Skip to content
RiverCore
Bitdefender-Studie: Unternehmen drängen Mitarbeiter, Datenpannen zu vertuschen
data breach concealmentcybersecurityransomwarecompanies hiding data breaches from regulatorsbreach disclosure pressure study

Bitdefender-Studie: Unternehmen drängen Mitarbeiter, Datenpannen zu vertuschen

6 Jul 20267 Min. LesezeitJames O'Brien

In jeder alten Redaktion gab es eine abgeschlossene Schublade im Schreibtisch des Chefredakteurs, in der unbequeme Geschichten verschwanden. Man hörte Jahre später davon, meist wenn der Anwalt bereits in Rente war und das Unternehmen längst verkauft worden war. Moderne Sicherheitsteams, so stellt sich heraus, arbeiten mit der gleichen Schublade. Nur liegt darin heute keine unbequeme Geschichte mehr, sondern eine Ransomware-Notiz.

Eine neue Bitdefender-Studie, über die Cybersecurity Insiders berichtet, legt etwas offen, das die meisten CISOs erst nach dem zweiten Bier zugeben würden: Viele Unternehmen bitten ihre eigenen Mitarbeiter still und leise darum, Datenpannen zu begraben. Diese Schublade wird immer schwerer, und das Schloss ist längst nicht so stabil, wie das Management glaubt.

Was passiert ist

Die Kernaussage der Bitdefender-Studie ist unmissverständlich. Eine erhebliche Anzahl von Cybersicherheitsexperten berichtet, dass sie von ihren Arbeitgebern gebeten wurden, Datenpannen zu verbergen oder nicht zu melden. Rund 55 % der befragten Mitarbeiter gaben an, dass sie davon abgehalten oder daran gehindert wurden, Sicherheitsvorfälle offen innerhalb ihrer eigenen Organisationen zu besprechen. Das ist kein Kommunikationsproblem. Das ist eine Richtlinie, ob jemand sie schriftlich festgehalten hat oder nicht.

Der Kontext dieser Zahl ist entscheidend. Mehr als die Hälfte der Befragten gab an, dass ihre Arbeitgeber in den vergangenen zwölf Monaten häufigen Cyberangriffsversuchen ausgesetzt waren. Die üblichen Verdächtigen tauchten in voller Stärke auf: Business Email Compromise, unbefugter Zugriff auf Cloud-Dienste und Ransomware-Infektionen. Nichts davon ist exotisch. Es ist der alltägliche Betrieb in jedem SOC – der langweilige Teil, der nie auf der Keynote eines Anbieters erwähnt wird.

Bitdefender beschreibt dies als eine wachsende Kommunikationslücke zwischen Unternehmensführung und Cybersicherheitsteams. Das ist die höfliche Formulierung. Die direktere Übersetzung lautet: Führungskräfte, die mit Offenlegungspflichten, Regulatorenprüfungen und Aktienkursnervosität konfrontiert sind, würden es vorziehen, wenn ihre Sicherheitsingenieure so täten, als hätten die Protokolleinträge nie existiert. Cybersicherheitsexperten und Strafverfolgungsbehörden sagen seit Jahren das Gegenteil: frühzeitig und umfassend melden und die Incident-Responder ihre Arbeit machen lassen. In vielen Rechtssystemen machen Datenschutzgesetze diesen Rat zu einer harten rechtlichen Anforderung, mit Meldefristen, die in Stunden oder Tagen gemessen werden.

Wenn man noch den KI-Aspekt hinzufügt, wird es noch besorgniserregender. Die Befragten von Bitdefender sind der Meinung, dass Angreifer derzeit mehr Nutzen aus KI ziehen als Verteidiger. Automatisiertes Phishing, überzeugendes Social Engineering-Material, Schwachstellenentdeckung in großem Maßstab: Alles ist für die Angreifer günstiger als früher. Und den Verteidigern wird gesagt, sie sollen schweigen.

Technische Analyse

Die Mechanik einer Vertuschung ist interessanter als sie klingt. Wenn eine Datenpanne unterdrückt wird, geschieht das selten sauber. Jemand im SOC hat den Alert gesehen. Jemand hat ein Ticket eröffnet. Jemand hat einen PCAP gezogen. Dann entscheidet ein Manager – oder der Manager seines Managers –, dass der Vorfall als „Fehlkonfiguration" oder „Hygiene-Befund" eingestuft werden soll, und das Ticket ändert still und leise seine Form.

Wer jemals in Echtzeit beobachtet hat, wie ein Incident-Ticket herabgestuft wurde, weiß genau, wie das abläuft. Die IOCs landen in einem privaten Kanal statt im gemeinsamen Threat-Intel-Feed. Der forensische Zeitstrahl endet beim ersten Zugriff, anstatt der lateralen Bewegung zu folgen. Das betroffene System wird neu aufgesetzt, ohne eine ordentliche Speicherabbildung durchzuführen. Wenn ein externer Prüfer schließlich die unangenehme Frage stellt, sind die Beweise verschwunden und die Geschichte klingt glatt.

