F-Secure findet tausende Lücken in Unternehmensnetzwerken

In fast 85.000 Fällen boten vor allem falsch konfigurierte Systeme und ungepatchte Software Angreifern die Möglichkeit, das Unternehmensnetzwerk zu infiltrieren. [...]

Eine im Frühjahr 2016 durchgeführte Untersuchung von Firmennetzwerken durch den IT-Security-Anbieter F-Secure identifizierte tausende von schwerwiegenden Sicherheitslücken, durch die sich Angreifer unbemerkt Zugang zu den Unternehmen verschaffen hätten können. Das Unternehmen nutze dazu F-Secure Radar, seine Vulnerability Scanning- und Managementlösung für Software-Schwachstellen. Entdeckt wurden zehntausende Fälle von falsch konfigurierten Systemen, ungepatchter Software und anderen Anfälligkeiten. F-Secure sieht darin einen klaren Beweis, dass viele Unternehmen über keinen ausreichenden Überblick ihrer Netzwerke verfügen.

Die im Rahmen der Untersuchung hundert häufigsten in Firmennetzwerken erkannten Schwachstellen, konnten insgesamt in fast 85.000 Fällen nachgewiesen werden. In etwa sieben Prozent dieser Fälle ist die Sicherheitsschwäche – laut den Richtlinien der National Vulnerability Database – als „schwerwiegend“ einzustufen. Fast die Hälfte dieser schwerwiegenden Sicherheitslücken waren ausnutzbar und könnten es Angreifern erlauben, durch die Ausführung von Remote-Code die Kontrolle über infiltrierte Systeme zu erlangen. Und fast alle dieser ausnutzbaren Schwachstellen wären F-Secure zufolge durch die richtigen Software-Patches oder ganz simple administrative Änderungen leicht zu beheben gewesen.

„Sollten Angreifer eine dieser schwerwiegenden Schwachstellen ausfindig machen, verheißt das nichts Gutes für das Unternehmen“, so Jarno Niemelä, Lead Researcher, F-Secure Labs. „Die Tatsache, dass wir tausende Probleme dieses Kalibers entdecken konnten, deutet bei den betroffenen Unternehmen auf einige gravierende Sicherheitsdefizite hin. Entweder werden hier keine Patch-Management-Programme verwendet oder Teile des Netzwerks bei der administrativen Wartung schlichtweg vergessen. Die zugrunde liegenden Ursachen machen dabei aber keinen Unterschied, denn das Resultat ist und bleibt eine Unmenge von Angriffsmöglichkeiten, die nur darauf warten, von Hackern ausgenutzt zu werden.“

Das Ergebnis unterstreicht dabei ein weiteres Mal die oft angemahnte Bedeutung grundlegender Sicherheitsmaßnahmen und deren gewissenhafte Umsetzung. Laut dem amerikanischen Computer Emergency Readiness Team könnten mit einigen, unkomplizierten Schritten, wie dem Patchen anfälliger Software, bis zu 85 Prozent gezielter Cyber-Attacken verhindert werden.

SICHERHEITSLÜCKEN – EIN PARADIES FÜR HACKER

Während die Untersuchung tausende von schwerwiegenden Schwachstellen ausfindig machen konnte, stellten sich falsch konfigurierte Systeme als weitaus häufigeres Problem heraus. Die zehn meist erkannten Sicherheitsschwächen waren von niedriger oder mittlerer Schwere, machten aber 61 Prozent aller identifizierten Schwachstellen aus. Und obwohl diese Probleme nicht dieselbe Gefahr wie Hochrisiko-Sicherheitslücken darstellen, ermutigen sie Hacker, das Netzwerk weiter zu testen und nach anderen Schwächen zu suchen.

„An sich betrachtet, erscheinen diese Probleme nicht besonders kritisch, aber Hacker sehen in jeder dieser kleineren Schwachstellen das Cyber-Security-Äquivalent einer Einladung zum Angriff“, warnt Rüdiger Trost, Sicherheitsexperte bei F-Secure. „Über viele dieser Schwachstellen kann man einfach nur durch bloßes Surfen im Web stolpern. Und selbst wenn ein Hacker keinen Angriff geplant hatte, die Versuchung, dieser ‚Einladung‘ zu folgen und zu schauen, was passiert, ist groß. Im besten Fall können sich Unternehmen über eine informative E-Mail freuen, die sie über das Problem unterrichtet. Im schlimmsten Fall sind Cyber-Kriminelle bereits dabei, erste Aufklärungen in Vorbereitung eines gezielten Angriffs durchzuführen.“

ÜBERBLICK ESSENZIELL FÜR PRÄVENTION

F-Secure Radar ist eine nach dem PCI Security Standards Council zugelassenen Approved Scanning Vendor zertifizierte Software-Lösung zur Erkennung von Schwachstellen. Sie verleiht Firmen einen Überblick ihres Netzwerks und identifiziert Sicherheitslücken, über die Angreifer in ihre Systeme eindringen könnten. F-Secure Radar verfügt über verschiedene Scan-Optionen und stuft erkannte Sicherheitslücken automatisch nach ihrem Risikograd ein. Mit Hilfe der Scans können sich Unternehmen eine Übersicht der in ihr Netzwerk integrierten Systeme verschaffen, ihre Web-Applikationen – und den Angaben zufolge selbst maßgeschneiderte, auf individuelle Netzwerke und Infrastruktur abgestimmte APIs – überprüfen und veraltete, nicht gepatchte oder falsch konfigurierte Teile ihres Netzwerks identifizieren.

Rune Kristensen, Leiter des F-Secure Radar Service: „Die lückenlose Übersicht des eigenen Netzwerks ist unabdingbar für eine erfolgreiche Angriffsprävention, und wir planen, Radar in dieser Hinsicht noch weiter zu verbessern, Firmen noch mehr Überblick zu verschaffen. Viele Unternehmen lagern zum Beispiel gewisse Dienstleistungen an externe Partner aus, ohne aber dabei entsprechende Sicherheitsvorkehrungen zu treffen oder sogar ihre eigenen IT-Mitarbeiter zu informieren. Wir arbeiten daran, unsere Scans auch auf in Unternehmensnetzwerke integrierte Fremdleistungen auszuweiten, und somit einen dringend benötigten Einblick in die Anfälligkeiten der Datenversorgungskette zu bieten, durch die Unternehmen Angriffen ausgesetzt werden könnten.“

Unternehmen können F-Secure Radar entweder als selbst-verwaltetes Lizenzprodukt erwerben oder sich für den von F-Secure angebotenen Service entscheiden. Zusätzlich zu den in vereinbarten Abständen durchgeführten Netzwerkscans, bietet der Service außerdem weitere Unterstützung in Form von ausführlicher Reports und Expertenberatung beim Eliminieren und Minimieren von Sicherheitsschwachstellen. Derzeit ist das Angebot, welches sich vor allem an mittlere bis große Unternehmen richtet, im deutschsprachigen Raum noch nicht verfügbar – soll es aber bald sein. (pi/rnf)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*