21. Dezember 2021 Bernhard Lauer*

Hackerone: 20 Prozent mehr Software-Schwachstellen

Security Report 2021 von Hackerone: ethische Hacker meldeten in den vergangenen zwölf Monaten mehr als 66000 Sicherheitslücken in Unternehmen. [...]

(c) hackerone.com

Die Sicherheitsplattform Hackerone hat seinen neuesten Hacker-Powered Security Report veröffentlicht. Daraus geht hervor, dass Hacker in diesem Jahr mehr als 66000 verifizierte Schwachstellen gemeldet haben – über 20 Prozent mehr als im Vorjahr. Dabei ist die Zahl der gemeldeten Schwachstellen durch Hacker-Pentests um 264 Prozent gestiegen. Die durch die Pandemie beschleunigte, digitale Transformation sowie die Cloud-Migration sorgen weiterhin für Schwachstellen. Nicht zuletzt, da sich hierdurch die Angriffsflächen vergrößern und Dienste vermehrt ausgelagert werden.

Der jährlich erscheinende „Hacker-Powered Security Report: Industry Insights“ bietet einen Einblick in die Datenbank für Schwachstellen und Bug-Bounty-Programme. Wie aus dem diesjährigen Bericht hervorgeht, sind die in den vergangenen 12 Monate gezahlten Prämien (Bug Bounties) für schwerwiegende und kritische Schwachstellen gestiegen, da Unternehmen diesen schwerwiegenden Fehlern Priorität einräumen.

Der Bericht zeigt außerdem, dass Unternehmen Schwachstellen schneller als je zuvor beheben, da das Schwachstellenmanagement zunehmend Priorität genießt. Ferner liefert der Bericht neueste Daten zu den Top-10-Schwachstellen. Aus ihnen geht hervor, welche Anstrengungen zur Behebung von Schwachstellen vorrangig unternommen werden und für welche Informationen zu Sicherheitslücken die Unternehmen am meisten Geld ausgeben wollen.

Weitere wichtige Ergebnisse des Berichts:

  • Die Nutzung von Sicherheitsprogrammen unter Einbeziehung von Hackern nimmt in allen Branchen zu. Die Gesamtanzahl der Kundenprogramme wuchs 2021 um 34 Prozent.
  • Die traditionell konservativen Sektoren Finanzdienstleistungen und Behörden sind weiterhin führend bei der Einführung Hacker-gestützter Sicherheitsprogramme, mit einem Anstieg von 62 Prozent bei den Initiativen der Finanzdienstleister beziehungsweise 89 Prozent im Falle von Behörden. Beispielhaft standen für diesen Trend in diesem Jahr die Programme des britischen Verteidigungsministeriums sowie der GovTech-Behörde in Singapur.
  • Im laufenden Jahr meldeten Hacker 21 Prozent mehr Schwachstellen als 2020. Während bei den traditionellen Bug-Bounty-Programmen die Zahl der validierten Schwachstellenmeldungen um 10 Prozent zunahm, verzeichneten die Vulnerability Disclosure Programs (VDPs) einen Anstieg um 47 Prozent. Die Meldungen der Hacker-gestützten Pentests wuchsen um 264 Prozent.
  • Der Durchschnittspreis für einen kritischen Bug stieg um 20 Prozent von 2500 Dollar im Jahr 2020 auf 3000 Dollar im Jahr 2021. Die durchschnittlich gezahlte Prämie für eine kritische Schwachstelle wuchs um 13 Prozent – und um 30 Prozent für einen Fehler mit hohem Schweregrad.
  • Im vergangenen Jahr sank die durchschnittliche Zeit bis zur Behebung eines Fehlers branchenweit um 19 Prozent von 33 Tagen auf 26,7 Tage, wobei in einigen Branchen wie dem Einzelhandel und dem E-Commerce die Zeit bis zur Behebung um mehr als 50 Prozent abnahm.
  • Der am häufigsten entdeckte Fehler, der über die Plattform von Hackerone gemeldet wurde, bestand nach wie vor im Cross Site Scripting, aber auch in anderen Fehlerkategorien ist die Zahl der Meldungen seit 2020 deutlich gestiegen. Information Disclosure (Offenlegung von Informationen) verzeichnete einen Anstieg von 58 Prozent bei den validierten Berichten und Business Logic Errors (Geschäftslogikfehler) einen Anstieg von 67 Prozent, was dieser Schwachstelle zum ersten Mal einen Platz in den Top 10 einbrachte.

Den vollständigen Bericht können Sie hier abrufen.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

20. November 2024 pi/wf

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Wie CIOs Unternehmen als Cloud-Lotse sicher durch Daten- und Sicherheitsrisiken führen

19. November 2024 Frank Schwaak*

In einer fragmentierten Infrastruktur ist es herausfordernd, den Durchblick über Daten und Kosten zu behalten. CIOs werden zu Lotsen, die das Unternehmen sicher durch die unterschiedlichen Cloud-Umgebungen steuern müssen. Was können Unternehmen also tun, um den Überblick über Cloud-Anwendungen zu behalten und den Kurs zwischen Cloud und Cyberresilienz zu halten? […]

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

19. November 2024 pi/kdl

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

News

Die besten Arbeitgeber der Welt

19. November 2024

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*