Cyber Risk Report 2013: Falsch konfigurierte Software birgt Gefahren

HP hat den Cyber Risk Report für das Jahr 2013 vorgelegt. Eines der wichtigsten Ergebnisse ist, dass fast 80 Prozent der Software in Unternehmen eine Angriffsfläche für Cyberkriminelle bietet. Die Ursache liegt dabei außerhalb des jeweiligen Quellcodes – beispielsweise in fehlerhaften Server-Konfigurationen, fehlerhaften Dateisystemen oder zur Anwendung gehörige Beispiel-Dateien. Durch falsche Konfiguration ist HP zufolge auch hervorragend programmierte Software angreifbar.

Mit dem jährlich erscheinen Cyber Risk Report von HP Security Research, will das Unternehmen auf die aus seiner Sicht drängendsten Sicherheitsprobleme in der Unternehmens-IT hinweisen. Den Report stellt HP kostenlos zum Download bereit. Den Fokus legt der Bericht auf die neuen Risiken die durch den zunehmenden Einsatz von mobilen Endgeräten, unsichere Software und Java entstehen. Alle drei Faktoren tragen laut HP dazu bei, dass Unternehmen immer mehr Angriffsfläche bieten.

“Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun”, so Jacob West, bei HP Chief Technology Officer für den Bereich Enterprise Security Products. Er ist der Meinung, dass sich Unternehmen zusammentun müssten und sich “über Sicherheitsinformationen und -Taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören.”

Cyberkriminelle haben im vergangenen Jahr dem Bericht zufolge die gezielte Suche nach Schwachstellen intensiviert. Dennoch sei die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent gesunken, die Zahl der gravierenden Schwachstellen nahm sogar um neun Prozent ab.

HP mahnt dennoch zur Vorsicht: “Die Rückgänge lassen darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt werden.”

46 Prozent aller untersuchten Programme im Bereich Mobil-Anwendungen nutzen HP zufolge Verschlüsselungs-Technologien auf falsche Art und Weise. So verzichten viele Entwickler komplett auf die Verschlüsselung beim Speichern von Daten auf mobilen Geräten, oder nutzten nur schwache Algorithmen. Andere implementieren zwar starke Algorithmen, tuen dies aber so fehlerhaft, dass diese nichts nützen.

Am häufigsten überprüften die Experten der HP Zero Day Initiative (ZDI) Microsofts Internet Explorer. Mehr als 50 Prozent der bislang bekannten Lücken des Internet Explorers haben sie nach eigenen Aussagen aufgedeckt. Die Zahl sage aber nichts über die Sicherheit des Browser aus. Lediglich aufgrund von Markteinflüssen habe man sich auf Schwachstellen in Microsoft-Anwendungen fokussiert.

Java-Nutzer müssten sich HP zufolge besonders vor “Sandbox-bypass”-Sicherheitslücken in Acht nehmen. Die Schwachstellen können Angreifer nutzen, um die Sandbox, in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. Java dient Kriminellen wesentlich häufiger als früher, um einzelne Ziele zu attackieren. Sie verwendeten dazu meist gleichzeitig bekannte und neue Angriffsvarianten.

Auch die Cisco-Tochter Sourcefire hat auf die größer werdende Gefahr durch Java in einem vor kurzem veröffentlichten Bericht gewarnt. Demzufolge entfallen auf die Oracle-Software 91 Prozent aller Angriffe. Allerdings werden von ihr sonst nur noch Zahlen für Microsoft Office und Adobe Reader ausgewertet.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

11 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

11 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago