Autor: Firma Sophos Technology

6 Methoden, die Security-Profis kennen sollten, um Daten aus verschlüsselten, virtuellen Festplatten zu extrahieren

6 Methoden, die Security-Profis kennen sollten, um Daten aus verschlüsselten, virtuellen Festplatten zu extrahieren

Im Falle einer Datenverschlüsselung durch Ransomware müssen „Incident Responder“ und Task-Forces schnell und effizient vorgehen, um möglichst alle Daten beispielsweise von einer verschlüsselten virtuellen Maschine zu extrahieren. Wie wichtig das Fachwissen und die richtige Vorgehensweise sind, unterstreicht einmal mehr der aktuelle Sophos-Report State of Ransomware 2024: 58 Prozent der deutschen Unternehmen waren im letzten Jahr von Ransomware betroffen und 79 Prozent der Angriffe führten dazu, dass Daten verschlüsselt wurden.

Incident Responder sollten daher über verschiedene Techniken und Tools verfügen, um die Daten aus einer verschlüsselten virtuellen Festplatte extrahieren zu können. Die Expert:innen von Sophos empfehlen sechs potenziell erfolgversprechende Tools zur Wiederherstellung von Daten, die mit Standardmethoden nicht wiederhergestellt werden können. Zwar ist ein Erfolg nicht garantiert, es gibt jedoch eine Vielzahl an positiven Erfahrungen beim Einsatz dieser Methoden, beispielsweise im Zusammenhang mit LockBit, Faust Phobos, Rhysida oder Akira.

Bitte keine Rettungsversuche mit Originaldaten

Damit eine prekäre Situation nicht zur Katastrophe wird, gilt grundsätzlich und unabhängig von den Extraktionsmethoden, alle Wiederherstellungsversuche mit Arbeitskopien und nicht mit den Originalen durchzuführen. Nur so ist garantiert, dass eine fehlgeschlagene Rettungsmethode, welche die Daten und VM-Systeme vielleicht zusätzlich geschädigt hat, Versuche mit anderen erfolgversprechenden Tools unmöglich macht.

6 bewährte Methoden

Es gibt eine Vielzahl an Methoden, die bei der Extraktion von Daten aus einer verschlüsselten Windows-VM eingesetzt werden können. Einige dieser Techniken sind sogar für Wiederherstellungsversuche unter Linux anwendbar. Sechs dieser Methoden haben sich besonders bewährt:

Methode 1: Einfaches „mounten“ des Laufwerks

Diese Methode klingt einfach, funktioniert vielfach und spart ungeheuer viel Zeit. Wenn es nicht klappt, sind nur wenige Minuten verloren. Wenn die Methode jedoch erfolgreich ist und das Laufwerk gemountet, also fester Bestandteil des Betriebssystems geworden ist, kann auf die Datei(en) zugegriffen werden. Da lediglich die VM gemounted wird, sollte der Endpoint-Schutz keine bösartigen Dateien erkennen oder entfernen, um weitere forensische Erkenntnisse daraus zu gewinnen.

Methode 2: RecuperaBit

RecuperaBit ist ein automatisiertes Tool, das alle NTFS-Partitionen wiederherstellen kann, die  in der verschlüsselten VM gefunden werden. Wenn es eine NTFS-Partition findet, erstellt es die Ordnerstruktur dieser Partition neu. Bei einem Erfolg können die Expert:innen dann auf die Datei(en) zugreifen und sie wie gewünscht aus der neu erstellten Verzeichnis-/ Ordnerstruktur kopieren und einfügen. RecuperaBit wird wahrscheinlich den Endpunktschutz nicht auslösen, sofern ransom.exe oder andere bösartige Dateien vorhanden sind. Daher sollte RecuperaBit beispielsweise in einer Sandbox ausgeführt werden.

Methode 3: bulk_extractor

Der automatisierte bulk_extractor ist ein Tool für Windows- oder Linux-Umgebungen. Es kann sowohl Systemdateien wie Windows-Ereignisprotokolle (.EVTX) als auch Mediendateien wiederherstellen. Wie bei RecuperaBit wird bulk_extractor wahrscheinlich Erkennungen des Endpunktschutzes deaktivieren, wenn ransom.exe oder andere bösartige Dateien vorhanden sind. Daher sollte der Extraktions-Versuch mit bulk_extractor ebenfalls in einer Sandbox durchgeführt werden.

Methode 4: EVTXtract

Dieses automatisierte Linux-Tool durchsucht einen Datenblock beziehungsweise eine verschlüsselte VM nach vollständigen oder teilweisen .evtx-Protokolldateien. Wenn es solche findet, werden diese in ihre ursprüngliche Struktur, das heißt XML, zurückverwandelt. XML-Dateien sind bekanntermaßen schwierig zu bearbeiten. In diesem Fall besteht die Datei aus fehlerhaft eingebetteten EVTX-Fragmenten, so dass die Ausgabe etwas unhandlich sein kann.

Methode 5: Scalpel, Foremost und weitere Tools zur Dateiwiederherstellung

Zu den Tools, die für die Wiederherstellung anderer Dateitypen entwickelt wurden, gehören Scalpel und Foremost. Obwohl es sich bei beiden um ältere Technologien handelt, hat das Sophos IR-Team bei seinen Untersuchungen gute Ergebnisse mit diesen beiden Tools erzielt. Beide stellen hauptsächlich Medien- und Dokumentdateien wieder her und bei beiden kann die Konfiguration geändert werden, um sich auf bestimmte Dateitypen zu konzentrieren.

Methode 6: Manuelles Zerlegen der NTFS-Partition

Im Gegensatz zu den beschriebenen Tools und Techniken erfordert das manuelle Carving eine gründliche Vorbereitung und ein genaueres Verständnis der verfügbaren Optionen. Für das korrekte manuelle Carving müssen die Ermittler:innen drei Switches auf dd setzen – bs (Bytes pro Sektor), skip (der Offset-Wert des NTFS-Sektors, den Sie neu erstellen wollen) und count – bevor das Dienstprogramm ausgeführt wird. Schlussendlich wird die neue, ge-carvte Datei gemounted, um das wiederherzustellen, was benötigt wird.

Schlussfolgerung

Verschlüsselte Daten oder VMs sind eine große Bedrohung für Unternehmen und deren Business. Daher ist es wichtig, die Handlungsfähigkeit des Unternehmens so schnell und umfassend wie möglich wiederherzustellen, wobei die vorgestellten Techniken helfen können.

Der beste Weg zur Wiederherstellung von verschlüsselten Daten besteht allerdings darin, eine Kopie von einem sauberen, nicht betroffenen Backup zur Verfügung zu haben. Und noch wichtiger ist es, durch Prävention mit wirkungsvoller Security einen solchen Fall möglichst zu verhindern.

Den detaillierten Artikel von den Sophos-Expert:innen Lee Kirkpatrick, Paul Jacobs, Sai Lakshmi Ghanasyam, Antoni Fertner, Andy French über die sechs Methoden mit weiteren technischen Informationen finden Sie unter: https://news.sophos.com/en-us/2024/05/13/extract-data-from-encrypted-vms/

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Sophos Management Studie: Robotik, KI oder Firmenwagen – wo Unternehmensführungen in Zukunft Cybergefahren sehen

Sophos Management Studie: Robotik, KI oder Firmenwagen – wo Unternehmensführungen in Zukunft Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu schützen. Die Österreicher halten Smart-Building-Technologien für anfällig. In Deutschland erachtet man den Firmenwagen als wichtig und ist bei Zukunftstechnologien eher skeptisch.

Sophos stellt heute weitere Ergebnisse seiner großangelegten Management-Studie „Chef, wie hältst du es mit der Cybersicherheit“ für Deutschland, Österreich und die Schweiz vor. Ein Teilbereich der Analyse beleuchtet die Frage, wo im Unternehmen C-Level-Verantwortliche künftig verstärkten Bedarf an IT-Sicherheitsmaßnahmen sehen. Befragt wurden Chefinnen und Chefs in Deutschland, Österreich und der Schweiz, die Erhebung richtete sich ausdrücklich nicht an IT-Personal. Die Ergebnisse zeigen, dass in den drei Ländern teilweise deutlich unterschiedliche Einschätzungen bestehen.

Welche Bereiche im Unternehmen sind wegen sensibler Daten besonders anfällig?

Netzwerke, Clouds, Smartphones, Laptops sind als Standards mittlerweile gut im Unternehmen geschützt. Sophos wollte von den Verantwortlichen jedoch auch wissen, welche Bereiche sie für den Schutz sensibler Daten zukünftig als besonders kritisch erachten. Die überwiegende Mehrheit in Deutschland (67,7 Prozent), Österreich (60 Prozent) und der Schweiz (72 Prozent) sieht diesen Bedarf beim mobilen Arbeiten bzw. im Home-Office. Und zwar mehr oder weniger einheitlich über alle befragten Branchen (Handel, Dienstleistung, verarbeitendes Gewerbe) hinweg.

Firmenwagen in Deutschland, Smart Building in Österreich, Smart Factory in der Schweiz

An zweiter Stelle sensibler Sektoren stehen aus Sicht der Managerinnen und Manager die KI-Technologien mit 45,8 Prozent Nennung in Deutschland und 54 Prozent in der Schweiz. Österreich hält Smart Building (intelligente Gebäudetechnik) mit 46 Prozent für wichtiger, hier schafft es KI mit 42 Prozent nur auf den dritten Platz. Das Thema Smart Building rangiert für die befragten deutschen (36,4 Prozent) und Schweizer Unternehmen (38 Prozent) nur an vierter Stelle. Für wichtiger wird in Deutschland die Sicherheit von Firmenwagen erachtet, die mit 37 Prozent der Nennungen hier auf Platz drei rangiert. In Österreich (34 Prozent) und der Schweiz (32 Prozent) landet der Firmenwagen auf Platz fünf der zukünftig vermehrt sicherheitsrelevanten Bereiche.

Unterschiedliche Einschätzung auch bei Automatisierungstechnologien

Automatisierungen und intelligente Vernetzungen in der Produktion – kurz Smart Factory – verdienen für die Schweizer Verantwortlichen ein höheres Sicherheitslevel, mit 46 Prozent steht es bei ihnen nach Remote-Arbeit und KI an dritter Stelle. Die Befragten aus Österreich vergeben hierfür den vierten Platz mit 40 Prozent und Deutschland geht in der Befragung noch einen Punkt herunter, mit 35,8 Prozent Platz fünf.

Ladetechnologien bei Fahrzeugen werden mit den Plätzen 6 (D: 28,9 Prozent) und 7 (AT: 30 Prozent, CH: 24 Prozent) eher nicht so anfällig für zukünftige Cybergefahren gesehen. Dass die eigene und IT-gestützte Energieproduktion, wie etwa Solarpaneele auf den Firmendächern, sensible Daten weitergeben könnte, können sich am ehesten die Österreicher vorstellen (32 Prozent), Deutschland sieht mit 28,4 Prozent hier etwas weniger Gefahr und die Schweiz hält das mit nur 17 Prozent für eher unrealistisch.

Irgendwie Neuland: Virtuelle Welten und Robotik als unwahrscheinliche Cyberszenarien

Überhaupt gehen bei den virtuellen Themen die Vorstellungskraft der Managerinnen und Manager in den drei deutschsprachigen Ländern weit auseinander:

Gefahr durch virtuelle Welten wie Metaverse oder Avatar-Kommunikation laufen für die Deutschen mit 18,4 Prozent auf Platz acht. Für wenig wahrscheinlich halten es die Österreicher mit Platz neun und 12 Prozent. Nur die Schweiz mit 22 Prozent (Platz acht) kann hier ein gewisses Bedrohungspotenzial erkennen.

Dinge wie Google Brillen, Headup-Display-Brillen, Augmented Reality sind wiederum für die Schweizer mit Platz zehn (12 Prozent) wenig wahrscheinlich. Auch Deutschland kann hier keine große Gefahr erkennen (17,9 Prozent, Platz neun). Lediglich die Befragten in österreichischen Unternehmen können sich in diesem Bereich mit 22 Prozent (Platz acht) einen bestimmten Security-Bedarf vorstellen.

Während das Thema Robotik im Büroalltag, wie zum Beispiel Kaffee-Roboter, für deutsche Managerinnen und Manager als potenzielles Sicherheitsrisiko wenig denkbar erscheint (letzter Platz, 11,9 Prozent), hält man das in der Schweiz zu 26 Prozent für gar nicht so unrealistisch. Dazwischen liegt bei diesem Thema Österreich mit 22 Prozent und Platz acht.

Über die Umfrage:

Ipsos hat im Auftrag von Sophos 201 C-Level-Managerinnen und -Manager aus Handel, Dienstleitung und verarbeitendem Gewerbe in Deutschland sowie jeweils 50 in Österreich und der Schweiz zum Thema IT-Sicherheit in ihren Unternehmen befragt.

Über die Sophos Technology GmbH

Sophos ist ein weltweit führender und innovativer Anbieter fortschrittlicher Lösungen zur Abwehr von Cyberangriffen, darunter Managed Detection and Response (MDR) sowie Incident Response Services. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 600.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr. Die Dienste und Produkte von Sophos sind über die cloudbasierte Management-Konsole Sophos Central verbunden und werden vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen.

Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung. Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.

Weitere Informationen unter: www.sophos.de

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Sophos State of Ransomware Report 2024: 97 Prozent der von Ransomware betroffenen Unternehmen wenden sich an Behörden

Sophos State of Ransomware Report 2024: 97 Prozent der von Ransomware betroffenen Unternehmen wenden sich an Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass weit über die Hälfte der Betroffenen neben der reinen Meldung auch Beratung oder Anleitung zur Wiederherstellung ihrer Daten suchen.

Laut dem jährlichen State of Ransomware 2024 Report arbeiteten 97 Prozent der befragten Organisationen, die im letzten Jahr Opfer von Ransomware waren, mit Strafverfolgungsbehörden oder anderen amtlichen Stellen zusammen. Dieser eindrucksvoll hohe Prozentsatz gilt gleichermaßen für die weltweiten als auch die DACH- Umfrageergebnisse. Mehr als die Hälfte (59 Prozent weltweit und 56 Prozent in DACH) dieser so operierenden Unternehmen fand den Prozess recht einfach. Nur 10 Prozent weltweit und 13 Prozent in DACH empfanden ihn als sehr schwer.

Dem Report nach wandten sich angegriffene Unternehmen auch an Behörden, um Unterstützung und Hilfsmaßnahmen zur Aufarbeitung nach ihrer Ransomware Attacke zu erhalten. 61 Prozent weltweit und 55 Prozent in DACH erhielten Beratung, 60 Prozent weltweit und 52 Prozent in DACH nutzen Hilfe bei der Untersuchung des Angriffs. Aus internationaler Perspektive wurden 58 Prozent derjenigen mit verschlüsselten Daten seitens der Behörden bei der Wiederherstellung ihrer Daten unterstützt. In Deutschland und Österreich war dieser Anteil mit 56 Prozent beziehungsweise. 64 Prozent ähnlich, Lediglich in der Schweiz nutzten nur 45% diese Unterstützung.

Meldung bei den Behörden ist kein rotes Tuch mehr

„Traditionell scheuen sich Betriebe davor, sich an Strafverfolgungsbehörden zu wenden, aus Sorge, dass der Fall publik wird. Wenn bekannt wird, dass sie Opfer einer Cyberattacke wurden, könnte das Einfluss auf ihre Unternehmensreputation haben und eine prekäre Situation damit noch verschlimmern. Diese Betroffenenscham ging lange mit einer Attacke einher, aber es gibt Fortschritte, sowohl innerhalb der Sicherheits-Community als auch auf Regierungsebene. Neue Regulierungen zu Cyber Incident Reporting scheinen dazu beigetragen zu haben, die Hürden für eine Kooperation mit der Strafverfolgung zu senken. Die aktuellen Ergebnisse des Reports zeigen, dass Organisationen den Schritt in die richtige Richtung machen. Wenn der öffentliche und private Sektor eine Gruppe zur Unterstützung betroffener Unternehmen bilden, sind wir in der Lage, unsere Fähigkeiten zur schnellen Wiederherstellung zu verbessern. Zudem ist es möglich, Erkenntnisse zu sammeln, um andere zu schützen oder im Idealfall sogar diejenigen zur Verantwortung zu ziehen, die diese Angriffe durchführen“, ordnet Chester Wisniewski, Field CTO Sophos, die Ergebnisse ein.

