Hackerone: 20 Prozent mehr Software-Schwachstellen

Security Report 2021 von Hackerone: ethische Hacker meldeten in den vergangenen zwölf Monaten mehr als 66000 Sicherheitslücken in Unternehmen. [...]

(c) hackerone.com

Die Sicherheitsplattform Hackerone hat seinen neuesten Hacker-Powered Security Report veröffentlicht. Daraus geht hervor, dass Hacker in diesem Jahr mehr als 66000 verifizierte Schwachstellen gemeldet haben – über 20 Prozent mehr als im Vorjahr. Dabei ist die Zahl der gemeldeten Schwachstellen durch Hacker-Pentests um 264 Prozent gestiegen. Die durch die Pandemie beschleunigte, digitale Transformation sowie die Cloud-Migration sorgen weiterhin für Schwachstellen. Nicht zuletzt, da sich hierdurch die Angriffsflächen vergrößern und Dienste vermehrt ausgelagert werden.

Der jährlich erscheinende „Hacker-Powered Security Report: Industry Insights“ bietet einen Einblick in die Datenbank für Schwachstellen und Bug-Bounty-Programme. Wie aus dem diesjährigen Bericht hervorgeht, sind die in den vergangenen 12 Monate gezahlten Prämien (Bug Bounties) für schwerwiegende und kritische Schwachstellen gestiegen, da Unternehmen diesen schwerwiegenden Fehlern Priorität einräumen.

Der Bericht zeigt außerdem, dass Unternehmen Schwachstellen schneller als je zuvor beheben, da das Schwachstellenmanagement zunehmend Priorität genießt. Ferner liefert der Bericht neueste Daten zu den Top-10-Schwachstellen. Aus ihnen geht hervor, welche Anstrengungen zur Behebung von Schwachstellen vorrangig unternommen werden und für welche Informationen zu Sicherheitslücken die Unternehmen am meisten Geld ausgeben wollen.

Weitere wichtige Ergebnisse des Berichts:

  • Die Nutzung von Sicherheitsprogrammen unter Einbeziehung von Hackern nimmt in allen Branchen zu. Die Gesamtanzahl der Kundenprogramme wuchs 2021 um 34 Prozent.
  • Die traditionell konservativen Sektoren Finanzdienstleistungen und Behörden sind weiterhin führend bei der Einführung Hacker-gestützter Sicherheitsprogramme, mit einem Anstieg von 62 Prozent bei den Initiativen der Finanzdienstleister beziehungsweise 89 Prozent im Falle von Behörden. Beispielhaft standen für diesen Trend in diesem Jahr die Programme des britischen Verteidigungsministeriums sowie der GovTech-Behörde in Singapur.
  • Im laufenden Jahr meldeten Hacker 21 Prozent mehr Schwachstellen als 2020. Während bei den traditionellen Bug-Bounty-Programmen die Zahl der validierten Schwachstellenmeldungen um 10 Prozent zunahm, verzeichneten die Vulnerability Disclosure Programs (VDPs) einen Anstieg um 47 Prozent. Die Meldungen der Hacker-gestützten Pentests wuchsen um 264 Prozent.
  • Der Durchschnittspreis für einen kritischen Bug stieg um 20 Prozent von 2500 Dollar im Jahr 2020 auf 3000 Dollar im Jahr 2021. Die durchschnittlich gezahlte Prämie für eine kritische Schwachstelle wuchs um 13 Prozent – und um 30 Prozent für einen Fehler mit hohem Schweregrad.
  • Im vergangenen Jahr sank die durchschnittliche Zeit bis zur Behebung eines Fehlers branchenweit um 19 Prozent von 33 Tagen auf 26,7 Tage, wobei in einigen Branchen wie dem Einzelhandel und dem E-Commerce die Zeit bis zur Behebung um mehr als 50 Prozent abnahm.
  • Der am häufigsten entdeckte Fehler, der über die Plattform von Hackerone gemeldet wurde, bestand nach wie vor im Cross Site Scripting, aber auch in anderen Fehlerkategorien ist die Zahl der Meldungen seit 2020 deutlich gestiegen. Information Disclosure (Offenlegung von Informationen) verzeichnete einen Anstieg von 58 Prozent bei den validierten Berichten und Business Logic Errors (Geschäftslogikfehler) einen Anstieg von 67 Prozent, was dieser Schwachstelle zum ersten Mal einen Platz in den Top 10 einbrachte.

Den vollständigen Bericht können Sie hier abrufen.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*