Das ist der technische Preis des Schweigens. Man verliert die Artefakte, die es ermöglichen, das Verhalten eines Angreifers auf ein Framework wie MITRE ATT&CK abzubilden, was bedeutet, dass man nicht erkennen kann, ob derselbe Akteur sechs Wochen später durch eine andere Tür zurückkommt. Man verliert die CVE-Korrelation, sodass das Patchen reaktiv bleibt. Man verliert die Fähigkeit, Indikatoren mit Kollegen zu teilen – das einzige, was eine koordinierte Kampagne zuverlässig abbremst.

Gleichzeitig wird das Werkzeugset der Angreifer schärfer. KI-generierte Phishing-Köder weisen nicht mehr die verräterischen Grammatikfehler auf, die früher die Mail-Filter ausgelöst haben. Social-Engineering-Nachrichten können mithilfe öffentlich zugänglicher Daten auf jeden Empfänger individuell zugeschnitten werden. Schwachstellenscanner mit LLM-Wrapper können Befunde über die gesamte Cloud-Infrastruktur eines Ziels schneller verknüpfen als ein menschlicher Red-Teamer. Wenn BEC, Cloud-Account-Takeover und Ransomware die drei größten Bedrohungen sind und Verteidiger aktiv Daten darüber verstecken, hört die Asymmetrie auf, theoretisch zu sein. Sie ist das gesamte Spiel.

Wer den Schaden hat

Die offensichtlichen Verlierer sind die Kunden, deren Daten sechs Monate später auf einer Leak-Website landen. Aber die interessantere Schadensliste ist intern.

Regulierte Branchen sind zuerst exponiert. Zahlungsdienstleister, iGaming-Betreiber und Fintech-Plattformen unterliegen allesamt Offenlegungsregimen mit echten Konsequenzen. Wenn Bitdefenders Zahlen auch nur annähernd repräsentativ für die Branche sind, dann sitzen ein erheblicher Teil dieser Unternehmen auf Vorfällen, die sie dem zuständigen Regulator nicht gemeldet haben, obwohl sie dazu gesetzlich verpflichtet waren. Das ist keine hypothetische Geldstrafe. Das ist ein Ereignis auf Vorstandsebene, das auf eine Vorladung wartet.

Krypto- und DeFi-Teams haben eine andere Variante desselben Problems. Öffentliche Blockchains bedeuten, dass On-Chain-Beweise eines Exploits meist innerhalb von Minuten sichtbar sind, aber der Off-Chain-Abschlussbericht – der Teil, der erklärt, wie die privaten Schlüssel durchgesickert sind oder wie das Multisig sozial manipuliert wurde – erscheint oft nie. Nutzer verlieren das Vertrauen schneller, wenn das Schweigen laut ist.

Ad-Tech- und Enterprise-SaaS-Anbieter stehen vor dem Pipeline-Problem. Jeder nicht gemeldete Cloud-Account-Takeover ist ein aktives Credential irgendwo im Slack eines Kunden oder im Snowflake eines Partners. Wenn es schließlich auftaucht, taucht es als Supply-Chain-Geschichte auf, und der Anbieter ist der Bösewicht – egal ob die ursprüngliche Kompromittierung seine Schuld war oder nicht.

Und dann die Sicherheitsingenieure selbst. Die 55 %, die angaben, davon abgehalten worden zu sein, über Vorfälle zu sprechen, werden nicht ewig bei diesen Arbeitgebern bleiben. Die Guten gehen und nehmen ihr institutionelles Gedächtnis mit. Die, die bleiben, lernen, leisere Tickets zu erstellen. Keines dieser Ergebnisse ist das, was ein CTO, der die nächste SOC 2-Verlängerung unterzeichnet, auf der Liste haben möchte.

Handlungsempfehlungen für Sicherheitsteams

Der wichtigste Schritt dieser Woche ist kein neuer Werkzeugkauf. Es ist ein Richtlinien-Audit.

Beginnen Sie mit Ihrer Incident-Klassifizierungsmatrix. Wer hat die Befugnis, ein Sev-2 auf ein Sev-4 herabzustufen, und wird diese Entscheidung in einem System protokolliert, das der Vorgesetzte des CISO nicht still und leise bearbeiten kann? Falls die Antwort nein lautet, ist das die erste Korrektur. Unveränderliche Incident-Logs, außerhalb der Reichweite derjenigen gespeichert, die davon profitieren, einen Vorfall verschwinden zu lassen, sind die günstigste Maßnahme, die Sie in diesem Quartal einführen werden.