Starke Zusammenarbeit von öffentlichem und privatem Sektor nötig, weltweit

„Die Mühlen der Justiz mahlen teilweise frustrierend langsam. Aber die Strafverfolgungssysteme passen sich immer besser an die Cybercrime-Bekämpfung an und die verbesserte Kooperation und Zusammenarbeit von Unternehmen mit den Behörden nach einer Attacke ist eine gute Entwicklung. Allerdings müssen wir uns alle von der reinen Symptombehandlung von Ransomware hin zur Prävention vor diesen Angriffen weiterentwickeln. Unser kürzlich veröffentlichter Active Adversary Report belegt, dass viele Organisationen immer noch daran scheitern, Schlüssel-Sicherheitsmaßnahmen zu implementieren, die ihr Gesamtrisiko nachweislich verringern können. Das beinhaltet rechtzeitiges Patchen der Geräte und die Verwendung von Multifaktor-Authentifizierungen. Die Strafbehörden hatten zwar Erfolg mit Auflösungen und Inhaftierungen bei LockBit und Qakbot. Diese Erfolge zeigen sich aber eher als vorübergehende Unterbrechungen, denn als längerfristige oder dauerhafte Erfolge.

Der Erfolg der Kriminellen beruht zum Teil auf dem Umfang und der Effizienz, mit der sie arbeiten. Um sie zu besiegen, müssen wir auf beiden Gebieten mit ihnen gleichziehen. Das bedeutet für die Zukunft sogar eine noch stärkere Zusammenarbeit von privatem und öffentlichem Sektor – und zwar auf weltweitem Level“, fordert Wisniewski.

Über den Sophos State of Ransomware Report 2024

Der State of Ransomware 2024 Report wurde von einem unabhängigen Marktforschungsunternehmen unter 5.000 Cybersicherheits-/ IT-Führungskräften in 14 Ländern aus Amerika, EMEA und dem Asia-Pazifikraum durchgeführt. Die Befragung der Unternehmen zwischen 100 und 5.000 Mitarbeitern fand zwischen Januar und Februar dieses Jahres statt.

Über die Sophos Technology GmbH

Sophos ist ein weltweit führender und innovativer Anbieter fortschrittlicher Lösungen zur Abwehr von Cyberangriffen, darunter Managed Detection and Response (MDR) sowie Incident Response Services. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 600.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr. Die Dienste und Produkte von Sophos sind über die cloudbasierte Management-Konsole Sophos Central verbunden und werden vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen.

Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung. Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.

Weitere Informationen unter: www.sophos.de

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Abwehr und Wiederherstellung sind die Grundpfeiler der Cyber-Resilienz

Abwehr und Wiederherstellung sind die Grundpfeiler der Cyber-Resilienz

Bei ihrer Strategie für die Cyber-Resilienz sollten Unternehmen einen klaren Blick darauf haben, welche Gefahren drohen und welche taktische Umsetzung in der Abwehr und der Datenwiederherstellung am wichtigsten ist. Neueste Untersuchungen, wie beispielsweise der Sophos X-Ops Active Adversary Report, zeigen, dass die allgemeine Gefahr, von einer Ransomware betroffen zu werden, besonders hoch ist. Seit nunmehr vier Jahren steht Ransomware mit 70 Prozent der untersuchten Incident Response Fälle der Sophos X-Ops-Teams auf Platz eins der Cyberangriffe. Weitere Untersuchungen zeigen zudem, dass über die Jahre 2020 bis 2023 kompromittierte Anmeldedaten die häufigste Ursache für Angriffe, die in fast einem Drittel aller untersuchten Fälle auftraten, waren. Damit ist klar, dass Unternehmen für eine ganzheitliche Strategie zur Cyber-Resilienz neben der wirkungsvollen Abwehr auch auf eine zuverlässige Datenwiederherstellung setzen sollten.

Abwehr: First Line of Defence

Die Erkennung und Verhinderung von bösartigen Aktivitäten – sowohl von externen als auch von internen Quellen – die ein Risiko für die Vertraulichkeit, Verfügbarkeit und Integrität von Daten darstellen, ist eine elementare Komponente der Cyber-Resilienz. Denn das Risiko, beispielsweise von Ransomware betroffen zu werden ist hoch. Der aktuelle State of Ransomware Report von Sophos lässt daran keinen Zweifel. Zwar deutet die diesjährige Umfrage unter weltweit 5.000 Führungskräften im Bereich Cybersicherheit/IT auf einen leichten Rückgang der Zahl der Ransomware-Angriffe im weltweiten Vergleich hin: 59 Prozent der Unternehmen sind weltweit betroffen; im Jahr 2023 lag diese Zahl bei 66 Prozent. Allerdings ist die durchschnittliche Lösegeldzahlung im vergangenen Jahr um 500 Prozent gestiegen.

Wichtig sind daher Lösungen zur Abwehr, die einen Angriff in einem sehr frühen Stadium durch automatisierte und KI-unterstütze Security-Technologie und in Verbindung mit menschlichem Threat-Hunting erkennen und vereiteln. Mit dem Fokus auf das Risiko- und Bedrohungspotenzial, der sich auf alle Benutzer und Systeme erstreckt, werden die Datenproduktion und deren Sicherheit sowie die Art und Weise, wie mit den Daten interagiert wird, ständig überprüft. Im Falle einer Kompromittierung einer Umgebung durch einen Cyber-Angreifer können sowohl die Produktivkomponenten als auch die Datenspeicher und Backup-Systeme durch proaktive Neutralisierung von Bedrohungen vor Manipulationen und Zerstörung geschützt werden. Möglich ist dies, wenn die Schutz- und Abwehrlösungen sowohl lokal als auch remote eingesetzt werden und so einen universellen Schutz für Systeme und Benutzer bieten, bei denen die Speicherung und Erzeugung von Daten im Mittelpunkt steht.

Wiederherstellung: Second and last line of Defence

In der schnelllebigen und hoch effizienten digitalen Wirtschaft von heute sind Daten nur selten statisch. Sie werden in einem erstaunlichen Tempo erstellt, sie sind in Bewegung und werden ausgetauscht. Das hat zur Folge, dass sich die Daten entwickeln und dass es unterschiedliche Status an unterschiedlichen Speicherorten gibt. Selbst unter diesen Umständen muss bei einer Cyber-Attacke sichergestellt sein, die Daten wiederherstellen zu können, als ob nichts passiert wäre. Auch an dieser Notwendigkeit lässt der aktuelle State of Ransomware Report keinen Zweifel: 68 Prozent der von Ransomware betroffenen Befragten bestätigten, dass sie ihre Daten aus den Backups wiederhergestellt haben. In der Umkehrfolge waren ein Drittel (32 Prozent) nicht in der Lage, die Daten auf diesem Weg wiederherzustellen. Dies führt in Folge dazu, dass Unternehmen die exorbitant hohen Lösegeldsummen bezahlen – ohne die Garantie zu haben, dass sie auf diesem Weg komplett alle Daten wiederherstellen können.

Eines der entscheidenden Elemente eines Datensicherungssystems, sind dessen Protokolldateien. Die Aufzeichnung der Backup-Aktivitäten und die Audit-Ergebnisse geben einen ausgezeichneten Einblick in den Grad der Sicherheit im Falle eines Cyberangriffs.

Gute Cyber-Resilienz entsteht nicht aus Sicherheits-Inseln

Für eine wirkungsvolle Strategie zur Cyber-Resilienz sollten die Lösungen für Schutz, Abwehr und Datensicherung nicht solitär nebeneinander, vielleicht sogar von unterschiedlichen IT-Teams, betrieben werden. Vielmehr ist eine teilweise Integration hilfreich, um die Ziele der Cyber-Resilienz zu erreichen. Daher arbeitet Sophos eng mit Data-Protection-Anbietern auf lösungsintegrativer Ebene zusammen. Mit dem Backup-Anbieter Arcserve beispielsweise existiert seit einigen Jahren eine enge Technologiepartnerschaft. Sophos Intercept X ist ein integrativer Bestandteil der Unified Data Protection (UDP)-Lösung von Arcserve. Damit erreichen die Anwender zusätzlich zur klassischen Security und Data Protection eine zielgerichtete Security speziell für die Backups. Für Unternehmen bedeutet das eine zusätzliche Security-Schicht, um im Fall einer Cyberattacke auf die Widerherstellung der Daten aus den Backups bauen zu können. Ein weiteres Beispiel ist die Kooperation mit Veeam seit Februar 2024, bei der die Sophos-Lösungen und -Security-Services MDR und XDR in die Backup & Replication Lösung von Veeam integriert sind. Mit Sophos und Veeam können Unternehmen die Integrität und Verfügbarkeit von Backups sicherstellen und das Risiko von Datenverlusten aufgrund von Malware, versehentlichem Löschen, internen Sicherheitsbedrohungen und anderen Datenverlustszenarien maßgeblich reduzieren.

