[English]Es war bisher ein Bauchgefühl von mir, dass insbesondere Microsoft bezüglich Produktqualität und -Sicherheit irgendwie auf einem absteigenden Ast sitzt. Ständige Bugs und Probleme nach Updates, und eine steigende Anzahl erfolgreicher Cyberangriffe auf Microsoft-Produkte sprechen eine deutliche Sprache. Nun bestätigt der CrowdStrike Global Security Attitude Survey 2021 diesen Eindruck, dass das Vertrauen in etablierte IT-Anbieter wie Microsoft sinkt.
Anzeige
Die vom Forschungsunternehmen Vanson Bourne durchgeführte Befragung unter IT-Entscheidungsträgern zeigt, dass Ransomware-Zahlungsforderungen und Erpressungsgebühren massiv ansteigen. 100 % der befragten deutschen Unternehmen, die Lösegeld gezahlt haben, wurden zusätzlich mit weiteren Geldforderungen erpresst, damit erbeutete Daten nicht veröffentlicht oder weiterverkauft werden. Im Gegenzug sinkt das Vertrauen der Unternehmen in etablierte IT-Anbieter wie Microsoft erheblich, 68 % der deutschen Unternehmen verlieren das Vertrauen in traditionelle Anbieter wie Microsoft.
Ich habe die Ergebnisse der Umfrage von CrowdStrike Inc die Tag erhalten. Das ist ein Anbieter von Cloud-basiertem Endpunkt- und Workload-Schutz, der die Umfrage zum Global Security Attitude Survey 2021 vom unabhängigen Forschungsunternehmen Vanson Bourne durchgeführen ließ. Ich fand die Informationen (siehe hier) recht interessant, so dass ich die Kernaussagen im Blog bereitstelle. Michael Sentonas, Chief Technology Officer bei CrowdStrike, meint dazu:
Die Studie zeichnet ein alarmierendes Bild der modernen Bedrohungslandschaft und zeigt, dass Angreifer weiterhin Schwachstellen in veralteten Technologien ausnutzen, um Unternehmen weltweit zu erpressen. Die heutige Bedrohungslage kostet Unternehmen auf der ganzen Welt Millionen von Dollar und verursacht zusätzliche Schäden. Der zunehmend verbreitete Remote-Arbeitsplatz stellt Unternehmen vor immer größere Herausforderungen, da Legacy-Software von Anbietern wie Microsoft sich damit schwertut, in der heutigen beschleunigten digitalen Welt mitzuhalten.
Dies ist ein klarer Aufruf an Unternehmen, ihre Arbeitsweise zu überdenken und die Lieferanten, mit denen sie zusammenarbeiten, strenger zu überprüfen. Die Bedrohungslandschaft entwickelt sich weiterhin in einem beängstigenden Tempo, und es ist offensichtlich, dass moderne Unternehmen einen Cloud-nativen, ganzheitlichen End-to-End-Plattformansatz benötigen, um Bedrohungen schnell zu bekämpfen und zu beseitigen.
Die Kunden sehen sich mit einer Vertrauenskrise gegenüber etablierten Anbietern konfrontiert, da Angriffe auf die Software-Lieferkette weiterhin eine Herausforderung darstellen. Das ergab die Umfrage unter Entscheidungsträgern für die IT in Firmen.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Vertrauenskrise der Anwender in IT-Anbieter
Jüngste Angriffe wie Sunburst und Kaseya haben das Thema Supply-Chain-Angriffe erneut in den Vordergrund gerückt. 68 Prozent der deutschen Befragten gaben zu, dass ihr Unternehmen das Vertrauen in etablierte Anbieter wie Microsoft verloren hat, da es immer wieder zu Sicherheitsvorfällen mit diesen ehemals vertrauenswürdigen Technologieanbietern kommt.
Das Problem ist so weit verbreitet, dass laut Umfrage fast drei Viertel der deutschen Befragten (74 %) bereits von einem Angriff auf die Lieferkette betroffen waren. Es ist klar, dass Unternehmen, die ihre Cyber-Resilienz erhöhen wollen, schnelles Handeln und neuere Technologien benötigen. Denn:
- 45 Prozent der deutschen Befragten hatten in den letzten 12 Monaten mindestens einen Angriff auf die Lieferkette zu verzeichnen.
- 60 Prozent der deutschen Befragten können nicht bestätigen, dass alle ihre Software-Lieferanten in den letzten zwölf Monaten überprüft worden sind.
- 76 Prozent der deutschen Befragten befürchten, dass Angriffe auf die Lieferkette in den nächsten drei Jahren zu einer der größten Bedrohungen für die Cybersicherheit werden.
