IBM identifiziert ungepatche Software als wichtigstes IT-Risiko

Dem IT-Sicherheitsbericht “X-Force 2013 Mid-Year Trend and Risk Report” von IBM zufolge, ist seit Jahren einer der Hauptverursacher für Sicherheitsvorfälle ungepatchte Software. Darüber hinaus haben die Angreifer ihre Fähigkeiten weiter verbessert und sind mit ihren Angriffen erfolgreicher geworden. Cyberkriminelle nutzen außerdem das Vertrauen von Nutzern aus, besonders in den Bereichen Social Media, Mobile-Technologie und bei “Waterhole-Attacks”, also Angriffen auf Webseiten, die häufig aufgerufen werden.

Angreifer nutzen für ihre Attacken besonders “Trusted Relationships”, also Kontakte denen Nutzer vertrauen, über Soziale Netzwerke und vertrauenswürdig aussehenden Spam. Über infizierte Links, die scheinbar von Freunden oder Nutzern, denen man folgt, kommen, gelangen die Angreifer auf die Rechner ihrer Opfer. Zur Abwehr setzen soziale Netzwerke auf das Vorscannen von Links in öffentlichen und privaten Nachrichten.

Cyberkriminelle nutzen gehackte Konten oder fiktive aber scheinbar realistische Profile, um eine “Trusted Relationships” aufzubauen. Diese werden mit glaubwürdigen Profil- und Web-Verbindungen ausgestattet, damit sie echt erscheinen.

Mit einem Anstieg in der Anwendung von Social Engineering rechnen die X-Force-Experten von IBM. Angreifer werden versuchen, mit komplexen Netzen an Schein-Identitäten ihre Opfer besser zu täuschen. Trotz aller technologischen Mitteln und Sicherheitsschulungen bleibt das Vertrauen von Nutzern in die Glaubwürdigkeit einer Identität eine zentrale Schwachstelle. Somit lässt sich jede noch so moderne Sicherheitseinrichtung einfach umgehen.

Eine wirksame Methode zur Ausnutzung von Schwachstellen haben Angreifer gefunden, die sich beispielsweise auf Special-Interest-Websites (Water Holes) konzentriert haben. Solche Angriffsziele haben keine starken Sicherheitslösungen und lassen sich leicht überwinden.

Mit “Water Hole”-Attacken erreicht man Nutzer, an die man sonst nicht leicht herankommt. Eine zentrale Website wird mit Malware unterwandert und Angreifer können technisch erfahrenere Anwender überlisten, die normalerweise Phishing-Versuche durchschauen. Denn die Nutzer vermuten nicht, dass eine Website, denen sie vertrauen, verseucht worden sein könnte.

Auch bei Distributed-Denial-of-Service-Attacken (DDoS) haben sich die Angreifer weiterentwickelt. Sie nutzen die erhöhte verfügbare Datenbandbreite als leistungsfähige Methode, um die Online-Services von Unternehmen lahmzulegen und DDoS-Gegenmaßnahmen zu umgehen. DDoS-Attacken werden oft genutzt um IT-Mitarbeiter abzulenken und zu risikobasierte Entscheidungen zu drängen. In dieser Zeit nutzen Angreifer die Lücken im System, um ihr Ziel zu erreichen.

Für Unternehmen ist es aufgrund des Aufwärtstrends von Umfang und Häufigkeit von Datenmissbrauch wichtiger denn je, fundamentale Sicherheitsprinzipien zu befolgen. Eine absolute Basis-Notwendigkeit stellen technische Schutzmaßnahmen dar. Die Bedeutung der Aufklärung der Mitarbeiter, dass praktizierte Sicherheit eine Frage der Einstellung ist und keine Ausnahmesituation gewinnt immer mehr an Bedeutung. Dies ist ein wichtiger Schritt zur Verringerung von potentiellen Sicherheitsrisiken.

Der Sicherheitsanbieter Kasperky Labs hat vor wenigen Tagen ebenfalls davor gewarnt, dass die meisten Attacken auf längst bekannten Sicherheitslücken aufbauen. Zudem scheinen Angreifer die Opfer immer genauer zu beobachten, bevor der Übergriff statt findet. Meist melden Unternehmen solche Übergriffe nicht.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

8 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

8 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago