Cyber Risk Report 2013: Falsch konfigurierte Software birgt Gefahren

HP hat den Cyber Risk Report für das Jahr 2013 vorgelegt. Eines der wichtigsten Ergebnisse ist, dass fast 80 Prozent der Software in Unternehmen eine Angriffsfläche für Cyberkriminelle bietet. Die Ursache liegt dabei außerhalb des jeweiligen Quellcodes – beispielsweise in fehlerhaften Server-Konfigurationen, fehlerhaften Dateisystemen oder zur Anwendung gehörige Beispiel-Dateien. Durch falsche Konfiguration ist HP zufolge auch hervorragend programmierte Software angreifbar.

Mit dem jährlich erscheinen Cyber Risk Report von HP Security Research, will das Unternehmen auf die aus seiner Sicht drängendsten Sicherheitsprobleme in der Unternehmens-IT hinweisen. Den Report stellt HP kostenlos zum Download bereit. Den Fokus legt der Bericht auf die neuen Risiken die durch den zunehmenden Einsatz von mobilen Endgeräten, unsichere Software und Java entstehen. Alle drei Faktoren tragen laut HP dazu bei, dass Unternehmen immer mehr Angriffsfläche bieten.

“Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun”, so Jacob West, bei HP Chief Technology Officer für den Bereich Enterprise Security Products. Er ist der Meinung, dass sich Unternehmen zusammentun müssten und sich “über Sicherheitsinformationen und -Taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören.”

Cyberkriminelle haben im vergangenen Jahr dem Bericht zufolge die gezielte Suche nach Schwachstellen intensiviert. Dennoch sei die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent gesunken, die Zahl der gravierenden Schwachstellen nahm sogar um neun Prozent ab.

HP mahnt dennoch zur Vorsicht: “Die Rückgänge lassen darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt werden.”

46 Prozent aller untersuchten Programme im Bereich Mobil-Anwendungen nutzen HP zufolge Verschlüsselungs-Technologien auf falsche Art und Weise. So verzichten viele Entwickler komplett auf die Verschlüsselung beim Speichern von Daten auf mobilen Geräten, oder nutzten nur schwache Algorithmen. Andere implementieren zwar starke Algorithmen, tuen dies aber so fehlerhaft, dass diese nichts nützen.

Am häufigsten überprüften die Experten der HP Zero Day Initiative (ZDI) Microsofts Internet Explorer. Mehr als 50 Prozent der bislang bekannten Lücken des Internet Explorers haben sie nach eigenen Aussagen aufgedeckt. Die Zahl sage aber nichts über die Sicherheit des Browser aus. Lediglich aufgrund von Markteinflüssen habe man sich auf Schwachstellen in Microsoft-Anwendungen fokussiert.

Java-Nutzer müssten sich HP zufolge besonders vor “Sandbox-bypass”-Sicherheitslücken in Acht nehmen. Die Schwachstellen können Angreifer nutzen, um die Sandbox, in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. Java dient Kriminellen wesentlich häufiger als früher, um einzelne Ziele zu attackieren. Sie verwendeten dazu meist gleichzeitig bekannte und neue Angriffsvarianten.

Auch die Cisco-Tochter Sourcefire hat auf die größer werdende Gefahr durch Java in einem vor kurzem veröffentlichten Bericht gewarnt. Demzufolge entfallen auf die Oracle-Software 91 Prozent aller Angriffe. Allerdings werden von ihr sonst nur noch Zahlen für Microsoft Office und Adobe Reader ausgewertet.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

7 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

8 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago