Lücken bei sicherheitskritischen Software-Updates

F-Secure-Studie belegt, dass 87 Prozent der PC-Systeme in Unternehmen Versäumnisse bei sicherheitskritischen Software-Updates haben. [...]

Nur bei 13 Prozent der PC-Systeme in Unternehmen sind alle sicherheitskritischen Updates wirklich installiert. Bei 87 Prozent der Unternehmenscomputer fehlen kritische Software-Updates, wodurch die Sicherheit der Unternehmens-IT massiv gefährdet ist. Dies sind die Ergebnisse einer F-Secure Auswertung der Daten von rund 200.000 überwiegend in Europa installierten Arbeitsplätzen. Die größten Update-Lücken bestehen ausgerechnet bei so wichtigen und für ihr Risiko bekannten Anwendungen wie Java, Adobe Flash Player, Firefox, aber auch bei Microsoft-Technologien oder Open Office. Diese Zahlen belegen, dass Software-Updating nicht mehr länger nur eine Disziplin des Patch Managements ist, sondern auch definitiv eine Aufgabe der IT-Sicherheit. F-Secure Experten gehen nämlich davon aus, dass etwa 83 Prozent der zehn am häufigsten entdeckten Malware-Typen durch upgedatete Software schon im Vorfeld hätten verhindert werden können.

Der Auswertung von F-Secure zufolge fehlen bei 49 Prozent der Firmen-PCs und -Laptops ein bis vier kritische Updates, bei 25 Prozent sind fünf bis neun Updates und bei 13 Prozent sogar zehn oder mehr Updates nicht installiert. 54 Prozent der Rechner haben Lücken bei Java-Updates (Java 6 Update 43 mit 39 Prozent bzw. Java 7 Update 17 mit 15 Prozent). 36 Prozent der Systeme hatten keinen vollständig aktuellen Adobe Flash Player. Bei 23 Prozent bestand eine Verwundbarkeit in Windows Common Controls, was die Remote Ausführung von Schadcodes erlaubt hätte.
 
Die Zahlen belegen eine immer noch enorme Sorglosigkeit in diesem Bereich. Diese ist umso erstaunlicher angesichts der Schlagzeilen der letzten Monate über Angriffe auf Unternehmen und Institutionen, die sich gegen Schwachstellen im Netzwerk richteten. So hatte sich etwa die Red October-Malware fünf Jahre lang bis zu ihrem Ende im Januar 2013 allein auf Exploits in Microsoft Word, Microsoft Excel und Java verlassen. Sensible Informationen aus Regierungs- und Forschungseinrichtungen sowie Unternehmen wurden gestohlen. Red October nutzte dabei Sicherheitslücken in Software, für die schon längst Patches vorlagen. Alleine durch eine Aktualisierung der Software hätten die Angriffe abgewehrt werden können.
 
„Aus den Zahlen geht hervor, dass sich viele Anwender nicht der Bedeutung der Software-Updates als einer kritische Komponente der IT- und damit auch Unternehmenssicherheit bewusst sind“, erklärt Esa Tornikoski, Product Manager bei F-Secure. „70 bis 80 Prozent der von unseren Labs erfassten Top-Ten-Malware sind gezielte Exploits gegen Software-Schwachstellen.“


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*