2014 gerieten eine Milliarde Datensätze in falsche Hände
Der aktuellen Ausgabe des Sicherheitsberichts von IBMs X-Force zufolge sind 2014 eine Milliarde Datensätze mit personenbezogenen Daten Unbefugten in die Hände gefallen. Das sind rund 20 Prozent mehr als noch 2013 und mehr als dreimal so viel wie 2012. Mit 74,5 Prozent aller Vorfälle führen die USA die Rangliste der Länder mit dem höchsten Gefahrenpotenzial an. Dies ist den IBM-Experten allerdings vor allem auf die strengeren Vorschriften zur Meldung von Sicherheitslücken zurückzuführen. Oder anders gesagt: In anderen Ländern ist die Dunkelziffer wesentlich höher.
Auf Deutschland entfallen nach den offiziell verfügbaren Angaben 1,5 Prozent der Vorfälle, die zum Abfluss personenbezogener Daten führten. Am gefährdetsten sind Daten dem Bericht zufolge in Europa in Großbritannien (3,4 Prozent). Vor Deutschland liegt noch Frankreich (2,7 Prozent), dahinter folgen Belgien und Polen (jeweils 1,1 Prozent).
Dem IBM X-Force Threat Intelligence Quarterly für das vierte Quartal – und zugleich das Gesamtjahr 2014 – kamen zudem im letzten Dreimonatszeitraum 2014 mehr neue Sicherheitslücken an die Öffentlichkeit, als jemals zuvor in den 18 Jahren, in denen es den Bericht nun gibt. Der Wert von 9200 liegt 9,8 Prozent über dem des Vorjahres.
Von den Lücken waren Produkte von 2600 Herstellern betroffen. Allerdings trägt zum Rekordwert insbesondere bei, dass seit September ein großer Anteil an den neu registrierten Sicherheitslücken auf Android Apps entfällt, die fälschlicherweise SSL-Zertifikate validieren. Diese Kategorie alleine sorgt für rund 15 Prozent der Neuregistrierungen.
“Entwickler kommen mit dem Patchen von Sicherheitslücken kaum noch hinterher”, sagt Gerd Rademann, Business Unit Executive, IBM Security Systems DACH. “Zudem tauchen kritische Fehler immer öfter in Systemen oder Softwarebibliotheken auf, die die Basis für eine Vielzahl von Anwendungen bilden und damit ein großes Gefahrenpotenzial aufweisen.” Beispiele dafür sind etwa “Heartbleed” und “Shellshock“.
Aber obwohl diese beiden 2014 für viel Aufsehen sorgten, entfallen von den tatsächlichen Angriffen – zumindest denen, bei denen der Angriffsvektor bekannt ist – nur vergleichsweise wenig darauf. Bei Heartbleed, das in dem IBM-Bericht extra ausgewiesen ist, sind es etwa 0,8 Prozent. Das sind wesentlich weniger als zum Beispiel auf Brute-Force-Attacken (1,9 Prozent) oder Fehlkonfigurationen (3,4 Prozent).
Bedauerlich ist, dass jedoch 40,2 Prozent der erfolgreichen Angriffe keiner Kategorie zugeordnet werden können, da darüber keine Aussagen vorliegen. Das schwächt auch die Aussagekraft der Statistik insgesamt.
Bemerkenswert an dem Bericht ist, dass DDos-Angriffe inzwischen zusammen mit Malware (beide je 17,2 Prozent) die beiden häufigsten, bekannten Angriffsarten darstellen. SQL Injection folgt mit 8,4 Prozent auf Rang drei. Insbesondere der hohe Wert für DDos-Angriffe dürfte viele überraschen. Letztendlich bestätigen sich aber damit aber Aussagen von Firmen wie Arbor Networks, wonach sich die Häufigkeit derartiger Angriffe im vergangenen Jahr verdoppelt hat.