Social Media von Sophos für die Presse

Wir haben speziell für Sie als Journalist*in unsere Social-Media-Kanäle angepasst und aufgebaut. Hier tauschen wir uns gerne mit Ihnen aus. Wir bieten Ihnen Statements, Beiträge und Meinungen zu aktuellen Themen und natürlich den direkten Kontakt zu den Sophos Security-Spezialisten.

Folgen Sie uns auf  und  

LinkedIn:         https://www.linkedin.com/groups/9054356/

X/Twitter:        @sophos_info

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Billig und plump: Kriminelle setzen auf neue Ransomware „Marke Eigenbau“. Ist das das Ende von professioneller Ransomware-as-a-Service?

Billig und plump: Kriminelle setzen auf neue Ransomware „Marke Eigenbau“. Ist das das Ende von professioneller Ransomware-as-a-Service?

Ransomware-as-a-Service ist seit einem Jahrzehnt ein lukratives Geschäft und fest in den Händen professionell organisierter Gruppen. Doch jetzt können Kriminelle, die keine Lust auf die teuren Bausätze haben, auf eine schnell zusammengeschusterte Ramsch-Ransomware ausweichen. Sophos hat die sogenannte „Junk Gun“-Ransomware und ihre Bedeutung für den Malware-Markt untersucht.

Sophos veröffentlicht einen neuen  Mehr dazu im Sophos Report Report mit dem Titel ‘Junk Gun‘ Ransomware: Peashooters can still pack a punch.  Der Titel erinnert an eine Ära in den USA in den 60er und 70er-Jahren, als mit billigen und teils schlecht funktionieren Waffen, später „Junk Guns“ genannt, der Markt überschwemmt wurde – eine Entwicklung, die sich zurzeit ähnlich in der Cybercrime-Szene wiederholt. Der Report gibt erstmals Einblicke in eine aufstrebende Bedrohung in der Ransomware-Landschaft: Seit Juni 2023 hat das Spezialistenteam Sophos X-Ops 19 „Junk Gun“-Ransomware-Varianten ausgemacht. Billig, selbst produziert und eher plump aufgebaut tauchen die Programme im Darknet auf. Dahinter stecken eher rudimentär ausgebildete Entwickler, die mit einfachen und günstigen Ransomware-Modellen den etablierten Ransomware-as-a-Service-Markt (RaaS) aufrollen wollen.

Hat das RaaS-Modell ausgedient?

Anstatt Ransomware als Affiliate-Produkt zu verkaufen oder zu erwerben – wie es im Cybercrimemarkt seit Jahren Standard ist – bauen und verkaufen die Cybercrime-Emporkömmlinge primitive Ransomware-Modelle selbst, zu einer einmaligen Gebühr. Für einige Kriminelle ideal, um damit kleine und mittelständische Unternehmen oder Einzelpersonen anzugreifen.

„Seit einem oder zwei Jahren beobachten wir, dass Ransomware einen gewissen Sättigungsgrad erreicht hat. Es ist immer noch eine der gängigsten und ernsthaftesten Bedrohungen für Unternehmen, aber laut unserem aktuellen Active Adversary Report hat sich die Anzahl der Angriffe auf einem bestimmten Level eingependelt und das RaaS-Geschäft als gängiges Betriebsmodell für die meisten Haupt-Ransomware-Gruppen etabliert. Vor zwei Monaten verschwanden einige der größten Ransomware-Player von der Bildfläche und in der Vergangenheit machten einige der Ransomware-Partner ihrem Ärger über die Profit-Orientierung von RaaS Luft. Nichts in der Cybercrimewelt bleibt wie es ist und vielleicht sind wir gerade Zeitzeugen, wie diese billigen Versionen von Ransomware der nächste Evolutionsschritt sind, besonders für Kriminelle mit wenig Kenntnissen, die eher auf den schnellen Profit statt auf einen ruhmreichen Angriff setzen“, ordnet Christopher Budd, Director Threat Research bei Sophos, ein.

Ransomware zum einmaligen Schnäppchenpreis

Sophos listet im Report eine dieser Eigenbau-Varianten im Darknet zum Preis von 375 US-Dollar auf, eindeutig günstiger als einige RaaS-Kits für Partner, die mit mehr als 1.000 US-Dollar zu Buche schlagen. Laut Analyse haben die Cyberkriminellen bereits vier dieser Varianten in Angriffen eingesetzt. Während die Fähigkeiten der Junk-Gun-Ransomware sich stark von den RaaS-Varianten unterscheiden, können jedoch zwei Argumente punkten: die Schadsoftware braucht zum Laufen wenig oder sogar gar keine unterstützende Infrastruktur und die Nutzer sind nicht verpflichtet, ihren Gewinn mit den Entwicklern zu teilen.

Anzeigen und Tutorials zum Selberbasteln

Junk-Gun-Ransomware-Diskussionen finden hauptsächlich in Englisch-sprachigen Foren im Darknet statt und richten sich an Kriminelle mit wenig technischen Kenntnissen – ganz im Gegensatz zu den oft russischsprachigen Foren, die von bekannten und gut ausgebildeten Angriffsgruppierungen besucht werden. Diese neuen Varianten eröffnen einen reizvollen Weg für kriminelle Novizen, in die Ransomware-Welt zu starten. Neben Anzeigen für die Ransomware-Schnäppchen gibt es Beiträge zu Tipps und Trick und How-to-Tutorials.

Angriffe von Junk-Gun-Ransomware laufen womöglich unterm Radar

„Diese Arten von Ransomware werden keine Millionen-Dollar-Lösegelder wie bei Clop oder Lockbit einfordern, aber getreu dem Motto ‚Masse statt Klasse“ können sie recht effektiv bei KMUs sein und das Debüt für eine größeren Verbreitung darstellen. Während das Phänomen der Junk-Gun-Ransomware relativ neu ist, erhielten wir bereits Einblicke in den Ehrgeiz der Erfinder, um dieses Ransomware-Modell weiter zu verbreiten. Und wir haben viele Posts von weiteren Kriminellen gesehen, die ihre eigene Ransomware-Variante kreieren wollen“, kommentiert Budd. „Noch beunruhigender ist allerdings, dass diese neue Ransomware-Bedrohung eine ernsthafte Herausforderung für die Verteidigung darstellt: Da Angreifer diese Modelle gegen KMUs einsetzen und die Lösegeldforderungen gering sind, bleiben die meisten Attacken unentdeckt und unveröffentlicht. Das hinterlässt eine Informationslücke für die Verteidiger, die die Sicherheits-Gemeinschaft dann ausfüllen muss.“

Folgen Sie uns auf  und  

LinkedIn:         https://www.linkedin.com/groups/9054356/

X/Twitter:        @sophos_info

Über die Sophos Technology GmbH

Sophos ist ein weltweit führender und innovativer Anbieter fortschrittlicher Lösungen zur Abwehr von Cyberangriffen, darunter Managed Detection and Response (MDR) sowie Incident Response Services. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 600.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr. Die Dienste und Produkte von Sophos sind über die cloudbasierte Management-Konsole Sophos Central verbunden und werden vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen.

Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung. Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.

Weitere Informationen unter: www.sophos.de

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Sophos Management Studie: Chefetagen sehen hohe Relevanz von Cybersicherheit, erkennen darin aber keine Wettbewerbsvorteile

Sophos Management Studie: Chefetagen sehen hohe Relevanz von Cybersicherheit, erkennen darin aber keine Wettbewerbsvorteile

C-Level Manager in Unternehmen in Deutschland, Österreich und der Schweiz werten gute Cybersicherheitsinfrastrukturen als äußerst wichtig für Geschäftsbeziehungen.

Gleichzeitig verneint die Mehrzahl, einen daraus resultierenden Wettbewerbsvorteil ableiten und diesen aktiv kommunizieren zu können.

Sophos veröffentlicht einen neuen, aktuellen Teil seiner großangelegten Management-Studie „Chef, wie hältst du es mit der Cybersicherheit“ für Deutschland, Österreich und die Schweiz. Die nun veröffentlichten Zahlen aus diesem Jahr beleuchten unter anderem, wie C-Level-Managements in den drei Ländern den Einfluss der Cybersicherheit im eigenen Unternehmen auf Geschäftsbeziehungen bewerten. Die Studie ist eine Fortsetzung einer Befragungsreihe aus 2022 und wurde im ersten Quartal dieses Jahres erneut vom Marktforschungsinstitut Ipsos im Auftrag von Sophos durchgeführt.

