Unternehmen bieten seit 2013 mehr Angriffsfläche als jemals zuvor. Gut 80 Prozent aller im Bericht untersuchten Anwendungen enthielten wenigstens eine Schwachstelle, die ihre Ursache außerhalb des jeweiligen Quellcodes hatte. Das ist eines der zentralen Ergebnisse des Cyber Risk Report 2013 von HP Security Research. Die diesjährige Ausgabe macht unter anderem den zunehmenden Einsatz von mobilen Endgeräten, unsicherer Software und Java für diesen Umstand verantwortlich. Außerdem enthält der Report Empfehlungen, wie Organisationen Sicherheitsrisiken minimieren und die Schadenswirkung von Angriffen begrenzen können. [...]
„Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun“, sagt Jacob West, Chief Technology Officer, Enterprise Security Products, HP. „Unternehmen müssen sich zusammentun und sich untereinander über Sicherheits-Informationen und -Taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören.“
SCHLÜSSELERGEBNISSE
Der gezielten Suche nach Schwachstellen („Vulnerability Research“) wurde im vergangenen Jahr mehr Beachtung zuteil als zuvor. Dennoch verringerte sich die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent. Die Zahl der kritischen Schwachstellen nahm um neun Prozent ab, der vierte Rückgang in vier Beobachtungsjahren. Die Rückgänge lassen HP zufolge darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht werden, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt. Dieser Zuwachs ist aber laut HP nicht zu quantifizieren.
Gut 80 Prozent aller im Bericht untersuchten Anwendungen enthielten wenigstens eine Schwachstelle, die ihre Ursache außerhalb des jeweiligen Quellcodes hatte – und beispielsweise durch fehlerhafte Server-Konfigurationen, fehlerhafte Dateisysteme oder zur Anwendung gehörige Beispiel-Dateien verursacht war. Das zeigt: Auch hervorragend programmierte Software kann angreifbar werden, wenn sie falsch konfiguriert wird.
Inkonsistente und voneinander abweichende Definitionen des Begriffs “Malware” erschweren die Analyse von Compliance-Risiken. Beim Untersuchen von über 500.000 mobilen Anwendungen für das Betriebssystem Android entdeckte HP schwerwiegende Unterschiede zwischen dem, was Antiviren-Software-Hersteller als „Malware“ definieren, und den entsprechenden Definitionen von Herstellern mobiler Plattformen.
46 Prozent aller untersuchten mobilen Anwendungen nutzen Verschlüsselungs-Technologien auf falsche Art und Weise. HP-Untersuchungen zeigen, dass viele Entwickler entweder ganz auf die Verschlüsselung von Daten verzichten, die auf mobilen Geräten gespeichert werden. Andere verschlüsseln die Daten zwar, nutzen dafür aber schwache Algorithmen – oder setzen starke Algorithmen so fehlerhaft ein, dass diese unnütz werden.
Microsofts Internet Explorer war die Anwendung, die am häufigsten von Experten der HP Zero Day Initiative (ZDI) geprüft wurde. Durch die Prüfungen wurden mehr als 50 Prozent der bislang bekannten Schwachstellen des Internet Explorers aufgedeckt. Diese Ergebnisse gehen auf Markteinflüsse zurück, auf Grund derer sich die ZDI-Experten vor allem auf Schwachstellen in Microsoft-Anwendungen konzentrieren. Sie treffen keine Aussage über die Sicherheit des Microsoft-Webbrowsers.
„Sandbox-bypass“-Sicherheitslücken waren die häufigsten und gefährlichsten Schwachstellen für Java-Nutzer. Angreifer nutzen solche Schwachstellen, um die Sicherheitsumgebungen („Sandboxes“), in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. Cyber-Kriminelle nutzten Java wesentlich häufiger als früher, um einzelne Ziele anzugreifen. Dabei nutzten sie meist gleichzeitig bekannte und neue („Zero-Day“-) Angriffsvarianten.
EMPFEHLUNGEN FÜR UNTERNEHMEN
Cyberangriffe werden immer häufiger, die Nachfrage nach sicheren Anwendungen wächst. Unternehmen müssen HP zufolge sicherstellen, dass sie unter keinen Umständen Informationen herausgeben, die für Angreifer nützlich sein könnten.
Unternehmen und Entwickler müssen sich zudem ständig der Sicherheitslücken bewusst sein, die sich in Laufzeitumgebungen oder anderer Software Dritter auftun können – das gilt ganz besonders für den Umgang mit hybriden, mobilen Entwicklungsplattformen. Deshalb braucht es robuste Sicherheits-Richtlinien, die dazu beitragen, die Integrität von Anwendungen und die Privatsphäre von Nutzern zu schützen.
Die Angriffsfläche, die eine IT-Umgebung bietet, lässt sich nicht verkleinern ohne Kompromisse bei der Funktionalität einzugehen. Doch mit der richtigen Verbindung aus guten Mitarbeitern, Prozessen und Technologien können Unternehmen ihre Schwachstellen minimieren und ihr Gesamtrisiko erheblich begrenzen, beruhigt HP.
Die unternehmensübergreifende Zusammenarbeit von IT-Sicherheitsexperten und der Austausch von Informationen über Bedrohungen ermöglichen es allen Beteiligten, mehr über das Vorgehen von Angreifern zu lernen und IT-Sicherheit stärker präventiv zu gestalten. Zudem verbessert eine derartige Zusammenarbeit die Schutzwirkung von IT-Sicherheitslösungen und trägt so dazu bei, die IT insgesamt sicherer zu machen.
Der Cyber Risk Report 2013 von HP Security Research kann nach einer Registrierung heruntergeladen werden. (pi/rnf)
Be the first to comment