Ein besonderes Problem stellen Ransomware-Infektionen dar, die in deutschen Unternehmen im Durchschnitt fast 1,5 Millionen Dollar an Kosten verursachen.
Ransomware-Angriffe verursachen große Kosten
Die Umfragedaten deuten darauf hin, dass sich Ransomware-Angriffe weiterhin als effektiv erweisen. Dabei sind die deutschen durchschnittlichen Ransomware-Zahlungen im Jahr 2021 um 26,6 Prozent gestiegen (von 1,09 Millionen US-Dollar im Jahr 2020 auf 1,38 Millionen US-Dollar im Jahr 2021).
Anzeige
Dabei sind auch deutsche Unternehmen durch die Bank von der sogenannten "doppelten Erpressung" betroffen – Angreifer fordern nicht nur ein Lösegeld für die Entschlüsselung von Daten, sondern auch weitere Summen dafür, die erbeuteten Daten nicht weiterzugeben oder zu verkaufen. Die aktuellen Umfragedaten zeigen, dass 100 % der deutschen Unternehmen, die ein Lösegeld gezahlt haben, gezwungen waren, im Durchschnitt zusätzliche Erpressungsgebühren in Höhe von 542.593 US-Dollar zu zahlen. Hier noch einige weitere Ergebnisse der Umfrage:
- 58 Prozent der befragten deutschen Unternehmen waren in den letzten 12 Monaten von mindestens einem Ransomware-Angriff betroffen.
- Fast zwei Drittel (61 %) der hiesigen Unternehmen verfügten nicht über eine umfassende Strategie zur Abwehr von Ransomware.
- Die durchschnittliche Ransomware-Zahlung betrug 1,34 Millionen Dollar in EMEA und 2,35 Millionen Dollar in APAC.
- Die weltweite durchschnittliche Lösegeldzahlung stieg im Jahr 2021 um 63 Prozent auf 1,79 Millionen US-Dollar, verglichen mit 1,10 Millionen US-Dollar im Jahr 2020.
CrowdStrike Intelligence hat beobachtet, dass die durchschnittliche Lösegeldforderung von Angreifern bei 6 Millionen US-Dollar liegt. Auch wenn die Angreifer die geforderten Summen nicht vollständig erhalten, erzielen sie immer noch hohe Gewinne. CrowdStrike führt dies darauf zurück, dass Unternehmen sowohl die Bedrohung als auch ihre Exposition verstehen und auf ihre Fähigkeiten, mit Angreifern zu verhandeln.
Sind die Unternehmen gut aufgestellt?
CrowdStrike meint, dass die Unternehmen sich in die falsche Richtung bewegen, wenn es um die Erkennungs- und Reaktionszeit geht. Der Sicherheitsanbieter ermutigt Unternehmen, die 1-10-60-Regel zu erfüllen. Bei dieser Regel müssen Sicherheitsteams in der Lage sein,
- Sicherheitsverletzungen innerhalb einer Minute zu erkennen,
- sie innerhalb von 10 Minuten zu untersuchen und zu verstehen
- und sie innerhalb von 60 Minuten einzudämmen und zu beseitigen.
In der heutigen digitalen Welt, in der Fernzugriff (Remote-Angriffe) an erster Stelle steht, stehen Unternehmen weiterhin vor großen Herausforderungen bei der Erkennung von Sicherheitsvorfällen, wie die Umfragedaten zeigen:
- Im weltweiten Durchschnitt schätzten die Befragten, dass es 146 Stunden dauern würde, einen Cybersecurity-Vorfall zu erkennen, während es im Jahr 2020 noch 117 Stunden waren.
- Deutsche Unternehmen schätzten, dass sie 120 Stunden benötigen, um einen Cybervorfall zu entdecken, was etwas langsamer ist als die 111 Stunden, die im letzten Jahr gemeldet wurden.
- Nach der Entdeckung benötigen Unternehmen 11 Stunden, um einen Sicherheitsvorfall einzuordnen, zu untersuchen und zu verstehen, und 16 Stunden, um ihn einzudämmen und zu beheben.
- Deutsche Unternehmen schätzten, dass sie für die Einordnung, Untersuchung und das Verständnis eines Sicherheitsvorfalls 8 Stunden benötigen und 15 Stunden, um ihn einzudämmen und zu beheben.
- 70 Prozent der befragten deutschen Unternehmen gaben an, dass ihr Unternehmen einen Sicherheitsvorfall erlitten hat, weil die Angestellten mobil arbeiteten (69 % im weltweiten Durchschnitt).
Im Threat Hunting Report 2021 berichtet CrowdStrike's Falcon OverWatch, dass eCrime-Akteure in der Lage sind, sich innerhalb von durchschnittlich 92 Minuten lateral im Netzwerk eines Unternehmens zu bewegen. Daraus ergibt sich ein scharfer Kontrast zwischen den Fähigkeiten der schnellen Angreifer von heute und den Verteidigern, die zunehmend durch große Mengen von Warnmeldungen und Tools ohne integrierte Workflows gebremst werden. Keine guten Aussichten, schätze ich mal.
CrowdStrike beauftragte den unabhängigen Technologie-Marktforschungsspezialisten Vanson Bourne mit der Durchführung der quantitativen Untersuchung, auf der dieses Whitepaper basiert. Im September, Oktober und November 2021 wurden insgesamt 2.200 leitende IT-Entscheidungsträger und IT-Sicherheitsexperten in den Regionen USA, EMEA und APAC befragt. Sofern nicht anders angegeben, beziehen sich die diskutierten Ergebnisse auf die Antworten der deutschen Befragten (insgesamt 200).
Ähnliche Artikel:
Die wahren Kosten von Cybersicherheitsvorfällen
Cybersicherheit in Unternehmen: Mitarbeiter als Risiko
2015
Ich gehe davon aus, dass sich der Einsatz von M$-Produkten in der deutschen IT-Landschaft durch diese Erkenntnis kaum ändern wird. Bestes Beispiel ist für mich der Hype auf Office 365.🤔
Du meinst sicherlich Microsoft 365 (vormals Office 365 bis März 2020). Ich denke, der Hype wird eines Tages auf Microsoft Viva umschwenken.
Viva ist ein Baustein aus dem M365 Universum und ich würde Loop mehr Anteile geben wie Viva.
Das Microsoft nicht gut abschneidet ist keine wirkliche Überraschung. Das liegt nicht nur an Sicherheitsproblemen oder verbugten Updates, sondern auch am stetigen Trend den Bedarf der Kunden zu ignorieren. Es mag ja sein, dass die Bindung der Kunden an die Cloud profitabel ist, aber ich kenne viele Admins welche damit nicht glücklich sind.
Insbesondere weil auch der Datenschutz faktisch nicht eingehalten werden kann und man somit einem stetigen Risiko ausgesetzt ist.
Bei der Forderung der 1-10-60 Regel im Artikel stellt sich mir gleich die Frage bei welchen Unternehmen das umgesetzt werden soll? Ganze kleine Firmen (bis 50 Mitarbeiter) haben häufig gar keine eigene IT.
Nehmen wir als Mittelstand mal Firmen mit 50 bis 1.000 Mitarbeitern, dann haben diese vielleicht 1 bis 6 Personen in der IT, dazu noch 1 bis 2 Azubis. Wie soll man damit eine Reaktionszeit von 60 Sekunden realisieren? Das muss ja auch Nachts und an Wochenenden und Feiertagen sichergestellt sein.
Die typische Mittelstands IT ist aber in der Regel gar nicht durchgehend besetzt. Auch sind die oben genannten Kräfte keine IT-Sicherheitsabteilung, sondern vor allem im Tagesgeschäft der IT gebunden. Entsprechend muss auch die Frage erlaubt sein, ob diese Kräfte überhaupt fachlich in der Lage sind einen Angriff in 10 Minuten zu analysieren und zu verstehen?
Keine Frage, es wäre toll sagen zu können: 1-10-60, kein Problem, machen wir immer so. Mir fehlt aber irgendwie der Glaube das praktisch funktionieren wird.
Gruß Singlethreaded
> … sondern auch am stetigen Trend den Bedarf der Kunden zu ignorieren.
Das stelle ich mir auch sehr schwierig vor. Es wird hier sicher genug sich widersprechende Interessen geben und welchen Stellenwert hat Sicherheit wirklich? Dazu kommt das IT-Sicherheit ein recht abstraktes Thema ist. Und dann da draußen die noch immer vielen Pappnasen, denen es egal ist, wie es klappt. Es muss nur funktionieren. Gerade den letzten Punkt sehe ich unter den Jugendlichen immer wieder stark ausgeprägt.
OT.: Präsentationen werden auf PDF 'runtergeschrottet, weil Impress so uncool ist und "young professionells" selbstverständlich nur mit PowerPoint arbeitet. Auch ich finde inzwischen PP besser, wenn aber auf dem Präsentationsrechner ein Linux läuft.