Alle bestätigen die hohe Relevanz von Cyberschutz für die Geschäftsbeziehungen

Hinsichtlich der Frage, wie sie auf einer Skala von eins (sehr wichtig) bis sechs (sehr unwichtig) den Einfluss einer effizienten Cybersicherheitsinfrastruktur auf ihre geschäftlichen Beziehungen zu Kunden und Geschäftspartnern bewerten, sind sich die Befragten in allen drei Ländern in der überwiegenden Mehrzahl einig: In Deutschland halten die Managerinnen und Manager zu 55  Prozent Cyberschutz für sehr wichtig für die Business-Beziehungen, in Österreich sagen dies 46 Prozent und in der Schweiz betonen sogar 60 Prozent die Relevanz der implementierten Cybersicherheitsmaßnahmen. Als wichtig bewerten diesen Aspekt 28 der deutschen, 34 Prozent der österreichischen und 32 Prozent der Schweizer Managements. Dass Cyberschutz gänzlich unwichtig sei, glaubt niemand der Befragten.

Bedeutung hoch, tatsächlicher Einfluss niedrig?

Gleich bei der nächsten Frage zeigt sich eine Diskrepanz in der Bewertung durch die Chefinnen und Chefs. Bezifferte, wie eingangs aufgezeigt, die sehr deutliche Mehrheit den Einfluss eines effizienten Cyberschutzes auf Geschäftsbeziehungen als mindestens wichtig, zeichnet der Realitätscheck ein scheinbar anderes Bild.  Auf die Frage, ob sich das Thema Cyberschutz tatsächlich auf der Ebene der Zusammenarbeit mit Kunden ausgewirkt habe, bestätigen knapp 35 Prozent der deutschen, 34 Prozent der österreichischen und 40 Prozent der Schweizer Umfrage-Teilnehmenden positiv, dass sie ohne wirkungsvollen Cyberschutz in der Tat Kunden verloren hätten. Die Mehrheit der Befragten dagegen sagt – in Deutschland knapp 55 Prozent, in Österreich 58 Prozent und in der Schweiz 48 Prozent – die Cybermaßnahmen des eigenen Unternehmens seien weder in den Beziehungen zu Kunden noch in der Neukunden-Akquise bislang ein Thema gewesen. Lediglich in der Schweiz erweist sich dieser Aspekt somit als einigermaßen ausgeglichen.

Tatsächliche negative Auswirkungen vermelden hierbei nur jeweils sehr wenige Unternehmen.  Ein Prozent der Managements in Deutschland gibt an, aufgrund von mangelndem Cyberschutz Kunden verloren zu haben. Zwei Prozent der Unternehmen in der Schweiz sowie einem Prozent der deutschen Firmen ist aus demselben Grund zudem Neugeschäft entgangen.

Kein Wettbewerbsvorteil, keine Kommunikation

Noch deutlicher als beim Thema Auswirkungen auf Geschäftsbeziehungen zeigt sich hinsichtlich der aktiven Kommunikation der Cybersicherheitsinfrastruktur in Richtung Kunden und Geschäftspartner eine Diskrepanz. Nur insgesamt gut 29 Prozent der deutschen sowie 24 Prozent der österreichischen Unternehmen kommunizieren ihren Cyberschutz aktiv an Kunden und Geschäftspartner. In der Schweiz tun dies mit immerhin 40 Prozent deutlich mehr.

Mit dem Argument, die IT-Sicherheitsinfrastruktur des Unternehmens verschaffe ihnen keinen Wettbewerbsvorteil bei Kunden oder Geschäftspartnern, binden dagegen knapp 66 Prozent der deutschen, 68 Prozent der österreichischen und 50 Prozent der Schweizer Unternehmen diesen Aspekt nicht in ihre Kommunikation ein.

Wettbewerbsvorteile sehen und nutzen: Sicheres tun und darüber sprechen.

„Es ist zunächst ein erfreuliches Ergebnis, dass die Management-Ebenen in Unternehmen der Cybersicherheit eine so hohe Bedeutung für ihre Geschäftsbeziehungen beimessen“, sagt Michael Veit, Security Experte bei Sophos. „Gleichzeitig bin ich überzeugt, dass viele Unternehmen, die eine wirksame, moderne Cybersicherheitsinfrastruktur im Einsatz haben und darüber nicht kommunizieren, Chancen ungenutzt lassen. Wer etwa vernetzte und intelligente Schutztechnologien verwendet, oder auch externe Expertise im Rahmen eines Cybersecurity as a Service-Modells (CSaaS) nutzt, hat entscheidende Elemente einer zeitgemäßen, proaktiven Sicherheitsstrategie implementiert. Dies kann angesichts der sich verschärfenden Bedrohungslage ein Wettbewerbsvorteil sein. Oder anders gesagt: Wer bei der Cybersicherheit gut aufgestellt ist, schafft Vertrauen für sich selbst und alle Partner. Darüber sollte man reden.“

Über die Umfrage:

Ipsos hat im Auftrag von Sophos 201 C-Level-Managerinnen und -Manager aus Handel, Dienstleitung und verarbeitendem Gewerbe in Deutschland sowie jeweils 50 in Österreich und der Schweiz zum Thema IT-Sicherheit in ihren Unternehmen befragt.

Über die Sophos Technology GmbH

Sophos ist ein weltweit führender und innovativer Anbieter fortschrittlicher Lösungen zur Abwehr von Cyberangriffen, darunter Managed Detection and Response (MDR) sowie Incident Response Services. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 600.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr.

Die Dienste und Produkte von Sophos sind über die cloudbasierte Management-Konsole Sophos Central verbunden und werden vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen.

Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung.

Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.

Weitere Informationen unter: www.sophos.de

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Weitreichende Auswirkungen der Organisationsstruktur auf die Cybersicherheit

Weitreichende Auswirkungen der Organisationsstruktur auf die Cybersicherheit

Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren Wirkung in der Cybercrime-Abwehr. Ein spezielles Cybersicherheitsteam als Teil der IT-Organisation erzielt die besten Ergebnisse.

Ausgebildetes und erfahrenes Fachpersonal zu finden, ist eine der großen Herausforderungen in Unternehmen, um die Cybersicherheit zu gewährleisten. Vor dem Hintergrund dieser Diskussion ist es daher besonders wichtig, die wenigen verfügbaren Fachkräfte in die Lage zu versetzen, die größtmögliche Wirkung bei der Abwehr von Cyberrisiken zu erzielen. In diesem Zusammenhang geht Sophos in einer Umfrage bei rund 3.000 Führungskräften aus IT und Cybersicherheit in 14 Ländern auf die Frage ein, wie unterschiedliche Organisationsstrukturen Einfluss auf die Ergebnisse der Cybersicherheit haben.

Auf den Blickwinkel kommt es an

In der Analyse wurden die Erfahrungen in der Cybersicherheit unter Einbeziehung der Organisationsstruktur betrachtet. Ziel war es einen Zusammenhang zwischen Struktur und Ergebnissen zu finden und falls es diesen gibt, welche Struktur die besten Ergebnisse liefert. Sophos untersuchte drei Szenarien:

Szenario 1: Das IT-Team und das Cybersicherheitsteam sind getrennte Organisationen.
Szenario 2: Ein spezielles Cybersicherheitsteam ist Teil der IT-Organisation
Szenario 3: Kein spezielles Cybersicherheitsteam, das IT-Team verwaltet die Cybersicherheit

Beste Ergebnisse für Szenario 2 – sofern Fähigkeiten und Kapazitäten vorhanden sind

Die Analyse der Umfragedaten ergibt, dass Unternehmen mit einem speziellen Cybersicherheitsteam innerhalb eines umfassenderen IT-Teams im Vergleich zu den anderen beiden Szenarien die besten Gesamtergebnisse im Bereich Cybersicherheit erzielen. Die schlechtesten Resultate erlangen Unternehmen, bei denen die IT- und Cybersicherheitsteams getrennt agieren (Szenario 1).

Auch wenn die Cybersicherheit und der IT-Betrieb im weitesten Sinne getrennte Fachbereiche zu sein scheinen, lassen sich die Erfolge von Szenario 2 damit erklären, dass die Disziplinen eng miteinander verknüpft sind. Beispielsweise wirken sich Kontrollen der Cybersicherheit häufig direkt auf die IT-Lösungen aus, während die Umsetzung einer guten Cyberhygiene, wie das Patchen und Sperren von RDP, häufig vom IT-Team durchgeführt wird.

