YesWeHack: 2020 wurden doppelt so viele Sicherheitslücken entdeckt

Die YesWeHack-Hacker-Community hat im Jahr 2020 doppelt so viele Schwachstellen identifiziert wie im Jahr 2019. Positiv zu vermerken ist, dass die Zeitspanne zwischen Identifikation und Behebung des Lecks 2020 deutlich verkürzt werden konnte. [...]

Die Zeitspanne zwischen der Identifikation und Behebung von Schwachstellen hat sich im Jahr 2020 deutlich verkürzt (c) pixabay.com

30 Prozent der gemeldeten Schwachstellen auf der YesWeHack-Plattform wurden als „hoch‟ und „kritisch‟ eingestuft, was bedeutet, dass sie katastrophale Auswirkungen gehabt hätten, wenn sie ein krimineller Hacker genutzt hätte, etwa indem sie Zugang zu allen Kundendaten erhalten oder die Infrastruktur vollständig kompromittieren hätten können.

Die Zeitspanne zwischen der Identifikation und Behebung von Schwachstellen hat sich im Jahr 2020 deutlich verkürzt – von durchschnittlich 109 Tagen im Jahr 2019 auf durchschnittlich 44 Tage im Jahr 2020. Knapp 70 Prozent der in 2020 entdeckten Sicherheitslücken wurden dabei innerhalb von 28 Tagen behoben.

Romain Lecoeuvre, CTO und Mitbegründer von YesWeHack, warnt jedoch vor der zunehmenden Anzahl von Interaktionen mit Drittsystemen wie Logistik, Kunden, Lieferanten, Dienstleister und Finanzen. Für Unternehmen wird es zunehmend schwierig, für die Sicherheit solcher Systeme zu garantieren: „Drittsysteme vergrößern die Angriffsfläche für ein Unternehmen rapide und erschweren es, die Sicherheit seiner digitalen Vermögenswerte zu gewährleisten. Diese neuen Schwachstellen, die nur unzureichend oder gar nicht kontrolliert werden, können zum Hauptziel zukünftiger Cyberangriffe werden.“

Ethische Hacker bekommen zentrale Rolle

Guillaume Vassault-Houlière, CEO und Mitbegründer von YesWeHack, ist überzeugt, dass ethische Hacker in diesem Jahr für die Cybersicherheit eine zentrale Rolle spielen werden und prognostiziert eine flächendeckende Einführung von Vulnerability Disclosure Policies (VDP) in Unternehmen: „Die Beschleunigung des digitalen Zeitalters hat sich bisher immer auf das Produkt konzentriert und nicht auf seine Nutzer. Plötzlich gibt es jedoch eine starke Nachfrage nach Transparenz und Sicherheit seitens der Nutzer gegenüber digitalen Akteuren. Die jüngste Begeisterung der Öffentlichkeit für die Messenger-App Signal, angesichts des Misstrauens gegenüber WhatsApp, ist ein perfektes Beispiel für dieses Bewusstsein. Um das Vertrauen der Nutzer zurückzugewinnen und vollständige Transparenz zu demonstrieren werden Unternehmen daher VDP-Programme einrichten müssen, um ihre Produkte von ethischen Hackern testen zu lassen. Auch Regierungen müssen ein Vorbild bei der Sicherung ihrer digitalen Daten sein und daher die verantwortungsvolle Offenlegung von Schwachstellen auf ihre Agenda setzen. Europa sollte bald Crowdsourced Security in den Mittelpunkt seiner Empfehlungen zur Cybersicherheit stellen.

„Mit Kunden aus mehr als 25 Ländern positioniert sich YesWeHack als Global Player auf dem Markt und als echte Alternative zu amerikanischen Bug-Bounty-Plattformen. Die Kunden stammen zu 35 Prozent aus der Technologie-Branche, doch auch in anderen Branchen gewinnt Bug-Bounty immer mehr an Zugkraft: Finanzdienstleistungen und Versicherungen (26 Prozent), Handel (13 Prozent), Medien und Unterhaltung (6 Prozent) und Transport (6 Prozent) setzen auf die Vorteile der Schwarmintelligenz bei der Schwachstellenjagd.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*