzung – z.B. nachts, abends, während des Wochenendes – nicht schnell eingreifen können. Hacker halten sich nicht an gesetzliche Arbeitszeiten. Gleichzeitig ist für viele Unternehmen ein Rund-um-die-Uhr-Monitoring aufgrund von knappen personellen Ressourcen und aus finanziellen Gründen keine Option. Managed Security Services und die Zusammenarbeit mit einem externen Partner können helfen, diese zeitlich kritische Lücke zu schließen.“
Angreifer zielen auf zentrale Geschäftsanwendungen
Die Auswertungen zeigen die Softwareanwendungen, die im Auswertungszeitraum von Angreifern am häufigsten ausgenutzt wurden: Windows 10 OS (ungepatchte oder fehlende sicherheitsrelevante Updates), ;MS Outlook (2016 und 2013), Cisco IOS XE WebUI, Office 365 (2016 Click-to-Run), Apache ActiveMQ. Bei dieser Liste handelt es sich nicht um Nischenanwendungen oder Beispiele von Schatten-IT, sondern um kritische Geschäftsanwendungen, die in vielen modernen Unternehmen tagtäglich zum Einsatz kommen.
Identity-Telemetrie ist entscheidend für die Bedrohungserkennung
Telemetriedaten von Tools für das Identitäts- und Zugriffsmanagement (IAM) führten im Auswertungszeitraum die Liste der Bedrohungen und Indicators of Compromise (IOC) an, die die meisten Warnmeldungen auslösten. Darunter waren z. B. Login-Versuche aus gesperrten Ländern. An zweiter und dritter Stelle lagen ungewöhnliche Änderungen der Firewall und hinzugefügte Regeln zur E-Mail-Weiterleitung. Diese Liste ist branchenübergreifend konsistent, was zeigt, dass verschiedene Angriffe und Angreifer auf dieselben „Bausteine“ zurückgreifen. Eine Ausnahme bildet der Bankensektor, bei dem „ungewöhnliche Änderungen der Firewall“ auf Platz eins liegen. Die Auswertung unterstreicht die entscheidende Rolle von IAM im Rahmen einer starken Sicherheitsstrategie und als Element von Zero-Trust-Initiativen.
Vielzahl an Sicherheitstool überfordert IT-Teams
Security-Anwendungen unterstützen dabei, Angriffe schnellstmöglich zu erkennen und mögliche Schäden und Kosten zu begrenzen. In der Praxis sind IT-Teams jedoch häufig von der Vielzahl der Warnmeldungen der unterschiedlichen Sicherheitslösungen überfordert.
Den kompletten Security Operations Report 2024 finden Sie hier zum Download.