Allerdings zeigen die Analysen auch, dass die Art und Weise, wie Unternehmen ihre Teams strukturieren, kaum einen Einfluss auf die Sicherheitsergebnisse hat, wenn ihnen die grundlegenden Fähigkeiten und Kapazitäten im Bereich Cybersicherheit fehlen. Eine Option für dieses Problem sind externe Partner und Security-Dienstleister. Allerdings sollen Organisationen, die ihre Fähigkeiten durch spezialisierte externe Cybersicherheitsexperten (z. B. MDR-Anbieter oder MSSPs) ergänzen möchten, nach flexiblen Partnern suchen, welche als Erweiterung des gesamten internen Teams arbeiten anstatt ausschließlich für die Security-Teams.

Struktur der Cybersicherheit hat Auswirkungen auf die Vorfälle

Die Analyse vergleicht Erfahrungen in den drei Szenarien und deckt vier bemerkenswerte Ergebnisse auf.

1. Ursache von Ransomware-Angriffen

Interessanterweise variiert die Ursache von Ransomware-Angriffen je nach Organisationsstruktur. Bei Szenario 1 hat fast die Hälfte der Angriffe (47 Prozent) mit einer ausgenutzten Sicherheitslücke begonnen, während 24 Prozent auf kompromittierte Anmeldedaten zurückzuführen sind. Bei Szenario 2 sind ausgenutzte Sicherheitslücken (30 Prozent) und kompromittierte Zugangsdaten (32 Prozent) mit fast gleicher Wahrscheinlichkeit die Hauptursache für die Angriffe. Bei Unternehmen mit Szenario 3 wurden fast die Hälfte der Angriffe (44 Prozent) mit kompromittierten Anmeldedaten begangen und nur 16 Prozent mit einer ausgenutzten Sicherheitslücke.

2. Wiederherstellung nach einer Ransomware

Unternehmen des Szenario 1 zahlten weitaus häufiger Lösegeld als die anderen und meldeten zugleich den geringsten Anteil an Backups zur Wiederherstellung verschlüsselter Daten. Die Unternehmen des Modells 1 zahlten nicht nur am häufigsten Lösegeld, sondern höhere Summen, wobei der Mittelwert mehr als doppelt so hoch war wie bei den Szenarien 2 und 3.

3. Sicherheitsmaßnahmen

Eine der wichtigsten Erkenntnisse ist, dass Organisationen aus dem Szenario 2 bei der Durchführung von Sicherheitsmaßnahmen am besten abschneiden, während die meisten Organisationen eine Herausforderung darin sehen, eine effektive Security-Operations selbstständig zu etablieren. Zusammengefasst macht es kaum einen Unterschied, wie man das Team strukturiert, wenn es an den notwendigen Kapazitäten und Fähigkeiten mangelt.

4. Tägliches Cybersicherheitsmanagement

In diesem Bereich gibt es viele Gemeinsamkeiten zwischen den drei Szenarien und sie stehen alle vor ähnlichen Herausforderungen. Mehr als die Hälfte der Befragten aller Szenarien bestätigen, dass die Cyberbedrohungen inzwischen so weit fortgeschritten sind, dass ihre Organisation sie nicht mehr allein bewältigen kann (60 Prozent Szenario 1; 51Prozent Szenario 2; 54 Prozent Szenario 3).

Die drei Szenarien teilen zudem ähnliche Sorgen in Bezug auf Cyberbedrohungen und -Risiken. Datenexfiltration und Phishing (einschließlich Spear-Phishing) gehören bei allen zu den größten Cyberbedrohungen, und die Fehlkonfiguration von Sicherheitstools ist das am häufigsten wahrgenommene Risiko.

Hinweis zur Analyse

Diese Analyse bietet Einblicke in die Korrelation zwischen der IT-/ Cybersicherheitsstruktur und den Ergebnissen, untersucht aber nicht die Gründe hinter diesen Ergebnissen, also die Kausalität. Jedes Unternehmen ist anders und die Struktur der IT-/ Cybersicherheitsfunktion ist eine von vielen Variablen, die sich auf die Bereitschaft auswirken können, gute Sicherheitsergebnisse zu erzielen – einschließlich der Branche, des Qualifikationsniveaus der Teammitglieder, des Personalbestands, des Alters des Unternehmens und mehr.

Um mehr zu erfahren und die vollständige Analyse zu sehen, laden Sie bitte den kompletten Bericht „The Impact of Organizational Structure on Cybersecurity Outcomes„ herunter.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Sophos kooperiert mit Tenable und startet neuen Sophos Managed Risk Service

Sophos kooperiert mit Tenable und startet neuen Sophos Managed Risk Service

Die vollständig verwaltete Lösung kombiniert die Expertise von Sophos MDR mit der Exposure-Management-Technologie von Tenable und bietet Transparenz, Risikoüberwachung, Priorisierung, Untersuchung sowie proaktive Benachrichtigungen zur Verhinderung von Cyberangriffen

Sophos gibt eine strategische Partnerschaft mit dem Exposure-Management-Unternehmen Tenable®, bekannt, um Sophos Managed Risk, einen weltweiten Schwachstellen- und Angriffsflächenmanagementdienst, anzubieten. Für den neuen Service stellt Sophos ein eigenes, spezialisiertes Team bereit, das die Exposure-Management-Technologie von Tenable nutzt und mit den Experten von Sophos Managed Detection and Response (MDR) zusammenarbeitet, um Angriffsflächentransparenz, kontinuierliche Risikoüberwachung, Schwachstellenpriorisierung, Untersuchungen und proaktive Benachrichtigungen zur Verhinderung von Cyberangriffen bereitzustellen.

Die moderne Angriffsfläche hat sich über die traditionellen IT-Grenzen vor Ort hinaus ausgeweitet. Da Unternehmen häufig eine unbekannte Anzahl externer und mit dem Internet verbundener Ressourcen betreiben, die nicht gepatcht oder nur unzureichend geschützt sind, werden sie immer anfälliger für Cyberangreifer. Der Sophos Managed Risk Service kann die externe Angriffsoberfläche einer Organisation bewerten und die riskantesten Gefährdungen, wie z. B. offenes RDP, priorisieren. Gleichzeitig bietet der Service maßgeschneiderte Abwehrmaßnahmen an, um Schwachpunkte zu beseitigen und potenziell verheerenden Angriffen einen Schritt voraus zu sein.

Priorisierung und präventives Risikomanagement

„Sophos und Tenable sind zwei Branchenführer im Bereich Sicherheit, die sich zusammenschließen, um dringende, allgegenwärtige Sicherheitsherausforderungen anzugehen, die Unternehmen oftmals nur schwer kontrollieren können“, so Rob Harrison, Senior Vice President for Endpoint and Security Operations Product Management bei Sophos. „Gemeinsam können wir Organisationen optimal dabei helfen, häufig übersehene Schwachstellen in externen Assets, Geräten und Software zu identifizieren und deren Behebung zu priorisieren. Es ist von entscheidender Bedeutung, dass Unternehmen diese Gefährdungsrisiken managen, denn wenn sie unbeaufsichtigt bleiben, führen sie zu kostspieligeren und zeitaufwändigeren Problemen, und sind oft diese Hauptursache für schwerwiegende Sicherheitsvorfälle.“

„Während die jüngste Zero-Day-Lücke die Schlagzeilen beherrschen mag, sind die mit großem Abstand größte Bedrohung für Unternehmen immer noch bekannte Schwachstellen – oder Schwachstellen, für die Patches leicht verfügbar sind“, so Greg Goetz, Vice President of Global Strategic Partners and MSSP bei Tenable. „Ein erfolgreicher Lösungsansatz für diese Problematik umfasst eine risikobasierte Priorisierung mit kontextgesteuerten Analysen, um Risiken proaktiv anzugehen, bevor sie zu einem Problem werden. Sophos Managed Risk, unterstützt durch die Tenable One Exposure Management Platform, bietet ausgelagertes präventives Risikomanagement und ermöglicht es Unternehmen, Angriffe vorherzusehen und Cyberrisiken zu reduzieren.“

Zu den spezifischen Hauptvorteilen von Sophos Managed Risk gehören:

  • External Attack Surface Management (EASM): Erweiterte Identifizierung und Klassifizierung von mit dem Internet verbundenen Assets wie Web- und E-Mail-Servern, Webanwendungen und öffentlich zugänglichen API-Endpunkten.
  • Kontinuierliche Überwachung und Benachrichtigung bei Hochrisiko-Erkennungen: Proaktive Benachrichtigung, wenn eine neue kritische Schwachstelle in den mit dem Internet verbundenen Ressourcen einer Organisation identifiziert wird.
  • Priorisierung von Schwachstellen und Identifizierung neuer Risiken: Schnelle Erkennung von Schwachstellen mit hohem Risiko und Zero-Day-Schwachstellen, gefolgt von einer Echtzeitbenachrichtigung, um sicherzustellen, dass kritische, mit dem Internet verbundene Ressourcen umgehend identifiziert, untersucht und in der Reihenfolge ihrer Wichtigkeit darauf reagiert werden.

