HP-Studie: Gut 80 Prozent aller Anwendungen mit Sicherheitslücken

Neuer "HP Cyber Risk Report" analysiert Schwachstellen in der Unternehmens-IT Mobile Endgeräte, unsichere Software und Java sorgen für neue Risiken

  • Thursday, 6th February 2014 Posted 10 years ago in by Phil Alsop

HP hat heute den Cyber Risk Report 2013 vorgelegt. Dieser benennt die größten Schwachstellen von IT-Umgebungen in Großunternehmen und beschreibt die derzeitige Bedrohungslage.

Die Studie wird von HP Security Research erstellt und erscheint einmal im Jahr. Er enthält jeweils neue Daten und Analysen zu den drängendsten IT-Sicherheitsproblemen großer Unternehmen. Die diesjährige Ausgabe beschreibt unter anderem, wie der zunehmende Einsatz von mobilen Endgeräten, unsicherer Software und Java dazu beigetragen hat, dass Unternehmen seit 2013 mehr Angriffsfläche bieten als zuvor. Außerdem enthält der neue Report Empfehlungen, wie Organisationen Sicherheitsrisiken minimieren und die Schadenswirkung von Angriffen begrenzen können.

"Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun", sagt Jacob West, Chief Technology Officer, Enterprise Security Products, HP. "Unternehmen müssen sich zusammentun und sich untereinander über Sicherheits-Informationen und -Taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören."

Schlüsselergebnisse der Studie

- Der gezielten Suche nach Schwachstellen ("Vulnerability Research") wurde im vergangenen Jahr mehr Beachtung zuteil als zuvor. Dennoch verringerte sich die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent. Die Zahl der kritischen Schwachstellen nahm um neun Prozent (1) ab, der vierte Rückgang in Folge. Die Rückgänge lassen darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht werden, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt. Dieser Zuwachs ist aber nicht zu quantifizieren.

- Gut 80 Prozent aller im Bericht untersuchten Anwendungen enthielten wenigstens eine Schwachstelle, die ihre Ursache außerhalb des jeweiligen Quellcodes hatte - und beispielsweise durch fehlerhafte Server-Konfigurationen, fehlerhafte Dateisysteme oder zur Anwendung gehörige Beispiel-Dateien verursacht war. Das zeigt: Auch hervorragend programmierte Software kann angreifbar werden, wenn sie falsch konfiguriert wird.

- Inkonsistente und voneinander abweichende Definitionen des Begriffs "Malware" erschweren die Analyse von Compliance-Risiken. Beim Untersuchen von über 500.000 mobilen Anwendungen für das Betriebssystem Android entdeckte HP schwerwiegende Unterschiede zwischen dem, was Antiviren-Software-Hersteller als "Malware" definieren, und den entsprechenden Definitionen von Herstellern mobiler Plattformen.

- 46 Prozent aller untersuchten mobilen Anwendungen nutzen Verschlüsselungs-Technologien auf falsche Art und Weise. HP-Untersuchungen zeigen, dass viele Entwickler entweder ganz auf die Verschlüsselung von Daten verzichten, die auf mobilen Geräten gespeichert werden. Andere verschlüsseln die Daten zwar, nutzen dafür aber schwache Algorithmen - oder setzen starke Algorithmen so fehlerhaft ein, dass diese unnütz werden.

- Microsofts Internet Explorer war die Anwendung, die am häufigsten von Experten der HP Zero Day Initiative (ZDI) geprüft wurde. Durch die Prüfungen wurden mehr als 50 Prozent der bislang bekannten Schwachstellen des Internet Explorers aufgedeckt. Diese Ergebnisse gehen auf Markteinflüsse zurück, auf Grund derer sich die ZDI-Experten vor allem auf Schwachstellen in Microsoft-Anwendungen konzentrieren. Sie treffen keine Aussage über die Sicherheit des Microsoft-Webbrowsers.

- "Sandbox-bypass"-Sicherheitslücken waren die häufigsten und gefährlichsten Schwachstellen für Java-Nutzer. Angreifer nutzen solche Schwachstellen, um die Sicherheitsumgebungen ("Sandboxes"), in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. Cyber-Kriminelle nutzten Java wesentlich häufiger als früher, um einzelne Ziele anzugreifen. Dabei nutzten sie meist gleichzeitig bekannte und neue ("Zero-Day"-) Angriffsvarianten.

Empfehlungen für Unternehmen

- Cyberangriffe werden immer häufiger, die Nachfrage nach sicheren Anwendungen wächst. Unternehmen müssen deshalb sicherstellen, dass sie unter keinen Umständen Informationen herausgeben, die für Angreifer nützlich sein könnten.

- Unternehmen und Entwickler müssen sich ständig der Sicherheitslücken bewusst sein, die sich in Laufzeitumgebungen oder anderer Software Dritter auftun können - das gilt ganz besonders für den Umgang mit hybriden, mobilen Entwicklungsplattformen. Deshalb braucht es robuste Sicherheits-Richtlinien, die dazu beitragen, die Integrität von Anwendungen und die Privatsphäre von Nutzern zu schützen.

- Die Angriffsfläche, die eine IT-Umgebung bietet, lässt sich nicht verkleinern ohne Kompromisse bei der Funktionalität einzugehen. Doch mit der richtigen Verbindung aus guten Mitarbeitern, Prozessen und Technologien können Unternehmen ihre Schwachstellen minimieren und ihr Gesamtrisiko erheblich begrenzen.

- Die unternehmensübergreifende Zusammenarbeit von IT-Sicherheitsexperten und der Austausch von Informationen über Bedrohungen ermöglichen es allen Beteiligten, mehr über das Vorgehen von Angreifern zu lernen und IT-Sicherheit stärker präventiv zu gestalten. Zudem verbessert eine derartige Zusammenarbeit die Schutzwirkung von IT-Sicherheitslösungen und trägt so dazu bei, die IT insgesamt sicherer zu machen.

Methodik

HPs Cyber Risk Report erscheint seit 2009 jährlich. HP Security Research nutzt eine Reihe interner und externer Quellen, um den Bericht zu erstellen - darunter die HP Zero Day Initiative, Sicherheits-Bewertungen von HP Fortify on Demand, HP Fortify Software Security Research, Reversing Labs und die National Vulnerability Database. Die genaue Methodik ist im Bericht selbst beschrieben.