Unwissenheit schützt nicht, das gilt überall. Ein Unternehmen das IT in irgendeiner Art nutzt, muss doch auch einen IT "Verantwortlichen" ob als Dienstleister etc an der Hand haben. Die Zeiten sind vorbei, das man auf IT Wissen verzichten kann, ohne geht es nicht mehr, also muss dies auch Budgetiert werden.
Das Vertrauen ist seit _NSAKEY nachhaltig zerstört.
Ist nur kaum in der aktuellen IT-Entscheiderebene bekant.
Fachkräftemangel.
Wow, ein megaspannendes Thema.
Microsoft hat leider seine Probleme, sein BS dicht zu bekommen (PrintNightmare, Exchance, …). Andererseits habe ich selbst die Verweigerungshaltung im Neustrukturieren von Prozessen selbst erlebt. Bestimmt könnte unter Windows die Bedrohungsfläche erheblich minimiert werden, wenn neben einer besser aufgestockten IT auch Mitarbeiter zB durch Trainings für Angriffe sensibilisiert werden würden. Ach, geht nicht, keine Zeit.
Mein Fazit: Um hier mehr Sicherheit zu erreichen, müssen beide Seite aufeinander zu gehen. Vermutlich geschieht das nur in den Firmen, die zuerst gezahlt haben und wenn anschließend der Admin dem Chef erklärt, dass dessen BWL-Lover die IT-Abteilung kaputt gespart hat. Aber, ob der Chef so etwas hören möchte?
wäre alles einfacher wenn sich Microsoft bei seinem Windows darauf konzentrieren würde was es ist: Nen OS ist nen OS ist nen OS und keine aufgeblähte Bloatware!
Dasselbe Spiel bei Office!
Das sie das nicht mehr im Griff haben ist ein selbstgemachtes Problem!
Cloud? Wer seine Daten und Geheimnisse aus der Hand gibt ist eh schon Opfer!
Linux hätte es ja in der Hand, aber die kriegen ja auch nix auf die Reihe … auf dem Desktop, haben die nix zu melden. Man hört zwar immer wieder mal was vom nächsten großen Wurf … und dann? Kommt leider doch nix! Same procedure as every year, James!
Wer genau ist Linux und wo wohnt der?
Habe jetzt meine 18. Linux-Fremdinstallation mit Linux auf einem 9 Jahre alten Notebook vollzogen. Einen Nutzer habe ich zum ersten mal von LMDE auf Solus umgestellt. Resonanz ist positiv.
Selbst Fernwartung brauche ich da nicht mehr …
Du kannst Linux problemlos in den Unternehmensverwaltungen einsetzen. Macht nur kaum jemand, weil die Produktschulungen, pardon, der "Informatikunterricht" in der Schule damals wirklich gefruchtet hat.
Bei meiner Arbeitgeberin wird standardmäßig LibreOffice eingesetzt, aber über den Daumen gepeilt bei ca. 99 % unserer Kunden nur Microsoft Office zum Einsatz. Die Firewalls laufen auf pfSense, was ziemlich cool ist. Ansonsten sieht es mit Linux auch bei uns ziemlich mau aus.
Das Problem ist doch das 99% der Admins kein Linux haben wollen weil sie selber überhaupt keinen Plan von Linux haben!
Es gibt sicher genügend Admins die von Linux keinen Plan haben. Wozu auch? In wie vielen Firmen, die für sie interessant sein können, gibbet Linux?
Zum Punkt Windows gebe ich dir Recht. Microsoft will überall mitspielen und beliebt sein. Beides klappt nicht wirklich.
Beim Office-Paket weiß ich nicht / tendiere ich eher zum Nein. Bei LibreOffice habe ich heute immer mehr das Gefühl, dass die Entwickler am ehesten auf ihre eigenen Ideen hören. Bei Microsoft kann ich mir eher vorstellen, dass es auf Kunden hört. Hier geht gut Schotter rüber.
Persönliche Daten und Cloud? Aktuell müsste deiner Ansicht nach jeder Opfer sein, der persönliche Daten auf seinem PC ablegt.
Nein! – Doch! – Ohh!
Meines Erachtens fehlt es einfach an einer vernünftigen OS alternative. Ein modulares OS das sich an den Bedürfnissen der Enduser, der Unternehmen und der IT Abteilungen anpasst. Ich glaube, wenn ein Großinvestor mal ein paar Milliarden zur Hand nehmen würde, könnte da was großartiges entstehen. Aber leider fehlt es nicht nur an dem Willen die IT Landschaft zu ändern, sondern auch an Visionen.