„Eine der größten Herausforderungen für Unternehmen bei der Verbesserung ihrer Sicherheitslage besteht darin, Prioritäten zu setzen, was zuerst angegangen werden soll. Risk- Management-Lösungen helfen beim Angehen dieses Problems und verringern die Arbeitsbelastung für Sicherheitsteams, die mit der Bewältigung von Schwachstellen und dem Risikomanagement betraut sind“, sagte Craig Robinson, Research Vice President of Security Services bei IDC. „Lösungen wie Sophos Managed Risk können ein Alleinstellungsmerkmal sein, indem sie überforderten Teams einen ganzheitlicheren Ansatz für die kontinuierliche Überwachung und das Bedrohungsmanagement ermöglichen.“

Regelmäßige Interaktion und maßgeschneiderter Support

Sophos Managed Risk ist als erweiterter Service mit Sophos MDR verfügbar, der bereits mehr als 21.000 Organisationen weltweit schützt. Das Sophos-Managed-Risk-Team ist Tenable-zertifiziert und arbeitet eng mit dem Sophos-MDR-Team zusammen, um wichtige Informationen über Zero-Days, bekannte Schwachstellen und Gefährdungsrisiken auszutauschen und so möglicherweise ausgenutzte Umgebungen zu bewerten und zu untersuchen.

Organisationen, die den Sophos Mangaged Risk Service nutzen, profitieren von regelmäßiger Interaktion, einschließlich regelmäßiger Treffen mit Sophos-Experten zur Überprüfung aktueller Entdeckungen, für Einblicke in die aktuelle Bedrohungslandschaft sowie zum Austausch von Empfehlungen zur Behebung und Priorisierung von Maßnahmen. Darüber hinaus können Organisationen Anfragen über die Sophos-Central-Plattform einleiten, sodass Benutzer direkt mit dem Sophos-Managed-Risk-Team in Kontakt treten können, um maßgeschneiderten Support und Berichte zu erhalten und ihre neuesten priorisierten Warnungen einzusehen.

„Was man nicht sieht, kann man nicht reparieren. Sophos Managed Risk behebt dieses Problem und beleuchtet Risikobereiche, die in Ordnung gebracht werden müssen, um den Schutz der Kunden zu gewährleisten. Durch die Kombination des MDR-Angebots von Sophos mit der Exposure-Management-Technologie von Tenable erhalten wir einen vollständigen Überblick über Schwachstellen inklusive einer umfangreichen Analyse, die wir zur Risikominimierung benötigen“, sagt René Schoppe, Principal Solution Advisor IT-Security bei SoftwareOne. „Dadurch entsteht ein echter Mehrwert für uns, der noch ein weiteres Sahnehäubchen hat: Als Vertriebspartner haben wir die Möglichkeit, die priorisierten Warnungen von Sophos Managed Risk für unseren gesamten Kundenstamm einfach über das Sophos Central-Dashboard zu verwalten.“

Sophos Managed Risk ist mit einer befristeten Lizenz über das globale Netzwerk von Vertriebspartnern und Managed Service Providern (MSPs) von Sophos erhältlich. Eine Variante für Sophos MSP Flex wird im Lauf des Jahres verfügbar sein.

Über die Sophos Technology GmbH

Sophos ist ein weltweit führender und innovativer Anbieter von fortschrittlichen Cybersecurity-Lösungen, darunter Managed Detection and Response (MDR)- und Incident-Response-Dienste. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 500.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr.

Die Dienste und Produkte von Sophos werden über die cloudbasierte Management-Konsole Sophos Central verbunden und vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen. Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung.

Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.

Weitere Informationen unter: www.sophos.de

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Spieglein, Spieglein and der Wand, welche KI ist die beste im Cybersecurity-Land?

Spieglein, Spieglein and der Wand, welche KI ist die beste im Cybersecurity-Land?

Sophos-Experten erstellen ein neues Benchmark-System zur Einschätzung des Nutzens verschiedener Sprachmodellen aus dem Bereich Maschinelles Lernen, sogenannte Large-Language-Modelle (LLMs), für die Cybersicherheit. Ein alter Bekannter schneidet dabei am besten an.

Die Technologie des maschinellen Lernens mit großen Sprachmodellen (LLM) verbreitet sich rasant, wobei mittlerweile mehrere konkurrierende Open-Source- und proprietäre Architekturen verfügbar sind. Zusätzlich zu den generativen Textaufgaben, die mit Plattformen wie ChatGPT verbunden sind, haben sich LLMs nachweislich in vielen Textverarbeitungsanwendungen als nützlich erwiesen – von der Unterstützung beim Schreiben von Code bis zur Kategorisierung von Inhalten.

Angesichts der Vielfalt an zur Verfügung stehenden LLMs stehen Forscher vor einer herausfordernden Frage: Wie lässt sich ermitteln, welches Modell für ein bestimmtes Problem des maschinellen Lernens am besten geeignet ist? SophosAI hat eine Reihe von Möglichkeiten untersucht, LLMs bei Aufgaben im Zusammenhang mit der Cybersicherheit einzusetzen. Eine gute Methode zur Auswahl eines Modells besteht darin, Benchmark-Aufgaben zu erstellen – typische Probleme, mit denen sich die Fähigkeiten des Modells einfach und schnell beurteilen lassen.

Allerdings spiegelt die Leistung bei den momentan verfügbaren, allgemeinen Aufgaben für Benchmarks möglicherweise nicht genau wider, wie gut Modelle im Kontext der Cybersicherheit funktionieren. Durch die Verallgemeinerung offenbaren sie möglicherweise keine Unterschiede im sicherheitsspezifischen Fachwissen zwischen Modellen, die sich aus ihren Trainingsdaten ergeben. Aus diesem Grund habe die Forscher aus dem SophosAI-Team drei neue Benchmarks erstellt, die auf Aufgaben basieren, die potenziell grundlegende Voraussetzungen für die meisten LLM-basierten defensiven Cybersicherheitsanwendungen sind:

  1. Das LLM fungiert als Assistent bei der Untersuchung von Vorfällen, indem es Fragen zur Telemetrie in natürlicher Sprache in SQL-Anweisungen umwandelt
  2. Das LLM generiert Vorfallzusammenfassungen aus Daten eines Security Operations Centers (SOC).
  3. Das LLM bewertet den Schweregrad des Vorfalls.

GPT-4 mit bester Leistung

Diese Benchmarks dienen zwei Zwecken: der Identifizierung grundlegender Modelle mit Potenzial für eine Feinabstimmung und der anschließenden Bewertung der standardmäßigen (nicht abgestimmten) Leistung dieser Modelle. Insgesamt hat das Sophos-AI-Team 14 Modelle auf Basis von Kriterien wie Modellgröße, Beliebtheit, Kontextgröße und Aktualität ausgewählt und anhand der Benchmarks getestet – darunter unterschiedlich große Versionen der Modelle LlaMa2 und CodeLlaMa von Meta, Amazon-Titan-Large und natürlich auch der Branchenprimus GPT-4. Das OpenAI-Tool zeigte bei den ersten beiden Aufgaben eindeutig die beste Leistung. Interessant: beim letzten Benchmark schnitt keines der Modelle bei der Kategorisierung der Schwere des Vorfalls genau genug ab, um besser zu sein als die Zufallsauswahl.

Aufgabe 1: Assistent für die Untersuchung von Vorfällen

Bei der ersten Benchmark-Aufgabe bestand das Hauptziel darin, die Leistung von LLMs als SOC-Analystenassistenten bei der Untersuchung von Sicherheitsvorfällen zu bewerten. Dabei mussten sie relevante Informationen auf der Grundlage von Abfragen in natürlicher Sprache abrufen – eine Aufgabe, mit der das SophosAI-Team bereits experimentiert hatte. Die Bewertung der Fähigkeit von LLMs, Abfragen in natürlicher Sprache unterstützt durch kontextbezogene Schemakenntnisse in SQL-Anweisungen umzuwandeln, hilft dabei, ihre Eignung für diese Aufgabe zu bestimmen.

