Unternehmen vernachlässigen die Sicherheit interner Netze

Die Unternehmen haben zwar erhebliche Fortschritte beim Schutz der Netzwerke vor Angriffen von außen erzielt – die Gefahr von Angriffen auf Systeme innerhalb von Firmennetzen ist jedoch gewachsen. Das teilte Gerhard Eschelbeck, CTO des US-Software-Unternehmens Qualys, mit. Eschelbeck arbeitet seit zweieinhalb Jahren an der Studie ‘Laws of Vulnerabilities’, für die er nach eigenen Angaben etwa vier Millionen Sicherheitslücken statistisch analysiert.
Nach diesen Erkenntnissen benötigen die Firmen derzeit im Schnitt 62 Tage, um ihre internen Systeme zu patchen – im Gegensatz zu 21 Tagen bei Systemen, die an das Internet angebunden sind. Laut Eschelbeck werden jährlich 50 Prozent der am meisten verbreiteten und kritischsten Sicherheitslücken durch neue Lecks abgelöst. “Mit anderen Worten: Es kommen unablässig neue, kritische Sicherheitslücken auf, die geschlossen werden müssen.”

Einige Sicherheitslücken und Würmer hätten eine unbegrenzte Lebensdauer. So zeige die Untersuchung, dass die Würmer Blaster und Nachi im Lauf des Jahres 2004 mehrmals epidemieartig auftraten – Monate nach ihrem ursprünglichen Auftauchen. Zudem schrumpfe der Zeitraum zwischen der Entdeckung einer Sicherheitslücke und ihrer Ausnutzung schneller als der Zeitraum zwischen der Entdeckung und der Behebung von Sicherheitslücken.

“Die Unternehmen müssen den Schutz ihrer internen Systeme offensiver betreiben”, so Eschelbeck. Dessen Untersuchungsergebnisse fanden auch Eingang in den neuesten SANS-Index der zwanzig gefährlichsten Web-Anwendungen. Derweil hat Qualys Listen der zehn bedrohlichsten internen und externen Sicherheitslücken online gestellt.