Schauen Sie sich als nächstes Ihren Meldezeitplan an. Schreiben Sie für jede Rechtsordnung, in der Sie tätig sind, die Meldefrist und den auslösenden Ereignistyp auf. Hängen Sie es wenn nötig an die Wand des SOC. Wenn ein Führungskraft später vorschlägt, „auf Gewissheit zu warten", hat der diensthabende Ingenieur etwas Konkretes, auf das er zeigen kann.

Drittens: Bauen Sie einen sicheren Meldekanal auf, der nicht über den Manager läuft, der möglicherweise einen Anreiz hat, das Ticket zu unterdrücken. Ein Ombudsmann, eine externe Hotline, ein Prüfkontakt auf Vorstandsebene: Wählen Sie eine Option und veröffentlichen Sie sie. Bitdefenders Befund ist im Wesentlichen eine Whistleblower-Geschichte im Gewand einer Umfrage, und die Lösung ist dieselbe, die jedes Whistleblower-Framework verwendet.

Investieren Sie schließlich in KI auf der Verteidigerseite, aber tun Sie es mit offenen Augen. LLM-gestützte Triage, automatisierte IOC-Anreicherung und Phishing-Klassifikatoren kaufen Zeit zurück. Sie kaufen keine Unternehmenskultur zurück, die Ehrlichkeit bestraft. Werkzeuge allein werden die Lücke, die die Studie beschreibt, nicht schließen.

Wichtigste Erkenntnisse

  • Die Bitdefender-Studie zeigt, dass rund 55 % der befragten Mitarbeiter davon abgehalten wurden, Sicherheitsvorfälle offen innerhalb ihrer Organisationen zu besprechen.
  • Mehr als die Hälfte der Befragten berichtete von häufigen Cyberangriffsversuchen in den letzten 12 Monaten, wobei BEC, Cloud-Account-Takeover und Ransomware ganz oben auf der Liste standen.
  • Vertuschte Datenpannen geben Angreifern mehr Verweildauer, vernichten forensische Beweise und setzen Unternehmen rechtlichen und reputationsbezogenen Schäden aus, die den ursprünglichen Vorfall bei weitem übersteigen.
  • Befragte sind der Meinung, dass Angreifer derzeit mehr Nutzen aus KI ziehen als Verteidiger – bei Phishing, Social Engineering und der Entdeckung von Schwachstellen.
  • Die Lösung ist struktureller Natur: unveränderliche Incident-Logs, veröffentlichte Meldefristen und Meldekanäle, die an Managern mit einem Anreiz zum Schweigen vorbeigehen.

Die abgeschlossene Schublade im Schreibtisch des Chefredakteurs wurde immer irgendwann geöffnet – meist von jemandem, der dort nicht mehr arbeitete. Sicherheitsvorfälle folgen der gleichen Regel. Die einzige Wahl, die ein Unternehmen wirklich hat, ist, ob die Schublade vom eigenen Team, nach eigenem Zeitplan, geöffnet wird – oder von einem Angreifer, der auf einer Leak-Website seine Runde dreht. Im Moment, so Bitdefender, wählen die meisten Unternehmen standardmäßig die zweite Option.

Häufig gestellte Fragen

F: Was hat die Bitdefender-Studie konkret zur Vertuschung von Datenpannen ergeben?

Die Studie ergab, dass eine erhebliche Anzahl von Cybersicherheitsexperten von ihren Arbeitgebern gebeten wurde, Datenpannen zu verbergen oder nicht zu melden. Rund 55 % der befragten Mitarbeiter gaben an, davon abgehalten oder daran gehindert worden zu sein, Sicherheitsvorfälle offen innerhalb ihrer Organisationen zu besprechen.

F: Warum ist eine verzögerte Meldung von Datenpannen technisch gesehen ein so großes Problem?

Eine verzögerte Meldung gibt Angreifern mehr Zeit, ihren Zugang auszuweiten und weiteren Schaden anzurichten. Sie vernichtet außerdem forensische Beweise, unterbricht den IOC-Austausch mit Kollegen und verhindert die Zuordnung des Angreiferverhaltens zu bekannten Frameworks, was die Erkennung von Wiederholungseinbrüchen desselben Akteurs erheblich erschwert.

F: Wie verändert KI laut der Studie das Gleichgewicht zwischen Angreifern und Verteidigern?

Viele befragte Experten sind der Meinung, dass Cyberkriminelle derzeit größere Vorteile aus KI ziehen als Verteidiger. Angreifer nutzen sie zur Automatisierung von Phishing-Kampagnen, zur Erstellung überzeugender Social-Engineering-Nachrichten, zur Identifizierung von Schwachstellen und zur Durchführung ausgefeilterer Angriffe in großem Maßstab.

JO
James O'Brien
RiverCore Analyst · Dublin, Ireland
TEILEN
// ÄHNLICHE ARTIKEL
StartseiteLösungenProjekteÜber unsKontakt
News06
Dublin, Irland · EUGMT+1
LinkedIn
🇩🇪DE