Rapid7 Labs haben die Ergebnisse ihres Industry Cyber-Exposure Reports „Deutsche Börse Prime Standard 320“ veröffentlicht. [...]
In dem Report zeigt Rapid7 auf, wie gut die 320 als Prime Standard an der Deutschen Börse gelisteten Unternehmen (DB 320) gegen Cyber-Kriminalität geschützt sind. Die Untersuchung wurde 2019 im dritten Quartal durchgeführt. Die Ergebnisse zeichnen ein überraschendes Bild:
Die untersuchten DB 320-Unternehmen bieten im Durchschnitt eine öffentliche Angriffsfläche von 88 Servern/Geräten, viele der Unternehmen sogar von über 300 Systemen/Geräten. Von den 320 Unternehmen hatten 295 (91%) schwache oder nicht vorhandene Anti-Phishing-Abwehrsysteme (wie beispielsweise DMARC) in der öffentlichen E-Mail-Konfiguration ihrer primären E-Mail-Domänen, wobei 10 (3%) sogar ungültige MX-Datensätze aufwiesen. Dies ist das schwächste Anti-Phishing-Ergebnis aller bisher von Rapid7 durchgeführten Industry Cyber Exposure Reports (ICERs) und übertrifft im negativen Sinne sogar die Ergebnisse der Nikkei 225-Studie (Japan) um 1%.
Besucher von Unternehmensseiten teilweise schlecht geschützt
Während die Mehrheit (94%) der untersuchten großen Unternehmenswebsites SSL/TLS-Verschlüsselung anbieten, wurden diese wichtige Sicherheits- und Datenschutzmaßnahme auf den Hauptwebsites von 21 (6%) der DB 320-Unternehmen nicht implementiert. Dadurch sind die Besucher ungeschützt einer Vielzahl von potenziell verheerenden Angriffen ausgesetzt, welche die Webinhalte während der Übertragung manipulieren können. Die Entdeckung einer solchen Sicherheitslücke selbst bei den führenden Unternehmen Deutschlands deutet darauf hin, dass es wahrscheinlich noch höhere Risiken in kleineren Unternehmen mit weniger personellen und finanziellen Ressourcen zur Sicherung ihrer öffentlichen Internetressourcen gibt.
In 11 von 19 untersuchten Branchen, die von den DB 320 abgedeckt werden, war mindestens mindestens ein Unternehmen mit Malware infiziert. Insbesondere Industrie- und Softwareunternehmen wurden regelmäßige Kompromittierungen festgestellt. Die Vorfälle reichten branchenübergreifend von der Zweckentfremdung von Unternehmensressourcen für Denial-of-Service (DoS)-Angriffe bis hin zu EternalBlue-Kampagnen ähnlich wie WannaCry und NotPetya.
Die meisten der Unternehmen nutzen in ihren internetfähigen Systemen Dienste, die auf veralteter Software aufbauen. Aus dem öffentlichen Domain Name Systems (DNS)-Metadaten konnten bei 82 Unternehmen der DB 320 festgestellt werden, dass sie zwischen zwei und zehn Cloud Service Provider benutzen. Diese Informationen können unter anderem dazu verwendet werden, hochwirksame Angriffe zu starten. Hochgradig unsichere Dienste wie Telnet und Windows SMB File-Sharing wurden glücklicherweise nur von einer Handvoll Unternehmen eingesetzt.
Rapid7 untersuchte signifikante Sicherheitsindikatoren
Um den aktuellen Grad der Angriffe auf Unternehmen in Deutschland zu verstehen, hat Rapid7 die im Internet veröffentlichten Dienste der DB 320 untersucht. Gemessen wurden die Gesamtangriffsfläche (die Anzahl der exponierten Server/Geräte), das Vorhandensein von gefährlichen oder unsicheren Diensten, die Phishing-Abwehrmaßnahmen, schwache Konfigurationen öffentlicher Dienste und Metadaten sowie die Abhängigkeitsrisiken von den Webdiensten Dritter.
Tod Beardsley, Forschungsdirektor von Rapid7, sagte: „Es ist erstaunlich, dass gerade in Deutschland, das bei Sicherheitsfragen extrem sensibel agiert und immer wieder auf Sicherheitsprobleme hinweist, viele Unternehmen gravierende Sicherheitsmängel haben. Wir können den Unternehmen nur raten, die Angriffsflächen deutlich zu reduzieren, DMARC zu implementieren, das Risiko durch Drittanbieter-Services zu minimieren und auf den Einsatz von Windows SMB sowie Telnet prinzipiell zu verzichten.“
Be the first to comment