Aufgabe 2: Zusammenfassung des Vorfalls

In Security Operations Centern (SOCs) untersuchen Bedrohungsanalysten täglich zahlreiche Sicherheitsvorfälle. In der Regel werden diese Vorfälle als eine Abfolge von Ereignissen dargestellt, die auf einem Benutzerendpunkt oder Netzwerk im Zusammenhang mit erkannten verdächtigen Aktivitäten aufgetreten sind. Bedrohungsanalysten nutzen diese Informationen, um weitere Untersuchungen durchzuführen. Allerdings kann diese Abfolge von Ereignissen für die Analysten oft sehr unübersichtlich sein, was es schwierig macht, die bemerkenswerten Ereignisse zu identifizieren. Hier können große Sprachmodelle wertvoll sein, da sie bei der Identifizierung und Organisation von Ereignisdaten auf der Grundlage einer bestimmten Vorlage helfen können und es Analysten erleichtern, das Geschehen zu verstehen und ihre nächsten Schritte festzulegen.

Aufgabe 3: Bewertung der Schwere des Vorfalls

Die dritte von Sophos bewertete Benchmark-Aufgabe war eine modifizierte Version eines traditionellen ML-Sec-Problems: Die Bestimmung, ob ein beobachtetes Ereignis Teil einer harmlosen Aktivität oder eines Angriffs ist. SophosAI verwendet spezielle Machine-Learning (ML)-Modelle, die für die Auswertung bestimmter Arten von Ereignisartefakten wie tragbare ausführbare Dateien und Befehlszeilen entwickelt wurden. Bei dieser Aufgabe bestand das Ziel darin, festzustellen, ob ein LLM eine Reihe von Sicherheitsereignissen untersuchen und deren Schweregrad beurteilen kann.

Noch einige Leitplanken für LLMs in der Cybersicherheit nötig

Auch wenn der Benchmark-Test sicherlich nicht alle potenziellen Problemstellungen berücksichtigen kann, lässt sich nach Abschluss der Untersuchung feststellen, dass LLMs die Bedrohungssuche und die Untersuchung von Vorfällen wirksam unterstützen und damit als sinnvoller SOC-Assistent eingesetzt werden können – allerdings sind weiterhin einige Leitplanken und Anleitungen notwendig.

Bei der Zusammenfassung von Vorfallinformationen aus Rohdaten erbringen die meisten LLMs eine ausreichende Leistung, es gibt jedoch Raum für Verbesserungen durch Feinabstimmung. Allerdings bleibt die Bewertung einzelner Artefakte oder Gruppen von Artefakten eine herausfordernde Aufgabe für vorab trainierte und öffentlich verfügbare LLMs. Um dieses Problem anzugehen, ist möglicherweise ein spezialisiertes LLM erforderlich, das speziell auf Cybersicherheitsdaten geschult ist.

Alle Details zu den Untersuchungsergebnissen und der Benchmark-Erstellung können im englischen SophosAI-Blogbeitrag „Benchmarking the Security Capabilities of Large Language Models“ nachgelesen werden.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

World Backup Day 2024: Warum Cyberkriminelle gezielt Backups ins Visier nehmen und wie Security die Datensicherung schützen kann

World Backup Day 2024: Warum Cyberkriminelle gezielt Backups ins Visier nehmen und wie Security die Datensicherung schützen kann

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des Lösegelds. Zwei Probleme, gleiche Ursache: Die vollständige Wiederherstellung der Daten nach einer Lösegeldzahlung ist höchst ungewiss, denn auf ein Versprechen von Cyberkriminellen kann man sich im Zweifel nicht verlassen. Und das Rückspielen der Daten aus den Backups funktioniert in vielen Fällen deshalb nicht, weil die Cyberkriminellen oft auch diese verschlüsselt haben, um den Druck auf die Opfer, das Lösegeld zu bezahlen, dramatisch zu erhöhen. Unternehmen, die kein geschütztes Backup in der Hinterhand haben, sitzen in der Klemme. Daher ist es ratsam, die Security und die Datensicherung zu kombinieren, um den Schutz der Backups zu maximieren sowie zudem auf unveränderliche Backups zu setzen.

Harte Fakten belegen das Risiko

In einer Umfrage unter knapp 3.000 IT- und Cybersicherheitsexperten weltweit, die das Marktforschungsinstitut Vanson Bourne Anfang 2024 im Auftrag von Sophos durchführte, wurde deutlich, dass die finanziellen und betrieblichen Auswirkungen einer Kompromittierung von Backups durch einen Ransomware-Angriff immens sind. Insgesamt stechen vier Haupterkenntnisse aus der Umfrage ins Auge:

Erkenntnis 1: Ransomware-Angreifer versuchen fast immer, Ihre Backups zu kompromittieren. Bei 94 Prozent der Unternehmen, die im vergangenen Jahr von Ransomware betroffen waren, haben die Cyberkriminellen während des Angriffs versucht, auch die Backups zu kompromittieren.

Erkenntnis 2: Die Erfolgsquote bei Kompromittierungen variiert stark je nach Branche. Uber allen Branchen hinweg waren durchschnittlich 57 Prozent der Backup-Kompromittierungsversuche erfolgreich. Interessanterweise gibt es aber große Unterschiede in den unterschiedlichen Branchen, von 79 Prozent in den Sektoren Energie, Öl/Gas und Versorgung bis 30 Prozent für die Bereiche IT, Technologie und Telekommunikation.

Erkenntnis 3: Lösegeldforderungen verdoppeln sich, wenn Backups kompromittiert werden. Opfer, deren Backups kompromittiert wurden, erhielten im Durchschnitt mehr als doppelt so hohe Lösegeldforderungen wie diejenigen, deren Backups nicht betroffen waren. Die durchschnittlichen Lösegeldforderungen lagen bei 2,3 Millionen US-Dollar (Backups kompromittiert) und 1 Million US-Dollar (Backups nicht kompromittiert).

Erkenntnis 4: Die Kosten für die Wiederherstellung nach einem Ransomware-Angriff sind achtmal höher, wenn Backups kompromittiert sind. Durch Ransomware verursachte Ausfälle haben, neben potenziellen Lösegeldzahlungen, häufig erhebliche Auswirkungen auf den täglichen Geschäftsbetrieb. Zudem ist die Wiederherstellung von IT-Systemen komplex und teuer. Die durchschnittlichen Gesamtkosten für die Wiederherstellung nach einer Ransomware-Attacke betrugen bei Organisationen, deren Backups kompromittiert wurden, durchschnittlich 3 Millionen US-Dollar. Das entspricht der achtfachen Summe im Vergleich zu Organisationen, deren Backups nicht betroffen waren und die durchschnittlich 375.000 US-Dollar aufwenden mussten.

Alle Details zu der Backup-Umfrage können im englischen Blogartikel „The impact of compromised backups on ransomware outcomes“ nachgelesen werden.

Wichtige Tipps für den Schutz von Backups vor Ransomware

Unternehmen können mit Hilfe von Security-Services, wie Managed Detection and Response, böswillige Akteure in der kompletten IT-Infrastruktur rund um die Uhr erkennen und stoppen – noch bevor Systeme und damit auch die Backups kompromittiert werden. Dies hilft insbesondere solchen Unternehmen, die kein eigenes Security Operations Center (SOC) betreiben können oder keine eigenen Security-Spezialisten mit Forensikerfahrung und 24×7-Verfügbarkeit im Team haben.

Zudem ist es sinnvoll, das Backup mit dem Security-Ökosystem zu integrieren. Die Backup-Systeme sollten ähnlich wie alle Endpoints kontinuierlich und aktiv vor Ransomware und anderen böswilligen Beschädigungen geschützt sein. Besonders wirkungsvoll ist der Schutz dann, wenn die Security oder die Security-Services ein fester Bestandteil der Backup-Lösungen sind, wie es beispielsweise Sophos in Kooperation mit Arcserve und Veeam realisiert.

Darüber hinaus können die folgenden drei Tipps die Gefahren eines Ransomware-Angriffs erheblich reduzieren:

  • Regelmäßig Erstellen von Backups und das Speichern an mehreren Orten, beispielsweise nach der 3-2-1-Regel.
  • Aktivierung einer MFA (Multi-Faktor-Authentifizierung), insbesondere bei Cloud-Backup-Konten, um zu verhindern, dass Angreifer Zugriff erhalten.
  • Regelmäßiges Testen und Üben der Daten-Wiederherstellung aus den Backups. Je fließender der Wiederherstellungsprozess beherrscht wird, desto schneller und einfacher können sich Unternehmen von einem Angriff erholen.
  • Security-Monitoring und Überwachung der Backups, um rechtzeitig verdächtige Aktivitäten von potenziellen Angreifern zu erkennen und darauf zu reagieren.
Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber.